Какие роли безопасности должны иметь SaaS-провайдеры?

Для тех, кто работает в качестве сервисных компаний, легко забыть, что облачные сервисы по-прежнему не являются стандартными для большинства.

Согласно докладу BetterCloud, сегодня 43 процента организаций работают в основном на облачных сервисах. Однако к 2020 году BetterCloud ожидает, что эта цифра достигнет 73 процентов, а к 2022 году прогнозируется, что 86 процентов фирм будут по умолчанию пользователями облачных сервисов.

Увеличение облачного использования, очевидно, выгодно для поставщиков облачных услуг. Но по мере того, как услуги SaaS становятся все более популярными, так и возможности хакеров скомпрометировать их тоже растут. Нарушения данных в США стоили компании около 225 долларов США за скомпрометированную запись, а нарушения данных в области здравоохранения стоили колоссальные 380 долларов за каждую запись.

Хакеры знают, что преступление дорого стоит, когда дело доходит до облачных данных. К сожалению, они также знают, что многие поставщики SaaS и их клиенты полностью не готовы к атакам.

Обязательства компании SaaS по обеспечению безопасности

Поскольку они предлагают услугу программного обеспечения, SaaS-компании владеют большей ответственностью по безопасности, чем традиционные программные компании, или даже их партнеры по платформе как услуге и инфраструктуры как услуги.

В отличие от поставщиков PaaS или IaaS, компании SaaS должны управлять доступом ко всем уровням своих приложений. Когда провайдеры SaaS не выполняют эту ответственность, клиентские данные могут быть скомпрометированы.

Наихудшая часть таких нарушений заключается в том, что их обычно можно предотвратить. Например, простая ошибка конфигурации привела к нарушению Amazon Web Services в июне этого года. Были опубликованы данные о почти 200 миллионах избирателей США, включая имена, даты рождения, домашние адреса, номера телефонов и данные регистрации избирателей.

Нарушения данных не происходят в вакууме. Каждый из них вызывает большее недоверие к отрасли, в которой доверие уже трудно найти. Сегодня только 13% ИТ-директоров считают, что они доверяют облачным службам.

Для поставщиков SaaS обеспечение безопасности данных клиентов — это не просто умный бизнес — это ключ к успеху всей отрасли. Чтобы предотвратить нарушения и заслужить доверие клиентов, поставщикам SaaS необходима команда безопасности данных.

Найм для SaaS-безопасности

Каждый поставщик SaaS, от Microsoft до магазинов приложений в нише, должен создать команду безопасности, которая либо отчитывается перед главным офицером по информационной безопасности, либо эмулирует эту структуру, распространяя обязанности.

Несмотря на это, для SaaS-компаний абсолютно необходимы следующие четыре роли:

Профессионал SecDevOps

В компаниях, использующих традиционные локальные инфраструктуры, приложения защищены «щитами», включая сетевой уровень и различные приложения безопасности. Раньше этого было достаточно. Но в сегодняшнем многопользовательском мире SaaS, толпы хакеров и ботов выискивают слабые стороны в провайдерах SaaS — и, соответственно, их клиентах.

Чтобы оставаться на шаг впереди, компании SaaS обычно обращаются к подходу DevOps, а разработчики пишут код и анализируют его и интегрируют в базу кода. Но эти команды, как правило, не имеют критического элемента: аренда DevOps сосредоточена на безопасности.

Специалисты SecDevOps называются по-разному, возможно, чаще всего инженерами информационной безопасности. Вкратце, роль этого человека заключается в том, чтобы разгадать небезопасные, ленивые привычки развития.

Специалисты SecDevOps, точно так же, как тестер обеспечения качества для новой функции продукта, оценивают методы кодирования для распознавания уязвимостей и их устранения. Их инструменты включают моделирование рисков, оценки угроз и тестирование на проникновение в процессе разработки и развертывания.

Чтобы найти правильную посадку, дайте кандидатам тест на прием домой, который включает идентификацию и объяснение небезопасного кода. Разработка этого теста может занять некоторое время, но если кандидаты решат реальную проблему с кодом, компания может уравновесить эти затраты времени. Чтобы быстро выявить талант, найдите людей, знакомых с методологией Microsoft Development Lifecycle или с лучшими 10 уязвимостями защиты данных Open Web Application Security Project.

Менеджер личных данных

SaaS-организации нуждаются в более надежной безопасности, чем организации, предлагающие модели размещения на месте или без SaaS. С этой целью они должны охотно управлять тем, как, когда и кто к ним обращался.

Не предполагайте, что приложение безопасно просто потому, что оно размещено в AWS. Ваш Corvette может припарковаться в гараже, полном дорогостоящих инструментов, но без обученного механика, поддерживающего его, автомобиль не продержится долго в любой обстановке.

В мире SaaS этот механик является менеджером по идентификации, и его или ее задачей является управление учетными данными доступа и архитектором программы обеспечения безопасности на основе ролей. Легко передать разрешения любому члену команды, который просит их, но без контроля эксперта по управлению идентификацией эти разрешения могут быстро стать обязательствами по обеспечению безопасности. И чем дольше организация идет без надлежащего управления ролью, тем сложнее будет реализовать эти правила.

Управленец и менеджер по рискам

Задача этой роли двоякая: создать процесс для передачи требований безопасности компании к соответствующим сторонам, включая клиентов, сотрудников и регулирующих органов, а также для обеспечения и развития этих механизмов, пересмотра их по мере изменения деловых или нормативных потребностей.

Без документированного процесса управления компании SaaS не спешат реагировать на новые угрозы и неэффективны в применении существующих политик. И наоборот, громоздкая, устаревшая политика управления может снизить производительность бизнеса или заставить сотрудников игнорировать важные шаги безопасности.

Таким образом, руководство и менеджер по управлению рисками работают над достижением правильного баланса безопасности и гибкости. Понимая риск участия заинтересованных сторон компании и типы данных, нуждающихся в защите, он может устанавливать приоритеты в программах безопасности, не замедляя работу бизнеса.

Нет ни одного фона, который бы стал отличным менеджером и менеджером рисков. Начать поиск опытных людей на отраслевых форумах, таких как ISACA; ISC2; и другими сообществами по вопросам управления, риска и соблюдения.

Менеджер по безопасности

Как и наемники SecDevOps, персонал службы безопасности может проходить по многим разделам. Независимо от того, их роль заключается в обнаружении и предотвращении угроз и, если происходит нарушение, управляет ответом.

На практике это требует, чтобы команда по операциям по безопасности разрабатывала план из пяти частей для выявления, защиты, обнаружения, реагирования и устранения угроз кибербезопасности. Поставщик SaaS без каких-либо из этих возможностей подставляет не только свой бизнес, но и бизнес своих клиентов к дорогостоящим нарушениям.

Специалистов по информационной безопасности всех полос, включая персонал служб безопасности, не хватает. Выбирая между кандидатами, ищите сертифицированных специалистов по безопасности информационных систем, но не дисконтируйте других с опытом работы в траншеях и голода, чтобы учиться.

Поскольку SaaS становится стандартной операционной моделью для крупных и малых компаний, угрозы данных будут только углубляться. Не ждите, когда нарушится поиск талантов, инвестируйте в команду безопасности и укрепите свою деятельность SaaS на долгие годы.

Поделиться в социальных сетях:

Добавить комментарий