Çalışanları hizmet olarak yazılım (SaaS) ve diğer siber güvenlik politikalarına uymaya ikna etmek, SaaS olaylarına ve ihlallerine karşı temel savunma olmaya devam ediyor. Aslında Gartner, bulut ihlallerinin %99’unun temel nedenlerinin önlenebilir yanlış yapılandırmalar veya son kullanıcılar tarafından yapılan diğer hatalar olduğunun bilincindedir.
Ortalama ihlalin şu anda 4,4 milyon doları aştığı göz önüne alındığında, her CISO, SaaS güvenlik protokollerine uyumu artırmanın değerini ve aciliyetini kabul ediyor. Ancak güvenlik liderleri, özellikle satın alma aşamalarında çalışanların uyması gereken aşırı gereksinimleri benimsediklerinde, şirket çapında SaaS güvenlik politikalarına bağlılığı artırma hedeflerini baltalayabilir.
Tedarik, SaaS Güvenliği ve Şirket Kültürünün Örtüştüğü Yer
Fikir basit: Güvenli olmayan SaaS platformlarına katılma riskini azaltmak için, bir satın alma veya deneme başlamadan önce müdahale ederek başlayın. Doğru şekilde kullanıldığında bu sorun teşkil etmez.
Satıcı anketleri, SOC2 denetimleri ve sızma testi incelemeleri gibi SaaS denetimleri ve kontrol listeleri, satın alma sürecinin uzun süredir devam eden, makul bileşenleridir. Güvenlik ve BT ekipleri, kapsamlı durum tespitini ve satın alma kontrollerini önceden uygulamak için finansla işbirliği yapıyor. Bu inceleme faaliyetleri genellikle üçüncü taraf risk yönetiminin alanına girer. Bu ortaklığın, genellikle satıcı katılımı ve operasyonel hale getirilmesi sırasında artan potansiyel SaaS siber güvenlik risklerinin önüne geçmesi amaçlanıyor.
Onay aşaması kapılarının (veya engelleyicilerinin) uygulanması, inovasyonu ve süreç iyileştirmeyi engelleyen bir kapı bekçiliği mekanizması olarak algılanabilir. Ancak gerekli olan, çalışan davranışlarına, kullanım ölçümlerine ve açık, iyi iletilmiş bir SaaS satın alma stratejisine dayalı bir kültürel değişimdir.
Daha da önemlisi, iş ve güvenlik liderleri, iş için en büyük risklerin genellikle yeni bir SaaS uygulamasının uygulamaya konulmasından sonra ortaya çıktığının farkında olmayabilir. Bir SaaS uygulaması yayına girdiğinde yapılandırma ve saldırı yüzeyi değerlendirmesinin eksikliği, kuruluşlar için kör bir nokta oluşturur. Bu, çok az kuruluşun izleme kriterlerine dahil ettiği yüksek risk profilini ortaya çıkarabilir. Şirketler, iş kolu sahipleriyle birlikte, ilk tedarik aşamasının ötesine geçen risk korkuluklarını tanımlamaya çalışmalı ve SaaS uygulamaları için sürekli izleme süreçlerini uygulamaya çalışmalıdır.
En Büyük SaaS Riskinin Saklandığı Yer
Kuruluşlar, bir uygulamanın veya teknolojinin tedarik aşaması öncesinde veya sırasında SaaS satıcılarını düzenli olarak değerlendirir. Ancak SaaS riski, katılım veya lansmanla bitmiyor. Bir uygulamada düğmeyi çevirdiğinizde çoğu kuruluş, uygulamanın yapılandırmalarına ve devam eden işlemlerine ilişkin sıfır görünürlüğe sahip olur.
SaaS ortamları, zaman içinde kritik güvenlik açıkları ve yanlışlıkla yapılan yapılandırma değişiklikleri yaratabilecek sürekli bir değişim yaşam döngüsünden geçer. Ayrıca satıcılar sürekli olarak güvenlik ayarlarını etkileyebilecek güncellemeler yayınlıyor. Bu ayarlar herhangi bir evrensel standarda uymuyor; bu, CISO’nun kuruluşunun her SaaS uygulamasının benzersiz güvenlik ayarlarını öğrenmesi, bunları yorumlaması ve işi ve veri varlıklarını korumak için politikalar oluşturması gerektiği anlamına geliyor. Ortalama bir kuruluşun 50 ila 100 arasında onaylanmış SaaS uygulaması kullandığı göz önüne alındığında, bu düzeyde bir uzmanlığın kurum içinde geliştirilmesi zor ve pek olası değildir.
Güvenlik yapılandırmalarının ötesinde, SaaS’ın merkezi olmayan ve genişletilebilir yapısı, sık sık izin kayması pahasına onu iş için yadsınamaz bir nimet haline getiriyor. Aşırı tedarik, sızıntı veya hassas verilerin tehlikeye atılması olasılığını önemli ölçüde artırır. Aşırı izin verilen bir hesaba sahip bir çalışan, onaylanmamış bir SaaS uygulamasını bir kurumsal sisteme (örneğin, bir proje yönetimi uygulaması gibi şirketin ofis üretkenlik paketine) bağlarsa, farkında olmadan tehdit aktörlerine hassas verilere başka bir giriş noktası sağlıyor demektir. AppOmni ekibimiz bir zamanlar bir CISO’nun multimilyon dolarlık kimlik sağlayıcı yatırımının, çok faktörlü kimlik doğrulamanın (MFA) yanlışlıkla “isteğe bağlı” olarak ayarlandığı SaaS uygulamaları tarafından esasen reddedildiğine tanık oldu.
Açıkçası, konfigürasyon kayması ve veriye maruz kalma açısından aşağı yönde ortaya çıkan risk, satın alma aşamasında mümkün olanın çok üzerindedir. CISO’lar ve ekipleri, SaaS varlığının tamamını mümkün olduğunca güvenli tutmak için çalışanların dikkatli olmalarına ihtiyaç duyuyor. Bu, yalnızca satın alma sırasında engelleme ve aşırı güvenlik kontrolüyle değil, ilişkiler ve korkuluklar kurarak ve özel bir SaaS güvenlik programı geliştirerek gerçekleştirilir.
Riskler Nasıl Azaltılır?
Bütçeleri tehdit eden politikalar yerine, hangi faaliyetlerin sınır dahilinde olduğunu ve hangilerinin tartışılması gerektiğini gösteren korkulukları tercih edin. Güvenlikten yardım veya rehberlik istemeden önce iş liderleriyle proaktif olarak konuşun. Neyi başarmaya çalıştıklarını ve hedefin iş için neden önemli olduğunu öğrenin. Dolar cinsinden ihlal ve sızıntı risklerini, üretkenlik kaybını ve potansiyel yükümlülükleri açıklayın.
Güvenlik ekibindeki herkesin misyonun, işletmenin hedeflerine mümkün olduğunca güvenli ve hızlı bir şekilde ulaşmasına yardımcı olmayı içerdiğini anladığından emin olun. İstenilen SaaS uygulamasının makul ölçüde hafifletilemeyecek riskler oluşturması durumunda, alternatif çözümler öneren ilk kişi güvenlik olmalıdır.
Finans ve satın alma çok önemli müttefiklerdir ancak SaaS’ı günlük olarak güvence altına alma işinde değiller. Açık korkuluklar ve olumlu ilişkiler, uzun vadeli SaaS güvenliğine bağlılık için daha akıllıca bir seçimdir.
yazar hakkında
Harold Byun, AppOmni’nin Baş Ürün Sorumlusudur. Güvenlik sektöründe hem uygulayıcı hem de ürün lideri olarak 25 yıldan fazla deneyime sahiptir. AppOmni’ye katılmadan önce ServiceNow, Skyhigh Networks, MobileIron ve Symantec’te ürün liderliği görevlerinde bulundu. Kariyeri, güvenlik orkestrasyonu ve otomatik yanıt (SOAR), bulut erişim güvenliği komisyoncusu (CASB), yönetişim riski ve uyumluluk (GRC), veri kaybı önleme (DLP), şifreleme ve veri erişimi izleme gibi çeşitli güvenlik alanlarında çalışmayı içermektedir. Harold ayrıca veri güvenliğiyle ilgili çeşitli patentlere de sahiptir.