对于越来越多的企业来说,SaaS已经成为访问重要业务应用的主要手段。从业务角度来看,这种策略是有道理的,因为它具有一些潜在的好处:节省成本、提高敏捷性和更容易扩展等。但是,任何基于云的产品都会存在安全风险。组织如何确定其SaaS提供商的安全规定是否符合自己的标准?“挑战在于了解SaaS提供商正在做什么来保护其基础架构、变更管理程序和事件响应流程。”Gartner副总裁兼分析师PatrickHevesi表示。根据2019年Gartner报告,并非所有SaaS提供商都对其安全性透明。报告称,企业需要了解将重要用户数据放在云端的风险以及他们必须对云服务提供商的信任。SaaS提供商也容易受到困扰其他组织的许多相同的恶意软件和黑客攻击。这些威胁会影响使用这些服务的公司。您可以将您的SaaS提供商评估过程集中在以下方面,以最大限度地降低可能的风险。1.检查您的SaaS补丁策略高管们关心的一个问题是安全补丁。Asurion的高级安全经理BerniePinto表示:“通常情况下,SaaS提供商在修补方面往往落后,特别是如果他们是多租户的,而您的组织恰好是众多细分服务客户之一。”Asurion是一家为智能手机、平板电脑和其他产品提供保险的公司。2.检查SaaS和内部安全控制的一致性根据通信设备公司西门子美国首席网络安全官KurtJohn的说法,公司在评估SaaS供应商时需要了解的主要概念是安全控制责任的转移。使用SaaS产品需要安全团队关注其组织的安全环境与SaaS提供商的安全环境之间的接口。“你会想要牢牢掌握供应商的安全功能将如何与你的公司信息安全策略保持一致,”他说。“任何差距都应该在这个过程的早期解决。”John认为三个非常重要的关键领域:身份和访问管理(IAM):可能存在无法将现有企业IAM平台与SaaS提供商的产品集成的问题;冲突的身份验证策略,从可用性的角度来看可能会导致混乱和技术问题;SaaS提供商缺乏对单点登录(SSO)的支持。加密和密钥管理:SaaS提供商将坚持对加密进行控制,允许随时访问客户信息,并将数据存储在公司安全之外,从而增加对适当加密管理的依赖。安全监控:这里的问题包括无法从SaaS环境中访问安全事件日志数据,这限制了潜在安全风险的透明度。“要克服的挑战之一是确保日志不被操纵,”约翰说。“最好的选择是与SaaS提供商建立足够的数字连接,以将日志数据实时传输到现有的安全运营中心,”约翰说。“这改善了整体视角,并允许您将本地安全操作扩展到云端。”3.确保你的数据是自己拥有的公司还应该密切关注隐私政策或服务承诺条款,供应商需要承诺不共享个人信息。IT咨询公司AscentSolutions的网络安全策略师Kayne说:“虽然这听起来很有希望,但这也是一个明显的疏忽。”McGladrey说,如果提供商“没有声明不会出售您的业务数据,或出售有关您的组织为‘市场研究’或类似目的使用该服务的假名汇总数据,这是一个危险信号。”如果没有说明,请确认提供商不会转售您的数据。4.确保SaaS提供商遵守相关法规McGladrey说,另一个问题是隐私政策是否不包含遵守特定法规的声明,例如《一般数据保护条例》(GDPR)或《加州消费者隐私法》(CCPA)。“这些都是公认的,但遗漏可能表明SaaS提供商没有跟上法律和监管趋势,”他说。“SaaS提供商应该掌握数据主权和可选本地化,”McGladrey补充道。“虽然这对于选择SaaS解决方案的跨国组织尤为重要,但那些仅限于单一地理区域的组织也可能希望避免美国人的个人信息被故意处理并存储在外国数据中心的尴尬情况。5.知道数据存储在哪里从安全、合规和隐私的角度来看,一切都归结为数据,营销技术提供商Epsilon的首席信息官RobertWalden说。“重要的是要了解通过SaaS解决方案存储或传输的数据类型、谁有权访问数据、谁拥有数据、如何保护数据以及在发生安全漏洞时由谁负责,”Walden说。“许多公司甚至不知道敏感数据被无意中存储在SaaS解决方案中,或者谁有权访问它,”Walden说。“此外,公司通常不明白,如果在建立SaaS解决方案期间强制执行标准的点击协议,供应商通常会取得数据的所有权。”6.从数据保护的角度检查数据丢失或损坏条款从长远来看,许多公司没有意识到虽然SaaS协议可能有灾难恢复条款,但这些条款不包括数据丢失或损坏,Walden说。7.在SaaS采购过程中引入安全性Pinto说,在采购过程中,安全和风险团队的成员应该始终与采购团队保持联系。“采购团队应该与安全团队保持同步,让他们能够量化流程中的风险。大多数采购团队仍然没有意识到身份和访问管理是一个专业领域。”信息安全团队应该出席所有关键的讨论,以确保涉及数据安全的非技术主题可以得到解决,约翰说。“在我们公司,未解决的网络安全问题可能将供应商排除在外。”8.确定SaaS提供商使用的子服务。讨论的主题还需要包括SaaS提供商可能使用的子服务的组织。“在签署任何合同之前解决这个问题至关重要,”约翰说。“这可能会对组织的任何数据存储位置要求产生影响。”在评估SaaS安全报告时,“一定要验证报告范围包括作为合同一部分的位置和子服务,”John说。这需要交叉检查合同和适用的安全报告,以确保审计结果的覆盖范围和可靠性。讨论还应涵盖SaaS提供商提供的确保合规性的方法。“在解决这个问题时,重要的是要了解供应商的哪些功能支持合规性和任何相关活动,例如电子发现、数据隐私和事件响应报告,”约翰说。9.在免费SaaS试用期间进行彻底测试IT和安全人员应在免费SaaS试用期间测试功能,包括最大容量和峰值使用。“多个管理员和超级用户应该同时使用该工具并在同一窗口中评估性能,”Pinto说。此外,测试并发性和多进程活动。“用户应该意识到程序在忙于计算、移动信息和创建报告时的响应速度,”Pinto说。作为内部测试的一部分,“还需要评估将关键安全流程与SaaS提供商的解决方案集成的能力,”约翰说。“这将有助于确定实施后确保解决方案安全性可能需要的工作量和成本预测。”10.审查SaaS供应商的第三方审计约翰说,要求和审查供应商最近的第三方审计报告很重要,包括任何渗透测试结果,以确认安全控制的适用性和有效性。“要求国家或国际认证的证据也有助于确定组织企业级控制的成熟度。”
