本文來自微信公眾號“網(wǎng)絡(luò)研究院”。
SaaS正在推動數(shù)字化轉(zhuǎn)型之旅,云應(yīng)用程序服務(wù)主導著最終用戶的支出。到2023年底,Gartner預(yù)測SaaS支出將超過1950億美元。
盡管SaaS應(yīng)用程序創(chuàng)造了效率并提高了生產(chǎn)力,尤其是對于遠程團隊,SaaS的快速增長也帶來了一些嚴重的安全風險。
日益嚴重的SaaS安全問題
由于可供選擇的SaaS應(yīng)用程序如此之多,公司正在如此迅速地實施(并經(jīng)常丟棄)它們,以至于IT和安全團隊很難跟上步伐。
盡管大多數(shù)安全團隊都認識到當今應(yīng)用程序的無數(shù)配置設(shè)置所帶來的安全風險,但他們不一定會對此采取任何措施。
最近的一項研究發(fā)現(xiàn),雖然66%的IT和安全專業(yè)人士表示SaaS應(yīng)用程序增加了他們的安全風險,但只有21%的人表示他們擔心安全違規(guī)。這讓許多公司面臨威脅。
員工在其安全或IT團隊不知情的情況下使用的應(yīng)用程序,尤其值得關(guān)注。這是正確的,因為80%的員工承認使用未經(jīng)批準的應(yīng)用程序。
因此,超過一半的組織處理過由第三方應(yīng)用程序或服務(wù)引起的數(shù)據(jù)泄露。
制定全面的SaaS安全策略
為了降低這種風險,越來越多的組織采用整體方法進行SaaS管理,一種在一個地方同時解決業(yè)務(wù)價值和風險管理的方法。
這種方法通過消除孤島并提供SaaS應(yīng)用程序環(huán)境的全局視圖,從而幫助解決IT、安全和風險團隊面臨的挑戰(zhàn),從而實現(xiàn)對數(shù)據(jù)安全風險和支出優(yōu)化機會的可操作可見性。
雖然這在理論上聽起來不錯,但這種方法的一個主要障礙是如何讓內(nèi)部利益相關(guān)者參與進來。通常,內(nèi)部利益相關(guān)者并不完全理解SaaS蔓延背后的擔憂,以及它不僅對IT團隊而且對組織的整體安全和成功的影響。
盡管如此,還是有可能成功提出這些問題并獲得對SaaS安全流程的內(nèi)部支持,如果您采用正確的方法來建立支持。
推動SaaS協(xié)作的4個步驟
為SaaS安全構(gòu)建案例需要開放的溝通和協(xié)作。以下是使其工作的方法:
1.促進SaaS采用討論
如果不公開討論在何處以及為何使用單個應(yīng)用程序,就不可能完全清楚整個組織對SaaS的廣泛使用。詢問有關(guān)每個團隊的基本應(yīng)用、流行的瀏覽器擴展以及如何管理這些應(yīng)用的用戶和數(shù)據(jù)訪問的問題。是否有服務(wù)水平協(xié)議(SLA)來解決問題或錯誤配置?
2.大局觀
安全和IT團隊深刻理解過多的應(yīng)用程序可能給組織帶來的風險,但大多數(shù)利益相關(guān)者和員工并不了解。這意味著您有責任強調(diào)不受控制的SaaS蔓延的危險,以及如果管理不當,看似無害的影子應(yīng)用程序(可能是某人為了提高工作效率而無意下載的應(yīng)用程序)可能對整個組織產(chǎn)生的影響。
3.建立和執(zhí)行SaaS政策
如果您的組織沒有關(guān)于員工如何使用SaaS的政策,那么您需要一個。為任何新應(yīng)用程序的上線方式制定和設(shè)定標準至關(guān)重要。請務(wù)必包括涵蓋風險評估、數(shù)據(jù)處理和潛在暴露影響的步驟,所有這些都應(yīng)該在任何新應(yīng)用程序連接到公司環(huán)境之前發(fā)生。該公司政策應(yīng)對所有內(nèi)部利益相關(guān)者透明。
4.建立協(xié)作審查流程
制定SaaS策略并不是一個設(shè)置好后就不用管的過程。隨著時間的推移,持續(xù)評估對于提高戰(zhàn)略有效性至關(guān)重要,因此計劃至少每年審查一次您的戰(zhàn)略。評估各種因素,例如發(fā)現(xiàn)影子應(yīng)用程序的能力、監(jiān)控添加到環(huán)境中的用戶、獲得利用率洞察力和優(yōu)化任何應(yīng)用程序的設(shè)置和配置,以及跟蹤支出趨勢和潛在重復。
不要讓SaaS成為您的網(wǎng)絡(luò)安全弱點
SaaS不會很快消失。由于每個應(yīng)用程序都沒有得到妥善管理,安全漏洞只會越來越大。但是,通過協(xié)作方法來設(shè)計和實施您的SaaS安全策略,可以專注于重要事項、降低風險并創(chuàng)建適合未來的組織。