SaaS uygulamalarının popülaritesi artmaya başladığında, verilerin güvenliğinden kimin sorumlu olduğu belli değildi. Günümüzde çoğu güvenlik ve BT ekibi, SaaS satıcısının uygulamanın güvenliğini sağlamaktan sorumlu olduğu, kuruluşun ise verilerinin güvenliğini sağlamaktan sorumlu olduğu paylaşılan sorumluluk modelini anlıyor.
Bununla birlikte, çok daha karanlık olan şey, veri sorumluluğunun nerede kuruluşun tarafında olduğudur. Büyük kuruluşlar için bu özellikle zorlu bir sorudur. Terabaytlarca müşteri verilerini, çalışan verilerini, finansal verileri, stratejik verileri ve diğer hassas veri kayıtlarını çevrimiçi olarak depolarlar.
SaaS veri ihlalleri ve SaaS fidye yazılımı saldırıları, bu verilerin kaybolmasına veya kamuya açık hale gelmesine neden olabilir. Sektöre bağlı olarak, bazı işletmeler, veri ihlalleri için katı yasal cezalara ek olarak, olumsuz PR ve bu ihlallerin beraberinde getirdiği inanç kaybıyla karşı karşıya kalabilir.
Doğru güvenlik modelini bulmak, herhangi bir SSPM veya diğer SaaS güvenlik çözümünü dağıtmadan önceki ilk adımdır.
Oyuncuları Tanımak
SaaS güvenlik ekosisteminde yer alan birkaç farklı oyuncu grubu vardır.
SaaS Uygulama Sahipleri – İş birimleri SaaS yazılımına abone olduğunda, iş birimi içinden biri genellikle uygulamanın kurulmasından ve devreye alınmasından sorumludur. BT’den biraz yardım alabilirler, ancak uygulama onların sorumluluğundadır.
İş gereksinimlerine uygun ayarları ve yapılandırmaları seçerler, kullanıcı eklerler ve çalışmaya başlarlar. SaaS Uygulama Sahipleri, veri güvenliğine duyulan ihtiyacın farkındadır, ancak bu onların sorumluluğu veya hakkında çok şey bildikleri bir şey değildir. Bazıları yanlışlıkla veri güvenliğinin yalnızca SaaS satıcısının sorumluluğunda olduğunu varsayar.
Merkezi BT – Çoğu büyük kuruluşta, altyapı, donanım ve parolalar gibi şeylerden Merkezi BT sorumludur. IDP ve sunucuları yönetmenin yanı sıra yardım masası faaliyetlerini denetlerler. SaaS uygulamaları genellikle doğrudan etki alanlarına girmez.
Merkezi BT, güvenlik gereksinimlerine ortalama bir çalışandan daha aşinadır, ancak bu onların birincil endişesi değildir. Ancak, güvenlik uzmanı olmadıklarını akılda tutmak önemlidir.
Güvenlik Ekipleri – Güvenlik ekibi, güvenlik kontrollerini ve gözetimini uygulamak için doğal olarak uygundur. Kuruluş genelinde geçerli olan bir siber güvenlik politikası oluşturmak ve uygulamakla görevlidirler.
Ancak, uygulamaları güvenli hale getirme yeteneklerini engelleyen çeşitli zorluklarla karşılaşıyorlar. Yeni başlayanlar için genellikle şirket tarafından kullanılan SaaS uygulamalarından habersizdirler. Farkında oldukları uygulamalar için bile SaaS yığını içindeki yapılandırma panellerine erişimleri yoktur ve her uygulamayla ilişkili benzersiz güvenlik hususlarının her zaman farkında değildirler. Bunlar, SaaS Uygulama Sahipleri ve Merkezi BT tarafından kontrol edilir ve korunur.
GRC Takımları – Uyumluluk ve yönetişim ekipleri, tüm BT’nin belirli güvenlik standartlarını karşılamasını sağlamakla görevlidir. Kurumsal varlıkları güvence altına almada belirli bir rol oynamasalar da, şirketin uyumluluk sorumluluklarını yerine getirip getirmediğini belirlemeleri için gözetim ve ihtiyaçları vardır.
SaaS Satıcısı – SaaS satıcısı, verileri güvence altına almak için herhangi bir sorumluluktan muaf olsa da, SaaS uygulaması için güvenlik aparatını oluşturan ve uygulamaları ve güvenlik yetenekleri hakkında derin bir bilgiye sahip olan ekiptir.
Rolleri ve Sorumlulukları Tanımlama
Tüm SaaS yığınının güvenliğini sağlamak, güvenlik uzmanları ile kendi bireysel SaaS uygulamalarını yöneten ve çalıştıranlar arasında yakın işbirliği gerektirir. Bu RACI şemasını, SaaS verilerinin güvenliğini sağlamada yer alan farklı görevlerden sorumlu, hesap verebilir, danışılan ve bilgilendirilen departmanlara ilişkin bakış açımızı paylaşmak için geliştirdik.
Unutmayın, bu tablo herkese uyan tek bir boyut değil, birçok şirketin SaaS güvenlik rollerini ele alma biçimini temel alan bir çerçevedir. Kuruluşunuzun ihtiyaçlarına göre uyarlanmalıdır.
SaaS kullanıcı rolleri ve sorumlulukları hakkında daha fazla bilgi edinin. Bugün bir demo planlayın.
Doğru Altyapıyı Oluşturmak
RACI matrisini geliştirmek önemlidir, ancak doğru araçlar olmadan güvenlik sorumluluklarını yerine getirmek neredeyse imkansız bir görev haline gelir.
Kuruluşların, güvenlik ekibi ile uygulama sahipleri arasında açık iletişimi kolaylaştıran bir SaaS Güvenlik platformuna ihtiyacı vardır. Bu iletişim, bireysel uygulamanın güvenlik duruşunu zayıflatan yanlış yapılandırmalar meydana geldiğinde ve IAM yönetişim araçları tarafından tehditler algılandığında uyarıları içermelidir.
İletişim, kanaldan bağımsız olmalıdır, böylece kullanıcılar e-posta, Slack, Splunk veya tercih ettikleri mesajlaşma platformu üzerinden mesajlar ve uyarılar alabilirler. Güvenlikle ilgili tüm bildirimler, uygulama sahiplerine ve merkezi BT’ye riski azaltmak için gereken adımların net bir şekilde anlaşılmasını sağlayan düzeltme adımlarını da içermelidir.
Platform içinde, her sahip, kendi kontrolü altındaki uygulama veya uygulamalara görünürlük ve erişime sahip olmalıdır. Güvenlik ayarlarının durumunu, güvenlik puanlarını, kullanıcılarını, uygulamalarına bağlı üçüncü taraf SaaS uygulamalarını ve SaaS uygulamalarına erişmek için kullanılan cihazları görebilmeleri gerekir.
Uygulama sahipleri ve merkezi BT, geçerli olmadığı için veya iş gereksinimleri nedeniyle bir güvenlik uyarısını reddetme ve risk konusunda güvenlik ekibine danışma yeteneğine de sahip olmalıdır.
SaaS Verilerinin Güvenliğini Sağlamak Ekipler Arası Bir Çaba Gerektirir
SaaS uygulama güvenliğinin gözden kaçırılması kolaydır. Güvenlik ekibinin görüşünün dışında yer alır ve sorumlulukları güvenliği içermeyen yetkin profesyoneller tarafından yönetilir.
Bununla birlikte, SaaS uygulamalarının içerdiği veriler genellikle bir kuruluşun can damarıdır ve verilerin güvenliğinin sağlanamaması feci sonuçlara yol açabilir.
Verileri ifşa olmaktan tamamen korumak, ekipler arası çaba ve ilgili tüm tarafların taahhüdünün yanı sıra gerçek dünyada SaaS için oluşturulmuş gelişmiş bir SSPM platformunu gerektirir.
Bir SSPM’nin verilerinizin güvenliğini sağlamaya nasıl yardımcı olabileceğini öğrenin. Bir demo rezervasyonu yapın.