Quando as aplicações SaaS começaram a crescer em popularidade, não ficou claro quem era responsável pela segurança dos dados. Hoje em dia, a maioria das equipas de segurança e TI compreendem o modelo de responsabilidade partilhada, no qual o fornecedor SaaS é responsável pela segurança da aplicação, enquanto que a organização é responsável pela segurança dos seus dados.
O que é muito mais obscuro, porém, é onde a responsabilidade pelos dados está do lado da organização. Para as grandes organizações, esta é uma questão particularmente desafiante. Eles armazenam terabytes de dados de clientes, dados de empregados, dados financeiros, dados estratégicos, e outros registos de dados sensíveis em linha.
Violações de dados SaaS e ataques de resgate de SaaS podem levar à perda ou exposição pública desses dados. Dependendo da indústria, algumas empresas podem enfrentar duras sanções regulamentares por violações de dados para além das relações públicas negativas e da perda de confiança que estas violações trazem consigo.
Encontrar o modelo de segurança certo é o primeiro passo antes de implementar qualquer tipo de SSPM ou outra solução de segurança SaaS.
Saiba como a solução SSPM da Adaptive Shield pode ajudar a proteger a sua pilha de SaaS.
Conhecer os Jogadores
Há vários grupos diferentes de actores envolvidos no ecossistema de segurança SaaS.
Proprietários de aplicações SaaS – Quando as unidades empresariais subscrevem o software SaaS, alguém de dentro da unidade empresarial é tipicamente responsável pela instalação e integração da aplicação. Embora possam ter alguma ajuda das TI, a aplicação é da sua responsabilidade.
Escolhem definições e configurações que se alinham com as suas necessidades comerciais, adicionam utilizadores, e começam a trabalhar. Os proprietários do SaaS App reconhecem a necessidade de segurança de dados, mas não é da sua responsabilidade ou algo que eles saibam muito sobre. Alguns assumem erroneamente que a segurança dos dados é apenas da responsabilidade do fornecedor de SaaS.
Central IT – Na maioria das grandes organizações, a Central IT é responsável por coisas como infra-estruturas, hardware, e palavras-passe. Gerem os IDP e os servidores, bem como supervisionam as actividades do help desk. As aplicações SaaS normalmente não se enquadram no seu domínio directo.
A informática central está mais familiarizada com os requisitos de segurança do que o trabalhador médio, mas não é a sua principal preocupação. Contudo, é importante ter em mente que eles não são profissionais de segurança.
Equipas de Segurança – A equipa de segurança é a apta natural para implementar controlos e supervisão de segurança. São encarregados de criar e implementar uma política de ciber-segurança que se aplica em toda a organização.
No entanto, têm vários desafios que inibem a sua capacidade de garantir aplicações. Para começar, muitas vezes desconhecem as aplicações SaaS que estão a ser utilizadas pela empresa. Mesmo para aplicações de que estão conscientes, não têm acesso aos painéis de configuração dentro da pilha SaaS, e nem sempre estão conscientes dos aspectos de segurança únicos associados a cada aplicação. Estes são controlados e mantidos pelos proprietários das aplicações SaaS e pela Central IT.
Equipas do GRC – As equipas de conformidade e governação são incumbidas de assegurar que todas as TI cumprem as normas de segurança específicas. Embora não desempenhem um papel específico na segurança dos activos da empresa, têm supervisão e precisam de determinar se a empresa está à altura das suas responsabilidades de conformidade.
Vendedor SaaS – Embora o fornecedor SaaS esteja absolvido de qualquer responsabilidade de proteger os dados, eles são a equipa que construiu o aparelho de segurança para a aplicação SaaS, e têm um conhecimento profundo da sua aplicação e das suas capacidades de segurança.
Definição de Funções e Responsabilidades
A segurança de toda a pilha SaaS requer uma estreita colaboração entre os peritos em segurança e aqueles que gerem e executam as suas aplicações SaaS individuais. Desenvolvemos este gráfico RACI para partilhar a nossa perspectiva sobre os departamentos responsáveis, responsáveis, consultados, e informados sobre as diferentes tarefas envolvidas na segurança de dados SaaS.
Tenha em mente que esta tabela não é de tamanho único, mas sim um quadro baseado na forma como vemos muitas empresas a lidarem com as suas funções de segurança SaaS. Deve ser adaptada às necessidades da sua organização.
Saiba mais sobre as funções e responsabilidades dos utilizadores de SaaS. Agende hoje uma demonstração.
Construir a infra-estrutura certa
O desenvolvimento da matriz RACI é importante, mas sem as ferramentas certas no local, a implementação das responsabilidades de segurança torna-se uma tarefa quase impossível.
As organizações precisam de uma plataforma de Segurança SaaS que facilite uma comunicação clara entre a equipa de segurança e os proprietários da aplicação. Esta comunicação deve incluir alertas quando ocorrem erros de configuração que enfraquecem a postura de segurança da aplicação individual e quando são detectadas ameaças pelas suas ferramentas de governação do IAM.
A comunicação deve ser agnóstica, para que os utilizadores possam receber mensagens e alertas por correio electrónico, Slack, Splunk, ou a plataforma de mensagens escolhida. Todas as notificações relacionadas com a segurança devem também incluir passos de remediação, proporcionando aos proprietários de aplicações e às TI centrais uma compreensão clara dos passos necessários para mitigar o risco.
Dentro da plataforma, cada proprietário deve ter visibilidade e acesso à aplicação ou aplicações sob o seu controlo. Devem poder ver o estado das suas definições de segurança, a sua pontuação de segurança, os seus utilizadores, as aplicações SaaS de terceiros que estão ligadas à sua aplicação, e os dispositivos que estão a ser utilizados para aceder à sua aplicação SaaS.
Os proprietários de aplicações e TI central devem também ter a capacidade de rejeitar um alerta de segurança devido, ou porque não se aplica ou devido a necessidades empresariais, e consultar a equipa de segurança sobre riscos.
A securização de dados SaaS requer um esforço cruzado de equipa
É fácil para a segurança da aplicação SaaS ser negligenciada. Fica fora da visão da equipa de segurança e é gerida por profissionais competentes cujas responsabilidades não incluem a segurança.
No entanto, os dados contidos nas aplicações SaaS são frequentemente o sangue vital de uma organização, e a falta de segurança dos dados pode ter consequências desastrosas.
A protecção total dos dados contra a exposição requer um esforço e empenho cruzado de todas as partes envolvidas, bem como uma sofisticada plataforma SSPM construída para SaaS no mundo real.
Saiba como um SSPM pode ajudar a proteger os seus dados. Reservar uma demonstração.
