信息化觀察網(wǎng)

本文來自微信公眾號“網(wǎng)絡(luò)研究院”。

SaaS正在推動數(shù)字化轉(zhuǎn)型之旅，云應(yīng)用程序服務(wù)主導(dǎo)著最終用戶的支出。到2023年底，Gartner預(yù)測SaaS支出將超過1950億美元。

盡管SaaS應(yīng)用程序創(chuàng)造了效率并提高了生產(chǎn)力，尤其是對于遠程團隊，SaaS的快速增長也帶來了一些嚴重的安全風險。

日益嚴重的SaaS安全問題

由于可供選擇的SaaS應(yīng)用程序如此之多，公司正在如此迅速地實施（并經(jīng)常丟棄）它們，以至于IT和安全團隊很難跟上步伐。

盡管大多數(shù)安全團隊都認識到當今應(yīng)用程序的無數(shù)配置設(shè)置所帶來的安全風險，但他們不一定會對此采取任何措施。

最近的一項研究發(fā)現(xiàn)，雖然66%的IT和安全專業(yè)人士表示SaaS應(yīng)用程序增加了他們的安全風險，但只有21%的人表示他們擔心安全違規(guī)。這讓許多公司面臨威脅。

員工在其安全或IT團隊不知情的情況下使用的應(yīng)用程序，尤其值得關(guān)注。這是正確的，因為80%的員工承認使用未經(jīng)批準的應(yīng)用程序。

因此，超過一半的組織處理過由第三方應(yīng)用程序或服務(wù)引起的數(shù)據(jù)泄露。

制定全面的SaaS安全策略

為了降低這種風險，越來越多的組織采用整體方法進行SaaS管理，一種在一個地方同時解決業(yè)務(wù)價值和風險管理的方法。

這種方法通過消除孤島并提供SaaS應(yīng)用程序環(huán)境的全局視圖，從而幫助解決IT、安全和風險團隊面臨的挑戰(zhàn)，從而實現(xiàn)對數(shù)據(jù)安全風險和支出優(yōu)化機會的可操作可見性。

雖然這在理論上聽起來不錯，但這種方法的一個主要障礙是如何讓內(nèi)部利益相關(guān)者參與進來。通常，內(nèi)部利益相關(guān)者并不完全理解SaaS蔓延背后的擔憂，以及它不僅對IT團隊而且對組織的整體安全和成功的影響。

盡管如此，還是有可能成功提出這些問題并獲得對SaaS安全流程的內(nèi)部支持，如果您采用正確的方法來建立支持。

推動SaaS協(xié)作的4個步驟

為SaaS安全構(gòu)建案例需要開放的溝通和協(xié)作。以下是使其工作的方法：

1.促進SaaS采用討論

如果不公開討論在何處以及為何使用單個應(yīng)用程序，就不可能完全清楚整個組織對SaaS的廣泛使用。詢問有關(guān)每個團隊的基本應(yīng)用、流行的瀏覽器擴展以及如何管理這些應(yīng)用的用戶和數(shù)據(jù)訪問的問題。是否有服務(wù)水平協(xié)議(SLA)來解決問題或錯誤配置？

2.大局觀

安全和IT團隊深刻理解過多的應(yīng)用程序可能給組織帶來的風險，但大多數(shù)利益相關(guān)者和員工并不了解。這意味著您有責任強調(diào)不受控制的SaaS蔓延的危險，以及如果管理不當，看似無害的影子應(yīng)用程序（可能是某人為了提高工作效率而無意下載的應(yīng)用程序）可能對整個組織產(chǎn)生的影響。

3.建立和執(zhí)行SaaS政策

如果您的組織沒有關(guān)于員工如何使用SaaS的政策，那么您需要一個。為任何新應(yīng)用程序的上線方式制定和設(shè)定標準至關(guān)重要。請務(wù)必包括涵蓋風險評估、數(shù)據(jù)處理和潛在暴露影響的步驟，所有這些都應(yīng)該在任何新應(yīng)用程序連接到公司環(huán)境之前發(fā)生。該公司政策應(yīng)對所有內(nèi)部利益相關(guān)者透明。

4.建立協(xié)作審查流程

制定SaaS策略并不是一個設(shè)置好后就不用管的過程。隨著時間的推移，持續(xù)評估對于提高戰(zhàn)略有效性至關(guān)重要，因此計劃至少每年審查一次您的戰(zhàn)略。評估各種因素，例如發(fā)現(xiàn)影子應(yīng)用程序的能力、監(jiān)控添加到環(huán)境中的用戶、獲得利用率洞察力和優(yōu)化任何應(yīng)用程序的設(shè)置和配置，以及跟蹤支出趨勢和潛在重復(fù)。

不要讓SaaS成為您的網(wǎng)絡(luò)安全弱點

SaaS不會很快消失。由于每個應(yīng)用程序都沒有得到妥善管理，安全漏洞只會越來越大。但是，通過協(xié)作方法來設(shè)計和實施您的SaaS安全策略，可以專注于重要事項、降低風險并創(chuàng)建適合未來的組織。