Quando os aplicativos SaaS começaram a crescer em popularidade, não estava claro quem era o responsável por proteger os dados. Hoje, a maioria das equipes de segurança e TI entende o modelo de responsabilidade compartilhada, no qual o fornecedor de SaaS é responsável por proteger o aplicativo, enquanto a organização é responsável por proteger seus dados.
O que é muito mais obscuro, no entanto, é onde a responsabilidade pelos dados está do lado da organização. Para grandes organizações, esta é uma questão particularmente desafiadora. Eles armazenam terabytes de dados de clientes, dados de funcionários, dados financeiros, dados estratégicos e outros registros de dados confidenciais online.
Violações de dados SaaS e ataques de ransomware SaaS podem levar à perda ou exposição pública desses dados. Dependendo do setor, algumas empresas podem enfrentar penalidades regulatórias rígidas por violações de dados, além do PR negativo e perda de fé que essas violações trazem consigo.
Encontrar o modelo de segurança certo é o primeiro passo antes de implantar qualquer tipo de SSPM ou outra solução de segurança SaaS.
Saiba como a solução SSPM do Adaptive Shield pode ajudar a proteger sua pilha SaaS.
Conhecendo os jogadores#
Existem vários grupos diferentes de participantes envolvidos no ecossistema de segurança SaaS.
Proprietários de aplicativos SaaS – Quando as unidades de negócios assinam o software SaaS, alguém de dentro da unidade de negócios geralmente é responsável por configurar e integrar o aplicativo. Embora eles possam ter alguma ajuda de TI, o aplicativo é de sua responsabilidade.
Eles escolhem definições e configurações que se alinham com suas necessidades de negócios, adicionam usuários e começam a trabalhar. Os proprietários de aplicativos SaaS reconhecem a necessidade de segurança de dados, mas não é sua responsabilidade ou algo que eles conheçam muito bem. Alguns assumem erroneamente que a segurança dos dados é responsabilidade apenas do fornecedor de SaaS.
Central de TI – Na maioria das grandes organizações, a Central de TI é responsável por itens como infraestrutura, hardware e senhas. Eles gerenciam IDP e servidores, bem como supervisionam as atividades de suporte técnico. Os aplicativos SaaS normalmente não se enquadram em seu domínio direto.
A TI central está mais familiarizada com os requisitos de segurança do que o funcionário comum, mas essa não é sua principal preocupação. No entanto, é importante ter em mente que eles não são profissionais de segurança.
Equipes de segurança – A equipe de segurança é o ajuste natural para a implementação de controles e supervisão de segurança. Eles têm a tarefa de criar e implementar uma política de segurança cibernética que se aplique a toda a organização.
No entanto, eles têm vários desafios que inibem sua capacidade de proteger aplicativos. Para começar, eles muitas vezes desconhecem os aplicativos SaaS que estão sendo usados pela empresa. Mesmo para aplicativos que eles conhecem, eles não têm acesso aos painéis de configuração dentro da pilha SaaS e nem sempre estão cientes dos aspectos de segurança exclusivos associados a cada aplicativo. Esses são controlados e mantidos pelos proprietários de aplicativos SaaS e pela TI central.
Equipes GRC – As equipes de conformidade e governança têm a tarefa de garantir que toda a TI atenda a padrões de segurança específicos. Embora não desempenhem uma função específica na proteção de ativos corporativos, eles supervisionam e precisam determinar se a empresa está cumprindo suas responsabilidades de conformidade.
Fornecedor de SaaS – Embora o fornecedor de SaaS esteja isento de qualquer responsabilidade de proteger os dados, eles são a equipe que construiu o aparato de segurança para o aplicativo SaaS e têm um conhecimento profundo de seu aplicativo e de seus recursos de segurança.
Definindo funções e responsabilidades#
Proteger toda a pilha SaaS requer uma estreita colaboração entre os especialistas em segurança e aqueles que gerenciam e executam seus aplicativos SaaS individuais. Desenvolvemos este gráfico RACI para compartilhar nossa perspectiva sobre os departamentos responsáveis, responsáveis, consultados e informados sobre as diferentes tarefas envolvidas na proteção de dados SaaS.
Lembre-se de que esta tabela não é de tamanho único, mas uma estrutura baseada na maneira como vemos muitas empresas lidando com suas funções de segurança SaaS. Deve ser adaptado às necessidades da sua organização.