Sharing IT Best Practices with youSharing IT Best Practices with you
Saas-beveiliging
SaaS-beveiliging is een strategische noodzaak, zo bleek uit een Oracle en KPMG-rapport. Bijna de helft (49%) van de 450 ondervraagde cybersecurity en IT-professionals verwacht dat het grootste deel van de data van hun organisatie in 2020 in de public cloud zal worden opgeslagen. 92% zei echter dat ze zich zorgen over het volgen van het beveiligingsbeleid om deze data te beschermen.
Ongeveer 90% van de CISO’s is onzeker over hun rol bij het beveiligen van een SaaS-omgeving, volgens het rapport.
Bedrijven verplaatsen steeds vaker kritische bedrijfsprocessen en gevoelige data naar SaaS-omgevingen. Volgens Oracle en KPMG blijft er echter verwarring bestaan over de verantwoordelijkheden van SaaS-beveiliging. Ongeveer 82% van de ondervraagde SaaS-gebruikers zei een beveiligingsincident te hebben gehad door verwarring over de gedeelde verantwoordelijkheid.
CISO’s komen te vaak op een zijspoor van SaaS-beveiliging terecht, zo vond het rapport. Managers die SaaS-diensten op een gedecentraliseerde manier adopteren, creëren een zwartgat voor security managers. Ongeveer 90% van de ondervraagde CISO’s zei dat ze onzeker zijn over hun rol bij het beveiligen van een Software as a Service (SaaS)-omgeving ten opzichte van de SaaS-provider. Nog eens 93% van de respondenten gaf aan dat schaduw-IT een groot probleem is.
Veel CISO’s denken dat de beveiliging van leveranciers in feite veel sterker is dan die van hen. Maar ze denken ook dat als een overtreding bij een van deze leveranciers plaatsvindt, ze nog steeds aansprakelijk zijn voor de gevolgen. Dat is de belangrijkste reden waarom ze SaaS met grote voorzichtigheid bekijken.
CISO’s zijn ook geneigd te geloven dat hun beveiligingsteam niet over de juiste vaardigheden beschikt om een SaaS-strategie in hun organisatie te implementeren. De CISO’s zijn van mening dat ze niet goed voorbereid zijn om de organisatie te ondersteunen bij de snelle adoptie van SaaS.
Aangezien de meeste traditionele beveiligingspraktijken niet van toepassing zijn voor SaaS-omgevingen missen beveiligingsteams de kennis over SaaS-beveiliging.
CISO’s zouden de volgende stappen moeten nemen om te zorgen voor een veiligere SaaS-omgeving in hun organisatie:
Veel CISO’s vertragen het migratieproces door een tekort aan cybersecurity-medewerkers en zorgen over datalekken.
Vrijwel alle organisaties verplaatsen bedrijfsprocessen, software en data naar SaaS omgevingen. Bezorgdheid over de beveiliging en een tekort aan beveiligingstalent heeft veel CISO’s echter ongerust gemaakt. Het gevolg is dat 40% van de bedrijven vertragingen bij deze migraties ondervindt.
83% van de IT-professionals zegt dat ze gevoelige data in openbare SaaS omgevingen opslaan. Slechts 69% zegt echter dat ze deze openbare SaaS omgevingen vertrouwen. Bij een op de vier organisaties die Infrastructure as a Service (IaaS) of Software as a Service (SaaS) gebruiken is weleens data gestolen. Een op de vijf organisaties geeft toe dat ze een geavanceerde aanval tegen hun openbare cloud-infrastructuur hebben meegemaakt.
De verantwoordelijkheid voor inbreuken in SaaS-omgevingen valt vaak terug op de CISO, zelfs als de leverancier schuldig is. Deze verantwoordelijkheid zouden ze moeten delen.
Een CISO zou zijn tijd en moeite moeten besteden aan het bouwen van een sterk beveiligingsteam en het opleiden van ontwikkelaars betreffende veilige SaaS-processen. Dit is beter dan al zijn tijd te besteden aan het besturen en monitoren van providers.
SaaS-operaties, SaaS-architectuur of SaaS-beveiligingsmedewerkers zijn meestal verantwoordelijk voor SaaS-beveiliging. Meer traditionele beveiligingsmedewerkers worstelen echter met de nieuwe platformen.
De SaaS-architectuur en de wijze van softwareontwikkeling kunnen sterk per platform verschillen. Hierdoor is het voor bedrijven meestal niet haalbaar om voor iedere SaaS omgeving een een expert binnen te halen of op te leiden. Bovendien zou een beveiligingsteam over heel veel skills moeten beschikken.
Daarom moeten we eerst begrijpen welke vaardigheden we echt nodig hebben voor SaaS. Het is eigenlijk niet zo belangrijk dat we een SaaS omgeving direct van binnen en van buiten kennen. Deze kennis kunnen we in de loop van de tijd ontwikkelen.
In plaats daarvan zou we een team moeten samenstellen met individuele sterke punten die samen een geheel vormen voor een collectieve beveiliging. Een medewerker kan bijvoorbeeld beschikken over de nodige vaardigheden voor softwareontwikkeling, terwijl een ander sterk is in bedrijfsprocessen of privacy aspecten. Daarnaast hoeft het team de SaaS-beveiliging niet helemaal zelf te bouwen. De leveranciers moeten er ook aan meewerken. Veel succesvolle bedrijven zien hun interne beveiligingsmiddelen niet als een beperking. Ze begrijpen dat het opzetten van een SaaS-strategie iets is dat ze gezamenlijk moeten doen.
Discussieer mee op LinkedIn. 
Mogelijk is dit een vertaling van Google Translate en kan fouten bevatten. Klik hier om mee te helpen met het verbeteren van vertalingen.