信息化觀察網(wǎng)

軟件即服務(wù)提供商通常會處理你的敏感數(shù)據(jù)。以下是如何讓他們在安全方面達(dá)到高標(biāo)準(zhǔn)的方法。

由于COVID-19的大流行導(dǎo)致了大規(guī)模的向遠(yuǎn)程工作的轉(zhuǎn)移，對SaaS產(chǎn)品的采用在今年也加快了。這一趨勢增加了企業(yè)所面臨的網(wǎng)絡(luò)威脅，并使組織在協(xié)商SaaS合同時需要考慮的安全和風(fēng)險因素也得到了更大的關(guān)注。

Gartner預(yù)計，整體的公共云服務(wù)市場今年將增長6.3%，從去年的2，427億美元增長至2，579億美元。SaaS領(lǐng)域本身也預(yù)計將達(dá)到1046億美元，高于去年的1020億美元，至少部分原因是在于大流行期間對新協(xié)作工具的需求增加。

隨著SaaS服務(wù)采用的增加，人們對潛在安全問題的擔(dān)憂也隨之增加了。在最近AppOmni對200名IT專業(yè)人士的調(diào)查中，66%的受訪者表示，盡管他們認(rèn)為企業(yè)SaaS環(huán)境使他們面臨了業(yè)務(wù)中斷的最大風(fēng)險，但他們也沒有太多時間來保護(hù)他們的SaaS應(yīng)用程序。

“從安全角度來看，大多數(shù)都是圍繞數(shù)據(jù)保護(hù)以及當(dāng)發(fā)生可用性或數(shù)據(jù)遭到破壞的事件時會發(fā)生什么的討論，”451集團(tuán)的分析師Daniel Kennedy說。

Kennedy和其他人認(rèn)為，在協(xié)商SaaS合同時，要記住以下5個關(guān)鍵考慮因素，以確保風(fēng)險和安全因素能夠得到充分解決。

1.創(chuàng)建與你的組織相關(guān)的風(fēng)險列表

在協(xié)商SaaS協(xié)議中的安全條款時，沒有一種放之四海而皆準(zhǔn)的方法。你需要(和能夠)做的很多事情都取決于當(dāng)下的環(huán)境。組織的規(guī)模和SaaS提供商的規(guī)模是至關(guān)重要的。一般來說，你的規(guī)模越大，計劃的服務(wù)采購規(guī)模越大，你的杠桿作用就越好。

在與SaaS供應(yīng)商協(xié)商之前--甚至是在RFP階段--就可以考慮系統(tǒng)的預(yù)期用途。例如，如果你計劃使用SaaS系統(tǒng)來管理你組織的客戶關(guān)系，那么你需要關(guān)注SaaS供應(yīng)商將如何保護(hù)客戶數(shù)據(jù)，以及他們?nèi)绾未_保系統(tǒng)的穩(wěn)定性和可靠性，Gartner的高級研究總監(jiān)Luke Ellery說。另一方面，如果你計劃使用的SaaS系統(tǒng)更側(cè)重于內(nèi)部，比如學(xué)習(xí)型管理系統(tǒng)，那么數(shù)據(jù)就不那么敏感，服務(wù)也不太可能是業(yè)務(wù)關(guān)鍵型的，他說。

“最好的做法是有一個主要的風(fēng)險清單，如安全、隱私、地理、監(jiān)管、業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)，”Ellery說。“然后采取分門別類的方法，讓供應(yīng)商去解決適用于他們服務(wù)的風(fēng)險。”

2.與利益相關(guān)者溝通什么是不可協(xié)商的

在許多組織中，只有在談判過程結(jié)束時，幾乎沒有空間或時間來引入實質(zhì)性的變化時，安全小組才會被召集進(jìn)來。因此，重要的是確保采購團(tuán)隊在談判開始時了解并至少能夠涵蓋圍繞數(shù)據(jù)保護(hù)的根本性的、不可協(xié)商的安全問題。

CISO也應(yīng)該與IT和業(yè)務(wù)領(lǐng)導(dǎo)協(xié)作，考慮組織的風(fēng)險承受能力。在確定SaaS協(xié)議中哪些內(nèi)容不可協(xié)商時，他們還需要考慮所有的監(jiān)管和行業(yè)需求，Ellery說。“這些都可以作為供應(yīng)商的資格預(yù)審標(biāo)準(zhǔn)。”

例如，一個良好的資格預(yù)審標(biāo)準(zhǔn)可以是所有數(shù)據(jù)在傳輸和靜止時都應(yīng)該被加密，或者所有數(shù)據(jù)都需要被存儲在特定的國家或地理區(qū)域之內(nèi)。把這些標(biāo)準(zhǔn)提前包括進(jìn)去可以讓供應(yīng)商清楚地了解你的期望，Ellery說。

德勤網(wǎng)絡(luò)與風(fēng)險業(yè)務(wù)負(fù)責(zé)人Vikram Kunchala補充稱，一般來說，與數(shù)據(jù)的可用性、彈性和保密性有關(guān)的任何事情都是不容商量的。這在很大程度上取決于你打算使用SaaS供應(yīng)商來做什么，他說。風(fēng)險的增加取決于所涉及數(shù)據(jù)的重要性。因此，目標(biāo)應(yīng)該是確保供應(yīng)商有足夠的能力來保護(hù)你的數(shù)據(jù)。

像SOC 2 Type II、ISO 27001、ISO 22301和CSA CCM這樣的認(rèn)證是公認(rèn)的SaaS供應(yīng)商可以遵守的安全最佳實踐的相對可靠的指標(biāo)。在選擇供應(yīng)商時，請驗證你的供應(yīng)商是否符合這些標(biāo)準(zhǔn)。

“SaaS是一個非常廣泛的領(lǐng)域。我可以有客戶關(guān)系管理的SaaS，人力資本類工作的SaaS，或者安全方面的SaaS，”Kunchala說。“如果你的供應(yīng)商沒有正確的控制措施，你的整個組織都可能會暴露出來”

3.協(xié)商額外的保護(hù)

通過額外的安全保護(hù)來協(xié)商你所能做出的讓步。請記住，有些問題可能是不容易協(xié)商，甚至是無法協(xié)商的。

SaaS是一項基于標(biāo)準(zhǔn)產(chǎn)品所提供的規(guī)?；瘶I(yè)務(wù)，Ellery說。因此，有些更改(如系統(tǒng)可用性或數(shù)據(jù)存儲位置)可能是不可協(xié)商的。“每個供應(yīng)商都是不同的，重大的讓步通常取決于SaaS供應(yīng)商可以做出讓步的能力，以及你的影響力--或者說你所希望的讓步是否與監(jiān)管要求相關(guān)，”他說。涉及違約和數(shù)據(jù)泄露的責(zé)任條款往往是最難談判的條款。因此，可以考慮其他選項，如供應(yīng)商的網(wǎng)絡(luò)保險條款。

Kunchala建議，如果你的SaaS供應(yīng)商被收購，請確保包含了能夠保護(hù)你的條款。請解決如下問題:如果另一個SaaS供應(yīng)商收購了你的供應(yīng)商，你正在進(jìn)行的合同會發(fā)生什么情況，或者你該如何續(xù)簽合同。新的供應(yīng)商會尊重你現(xiàn)有的價格協(xié)議，還是會有完全不同的價格?

你還需要了解供應(yīng)商可能列出了哪些潛在的不可預(yù)見的情況，這些情況可能會阻止他們提供產(chǎn)品或服務(wù)。確保供應(yīng)商列出的不可抗力的情況是合理的。如果網(wǎng)絡(luò)安全事件被列在了你認(rèn)為不屬于這些事件的清單上，你就要抵制這些事件，Kennedy說。

4.堅持提前發(fā)出違約通知

歐盟的一般數(shù)據(jù)保護(hù)條例(GDPR)和支付卡行業(yè)(PCI)標(biāo)準(zhǔn)等法規(guī)要求組織機構(gòu)必須通過合同來確保第三方采取合理措施來保護(hù)敏感數(shù)據(jù)。在SaaS提供商發(fā)生了影響覆蓋數(shù)據(jù)的安全事件時，這些規(guī)定可以對違規(guī)通知有特定的要求和時間限制。

在與SaaS供應(yīng)商談判時，一定要包括及時發(fā)出違約通知的條款，451集團(tuán)的Kennedy說。這樣的條款在談判中可能會引起爭議，因為SaaS提供商不會希望被限制在一個特定的時間軸上。通常，他們最大的反對意見與這樣一個事實有關(guān)，即不知道何時會發(fā)現(xiàn)漏洞。

“盡管如此，如果客戶的數(shù)據(jù)受到了安全數(shù)據(jù)泄露的影響，你就必須堅持能夠立即接到通知，”Kennedy說。“SaaS提供商不能坐在那里決定給你提供信息的最佳方式，或者在這種情況下按照他們自己的時間表工作，因為他們本質(zhì)上是你的第三方供應(yīng)商。”

5.特別注意合同終止條件

在訂立SaaS契約時，你需要考慮的最重要的事情之一是明確說明在契約結(jié)束時會發(fā)生什么。雖然成熟的SaaS供應(yīng)商可能會有一個正式的返回和刪除數(shù)據(jù)的過程，但就這個過程的具體內(nèi)容達(dá)成明確的協(xié)議是很重要的。

你需要考慮的問題包括你的組織在協(xié)議結(jié)束時取回其數(shù)據(jù)的能力，以及供應(yīng)商刪除數(shù)據(jù)的流程和確保沒有第三方能夠訪問數(shù)據(jù)。“SaaS協(xié)議的首要任務(wù)是確保你有權(quán)取回自己的數(shù)據(jù)，而不管是否終止了協(xié)議，”Ellery表示。許多CISO會定期測試從SaaS供應(yīng)商獲取的數(shù)據(jù)，或者提供將關(guān)鍵數(shù)據(jù)備份到本地或云存儲的服務(wù)，以確保他們有這種能力，他說。

如果你的組織對關(guān)鍵操作使用了SaaS服務(wù)，就請考慮申請過渡協(xié)助。過渡協(xié)助條款會在合同結(jié)束后的一段時間內(nèi)延長合同期限，這樣你就有時間以一種安全的方式過渡到另一家供應(yīng)商了，Ellery說。“許多金融服務(wù)機構(gòu)會為其關(guān)鍵系統(tǒng)尋求至少18個月的過渡援助，”他說。終止和過渡條款通常是可協(xié)商的，因為供應(yīng)商的服務(wù)仍在獲得報酬。

德勤的Kunchala建議，對于數(shù)據(jù)刪除和數(shù)據(jù)傳輸?shù)乃髻r，企業(yè)也應(yīng)該從供應(yīng)商那里得到一定程度的保證。SaaS提供商的基礎(chǔ)設(shè)施上可能存在著組織數(shù)據(jù)的多個副本，或者數(shù)據(jù)的一部分或部分，他們有責(zé)任刪除這些副本，他說。

“他們需要提供一定程度的保證，因為這樣你可能擁有的任何責(zé)任條款都將能夠生效，”他說。在某種程度上，你也不得不選擇相信你的供應(yīng)商，并希望你的數(shù)據(jù)不會在將來出現(xiàn)漏洞，他說。