Son zamanlarda gerçekleşen tedarik zinciri siber saldırıları, finans sektöründeki siber güvenlik düzenlemelerinin uyumluluk gerekliliklerini sıkılaştırmasına yol açıyor ve diğer sektörlerin de bu düzenlemeleri takip etmesi bekleniyor. Pek çok şirket, zamana duyarlı SaaS güvenliği ve uyumluluk görevlerini yönetmek için hâlâ etkili yöntemlere sahip değil. Ücretsiz SaaS risk değerlendirme araçları, SaaS yayılımına ve Gölge AI’ya görünürlük ve ilk kontrol getirmenin kolay ve pratik bir yoludur. Bu araçlar artık artımlı yükseltmeler sunarak güvenlik profesyonellerinin şirket bütçelerini veya olgunluk seviyelerini karşılamalarına yardımcı oluyor.
Mevzuat baskısı, SaaS ve yapay zekanın yaygınlaşması ve üçüncü taraf uygulamalar yoluyla artan ihlal veya veri sızıntısı riski, SaaS güvenliğini uygulayıcıların öğrenmesi ve benimsemesi için en sıcak alanlardan biri haline getiriyor. Yeni düzenlemeler, SaaS hizmet keşfi ve üçüncü taraf risk yönetimi (TPRM) ile başlayan ve CISO’ların tedarik zincirlerindeki olayları 72 saat içinde bildirme zorunluluğuyla sona eren güçlü bir üçüncü taraf SaaS risk yaşam döngüsü yönetimi gerektirecektir. NY-DFS ve DORA gibi finansal siber düzenlemeler, farklı terminolojiler kullanılmasına rağmen benzer risk azaltma ilkelerine dayanmaktadır.
Finansal SaaS Güvenlik Gereksinimlerinden Alınacak Dersler
Finans sektörünün siber uyumluluk gereksinimlerini anlayan güvenlik profesyonelleri, SaaS risklerini yönetmek ve diğer çeşitli uyumluluk çerçevelerini yönetmek için daha donanımlıdır. Genel olarak dört adıma ayrılan bu temel ilkelerin birden fazla sektörde kopyalanması bekleniyor. SaaS’ı güvenli bir şekilde kullanmak için mükemmel bir şablon sağlarlar ve bunun en iyi güvenlik uygulaması olarak öğrenilmesi gerekir.
 |
| *NY-DFS Gereksinimlerinin Dört SaaS Güvenlik Adımıyla Eşleştirilmesi |
1. Üçüncü Taraf Keşif ve Risk Yönetimi (TPRM)
SaaS güvenlik yolculuğu tanımlama ve haritalamayla başlar Tümü Kuruluş tarafından kullanılan üçüncü taraf hizmetleri. Bu hizmetlerin, operasyonlar açısından önemleri ve kamuya açık olmayan bilgiler (NPI) üzerindeki etkileri açısından değerlendirilmesi ve satıcı itibar puanıyla (dışarıdan içeriye risk değerlendirmesi) karşılaştırılmaları gerekir. Birçok şirket yalnızca satın alma sürecinde incelenen “onaylanmış uygulamalara” odaklanırken, bu yaklaşım SaaS’ın hızla benimsenmesine ve kuruluşlarda nasıl kullanıldığına ayak uyduramıyor. Kapsamlı bir güvenlik politikası, bireysel çalışanlar tarafından benimsenen onaylanmamış uygulamaların yanı sıra farklı ekipler arasında kullanılan ücretsiz denemeleri ifade eden “gölge BT”yi de kapsamalıdır. Her iki uygulama türü de genellikle NPI’yi açığa çıkarır ve şirketin en gizli varlıklarına arka kapı erişimi sağlar.
2. Risk Politikalarının Belirlenmesi ve Uygulanması
Riski değerlendirdikten sonra güvenlik ekiplerinin, onaylanmış ve onaylanmamış SaaS tedarikçilerine ve bu bulutta barındırılan hizmetlerle paylaşılabilecek veri türlerine ilişkin net politikalar oluşturması gerekir. Kolaylaştırılmış kullanıcı eğitimi, herkesin bu politikaları anlamasını sağlamak için çok önemlidir. SaaS ortamlarında özel bir öneme sahip olan sürekli yaptırım da gereklidir. Ortalama bir çalışan, sık sık değişen 29 farklı uygulama kullanıyor. Pek çok şirket hâlâ, SaaS denetiminden dakikalar sonra bile eklenen gölge BT ve uygulamaların uygulanmasını gözden kaçırabilecek periyodik incelemelere ve manuel süreçlere güveniyor. CISO’ların, bu geç devreye alınan veya çalışanların kullandığı SaaS uygulamalarıyla ilgili tüm güvenlik olaylarından sorumlu olmaya devam edeceğini unutmamak önemlidir.
3. Saldırı Yüzeyinin Azaltılması
Daha sonra odak noktası, saldırı yüzey yönetimine ve onaylı sağlayıcıların sayısını azaltmaya kayıyor. SaaS Güvenlik Duruşu Yönetimi (SSPM) çözümleri bu karmaşık ancak kritik adım için güçlüdür. Bu, SaaS uygulamalarının ilk yapılandırmalarının sağlamlaştırılmasını, çok faktörlü kimlik doğrulama (MFA), katılım ve Kullanıcı Erişimi İncelemeleri aracılığıyla insan ve insan olmayan kimlikler için erişim haklarının yönetilmesini vurgulayan düzenlemeleri içerir. Gelişmiş ekipler ayrıca kullanılmayan belirteçleri ve aşırı izin veren uygulamaları izler ve bilgi paylaşımını yönetir. Bu yönler SaaS güvenliği açısından kritik öneme sahiptir ancak düzenlemelerde yalnızca kısmen kapsanmaktadır.
4. Olay Tespiti ve Müdahale
Tüm risk azaltma adımlarına rağmen üçüncü taraflar yine de ihlallerle karşılaşabilir. Wing tarafından yapılan araştırma, incelenen 500 şirketin neredeyse tamamının geçen yıl en az bir ihlal edilmiş uygulama kullandığını ortaya çıkardı. Mali düzenleyiciler, CISO’ların tedarik zinciri olaylarını hızlı bir şekilde (NY-DFS kapsamında 72 saat içinde ve DORA kapsamında bir sonraki iş gününde) raporlamasını zorunlu kılmaktadır. Bu gerekliliklerin yorumlanmasının hâlâ test edilmesi gerekiyor; bu da birçok CISO’nun, olayları rapor ederken tedarikçilerinin iyi uygulamalarına bağımlı kalmasına neden oluyor. 350.000 farklı SaaS uygulamasından oluşan bir pazar ve gölge BT’nin zorlukları göz önüne alındığında, olaylardan hızlı bir şekilde kurtulmak ve uyumluluk için güçlü destek hizmetleri gereklidir.
Herkes için SaaS Güvenliği
Kuruluşların SaaS güvenlik olgunluğu, risk iştahları ve güvenlik iş gücü ve araçlarına yatırım düzeyleri farklılık gösterir. Wing Security, bir kuruluşun en çok kullanılan SaaS uygulamalarının riskini keşfetmek ve değerlendirmek için ücretsiz bir giriş seviyesi aracı sunar. Güvenlik ekipleri için kritik öneme sahip emek yoğun görevleri otomatikleştirmek amacıyla yakın zamanda giriş seviyesi Temel Katmanını güncellediler. Bu yeni katman, derin gölge BT keşfi, politika belirleme ve uygulama ve SaaS tedarikçileri hakkında kesintisiz iş gücü eğitimini içerir. Daha küçük kuruluşlar için yıllık 3.500 ABD dolarından başlayan Temel Katman, SaaS güvenliğine uygun maliyetli bir giriş noktası sunar ve daha fazla koruma kullanım senaryosunu geliştirmek ve düzenleyici görev maliyetlerini azaltmak için daha fazla yükseltme olanağı sunar.
Henüz tam SaaS güvenlik çözümlerini kullanmayan birçok şirket için ölçeklenebilir katmanlama modelleri, riskleri ortaya çıkarmanın ve yatırım getirisini hızlı bir şekilde göstermenin kolay bir yolunu sağlar. Daha gelişmiş kuruluşlar, Pro veya tam Kurumsal Katmanların yukarıda ayrıntıları verilen dört tipik uyumluluk adımının tamamını verimli bir şekilde ele almasını ve yönetmesini isteyecektir.