5 шагов к безопасности SaaS
05.03.11, Сб, 15:27, Мск,
Чтобы уберечь свои данные, не позволяйте поставщикам увиливать от трудных вопросов и делайте собственные выводы. Это основной совет, который можно сформулировать в свете роста предложений вендоров SaaS, для тех, кто еще не решил где ему разместить свои данные – на локальных машинах или в облачных системах.
Практически любая бизнес-функция, поддерживаемая информационными технологиями предприятия, потенциально может быть доставлена в качестве службы и размещена на внешних хост-машинах. Программное обеспечение как услуга (SaaS) является популярным подходом к организации работы ИТ-систем.
Аналитическое исследование издания InformationWeek свидетельствует о том, что процент компаний, использующих SaaS, вырос с 47% до 60% всего за 11 месяцев. Однако, поставщики SaaS, как правило, уклоняются от обсуждения сферы безопасности. Они очень мало говорят о практической безопасности, ваших правах как клиента или защищенности данных вашей компании.
InformationWeek прогнозирует, что рост SaaS и других облачных сервисов приведет в конечном итоге к коллапсу, поскольку будут изучены риски угрозы безопасности данных. В этот момент поставщики облачных услуг будут вынуждены раскрыть больше информации. До тех пор пользователям надо самим проявить осмотрительность, прежде чем разрешить размещение важных данных за пределами компании.
Крупная компания с собственной службой безопасности имеет привилегированное положение в глазах поставщиков сервисов. Такой компании легче получить ответы на вопросы, провести тестирование сервиса. К примеру, когда сторонние консультанты по информационной безопасности запустили пилотный проект Google Workspace (ранее G Suite) в нескольких мелких подразделениях Walt Disney, информационную поддержку Google они получили потому что заказчик Disney. Google готова была поделиться информацией.
В случае с компаниями поменьше, все обстоит иначе. Тогда возникает серьезный вопрос: почему вам должны доверять свои данные и репутацию компании, если вы не доверяете их документам или способности разобраться в теме? Как формировался Рунет и развивалась его инфраструктура. Спецпроект TAdviser к 30-летию российского сегмента всемирной сети 
К сожалению, для подавляющего большинства компаний, трудно получить официальную информацию, необходимую для принятия решений о величине риска. В таких случаях приходится брать дело в собственные руки. Адам Илай (Adam Ely), директор по безопасности компании TiVo, поделился с изданием InformationWeek своим видением взаимодействия с провайдерами SaaS и дал несколько рекомендаций.
1. Пользуйтесь сторонними информационными источниками. Поинтересуйтесь вокруг. Используйте социальные сети. Часто вам предложат познакомиться с человеком, который поможет в получения официальных и неофициальных ответов.
2. Не доверяйте ссылкам клиентов. Вместо этого ищите нынешних или бывших клиентов на свое усмотрение и попросите их поделиться с вами любой релевантной информацией, какую они могут дать, не нарушая соглашений о конфиденциальности. Никогда не доверяйте вендору только потому, что он имеет имя, или клиентов, которые, как вы считаете близки вам по системам безопасности и по духу.
3. Поищите в Интернете информацию о поставщиках и ответах на любые предыдущие инциденты в сфере безопасности. Некоторые провайдеры, такие как Google, публикуют сообщения об их взглядах на безопасность и управление рисками. Чтение их может рассказать вам много нового.
4. Попросите провести контрольные тесты. Вам никогда не позволят оценить каждый элемент управления, имеющий значение, но сканирование нескольких уязвимостей и проверка кода могут обеспечить понимание практики поставщика SaaS. Большинство авторитетных поставщиков позволяет клиентам проводить некоторые испытания с предварительным уведомлением. Если провайдер показывает слабый контроль над простейшими элементами, есть смысл подумать, что необходима более продвинутая защита.
5. Используйте ваше влияние на полную катушку. Поставщики SaaS, как и остальные, пытаются строить свой бизнес, им всегда нужна маркетинговая подкормка. Даже если ваша компания не в Fortune 500, ваш частный случай использования услуг этого вендора, или вашей отрасли могут послужить ценной ссылкой для поставщика. Используйте это в качестве разменной монеты, чтобы получить более глубокое понимание безопасности и другой информации.
Иногда дело доходит до шестого чувства. Если продавец не внушает доверия, или заметны основания для сомнений в качестве его работы по управлению рисками от вашего имени, двигайтесь дальше, говорит эксперт. Новые поставщики появляются постоянно.
