Система сдержек и противовесов: три совета по защите SaaS

Как известно, пользователи SaaS-приложений обходят локальную ИТ-защиту и это является проблемой. CISO Unit4 Эрик Каасенбруд рассказывает на портале InformationWeek о современном подходе к обеспечению безопасности, который позволит директорам по информационной безопасности снизить корпоративные риски, но при этом сохранить в безопасности данные бизнес-пользователей.

SaaS-приложения становятся все более популярными, превратившись в крупнейший сектор облачных расходов. По прогнозам Gartner, в этом году этот сегмент облачного рынка достигнет 122,6 млрд. долл. С учетом растущего числа SaaS-решений многие CISO скорректировали свои подходы к безопасности, но другие все еще не спешат с этим. Компании, ориентированные на локальные или сетевые средства контроля безопасности, находятся в зоне риска.

Децентрализованные ИТ требуют безопасности и управления SaaS на уровне предприятия

Теневые ИТ — не новая проблема, но пандемия лишь ускорила внедрение SaaS-решений, доступ к которым осуществляется вне границ компании. Многие облачные провайдеры поддерживают белые списки IP-адресов, но имеется растущий риск, что сотрудники могут подключаться к облаку в обход офисной сети напрямую. Помимо последствий для безопасности данных недостаточный уровень безопасности также может привести к проблемам с соблюдением нормативных требований.

Для решения этих проблем ИТ-специалистам следует рассмотреть подход «сдержек и противовесов» с подготовленной к облаку ИТ-архитектурой, надлежащими методами управления и возможностью разделить общую ответственность с поставщиками облачных услуг. Это позволит бизнес-пользователям применять облако безопасно.

Ниже приводятся три совета, которые помогут CISO поддержать бизнес с помощью более эффективной защиты SaaS.

1. Обеспечьте бизнес современной ИТ-архитектурой

Первый шаг — пересмотреть риски и средства контроля и перенести традиционные механизмы безопасности из локальной сети предприятия в облачные решения. Например, конечные точки должны быть хорошо защищены за пределами сети компании с помощью облачных решений. Они позволяют внедрить критически важные средства контроля безопасности, включая управление исправлениями, конфигурацией и защиту конечных точек. Кроме того, важно обеспечить безопасный доступ к решениям SaaS. Такие функции безопасности, как многофакторная аутентификация, управление доступом, федерализация и другие сдержки и противовесы, должны быть внедрены до того, как сотрудники начнут использовать облачные решения.

Кибербезопасность должна стать не просто функцией защиты — она должна расширять возможности бизнеса, поскольку сотрудникам необходимо подключаться к облаку для достижения максимальной эффективности. Перенося инструменты и меры безопасности из локальных сетей в облако, ИТ-отдел приносит бизнесу значительную ценность.

2. Сформируйте многопрофильную команду, чтобы подобрать уровни надлежащего управления

В былые времена ИТ-отдел отвечал за создание ИТ-среды. Теперь владельцы бизнеса часто сами создают свои экосистемы и определяют правила управления. CISO могут лучше защитить ценные активы компании, собрав команду с опытом в области ИТ, безопасности, юриспруденции, соответствия нормативным требованиям и конфиденциальности (и других областей, если это будет необходимо), чтобы установить для предприятия правила управления. Команда может пересмотреть управление с учетом рисков, создав подробные политики с описанием необходимых сдержек и противовесов для авторизации новых облачных решений. Чтобы провести оценку SaaS-решений (проверка может инициироваться центральным отделом закупок), проанализируйте текущие процессы.

Следует помнить, что для выхода на широкий рынок поставщики SaaS стандартизируют предложения, и компании могут использовать это в своих интересах. Попросите их предоставить документацию по обеспечению безопасности или сертификаты. В качестве альтернативы можно использовать стандартные руководства, например, от Cloud Security Alliance. Также разумно повысить в компании уровень осведомленности по вопросам безопасности.

3. Модель разделения ответственности

Очень важно понять, как именно распределяются обязанности по обеспечению безопасности между поставщиком SaaS и его клиентом. Базовая платформа обычно управляется поставщиком SaaS, в то время как клиент отвечает за такие функции, как управление пользователями, конфигурация данных и приложений.

SaaS — это важная тема, поэтому ее безопасность — обязательное условие

Выбор надлежащей модели управления и архитектуры зависит от отрасли, нормативных требований, бизнес-стратегии компании и других факторов. Целью является согласование стратегии ИТ с общей бизнес-стратегией, но, что крайне важно, любая система управления должна определить роли и обязанности для обеспечения безопасной работы SaaS-приложений.

Бизнес-обоснование для облака в целом и SaaS-решений в частности чрезвычайно весомо, поскольку спрос на них растет очень быстро. Для некоторых CISO адаптация к спросу на SaaS оказалась сложной задачей, особенно учитывая последствия перехода на удаленную работу. Хорошей новостью является то, что SaaS-компании также стали более зрелыми, и когда предприятия находят правильного поставщика, SaaS-среда может обеспечить значительное повышение уровня безопасности и снять часть нагрузки с ИТ-службы.

Важно помнить, что безопасность — это основной компонент ИТ-задач по расширению возможностей бизнеса. Вот почему для CISO, которые в прошлом полагались на локальные средства обеспечения безопасности, так важно обновить и модернизировать их в соответствии с новыми реалиями, которые включают широкое распространение SaaS-решений. При наличии правильных сдержек и противовесов компании могут обеспечить доступ пользователей к необходимым инструментам и безопасность данных.