SaaS и безопасность для бизнеса

Как реально оценить безопасность и угрозы, связанные с использованием облачных услуг Об этом нам рассказали аналитики с Gartnera в отчете «Everything you know about SaaS security is wrong».

Большинство компаний довольно плохо подходит к безопасности SaaS, однако, вина частично лежит на стороне внутренних IT-отделов. Основные причиной также является информационный шум вокруг облачных вычислений, а также отсутствие достоверной информации об ошибках допущеных разработчиками таких решений. Такие выводы делает Gartnera в своем отчете с интересным названием «Everything you know about SaaS security is wrong».

По мнению авторов отчета, пользователи решающиеся на использование SaaS-приложений не сильно обращают внимание на аспекты, касающиеся безопасности этих услуг. Исследования показывают, что клиенты, принимая решение о покупке, фокусируются на вероятности возникновения риска, а не пытаются взглянуть на ошибки в работе SaaS, вследствие которых потенциальные последствия будут более серьезными. Из анализа проведенного Gartnera следует, что потенциальные клиенты более обеспокоены механизмами безопасности облачного провайдера, чем о потере данных или компетенции ИТ-администраторов, работающих через оператора. Такое распределение акцентов, не отвечает реальным угрозам, связанным с SaaS.

Конечно, невозможно доказать, что взлома облачных ссистем, о которых не сообщалось, на самом деле не было. Однако с большой долей уверенности можно сказать, что поставщики SaaS проигрывают очень мало сражений в свере безопасности. Вместо этого появляется много сообщений, что причины проблем с безопасностью SaaS часто лежат на стороне пользователей. Отчеты часто информируют об взломанных паролях, используемых для получения несанкционированного доступа к аккаунту SaaS. Причиной этих событий не были уязвимости в облачных службах, а неправильное поведение пользователей. Только в небольшом количестве случаев бывало так, что операторы SaaS потеряли данные в результате технических ошибок. Некоторые операторы боролись с проблемами по бизнесу, которые возникали, как правило, без какого-либо предварительного уведомления, что заставляло клиентов к внезапному поиску альтернативных решений.

Корректировка курса

Компании, заинтересованные облачными сервисами должны хорошо понимать, каковы действительные зоны повышенного риска, связанного с безопасностью SaaS, имеющие наибольшее влияние на функционирование бизнеса. Они не должны попасться в общий информационный шум и мифы, указывающие на неправильные, гипотетические угрозы.

Есть три серьезные ошибки в подходе компаний к безопасности SaaS. Во-первых, конфиденциальные или ценные данные могут попасть в другие руки. Многие пользователи в компаниях использует облачных услуг без уведомления ИТ-отдела. Это значительно повышает риск утечки или потери данных. В некоторых отраслях это также может быть нарушение действующего законодательства, даже если никто не получил несанкционированный доступ к этим данным.

Во-вторых, пользователи часто неправильно пользуются данными, хранящимися в облаке. Приложения, работающие в облаке, как правило, имеют менее мощные механизмы контроля доступа, чем приложения, которые запускаются локальной IT среде. Даже если облачное приложение имеет расширенные настройки контроля доступа, компании редко это используют. Такого мнения по крайней мере аналитики gartner.

Часть проблем вытекает из того, что часть пользователей имеют доступ к данным, к которым не должны иметь доступа.

В-третьих, проблемой являются кражи данных доступа. Большинство корпоративных услуг SaaS (и практически все потребительские услуги) используют пароли для повторного использования. Потому что люди имеют естественную склонность к использованию одних и тех же паролей в разных системах, фирменное приложение SaaS находится под угрозой нападения, если хакер уведет, например, данные доступа сотрудника к его учетной записи на Facebook. Проникать в отдельных учетных записей с помощью украденных паролей-это самые распространенные угрозы для безопасности SaaS. Каждая организация, используя SaaS должна предпринять шаги, направленные на повышение контроля учетных записей, в противном случае эффективность механизмов аутентификации будет ограничена.

ОСТАВЬТЕ ОТВЕТ