Wat is er niet leuk aan de cloud? De cloud is eenvoudiger, goedkoper en kosteneffectiever dan on-premises systemen en is een zegen voor de onderneming. Software-as-a-service (SaaS) is een belangrijke reden voor deze voordelen: door online services te gebruiken, besparen bedrijven zichzelf een deel van de tijd, moeite en middelen die nodig zijn voor het beheren, beheren, bijwerken en beschermen van applicaties. SaaS kan echter veel beveiligingsproblemen bevatten - en ze zijn niet allemaal duidelijk.
Allerlei diensten zijn kwetsbaar gebleken. In feite zijn cloudgebaseerde services nu de meest gebruikelijke leveringsmethode voor malware, met bijna 70% van de hacks en exploits gedownload van die diensten. En dat is precies binnen het 'officiële' universum van services die een organisatie gebruikt. Een studie vond dat 97% van cloud-apps werden gebruikt zonder toestemming of zelfs medeweten van beveiligingsteams.
Hier zijn enkele dingen waar organisaties aan moeten denken bij het evalueren van de beveiliging van nieuwe en bestaande SaaS-applicaties.
Over het algemeen moeten bedrijven rekening houden met het niveau van zichtbaarheid dat ze hebben in de online services die ze gebruiken. Veel bedrijven gebruiken zelfs zoveel verschillende services dat het voor beveiligingsteams moeilijk kan zijn om ze bij te houden. Dit kan leiden tot een aantal onbedoelde gevolgen. Volgens sommige schattingen zijn bedrijven bijvoorbeeld:
miljarden verliezen elk jaar in ongebruikte SaaS-licentiekosten en dubbele services in verschillende accounts.
De veiligheid van online diensten zelf is een ander punt van zorg. Beveiligingsteams moeten overwegen of services voldoende versleuteling gebruiken voor inloggegevens. Ze moeten ook controleren of een dienst in het verleden is gehackt, en zo ja, wat de provider heeft gedaan.
Zelfs als dat allemaal klopt, is een service alleen zo veilig als de manier waarop mensen hem gebruiken. Het is belangrijk ervoor te zorgen dat medewerkers gebruiken niet dezelfde inloggegevens voor services en netwerkaanmeldingen, en dat ze geen accounts of inloggegevens delen. Het is ook van cruciaal belang ervoor te zorgen dat accounts worden gesloten wanneer: medewerkers verlaten de organisatie.
Een ander aspect van SaaS-beveiliging waarmee rekening moet worden gehouden, is hoe verschillende services met elkaar omgaan. SaaS-connectiviteit - inclusief functies zoals apps en services die meldingen naar elkaar sturen - is een potentiële kwetsbaarheid voor gegevensprivacy. Begrijpen organisaties hoe werknemers meerdere apps en add-ons gebruiken en welke machtigingen vereist zijn voor integratie en meldingen?
Het gebruik van SaaS heeft ook gevolgen voor de algehele netwerkbeveiliging. Services zullen bijvoorbeeld vaak code of cookies op gebruikersapparaten installeren. Bevat die code iets dat de optimale werking van het IT-systeem zou kunnen verstoren? Deelt de dienst gegevens over gebruikersactiviteiten met derden en zijn die partijen veilig? kan een dienst? mogelijke schade de middelen van een organisatie — zelfs onbedoeld — met haar activiteiten?
Conclusie
Er zijn veel vragen als het gaat om SaaS in de onderneming, en de antwoorden zijn moeilijk te vinden. Maar bedrijven moeten steeds meer op zoek naar deze antwoorden, of in ieder geval op de hoogte zijn van de vragen. Dat zal hen helpen bij het opstellen van het juiste beleid, zoals het implementeren van effectievere witte lijsten, en niet alleen het afsluiten van de accounts van mensen die de organisatie hebben verlaten, maar ook het intrekken van rechten op documenten en andere machtigingen. Het zal hen ook helpen te investeren in de beveiligingsoplossingen die het beste aansluiten bij hun behoeften.
SaaS en cloudgebaseerde diensten kunnen: bedrijven veel geld besparen elk jaar. Ze zorgen naast andere voordelen ook voor meer flexibiliteit, verbeterde efficiëntie, beter gebruik van gegevens en betere klantenservice. Dit alles kan echter gepaard gaan met beveiligingskosten. Door het inzicht in wat SaaS binnen de organisatie doet te vergroten, kunnen beveiligingsteams ervoor zorgen dat ze de volledige voordelen van deze services krijgen, terwijl ze veel van de gevaren vermijden.
