本文来自微信公众号“网络研究院”。
SaaS正在推动数字化转型之旅,云应用程序服务主导着最终用户的支出。到2023年底,Gartner预测SaaS支出将超过1950亿美元。
尽管SaaS应用程序创造了效率并提高了生产力,尤其是对于远程团队,SaaS的快速增长也带来了一些严重的安全风险。
日益严重的SaaS安全问题
由于可供选择的SaaS应用程序如此之多,公司正在如此迅速地实施(并经常丢弃)它们,以至于IT和安全团队很难跟上步伐。
尽管大多数安全团队都认识到当今应用程序的无数配置设置所带来的安全风险,但他们不一定会对此采取任何措施。
最近的一项研究发现,虽然66%的IT和安全专业人士表示SaaS应用程序增加了他们的安全风险,但只有21%的人表示他们担心安全违规。这让许多公司面临威胁。
员工在其安全或IT团队不知情的情况下使用的应用程序,尤其值得关注。这是正确的,因为80%的员工承认使用未经批准的应用程序。
因此,超过一半的组织处理过由第三方应用程序或服务引起的数据泄露。
制定全面的SaaS安全策略
为了降低这种风险,越来越多的组织采用整体方法进行SaaS管理,一种在一个地方同时解决业务价值和风险管理的方法。
这种方法通过消除孤岛并提供SaaS应用程序环境的全局视图,从而帮助解决IT、安全和风险团队面临的挑战,从而实现对数据安全风险和支出优化机会的可操作可见性。
虽然这在理论上听起来不错,但这种方法的一个主要障碍是如何让内部利益相关者参与进来。通常,内部利益相关者并不完全理解SaaS蔓延背后的担忧,以及它不仅对IT团队而且对组织的整体安全和成功的影响。
尽管如此,还是有可能成功提出这些问题并获得对SaaS安全流程的内部支持,如果您采用正确的方法来建立支持。
推动SaaS协作的4个步骤
为SaaS安全构建案例需要开放的沟通和协作。以下是使其工作的方法:
1.促进SaaS采用讨论
如果不公开讨论在何处以及为何使用单个应用程序,就不可能完全清楚整个组织对SaaS的广泛使用。询问有关每个团队的基本应用、流行的浏览器扩展以及如何管理这些应用的用户和数据访问的问题。是否有服务水平协议(SLA)来解决问题或错误配置?
2.大局观
安全和IT团队深刻理解过多的应用程序可能给组织带来的风险,但大多数利益相关者和员工并不了解。这意味着您有责任强调不受控制的SaaS蔓延的危险,以及如果管理不当,看似无害的影子应用程序(可能是某人为了提高工作效率而无意下载的应用程序)可能对整个组织产生的影响。
3.建立和执行SaaS政策
如果您的组织没有关于员工如何使用SaaS的政策,那么您需要一个。为任何新应用程序的上线方式制定和设定标准至关重要。请务必包括涵盖风险评估、数据处理和潜在暴露影响的步骤,所有这些都应该在任何新应用程序连接到公司环境之前发生。该公司政策应对所有内部利益相关者透明。
4.建立协作审查流程
制定SaaS策略并不是一个设置好后就不用管的过程。随着时间的推移,持续评估对于提高战略有效性至关重要,因此计划至少每年审查一次您的战略。评估各种因素,例如发现影子应用程序的能力、监控添加到环境中的用户、获得利用率洞察力和优化任何应用程序的设置和配置,以及跟踪支出趋势和潜在重复。
不要让SaaS成为您的网络安全弱点
SaaS不会很快消失。由于每个应用程序都没有得到妥善管理,安全漏洞只会越来越大。但是,通过协作方法来设计和实施您的SaaS安全策略,可以专注于重要事项、降低风险并创建适合未来的组织。
