Khi các ứng dụng SaaS bắt đầu phổ biến, không rõ ai chịu trách nhiệm bảo mật dữ liệu. Ngày nay, hầu hết các nhóm bảo mật và CNTT đều hiểu mô hình chia sẻ trách nhiệm, trong đó nhà cung cấp SaaS chịu trách nhiệm bảo mật ứng dụng, trong khi tổ chức chịu trách nhiệm bảo mật dữ liệu của họ.
Tuy nhiên, điều bí ẩn hơn nhiều là trách nhiệm dữ liệu thuộc về phía tổ chức. Đối với các tổ chức lớn, đây là một câu hỏi đặc biệt khó khăn. Họ lưu trữ hàng terabyte dữ liệu khách hàng, dữ liệu nhân viên, dữ liệu tài chính, dữ liệu chiến lược và các bản ghi dữ liệu nhạy cảm khác trực tuyến.
Vi phạm dữ liệu SaaS và các cuộc tấn công bằng phần mềm tống tiền SaaS có thể dẫn đến mất hoặc lộ dữ liệu đó ra công chúng. Tùy thuộc vào ngành, một số doanh nghiệp có thể phải đối mặt với các hình phạt nghiêm khắc theo quy định đối với các vi phạm dữ liệu ngoài PR tiêu cực và sự mất niềm tin mà những vi phạm này mang lại cho họ.
Tìm mô hình bảo mật phù hợp là bước đầu tiên trước khi triển khai bất kỳ loại SSPM hoặc giải pháp bảo mật SaaS nào khác.
Tìm hiểu cách giải pháp SSPM của Adaptive Shield có thể giúp bảo mật ngăn xếp SaaS của bạn.
Làm quen với người chơi
Có một số nhóm người chơi khác nhau tham gia vào hệ sinh thái bảo mật SaaS.
Chủ sở hữu ứng dụng SaaS – Khi các đơn vị kinh doanh đăng ký phần mềm SaaS, một người nào đó trong đơn vị kinh doanh thường chịu trách nhiệm thiết lập và triển khai ứng dụng. Mặc dù họ có thể nhận được một số trợ giúp từ bộ phận CNTT nhưng họ phải chịu trách nhiệm về ứng dụng này.
Họ chọn cài đặt và cấu hình phù hợp với nhu cầu kinh doanh của mình, thêm người dùng và bắt đầu làm việc. Chủ sở hữu ứng dụng SaaS nhận ra nhu cầu bảo mật dữ liệu, nhưng đó không phải là trách nhiệm của họ hoặc điều gì đó mà họ biết rất nhiều. Một số người lầm tưởng rằng bảo mật dữ liệu chỉ là trách nhiệm của nhà cung cấp SaaS.
trung tâm CNTT – Trong hầu hết các tổ chức lớn, CNTT trung tâm chịu trách nhiệm về những thứ như cơ sở hạ tầng, phần cứng và mật khẩu. Họ quản lý IDP và máy chủ, cũng như giám sát các hoạt động của bộ phận trợ giúp. Các ứng dụng SaaS thường không thuộc miền trực tiếp của chúng.
CNTT trung tâm quen thuộc hơn với các yêu cầu bảo mật so với nhân viên bình thường, nhưng đó không phải là mối quan tâm chính của họ. Tuy nhiên, điều quan trọng cần lưu ý là họ không phải là chuyên gia bảo mật.
đội an ninh – Nhóm bảo mật là sự phù hợp tự nhiên để thực hiện kiểm soát và giám sát bảo mật. Họ được giao nhiệm vụ tạo và triển khai chính sách an ninh mạng áp dụng trong toàn tổ chức.
Tuy nhiên, họ có một số thách thức hạn chế khả năng bảo mật các ứng dụng của họ. Đối với những người mới bắt đầu, họ thường không biết về các ứng dụng SaaS đang được công ty sử dụng. Ngay cả đối với các ứng dụng mà họ biết, họ cũng thiếu quyền truy cập vào bảng cấu hình trong ngăn xếp SaaS và không phải lúc nào cũng nhận thức được các khía cạnh bảo mật duy nhất được liên kết với từng ứng dụng. Chúng được kiểm soát và duy trì bởi Chủ sở hữu ứng dụng SaaS và CNTT trung tâm.
Nhóm GRC – Các nhóm tuân thủ và quản trị được giao nhiệm vụ đảm bảo rằng tất cả CNTT đều đáp ứng các tiêu chuẩn bảo mật cụ thể. Mặc dù họ không đóng vai trò cụ thể trong việc đảm bảo tài sản của công ty, nhưng họ có quyền giám sát và cần xác định xem công ty có tuân thủ các trách nhiệm tuân thủ của mình hay không.
Nhà cung cấp SaaS – Mặc dù nhà cung cấp SaaS được miễn trừ mọi trách nhiệm bảo mật dữ liệu, nhưng họ là nhóm xây dựng bộ máy bảo mật cho ứng dụng SaaS và có kiến thức sâu về ứng dụng của họ cũng như khả năng bảo mật của ứng dụng đó.
Xác định vai trò và trách nhiệm
Bảo mật toàn bộ ngăn xếp SaaS yêu cầu sự hợp tác chặt chẽ giữa các chuyên gia bảo mật và những người quản lý và chạy các ứng dụng SaaS riêng lẻ của họ. Chúng tôi đã phát triển biểu đồ RACI này để chia sẻ quan điểm của mình về các bộ phận chịu trách nhiệm, chịu trách nhiệm giải trình, tư vấn và thông báo về các nhiệm vụ khác nhau liên quan đến việc bảo mật dữ liệu SaaS.
Xin lưu ý rằng bảng này không phải là một kích thước phù hợp với tất cả, mà là một khuôn khổ dựa trên cách chúng tôi thấy nhiều công ty xử lý các vai trò bảo mật SaaS của họ. Nó nên được điều chỉnh cho phù hợp với nhu cầu của tổ chức của bạn.
Tìm hiểu thêm về vai trò và trách nhiệm của người dùng SaaS. Lên lịch demo ngay hôm nay.
Xây dựng cơ sở hạ tầng phù hợp
Việc phát triển ma trận RACI là rất quan trọng, nhưng nếu không có các công cụ phù hợp, việc thực hiện các trách nhiệm bảo mật sẽ trở thành một nhiệm vụ gần như bất khả thi.
Các tổ chức cần một nền tảng Bảo mật SaaS tạo điều kiện giao tiếp rõ ràng giữa nhóm bảo mật và chủ sở hữu ứng dụng. Giao tiếp này phải bao gồm các cảnh báo khi xảy ra cấu hình sai làm suy yếu tình trạng bảo mật của ứng dụng riêng lẻ và khi các mối đe dọa được phát hiện bởi các công cụ quản trị IAM của ứng dụng đó.
Giao tiếp phải là kênh bất khả tri, vì vậy người dùng có thể nhận tin nhắn và cảnh báo qua email, Slack, Splunk hoặc nền tảng nhắn tin được chọn. Tất cả các thông báo liên quan đến bảo mật cũng phải bao gồm các bước khắc phục, cung cấp cho chủ sở hữu ứng dụng và bộ phận CNTT trung tâm hiểu rõ về các bước cần thiết để giảm thiểu rủi ro.
Trong nền tảng, mỗi chủ sở hữu phải có khả năng hiển thị và quyền truy cập vào ứng dụng hoặc các ứng dụng do họ kiểm soát. Họ sẽ có thể xem trạng thái cài đặt bảo mật, điểm bảo mật, người dùng của họ, ứng dụng SaaS của bên thứ ba được kết nối với ứng dụng của họ và các thiết bị đang được sử dụng để truy cập ứng dụng SaaS của họ.
Chủ sở hữu ứng dụng và bộ phận CNTT trung tâm cũng phải có khả năng loại bỏ cảnh báo bảo mật do cảnh báo đó không áp dụng hoặc do nhu cầu kinh doanh cũng như tham khảo ý kiến của nhóm bảo mật về rủi ro.
Bảo mật dữ liệu SaaS cần nỗ lực của nhiều nhóm
Thật dễ dàng để bảo mật ứng dụng SaaS bị bỏ qua. Nó nằm ngoài tầm nhìn của nhóm bảo mật và được quản lý bởi các chuyên gia có năng lực, những người có trách nhiệm không bao gồm bảo mật.
Tuy nhiên, dữ liệu chứa trong các ứng dụng SaaS thường là huyết mạch của một tổ chức và việc không bảo mật dữ liệu có thể gây ra hậu quả tai hại.
Việc bảo vệ hoàn toàn dữ liệu khỏi bị lộ đòi hỏi nỗ lực và cam kết của nhiều nhóm từ tất cả các bên liên quan, cũng như nền tảng SSPM tinh vi được xây dựng cho SaaS trong thế giới thực.
Tìm hiểu cách SSPM có thể giúp bảo mật dữ liệu của bạn. Đặt một bản demo.
