Riskhantering • Artikel
29 mars, 2021
Säkerhetstips för SaaS-leverantörer
Allt fler organisationer väljer inte bara att lagra sin data i molnet, utan istället gå över helt till molnbaserade tjänster, så kallad Software as a Service (SaaS). Att helt eller delvis flytta till molnet kan innebära många fördelar för en organisation - men det medför samtidigt nya hot och risker. För att mitigera dessa risker är det viktigt att SaaS-leverantörer säkerställer att all data som behandlas eller lagras i deras tjänst är säker, och att de säkerhetsutmaningar som medföljer hanteras på ett adekvat sätt. Vi har tittat närmare på några aspekter SaaS-leverantörer bör ta i beaktning för att tillhandahålla en säker tjänst.
SaaS-tjänster är ett effektivt sätt att skapa skalbarhet, öka flexibiliteten och i många fall sänka ett företags kostnader. De många fördelarna har gjort att allt fler företag har flyttat sina tjänster till olika SaaS-företag, som tillsammans utgör en marknad som förväntas omsätta 176,6 miljarder USD under 2022 (Gartner April 2022).
Men trots att en flytt till molnet kan innebära många fördelar för en organisation, riskerar den samtidigt förlorad kontroll över organisationens egna data och infrastruktur. Även i situationer där en SaaS-användare lägger lagring och drift hos en SaaS-leverantör är det fortfarande kunden själv som äger och ansvarar för sin data. Det är följaktligen avgörande att som SaaS-leverantör kunna visa att man hanterar säkerhet på ett strategiskt och dedikerat sätt. Gör man det bra kan det även skapa viktiga konkurrensfördelar gentemot andra leverantörer.
Säkerhet kommer dock alltid att vara en avvägning, och det är upp till varje SaaS-leverantör att överväga och avgöra hur långt man är villig att gå för att säkerställa konfidentialitet, integritet och tillgänglighet av data, samt vad det får kosta. Nedan följer några av de säkerhetsåtgärder SaaS-leverantörer bör överväga i syfte att kunna tillhandahålla en säker tjänst i molnet;
Etablera en säkerhetsstrategi
Precis som alla verksamhetsområden behöver även säkerhet en strategi för att verka optimalt. En säkerhetsstrategi för SaaS-leverantörer bör syfta till att stärka konfidentialiteten, integriteten och tillgängligheten av kunddata genom att ta hänsyn till en rad olika aspekter. Dels genom att säkerställa kontinuitet i verksamheten genom att uppföra en kontinuitetsplan, men även den tillgänglighet som krävs för att uppfylla eventuella servicenivåavtal (SLA:er) som många gånger lovar kort eller ingen nertid, samt en disaster recovery plan (DRP). En sådan plan bör i sin tur baseras på en business impact analysis (BIA) för att identifiera svagheter och kritiska delar av verksamheten som behöver prioriteras om något oväntat inträffar. Planen bör också vara riskbaserad och utgå från en analys som syftar till att förbereda, mildra och svara på incidenter.
Säkerställ konfidentialitet
Förlust av data är en risk många organisationer som flyttar till molnet ställs inför, och som leverantör är det därför viktigt att se till att tjänsten är konfidentiell. Detta kan delvis uppnås genom security by design och efter best practise för säker utveckling. Men data går inte alltid förlorad på grund av en osäker produkt - ofta är orsaken snarare den mänskliga faktorn, antingen med dåligt uppsåt eller på grund av oaktsamhet och oavsiktlig radering eller manipulation av data. Baserat på det faktumet är ytterligare ett viktigt sätt att säkerställa konfidentialitet och integritet av data att förhindra obehörig åtkomst, och därmed bara dela ut användaråtkomst efter behov. Att hålla personal utbildad och medveten om hot och sårbarheter på en lämplig nivå som stämmer överens med deras roll och ansvar kommer också bidra till en minskad risk för informationsläckage på grund av mänskliga misstag. Awarenessutbildning bör således hållas regelbundet för att hålla kunskapen uppdaterad.
Skapa tillförlitliga säkerhetskopior
Även om säkerhetskopiering med stor sannolikhet inte är ett nytt fenomen för många företag, är det en absolut nödvändighet för att kunna återhämta sig under och efter en säkerhetsincident. Säkerhetskopior och dess hantering är därför en viktig komponent som SaaS-leverantörer behöver ta i beaktning. En del av detta övervägande bör vara att ta reda på hur man kan ska kunna garantera säkerhetskopiornas tillförlitlighet, vilket exempelvis kan uppnås genom att återskapa kopiorna och testa dem regelbundet och på ett strukturerat sätt. SaaS-leverantörer bör även överväga att lagra säkerhetskopior på en annan plats än originalen för att skapa redundans och sprida risken.
Separera kundernas data
Att helt separera och isolera data från andra instanser eller containrar är inte en ovanlig efterfrågan från kunder till deras SaaS-leverantörer. Som SaaS-leverantör kräver detta emellertid att viss arkitektur är inbyggd i tjänsten, men detta är inte alltid är implementerat och kan dessutom vara väldigt kostsam. Det innebär att fullständig segregering inte alltid är möjlig, eller åtminstone mycket dyr, och blir således något SaaS-leverantörer måste ta ställning huruvida det överhuvudtaget är möjligt eller inte.
Spara viktiga loggar
Vikten av loggning är ofta underskattad, och avsaknad av det kan leda till jobbiga överraskningar under oväntade händelser och incidenter. Vilka loggar som sparas och inte kan bli skillnaden mellan att ha möjlighet att utreda orsaken till en incident eller att inte ha det, då loggar hjälper till att fastställa viktiga skeenden, såsom användaraktivitet och tidpunkterna för dessa.
Även om det kan verka som en bra idé att spara alla loggar kan det dels bli väldigt kostsamt och i vissa fall även helt förgäves, eftersom det är svårt att hitta viktig information bland tusentals loggar. Att förstå vilka loggar som är viktiga för organisationen är därför avgörande. Generellt sett är följande loggar med stor sannolikhet viktiga för de allra flesta verksamheterna;
- Inloggningsförsök - både lyckade och misslyckade
- Priviligerad användaråtkomst
- Åtgärdsloggar - vad som har gjorts medan du har varit inloggad
- Konfigurationsförändringar
- Indications of compromise (IOC)
Skriv tydliga servicenivåavtal
Servicenivåavtal (SLA) anses normalt vara en del av kundansvaret, eftersom de är de enda som vet vad de kommer att behöva från sina leverantörer. Det är dock viktigt för SaaS-leverantörer att se till att båda parter är överens och att alla roller och ansvar anges tydligt. En oklar SLA kan leda till förvirring och till och med kontraktsbrott.
Hitta vägledning i regel- och ramverk
Rådande lagar, förordningar och bästa praxis kan hjälpa dig att förstå säkerhetsläget i stort och för tillfället. För SaaS-leverantörer är Cloud Security Alliance (CSA) ett bra ställe att vända sig till för att få vägledning och rekommendationer om bästa praxis. Att arbeta mot ett säkerhetscertifikat som ISO / IEC 27001 eller SOC 2 bör också betraktas som en möjlighet för att kontinuerligt arbeta med säkerhet och för att upprätthålla en strategisk hantering av informationssäkerhetsarbetet.
Intresserad av att veta mer?
Eftersom många företag brottas med utmaningar kopplat till leverantörs- och molnsäkerhet har vi tagit fram dedikerade sidor för dessa områden. Besök gärna dem för att lära dig mer om dessa ämnen.
Kontakta oss
Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.
08-545 333 00
Vi svarar dygnet runtinfo@sentor.se
För generella förfrågningarsoc@sentorsecurity.com
Använd vår PGP-nyckel