Sean Malone, Baş Bilgi Güvenliği Sorumlusu, Demandbase
Hizmet Olarak Yazılım (SaaS) çözümleri için Güvenlik, bu teknolojinin başlangıcından bu yana bir öncelik olmuştur, ancak zamanla daha da önemli hale gelmiştir. Platformların sayısı arttıkça SaaS şirketlerinin topladığı, depoladığı ve kullandığı veri hacmi de arttı. Aynı zamanda, yakın zamanda tüm SaaS varlıklarının %40’ının yönetilmeyen olduğu ve şirketleri ve müşterilerini önemli güvenlik olayları ve veri ihlalleri riski altında bıraktığı tespit edildi.
Bunu akılda tutarak, SaaS kuruluşları artık siber güvenliğe statüko yaklaşımını benimseyemez. Modernleşme ve iyileştirme zamanı. Tüketicilerin, şirketlerin ve sürekli artan hassas verilerin korunmasını sağlamak için SaaS’taki siber güvenliğin geleceğinin nasıl ve neye benzemesi gerektiğine bir bakış.
SaaS’ta Mevcut Güvenlik Durumu
Bugün, teknoloji endüstrisinin bu bölümündeki siber güvenlik oldukça değişkendir. Bazı SaaS şirketleri güvenlik programlarını son derece iyi idare ederken, birçoğu (daha fazla değilse) bunu yapmakta zorlanıyor. Çoğu SaaS platformu, paylaşılan bir sorumluluk modeliyle çalışan Hizmet Olarak Altyapı (IaaS) veya Hizmet Olarak Platform (PaaS) üzerine kuruludur. Bu, IaaS veya PaaS bulut sağlayıcısının işlettiği güvenlik sorumluluklarının bileşenleri olduğu ve ardından bu bulut ortamının üzerine bir SaaS ürünü oluşturan şirketin çalışması beklenen bileşenler olduğu anlamına gelir. Özellikle erken aşama ve hiper büyüme SaaS şirketleri için rekabet eden birçok öncelik olduğundan, bu kurulum zor olabilir.
Değişim için Katalizörler
SaaS şirketleri sorumluluklarının ve güvenliklerini sıkılaştırma ihtiyacının farkında olsalar bile, bunun gerçekleşmesi için zaman, enerji ve kaynakları ayırmak zor olabilir. Birçoğu için, bu düpedüz ezici. Bu nedenle, kutuyu yolda tekmeleyebilir ve çok geç olana kadar anlamlı değişiklikler yapmak için bekleyebilirler.
Güvenlik endişelerine ek olarak, bu genellikle gizlilik düzenlemeleri için de bir uyumluluk riski oluşturur. Tipik olarak, altyapılarını korumak ve verilerinin güvenliğini yönetmek için mücadele eden şirketler, müşterilerin bu veriler için gizlilik beklentilerini karşılamakta da zorlanacaktır. Hem B2B hem de B2C kuruluşları, verilerinin güvenliği ve gizliliği konusunda giderek daha fazla endişe duyan müşterilere satış yapmanın sıkıntısını yaşıyor. Tüketiciler şirketlerden daha fazlasını talep etmeye devam ettikçe, şirketler müşteri güvenini kazanmak ve korumak için siber güvenliklerini ve veri yönetimini geliştirmek zorunda kalacaklar.
İleriye Dönük Kalite Yönetimi Nasıl Uygulanır?
SaaS kuruluşları, platformlarının güvenliğini ve gizliliğini ihtiyatlı bir şekilde yönetmeye çalıştıklarından, akılda tutulması gereken bazı önemli noktalar vardır. Birincisi, bulut platformlarının üzerine sanki başka bir veri merkeziymiş gibi inşa etmek etkili bir strateji değildir. Kapsayıcılı yazılımlarda bile, bir sunucu kümesine şirket içi bir veri merkezindeki bir sunucu kümesiymiş gibi davranmak, güvenliği ve yönetimi zor olan kırılgan ortamlara neden olur. Bu yaklaşım daha fazla manuel değişiklik gerektirir ve bulutta yerel mimarilerin sunduğu çeviklik ve esneklikten yararlanamaz. Daha da önemlisi, o ortamda kritik hatalar yapma olasılığını artırır. Bunun nedeni, şirket içi teknolojiden çok, önemli bir güvenlik sorunu yaratmanıza genellikle yalnızca bir yapılandırma değişikliği uzaklıkta olmanızdır. Bunun yerine, en bilgili SaaS şirketlerinin şimdi ve gelecekte kalite yönetimini nasıl ele aldığına bir göz atın:
Kod olarak altyapı (IaC) aracılığıyla bulut mimarisinin dağıtımını otomatikleştirme.
Bunun birden fazla güvenlik avantajı vardır, ancak birincil avantajlardan biri, dağıtımdan önce diğer kodları taradığınız gibi mimari tanımlarını taramanıza izin vermesidir. Böylece sorunları üretim ortamına herhangi bir şey dokunmadan önce belirleyebilirsiniz. Bu aynı zamanda bir sonraki anahtar öğeyi de etkinleştirir, ki bu…
Üretim ortamlarında manuel değişiklikleri önemli ölçüde en aza indirir.
Standart geliştirme uygulamasının bir parçası olarak, değişiklikleri sürüm kontrollü, hakemli bir yazılım havuzu aracılığıyla IaC aracılığıyla kullanıma sunmanız kritik önem taşır. Ve bunun ötesinde, üretim ortamlarına insan erişimini tamamen ortadan kaldırmaya çalışın. İnsanlar olarak, değişiklikleri manuel olarak uygularken hata yapma eğilimindeyiz, bu nedenle altyapı yönetimi söz konusu olduğunda otomatik test, meslektaş incelemesi ve sürüm kontrollü depolar etrafında tam bir disiplin oluşturursanız, daha güvenli (ve daha kararlı) ortamlara sahip olursunuz. .
Ürün ekipleri ve mühendislik ekipleriyle yakın çalışma.
Geleceğin üst düzey kalite yönetiminin son anahtarı, güvenlik gereksinimlerini normal araştırma ve geliştirme süreçlerine entegre etmek için ürün ve mühendislik ekipleriyle işbirliği yapmaktır. Çevreyi güvence altına alma beceriniz, bu ekiplerle mükemmel bir ilişkiye bağlı olacaktır.
Önemli Kilometre Taşları ve Metrikler
Geleceğin gerektirdiği şekilde siber güvenliğin ele alınmasına yönelik ilerlemeyi nasıl ölçeceğinizi merak ediyorsanız, göz önünde bulundurabileceğiniz bazı sorular ve ölçebileceğiniz metrikler şunlardır:
Güvenlik gereksinimleri, ürün gereksinimlerine ne ölçüde entegre edilmiştir?
Ürün ekibi, sürecin başlarında güvenlik hakkında düşünmek için proaktif olarak güvenlik ekibine ne ölçüde ulaşıyor?
Altyapının yüzde kaçı IAC olarak dağıtılıyor?
Üretime geçmeden önce hem altyapı hem de uygulama kodunun yüzde kaçı güvenlik sorunları için otomatik olarak taranır?
Sorunlar belirlendiğinde, çözülmesi ne kadar sürer?
Bunların tümü, iyileştirmeyi ölçmek için mümkün olduğunda gözden geçirilecek ve nicelleştirilecek alanlardır. Ayrıca, bireysel mühendislik ekibi seviyelerinde bunların etrafına metrikler koyabilirsiniz. Bu, bireysel bir mühendislik ekibinin güvenlik performansını değerlendirmenize ve ardından bunu mühendislik departmanlarında toplamanıza yardımcı olur. Hatta dostane bir rekabet haline getirerek ve bu ölçümleri tüm kuruluş genelinde mühendislik güvenliği konusunda çıtayı yükseltmenin bir yolu olarak kullanarak güvenliği oyun haline getirebilirsiniz.
Büyük Güvenlik Büyük Mühendisliğe Bağlıdır
Her şeyden önce, ürün güvenliğinin ana ilkelerinden biri, mühendislik uygulamalarının kalitesi tarafından ya güçlendirilmesi ya da zayıflatılmasıdır – ve bu yakın zamanda değişmeyecektir. Geleceğe doğru ilerlerken, SaaS kuruluşlarının güvenliği ancak operasyonel uygulamalarının ve mimarilerinin destekleyebileceği kadar iyi olacaktır. Böylece, araştırma ve geliştirme organizasyonunun tamamında kalite beklentilerini destekleyerek daha güvenli platformlar oluşturabilirsiniz.
Bu, sağlam, esnek mimariler, manuel erişimi azaltan IaC, verilerinizin nerede olduğunu ve nasıl kullanıldığını bilmeyi ve tamamıyla ilgili kapsamlı belgeler gerektirir. Harika mühendislik uygulamaları, teknik olarak siber güvenlik şemsiyesi altına girmeyebilir, ancak bir güvenlik ekibinin güvenlik kontrollerini verimli bir şekilde yerleştirmesini sağlar. Ayrıca, güvenlik ihlallerinin aslan payının nereden geldiğini bildiğimiz insanlar tarafından yapılan manuel değişikliklere sizi daha az bağımlı hale getirebilirler.
SaaS’ta Siber Güvenliğin Geleceği Nedir?
SaaS platformları oluşturulmaya, yükseltilmeye ve güvenilmeye devam ettikçe, yakaladıkları ve depoladıkları veriler de büyüyecektir. Yalnızca minimum gereksinimleri uygulamak değil, aynı zamanda gelecekteki beklentilerin ne olacağını önceden görmek ve bunları aşmayı planlamaya başlamak her SaaS şirketinin sorumluluğundadır. Bu, kuruluşların müşteri güvenini ve sadakatini kazanmalarını ve veri açısından zengin dünyamızın herkes için güvende kalmasını sağlamalarına yardımcı olacaktır.
yazar hakkında
Sean Malone, Demandbase’de Baş Bilgi Güvenliği Görevlisidir. Görevinde, bilgi güvenliği ve BT işlevlerinden sorumludur. Malone, Demandbase’e katılmadan önce BitSight Technologies tarafından satın alınan VisibleRisk için bilgi güvenliği, teslimat, ürün ve Ar-Ge’yi yönetiyordu. Bundan önce, Amazon Prime Video’da Siber Savunma Başkanıydı ve daha önce on yıl boyunca saldırgan bilgi güvenliği alanında büyük finans kurumları, kumarhaneler, altın madenleri, sosyal medya platformları ve benzerleri için kırmızı ekip anlaşmaları ve siber savunma danışmanlığı yaptı. -değer hedefleri. Malone, Bilgi Güvenliği ve Güvencesi alanında MS derecesine ve ayrıca CISSP, CISM, CISA, CCISO, AWS Solutions Architect ve AWS Security Specialty sertifikalarına sahiptir. Black Hat, DEF CON ve diğer konferanslarda araştırma sunmak da dahil olmak üzere güvenlik camiasında aktif. Güvenlik programlarını değerlendirme ve siber riski ölçme konusundaki çalışmaları için bekleyen bir patenti var.
Sean’a çevrimiçi olarak https://www.linkedin.com/in/seantmalone/ adresinden ve şirketimizin web sitesi https://www.demandbase.com/ adresinden ulaşılabilir.