0
0
Apesar da volatilidade econômica e dos orçamentos mais apertados, a adoção de software como serviço ( SaaS ) continua a aumentar. O Gartner prevê um crescimento de 16,8% para SaaS em 2023, à medida que as empresas – incluindo pequenas e médias empresas – adicionam novas plataformas SaaS à sua pilha de TI.
Isso reflete o que vimos na última metade de 2022: as PMEs estão adotando o SaaS de todo o coração. Além dos aplicativos horizontais para gerenciamento de negócios, ferramentas de escritório, vendas, colaboração, RH, marketing e afins, estamos vendo pequenas e médias empresas adotando aplicativos verticais em uma ampla gama de setores.
O resultado é um desafio de segurança assustador para empresas que operam com uma equipe de TI enxuta e equipes de segurança de TI ainda mais enxutas. Em nossa experiência, ao longo dos anos no setor, organizações menores podem usar uma média de 47 aplicativos SaaS. Para empresas maiores, os números chegam a três dígitos. Cada um desses aplicativos representa uma superfície de ataque que pode colocar em risco uma SMB e dados confidenciais, como informações de identificação pessoal (PII), informações pessoais de saúde (PHI) e números de cartão de crédito.
As organizações precisam aplicar os mesmos controles rigorosos de segurança cibernética, conformidade, monitoramento, detecção e resposta a ameaças e caça a ameaças usados para recursos locais na infraestrutura de nuvem. Ainda assim, muitas vezes há incerteza em relação às funções e responsabilidades de segurança na nuvem. Muitas vezes descobrimos que as SMBs pensam que a segurança está nas mãos do provedor SaaS, quando na verdade o cliente SaaS é sempre responsável por seus dados e usuários.
Aqui estão quatro etapas que uma SMB pode seguir para fechar as lacunas de segurança no uso de aplicativos SaaS:
1. Entenda o modelo de responsabilidade compartilhada para segurança na nuvem para seus aplicativos SaaS
Cada um dos principais provedores de serviços em nuvem (CSPs) tem sua própria versão do modelo de responsabilidade compartilhada para segurança na nuvem que define onde termina a responsabilidade do CSP e começa a sua. O modelo varia um pouco entre os CSPs e depende de qual tipo de serviço em nuvem está sendo usado: infraestrutura como serviço (IaaS), plataforma como serviço (PaaS) ou SaaS.
Para todos os três modelos, o CSP é sempre responsável pela segurança das instalações do data center, do hardware e software do host e da rede usada para executar o serviço em nuvem. Para fornecedores de SaaS, a responsabilidade continua na pilha e depende do CSP. Em alguns modelos, o CSP é o único responsável pela segurança da camada de aplicação, enquanto o cliente é totalmente responsável pelos dados, acesso e identidade do usuário. Em outros modelos de fornecedores, os CSPs e os clientes compartilham a responsabilidade pelos controles em nível de aplicativo, gerenciamento de identidade e acesso (IAM) e proteção de endpoint. Embora seja uma responsabilidade compartilhada, o cliente final retém toda a responsabilidade pela proteção dos dados e pelo gerenciamento do risco.
A devida diligência na escolha de produtos SaaS deve incluir a compreensão de quem é responsável por quê e o cumprimento de suas responsabilidades. Por exemplo, se a sua empresa assinar o Microsoft 365, definir as configurações do aplicativo, habilitar a autenticação multifator (MFA), criar e remover contas de usuário e atribuir acesso baseado em função é tudo de sua responsabilidade. Alguns provedores de SaaS incluem criptografia de dados em trânsito e em repouso, enquanto outros atribuem essa responsabilidade a você. As permutações são complexas quando você tem dezenas de relacionamentos SaaS.
2. Monitore as configurações e integrações de aplicativos SaaS
Como todos os produtos de software, os aplicativos SaaS vêm com configurações padrão — e elas são diferentes em todos os aplicativos em sua pilha SaaS. Aceitar esses padrões ou alterá-los para atender aos seus requisitos de segurança é de sua responsabilidade. Também depende de você garantir a segurança das integrações entre um aplicativo SaaS e outros aplicativos, como a integração do Slack com o Google. Isso é complicado pelo fato de seus usuários finais definirem configurações e permitirem integrações sem o conhecimento da segurança de TI. É importante revisar essas configurações regularmente devido ao comportamento do usuário final e porque a segurança do aplicativo pode mudar com as atualizações do produto.
3. Entenda o modelo de responsabilidade compartilhada entre você e seu provedor de serviços gerenciados
Muitas SMBs usam provedores de serviços gerenciados para complementar recursos internos escassos para gerenciamento de TI, para ajudar nas operações de segurança de TI ou ambos. Para preencher lacunas na segurança de SaaS, certifique-se de que você e seu provedor de serviços entendam quem será responsável por quê, incluindo a resposta a incidentes.
4. Integre toda a telemetria de segurança SaaS com suas ferramentas de monitoramento do centro de operações de segurança e informações de segurança e plataforma de gerenciamento de eventos
Esta etapa é extremamente importante. Seu centro de operações de segurança (SOC) e informações de segurança e plataforma de gerenciamento de eventos (SIEM) devem receber os fluxos de telemetria de todos os seus aplicativos SaaS, bem como firewalls, endpoints e recursos locais. Sem essa integração, você pode ficar cego para eventos que podem sinalizar ataques aos seus dados na nuvem. Isso retarda a resposta, dando aos cibercriminosos um ponto de apoio em sua infraestrutura. Se você estiver usando serviços gerenciados para sua plataforma SOC ou SIEM, verifique se o provedor de serviços oferece suporte aos aplicativos que você deseja integrar como parte de seu processo de seleção de SaaS.
Principais conclusões
Lembre-se sempre da regra geral de que os provedores de CSPs e SaaS são responsáveis pela segurança da nuvem, enquanto os clientes finais são responsáveis pela segurança na nuvem.
Os aplicativos SaaS são aceleradores essenciais para SMBs, embora ampliem as superfícies de ataque e possam criar pontos cegos de segurança. As pequenas e médias empresas devem aproveitar os recursos de segurança em nuvem e a experiência de CSPs, empresas de SaaS e provedores de serviços gerenciados para aproveitar totalmente as vantagens transformadoras dos aplicativos SaaS.
FONTE: HELPNET SECURITY