軟件即服務(wù)提供商通常會處理你的敏感數(shù)據(jù)。以下是如何讓他們在安全方面達(dá)到高標(biāo)準(zhǔn)的方法。
由于COVID-19的大流行導(dǎo)致了大規(guī)模的向遠(yuǎn)程工作的轉(zhuǎn)移,對SaaS產(chǎn)品的采用在今年也加快了。這一趨勢增加了企業(yè)所面臨的網(wǎng)絡(luò)威脅,并使組織在協(xié)商SaaS合同時需要考慮的安全和風(fēng)險因素也得到了更大的關(guān)注。
Gartner預(yù)計,整體的公共云服務(wù)市場今年將增長6.3%,從去年的2,427億美元增長至2,579億美元。SaaS領(lǐng)域本身也預(yù)計將達(dá)到1046億美元,高于去年的1020億美元,至少部分原因是在于大流行期間對新協(xié)作工具的需求增加。
隨著SaaS服務(wù)采用的增加,人們對潛在安全問題的擔(dān)憂也隨之增加了。在最近AppOmni對200名IT專業(yè)人士的調(diào)查中,66%的受訪者表示,盡管他們認(rèn)為企業(yè)SaaS環(huán)境使他們面臨了業(yè)務(wù)中斷的最大風(fēng)險,但他們也沒有太多時間來保護(hù)他們的SaaS應(yīng)用程序。
“從安全角度來看,大多數(shù)都是圍繞數(shù)據(jù)保護(hù)以及當(dāng)發(fā)生可用性或數(shù)據(jù)遭到破壞的事件時會發(fā)生什么的討論,”451集團(tuán)的分析師Daniel Kennedy說。
Kennedy和其他人認(rèn)為,在協(xié)商SaaS合同時,要記住以下5個關(guān)鍵考慮因素,以確保風(fēng)險和安全因素能夠得到充分解決。
1.創(chuàng)建與你的組織相關(guān)的風(fēng)險列表
在協(xié)商SaaS協(xié)議中的安全條款時,沒有一種放之四海而皆準(zhǔn)的方法。你需要(和能夠)做的很多事情都取決于當(dāng)下的環(huán)境。組織的規(guī)模和SaaS提供商的規(guī)模是至關(guān)重要的。一般來說,你的規(guī)模越大,計劃的服務(wù)采購規(guī)模越大,你的杠桿作用就越好。
在與SaaS供應(yīng)商協(xié)商之前--甚至是在RFP階段--就可以考慮系統(tǒng)的預(yù)期用途。例如,如果你計劃使用SaaS系統(tǒng)來管理你組織的客戶關(guān)系,那么你需要關(guān)注SaaS供應(yīng)商將如何保護(hù)客戶數(shù)據(jù),以及他們?nèi)绾未_保系統(tǒng)的穩(wěn)定性和可靠性,Gartner的高級研究總監(jiān)Luke Ellery說。另一方面,如果你計劃使用的SaaS系統(tǒng)更側(cè)重于內(nèi)部,比如學(xué)習(xí)型管理系統(tǒng),那么數(shù)據(jù)就不那么敏感,服務(wù)也不太可能是業(yè)務(wù)關(guān)鍵型的,他說。
“最好的做法是有一個主要的風(fēng)險清單,如安全、隱私、地理、監(jiān)管、業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù),”Ellery說。“然后采取分門別類的方法,讓供應(yīng)商去解決適用于他們服務(wù)的風(fēng)險。”
2.與利益相關(guān)者溝通什么是不可協(xié)商的
在許多組織中,只有在談判過程結(jié)束時,幾乎沒有空間或時間來引入實質(zhì)性的變化時,安全小組才會被召集進(jìn)來。因此,重要的是確保采購團(tuán)隊在談判開始時了解并至少能夠涵蓋圍繞數(shù)據(jù)保護(hù)的根本性的、不可協(xié)商的安全問題。
CISO也應(yīng)該與IT和業(yè)務(wù)領(lǐng)導(dǎo)協(xié)作,考慮組織的風(fēng)險承受能力。在確定SaaS協(xié)議中哪些內(nèi)容不可協(xié)商時,他們還需要考慮所有的監(jiān)管和行業(yè)需求,Ellery說。“這些都可以作為供應(yīng)商的資格預(yù)審標(biāo)準(zhǔn)。”
例如,一個良好的資格預(yù)審標(biāo)準(zhǔn)可以是所有數(shù)據(jù)在傳輸和靜止時都應(yīng)該被加密,或者所有數(shù)據(jù)都需要被存儲在特定的國家或地理區(qū)域之內(nèi)。把這些標(biāo)準(zhǔn)提前包括進(jìn)去可以讓供應(yīng)商清楚地了解你的期望,Ellery說。
德勤網(wǎng)絡(luò)與風(fēng)險業(yè)務(wù)負(fù)責(zé)人Vikram Kunchala補充稱,一般來說,與數(shù)據(jù)的可用性、彈性和保密性有關(guān)的任何事情都是不容商量的。這在很大程度上取決于你打算使用SaaS供應(yīng)商來做什么,他說。風(fēng)險的增加取決于所涉及數(shù)據(jù)的重要性。因此,目標(biāo)應(yīng)該是確保供應(yīng)商有足夠的能力來保護(hù)你的數(shù)據(jù)。
像SOC 2 Type II、ISO 27001、ISO 22301和CSA CCM這樣的認(rèn)證是公認(rèn)的SaaS供應(yīng)商可以遵守的安全最佳實踐的相對可靠的指標(biāo)。在選擇供應(yīng)商時,請驗證你的供應(yīng)商是否符合這些標(biāo)準(zhǔn)。
“SaaS是一個非常廣泛的領(lǐng)域。我可以有客戶關(guān)系管理的SaaS,人力資本類工作的SaaS,或者安全方面的SaaS,”Kunchala說。“如果你的供應(yīng)商沒有正確的控制措施,你的整個組織都可能會暴露出來”
3.協(xié)商額外的保護(hù)
通過額外的安全保護(hù)來協(xié)商你所能做出的讓步。請記住,有些問題可能是不容易協(xié)商,甚至是無法協(xié)商的。
SaaS是一項基于標(biāo)準(zhǔn)產(chǎn)品所提供的規(guī)?;瘶I(yè)務(wù),Ellery說。因此,有些更改(如系統(tǒng)可用性或數(shù)據(jù)存儲位置)可能是不可協(xié)商的。“每個供應(yīng)商都是不同的,重大的讓步通常取決于SaaS供應(yīng)商可以做出讓步的能力,以及你的影響力--或者說你所希望的讓步是否與監(jiān)管要求相關(guān),”他說。涉及違約和數(shù)據(jù)泄露的責(zé)任條款往往是最難談判的條款。因此,可以考慮其他選項,如供應(yīng)商的網(wǎng)絡(luò)保險條款。
Kunchala建議,如果你的SaaS供應(yīng)商被收購,請確保包含了能夠保護(hù)你的條款。請解決如下問題:如果另一個SaaS供應(yīng)商收購了你的供應(yīng)商,你正在進(jìn)行的合同會發(fā)生什么情況,或者你該如何續(xù)簽合同。新的供應(yīng)商會尊重你現(xiàn)有的價格協(xié)議,還是會有完全不同的價格?
你還需要了解供應(yīng)商可能列出了哪些潛在的不可預(yù)見的情況,這些情況可能會阻止他們提供產(chǎn)品或服務(wù)。確保供應(yīng)商列出的不可抗力的情況是合理的。如果網(wǎng)絡(luò)安全事件被列在了你認(rèn)為不屬于這些事件的清單上,你就要抵制這些事件,Kennedy說。
4.堅持提前發(fā)出違約通知
歐盟的一般數(shù)據(jù)保護(hù)條例(GDPR)和支付卡行業(yè)(PCI)標(biāo)準(zhǔn)等法規(guī)要求組織機構(gòu)必須通過合同來確保第三方采取合理措施來保護(hù)敏感數(shù)據(jù)。在SaaS提供商發(fā)生了影響覆蓋數(shù)據(jù)的安全事件時,這些規(guī)定可以對違規(guī)通知有特定的要求和時間限制。
在與SaaS供應(yīng)商談判時,一定要包括及時發(fā)出違約通知的條款,451集團(tuán)的Kennedy說。這樣的條款在談判中可能會引起爭議,因為SaaS提供商不會希望被限制在一個特定的時間軸上。通常,他們最大的反對意見與這樣一個事實有關(guān),即不知道何時會發(fā)現(xiàn)漏洞。
“盡管如此,如果客戶的數(shù)據(jù)受到了安全數(shù)據(jù)泄露的影響,你就必須堅持能夠立即接到通知,”Kennedy說。“SaaS提供商不能坐在那里決定給你提供信息的最佳方式,或者在這種情況下按照他們自己的時間表工作,因為他們本質(zhì)上是你的第三方供應(yīng)商。”
5.特別注意合同終止條件
在訂立SaaS契約時,你需要考慮的最重要的事情之一是明確說明在契約結(jié)束時會發(fā)生什么。雖然成熟的SaaS供應(yīng)商可能會有一個正式的返回和刪除數(shù)據(jù)的過程,但就這個過程的具體內(nèi)容達(dá)成明確的協(xié)議是很重要的。
你需要考慮的問題包括你的組織在協(xié)議結(jié)束時取回其數(shù)據(jù)的能力,以及供應(yīng)商刪除數(shù)據(jù)的流程和確保沒有第三方能夠訪問數(shù)據(jù)。“SaaS協(xié)議的首要任務(wù)是確保你有權(quán)取回自己的數(shù)據(jù),而不管是否終止了協(xié)議,”Ellery表示。許多CISO會定期測試從SaaS供應(yīng)商獲取的數(shù)據(jù),或者提供將關(guān)鍵數(shù)據(jù)備份到本地或云存儲的服務(wù),以確保他們有這種能力,他說。
如果你的組織對關(guān)鍵操作使用了SaaS服務(wù),就請考慮申請過渡協(xié)助。過渡協(xié)助條款會在合同結(jié)束后的一段時間內(nèi)延長合同期限,這樣你就有時間以一種安全的方式過渡到另一家供應(yīng)商了,Ellery說。“許多金融服務(wù)機構(gòu)會為其關(guān)鍵系統(tǒng)尋求至少18個月的過渡援助,”他說。終止和過渡條款通常是可協(xié)商的,因為供應(yīng)商的服務(wù)仍在獲得報酬。
德勤的Kunchala建議,對于數(shù)據(jù)刪除和數(shù)據(jù)傳輸?shù)乃髻r,企業(yè)也應(yīng)該從供應(yīng)商那里得到一定程度的保證。SaaS提供商的基礎(chǔ)設(shè)施上可能存在著組織數(shù)據(jù)的多個副本,或者數(shù)據(jù)的一部分或部分,他們有責(zé)任刪除這些副本,他說。
“他們需要提供一定程度的保證,因為這樣你可能擁有的任何責(zé)任條款都將能夠生效,”他說。在某種程度上,你也不得不選擇相信你的供應(yīng)商,并希望你的數(shù)據(jù)不會在將來出現(xiàn)漏洞,他說。