[By Adam Gavish, CEO and Co-Founder – DoControl]
Google sürücü. Gevşek. Microsoft 365.
Bunlar, iş akışlarımızın sorunsuz, verimli ve güvenli bir şekilde ilerlemesini sağlamak için günlük olarak kullandığımız SaaS uygulamalarıdır.
Belki de değil. Henüz.
DoControl yakın zamanda piyasaya sürüldü SaaS Veri Güvenliğinin Durumu 2024 raporu istismara kapı açan güvenlik açıklarının yanı sıra, SaaS varlık ve kullanıcı sayılarının arttığına dair çarpıcı bir tablo ortaya çıkardı.
DoControl’ün anketinden elde edilen verilere ve 1.000’den fazla çalışanı olan şirketlerin SaaS ortamına ilişkin analizine dayanan rapor, SaaS varlıklarının inanılmaz büyümesine işaret ediyor. Şirketler 2023’ün başında ortalama 7,9 milyon SaaS varlığıyla başladı ve yıl boyunca 14,9 milyon daha fazla varlık yarattı. Bu yıllık %189’luk varlık büyüme oranı devam ederse, 2026 yılı sonuna kadar ortalama bir şirketin yaklaşık 550 MİLYON SaaS varlığı olacak.
Bu varlıkların çoğu, bütçeler ve ürün yol haritaları gibi stratejik iş bilgilerinden, müşteri listeleri ve çalışan ayrıntıları gibi yüksek düzeyde düzenlemeye tabi verilere kadar uzanan hassas veriler içerir. Doğru taraflar bu verilere doğru zamanda erişebildiğinde her şey yolunda demektir.
Ancak eski bir çalışan işten çıkarıldıktan iki yıl sonra şirket varlıklarına eriştiğinde veya ayrılan bir yönetici düzinelerce hassas varlığı kişisel e-posta adresiyle paylaştığında, her şey kesinlikle iyi gitmez. Ve bunlar üzücü derecede yaygın olgulardır. Raporda analiz edilen 10 şirketten 9’unda, şirketten ayrıldıktan sonra şirketin SaaS uygulamalarında depolanan varlıklara erişen eski çalışanlar vardı.
Üstelik taraflara ihtiyaç duymadıkları verilere erişim izni verildiğinde ve Olmamalı. SaaS uygulamalarında bunu yanlışlıkla yapmak çok kolaydır. Aslında o kadar kolay ki, 2023’ün sonunda ortalama bir şirketin şirket çapında 2,1 milyon hassas varlığı açığa çıktı ve bu da kuruluş içinde açık bir etik duvar eksikliği yarattı. Buna ek olarak, ortalama bir şirketin kamuya açık 35 bin hassas varlığı vardı, bu da ticari sırların çalınmasına ve mevzuata uyum cezalarına davetiye çıkarıyordu.
Varlık paylaşımının kolaylığı aynı zamanda şirket verilerinin hızla kuruluştan uzaklaşabileceği anlamına da gelir. Analiz edilen şirketler tarafından 2023 yılı boyunca oluşturulan yeni üçüncü taraf kişilerin sayısı ve bu üçüncü tarafların kendi yüklenicileri ve ortaklarıyla paylaştığı varlıkların kapsamı aydınlatıcıdır. Sürekli genişleyen eşmerkezli paylaşım ve işbirliği çemberleri, uygun güvenlik önlemlerine sahip olmadığınız sürece SaaS varlıklarınızın kontrolünü kaybetmenizi çok kolaylaştırır.
SaaS Veri Güvenliğinin Durumu 2024 raporu Yalnızca SaaS ortamınıza erişimi olan insan aktörlerin değil, aynı zamanda insan olmayanlar. Üçüncü taraf uygulamalar, SaaS’ın üretkenlik artırıcılarından biridir; ancak neden bir uygulama, işlevi için ihtiyaç duyduğundan daha fazla izne sahip olsun ki? Ancak yine de bunu yapıyorlar: Aktif üçüncü taraf OAuth uygulamalarının %64’üne aşırı izin veriliyor.
Bir uygulama işini yapsa bile (ve yalnızca işini), işi bittikten sonra da ortalıkta kalırsa, gereksiz bir risk haline gelir. Ancak kullanıcılar üretkenliğe yardımcı olacağını düşündükleri uygulamaları hevesle eklerken, bunları kaldırmayı hatırlamak farklı bir hikaye. DoControl’ün analizlerinde belirttiği üçüncü taraf uygulamalarının %90’ı 30 günden fazla bir süredir kullanılmamıştı!
SaaS ortamında güvenliği en üst düzeyde tutmayı zorlaştıran ek bir faktör daha var: endüstriler genelinde bilgi güvenliği çalışan sayısını azaltmaya yönelik genel eğilim. Özellikle kuruluşlar SaaS veri güvenliği konusunda hâlâ manüel bir yaklaşım benimsiyorsa (ki bu, SaaS varlıklarının ve kullanıcılarının artış hızı göz önüne alındığında, giderek daha da faydasız hale geliyor), daha az bilgi güvenliği ekibi üyesi bu girişimi daha da zorlu hale getiriyor.
SaaS kullanımına geri dönüş yok ve genel olarak bu iyi bir şey. Üretkenlik ve verimlilik açısından faydaları inkar edilemez. Ancak SaaS Veri Güvenliğinin Durumu 2024 raporu şirketlerin SaaS yatırımlarından olumlu sonuç alabilmesi için SaaS veri güvenliği inovasyonunun SaaS inovasyonuna ayak uydurması gerektiğine dair değerli bir hatırlatmadır.
Biyografi:
Adam Gavish, DoControl’ün Kurucu Ortağı ve İcra Kurulu Başkanıdır. Adam, ürün yönetimi, yazılım mühendisliği ve ağ güvenliği alanlarında 15 yıllık deneyime sahiptir. Adam, DoControl’ü kurmadan önce Google Cloud’da Ürün Yöneticisi olarak görev yaptı ve burada Fortune 500 müşterilerine hizmet veren Güvenlik ve Gizlilik ürünlerinin fikir, uygulama ve stratejisine liderlik etti. Adam, Google’dan önce Amazon’da Kıdemli Teknik Ürün Müdürü olarak görev yaptı ve burada dünya çapında 300 milyon müşterinin ödeme deneyimini iyileştirmek amacıyla müşteri odaklı ürünler piyasaya sürdü. Adam aynı zamanda başarılı bir şekilde satın alınan iki startup’ta Yazılım Mühendisi olarak görev yaptı; 200 milyon dolar karşılığında eXelate ve 60 milyon dolar karşılığında Skyfence. Adam, uzun vadeli öğrenme sağlamak için iş ve teknik sorunları bileşenlere ayıran, ömür boyu bilgi meraklısıdır. Açık havada koşmayı, oğluyla LEGO’larla oynamayı ve karısıyla güzel bir film izlemeyi seviyor. Adam, Tel-Aviv Yafo Akademik Koleji’nden Bilgisayar Bilimleri alanında lisans derecesine ve Cornell Üniversitesi Johnson İşletme Yüksek Okulu’ndan MBA derecesine sahiptir.
Reklam