0
0
Os aplicativos SaaS se tornaram sinônimos de ambientes de negócios modernos, e os CISOs e as equipes de segurança lutam para encontrar um meio termo entre garantir a segurança de seu portfólio SaaS e capacitar os fluxos de trabalho e produtividade de negócios simplificados da organização.
Em conversas recentes com os principais CISOs do mercado global, incluindo Frank Kim, colega e ex-CSO do SANS Institute; Sounil Yu, CSO da JupiterOne; Ray Espinoza, vice-presidente de segurança na nuvem da Medallia; Leon Ravenna, CISO da KAR Global; Alex Manea, CISO da Georgian e Tim Fitzgerald, CISO na Arm,
Quando o SaaS se multiplica
O jogo interminável de gato e mouse entre equipes de segurança e adoção de SaaS é ao mesmo tempo frustrante e preocupante. Ao competir com escala crescente, os CISOs são frequentemente deixados no escuro, incapazes de localizar, gerenciar e explicar a expansão. Como Alex Manea afirma: “A realidade é que cada um desses aplicativos SaaS pode ser bastante seguro e causar uma quantidade relativamente mínima de risco, mas quando você começa a olhar para dezenas ou até centenas de aplicativos em todo o ambiente, você começa a obter um escopo de risco totalmente novo”.
Manea descreve o risco como “morte por 1000 cortes ou morte por 1000 aplicativos, conforme o caso”, e isso é amplificado pela velocidade com que esses aplicativos são adotados. “A realidade é que o CISO não consegue acompanhar a variedade e o valor que os aplicativos SaaS trazem”, diz Sounil Yu. “Essas empresas externas fornecem valor a uma velocidade que atende às necessidades dos negócios. Este não é um problema que possa ser resolvido, mas uma situação que temos que gerenciar.”
Gerenciar essa expansão com processos manuais é inútil, já que os CISOs são deixados adivinhando quais aplicativos são potencialmente perigosos e quais são protegidos. Como Tim Fitzgerald diz: “Mesmo que tenhamos um controle sobre isso um dia, literalmente no dia seguinte, há mais 15 aplicativos que não estavam lá no dia anterior”.
Multiplique o número crescente de aplicativos pelo número de funcionários que os usam e, em seguida, pela quantidade de dados do cliente e da organização que eles possuem, e esse risco cresce drasticamente. À medida que os dados proliferam fora da organização e em aplicativos SaaS, os CISOs não têm ideia de onde estão, para onde estão indo e quem os tem.
“O que mais me assusta é SaaS adormecido ou zumbi”, diz Leon Ravenna. “Os funcionários adotaram um aplicativo porque ele lhes proporcionou valor na época e, depois de um mês, eles seguiram em frente, mas o aplicativo permanece na organização com os mesmos privilégios. Somente depois que o aplicativo é violado, as equipes de segurança se esforçam para entender e avaliar quais dados organizacionais foram armazenados nele.”
Aprovar/proibir aplicativos
Para evitar tais armadilhas de segurança, eu estava interessado em saber quais parâmetros as empresas devem considerar ao aprovar um aplicativo ou proibir seu uso.
Uma prática comum é o uso de protocolos de avaliação de fornecedores ou riscos que buscam estabelecer uma linha de base de risco como um guia para a tomada de decisões. Isso geralmente vem na forma de um questionário robusto, que Frank Kim chama de “um conjunto longo, complicado e ridículo de perguntas”.
Inevitavelmente, os aplicativos SaaS devem ser vistos como riscos externos que exigem proteção fortificada. Ao considerar quais aplicativos aprovar, os CISOs devem tratá-los como na segurança interna, usando uma abordagem holística para preencher lacunas e garantir que os aplicativos sejam avaliados por todos os parâmetros relevantes. “Os CISOs precisam analisar a segurança de dados do aplicativo, governança, gerenciamento de identidade, registro, cadeia de suprimentos, gerenciamento de ameaças e gerenciamento de terminais”, diz Alex Manea. “Os aplicativos SaaS que implantamos em toda a organização devem suportar SSO e MFA. Se não o fizerem, então estes não são iniciantes para nós.”
Além desses parâmetros, Tim Fitzgerald sugere que os CISOs corporativos considerem dois outros critérios mais abrangentes antes de fornecer privilégios e acesso aos aplicativos. “Essas empresas precisam ser capazes de mostrar alguma prova de seus mecanismos de segurança. Não é suficiente apenas poder dizer quais políticas você tem em vigor, mas, acima de tudo, precisamos garantir que seus objetivos de negócios e a tolerância ao risco que eles possam ter como empresa correspondam aproximadamente aos nossos.”
Alex Manea oferece dicas práticas sobre como avaliar esses fatores, bem como estabelecer os casos de uso apropriados e sua aplicabilidade à organização. “Temos diferentes níveis de aplicativos, dependendo de qual é o caso de uso interno: se eles estão sendo implantados em toda a organização, se precisam de acesso a dados confidenciais internos, se precisam de acesso aos nossos sistemas financeiros ou de RH.” É importante notar, no entanto, que esses casos de uso podem mudar com o tempo. Um aplicativo pode começar com permissões simples e pode não exigir acesso a dados confidenciais, por isso não sinalizará as equipes de segurança. Se ocorrer uma mudança, o provedor de SaaS poderia ter expandido maciçamente seu alcance na organização sem a conscientização do CISO.
À medida que as organizações escalam, os CISOs se apresentam um novo desafio – revogar privilégios e aplicativos de offboarding quando os funcionários saem do local de trabalho. Sounil Yu afirma categoricamente que “falar usuários externos é a indicação mais forte de uma função de segurança de baixo desempenho”. Poucos controles escaláveis estão disponíveis para garantir que o offboarding ocorra e que as contas órfãs sejam evitadas, e que os CISOs sejam deixados com processos falíveis e manuais. Como Tim Fitzgerald descreve: “Quando procuramos serviços offboard que não controlamos ou não estamos cientes, é um processo muito aleatório. Contamos com a responsabilidade pessoal dos funcionários que deixam a empresa, e isso dificilmente é infalível.”
Dicas para CISOs sobre como evitar lacunas de segurança SaaS
Os CISOs com quem falei descreveram essas armadilhas nos programas de segurança SaaS organizacionais como lacunas que, em retrospectiva, as equipes de segurança deveriam ter evitado. Ao compartilhar suas próprias experiências, eles fornecem aos profissionais de segurança insights inestimáveis e acionáveis.
“O GDPR foi um verdadeiro catalisador para localizarmos e identificarmos nossos aplicativos e dados”, diz Ray Espinoza. “Uma das lições mais críticas que aprendemos foi saber onde seus dados estão fluindo e com o que seus aplicativos SaaS estão se integrando.” Uma vez que as equipes de segurança tenham uma compreensão geral de como é seu portfólio SaaS, Sounil Yu sugere que os controles de segurança para a integração de novos aplicativos devem ser aplicados em contexto direto ao tamanho e ao estágio da organização. “O momento certo para mudar de uma política livre para todos para uma abordagem mais controlada é uma decisão importante. Colocar controles rígidos sobre a segurança SaaS pode ser um obstáculo para o crescimento de uma jovem startup quando as equipes principais são construídas e os aplicativos são integrados a cada nova equipe. À medida que a empresa se estabiliza e o CISO tem uma boa compreensão do portfólio de SaaS, só então eles devem começar a apertar as restrições.”
Acompanhar a escala e a magnitude das necessidades de negócios é uma parte fundamental da manutenção do papel do CISO como jogador de equipe e facilitador da inovação. Tim Fitzgerald aconselha as equipes de segurança a se concentrarem em ser parceiros de negócios em vez de obstruidores. “Lutar contra a maré tentando controlar o que os funcionários podem usar é inútil. É uma luta que os CISOs inevitavelmente perderão e farão com que as equipes de segurança pareçam anti-negócios e anti-inovação no processo. Os CISOs precisam de políticas fortes e ágeis que construam confiança e tornem o processo de verificação mais rápido e fácil, permitindo que os negócios prosperem.”
Esses processos, juntamente com ferramentas de segurança de ponta, devem ajudar os CISOs a garantir que os controles de acesso e os processos de governança de dados estejam em vigor, não importa onde os funcionários estejam ou quais aplicativos eles usem. Os CISOs não devem ter que policiar a organização, mas usar ferramentas que garantam que eles estejam automaticamente envolvidos e estejam à frente do jogo. Utilizar soluções pontuais complicadas que podem descobrir apenas uma fração dos aplicativos organizacionais ou monitorar conexões que se originam apenas da rede corporativa, só irá tão longe no fortalecimento do CISO e na proteção da organização. A cobertura e governança SaaS econômicas e abrangentes com toque zero devem ser componentes críticos do controle dos CISOs sobre sua expansão SaaS organizacional.
FONTE: HELPNET SECURITY