Recente cyberaanvallen in de toeleveringsketen zorgen ervoor dat de cyberveiligheidsregelgeving in de financiële sector de compliance-eisen aanscherpt, en de verwachting is dat andere sectoren zullen volgen. Veel bedrijven beschikken nog steeds niet over efficiënte methoden om gerelateerde tijdgevoelige SaaS-beveiligings- en compliancetaken te beheren. Gratis SaaS-risicobeoordelingstools zijn een eenvoudige en praktische manier om inzicht en initiële controle te geven over SaaS-wildgroei en Shadow AI. Deze tools bieden nu stapsgewijze upgrades, waardoor beveiligingsprofessionals kunnen voldoen aan hun bedrijfsbudget of volwassenheidsniveau.
Regelgevingsdruk, de verspreiding van SaaS en AI, en een verhoogd risico op inbreuken of datalekken via apps van derden, maken SaaS-beveiliging een van de populairste gebieden waar beoefenaars van kunnen leren en adopteren. Nieuwe regelgeving vereist robuust SaaS-risicolevenscyclusbeheer van derden, dat begint met het ontdekken van SaaS-services en risicobeheer van derden (TPRM) en eindigt met de eis van CISO's om incidenten in hun toeleveringsketen binnen 72 uur te melden. Financiële cyberregelgeving zoals NY-DFS en DORA zijn gebaseerd op vergelijkbare risicoreductieprincipes, ondanks het gebruik van verschillende terminologieën.
Lessen die u kunt leren van financiële SaaS-beveiligingsvereisten
Beveiligingsprofessionals die de cyber-compliancevereisten van de financiële sector begrijpen, zijn beter toegerust om hun SaaS-risico's te beheren en met verschillende andere compliance-frameworks om te gaan. Deze onderliggende principes, grofweg onderverdeeld in vier stappen, zullen naar verwachting in meerdere sectoren worden toegepast. Ze bieden een uitstekend sjabloon voor het veilig gebruik van SaaS, dat moet worden geleerd als best practice op het gebied van beveiliging.
1. Ontdekking en risicobeheer door derden (TPRM)
Het SaaS-beveiligingstraject begint met het identificeren en in kaart brengen alle diensten van derden die door de organisatie worden gebruikt. Deze diensten moeten worden beoordeeld op hun belang voor de bedrijfsvoering en hun impact op niet-openbare informatie (NPI), en ze moeten worden vergeleken met de reputatiescore van een leverancier (een outside-in risico-evaluatie). Hoewel veel bedrijven zich alleen richten op ‘goedgekeurde applicaties’ die tijdens het aankoopproces worden gecontroleerd, houdt deze aanpak geen gelijke tred met de snelle adoptie van SaaS en de manier waarop deze in organisaties wordt gebruikt. Een alomvattend beveiligingsbeleid moet ook betrekking hebben op ‘schaduw-IT’, wat verwijst naar de niet-goedgekeurde apps die door individuele werknemers worden gebruikt, evenals naar gratis proefversies die door verschillende teams worden gebruikt. Beide soorten applicaties stellen NPI vaak bloot en bieden achterdeurtoegang tot de meest vertrouwelijke activa van het bedrijf.
2. Risicobeleid opstellen en handhaven
Na het beoordelen van de risico's moeten beveiligingsteams een duidelijk beleid opstellen met betrekking tot goedgekeurde en niet-goedgekeurde SaaS-leveranciers en de soorten gegevens die kunnen worden gedeeld met deze in de cloud gehoste services. Gestroomlijnde gebruikerseducatie is van cruciaal belang om ervoor te zorgen dat iedereen dit beleid begrijpt. Ook is continue handhaving vereist, wat vooral in SaaS-omgevingen van belang is. De gemiddelde werknemer gebruikt 29 verschillende apps, met frequente wijzigingen. Veel bedrijven vertrouwen nog steeds op periodieke beoordelingen en handmatige processen die de handhaving van schaduw-IT en applicaties die zelfs minuten na een SaaS-audit zijn toegevoegd, over het hoofd kunnen zien. Het is belangrijk op te merken dat CISO's verantwoordelijk blijven voor eventuele beveiligingsincidenten die verband houden met deze laat aan boord gebrachte of door medewerkers gebruikte SaaS-applicaties.
3. Vermindering van het aanvalsoppervlak
Vervolgens verschuift de focus naar het aanvallen van oppervlaktebeheer en het verminderen van het aantal goedgekeurde providers. SaaS Security Posture Management (SSPM)-oplossingen zijn krachtig voor deze complexe maar cruciale stap. Dit omvat onder meer het versterken van de initiële configuraties van de SaaS-apps, met de nadruk van de regelgeving op multi-factor authenticatie (MFA), onboarding en het beheren van toegangsrechten voor menselijke en niet-menselijke identiteiten via gebruikerstoegangsbeoordelingen. Geavanceerde teams monitoren ook ongebruikte tokens en te tolerante applicaties, en beheren het delen van informatie. Deze aspecten zijn van cruciaal belang voor de SaaS-beveiliging, maar worden slechts gedeeltelijk gedekt door regelgeving.
4. Incidentdetectie en -respons
Ondanks alle risicobeperkende maatregelen kunnen derden nog steeds te maken krijgen met inbreuken. Uit onderzoek van Wing blijkt dat bijna alle 500 beoordeelde bedrijven het afgelopen jaar minimaal één gehackte applicatie hebben gebruikt. Financiële toezichthouders eisen dat CISO's incidenten in de toeleveringsketen snel melden (binnen 72 uur onder NY-DFS en uiterlijk de volgende werkdag onder DORA). De interpretatie van deze vereisten moet nog worden getest, waardoor veel CISO's bij het rapporteren van gebeurtenissen afhankelijk zijn van de goede praktijken van hun leveranciers. Met een markt die 350.000 verschillende SaaS-applicaties omvat en de uitdagingen van schaduw-IT, zijn robuuste ondersteunende diensten noodzakelijk voor snel herstel na gebeurtenissen en compliance.
SaaS-beveiliging voor iedereen
Organisaties variëren qua volwassenheid van SaaS-beveiliging, risicobereidheid en investeringen in beveiligingsarbeid en -tools. Wing Security biedt een gratis instaptool om de risico's van de meest gebruikte SaaS-applicaties van een organisatie te ontdekken en in te schatten. Ze hebben onlangs hun Basic Tier op instapniveau bijgewerkt om arbeidsintensieve taken te automatiseren die cruciaal zijn voor beveiligingsteams. Dit nieuwe niveau omvat diepgaande schaduw-IT-detectie, beleidsbepaling en -handhaving, en naadloze voorlichting aan medewerkers over SaaS-leveranciers. Vanaf $3.500 per jaar voor kleinere organisaties biedt de Basic Tier een kosteneffectief toegangspunt tot SaaS-beveiliging, waarbij verdere upgrades beschikbaar zijn om meer gebruiksscenario's voor bescherming te verbeteren en de kosten van regelgevende taken te verlagen.
Voor veel bedrijven die nog geen volledige SaaS-beveiligingsoplossingen gebruiken, bieden schaalbare tieringmodellen een gemakkelijke manier om risico's bloot te leggen en snel de ROI aan te tonen. Meer geavanceerde organisaties willen dat Pro of Full Enterprise Tiers alle vier de typische compliance-stappen die hierboven worden beschreven efficiënt kunnen aanpakken en beheren.
