Software-as-a-Service (SaaS) eli niin sanotut pilvipohjaiset ohjelmistotuotteet tarjoavat monia etuja. Asiakkaana saat käyttöösi nopean, vakaan, innovatiivisen ja kustannustehokkaan teknologian ja sovellusinfrastruktuurin. Monet organisaatiot tunnustavat nämä edut. Siksi SaaS:stä on tullut monilla aloilla ensisijainen toimitusmalli. Mutta kuten me kaikki tiedämme, kolikolla on yleensä myös kääntöpuoli, joka on otettava huomioon.
SaaS-palvelun osalta tietoturvaan liittyvät olosuhteet voivat helposti olla kääntöpuoli, ja siksi se on erittäin tärkeä tutkittava tekijä.
Kysymys kuuluu: "Oletko tehnyt perusteellista valmistelutyötä arvioidessasi SaaS-palveluntarjoajiesi lähestymistapaa tietoturvaan?"
Pilvipalvelu vai kiinteä järjestelmä?
Useimmat teistä ovat luultavasti jo tietoisia siitä, mitä pilvi tarkoittaa ja mitä on-premise. Mutta jotta asia olisi vielä selvempi, hahmotan lyhyesti näiden kahden toimitusmallin erot. Pilvipohjaisessa lähestymistavassa ohjelmistot ja tiedot toimitetaan muualta kuin toimipisteestä. Kun taas puhutaan on-premise-palvelusta, koko laitteisto ja palvelimet, joita tarvitaan sovellusten käyttämiseen ja tietojen tallentamiseen, sijaitsevat itse - tästä nimi on-premise. Pilvipalvelun tärkein etu on, että se on joustavampi ja kustannustehokkaampi. Yrityksen ei tarvitse investoida sovellusten käyttämiseen tarvittavaan laitteistoon tai ohjelmistoon. Sinun ei myöskään tarvitse huolehtia vastaavien ohjelmistotuotteiden ylläpidosta ja päivityksistä. Uhraat kuitenkin kyvyn pysyä täysin hallinnassa tietoturvaa koskevan lähestymistavan suhteen.
Kun kyseessä on SaaS, sinä ja myyjä jaatte vastuun tietoturvasta - myyjä huolehtii kaikesta taustalla olevaan infrastruktuuriin liittyvästä, ja sinä olet vastuussa tuotteen asianmukaisesta, turvallisesta ja varmasta käytöstä.
Kysymys kuuluu: "Voitko luottaa siihen, että SaaS-palveluntarjoajasi suhtautuu vakavasti omaan osaansa työstä?"
Mitä sinun on otettava huomioon
Minulla on sinulle 3 vinkkiä tietoturvaan ja SaaSiin liittyen solutions. Ne ovat tärkeitä sekä silloin, kun etsit uutta ohjelmistoa ja analysoit markkinoita, että silloin, kun harkitset nykyisten palveluntarjoajien tarkastamista. Se on muuten hyvä tehdä aika ajoin.
No niin, nyt mennään:
1. Valitse SaaS-toimittajasi huolella
Ensimmäinen vinkki on mielestäni tärkein. Kyse on luottamuksesta.
SaaS-pohjaisen solutions tarjonta on valtava. Sinulla on paljon vaihtoehtoja. Esimerkiksi omalla erikoisalallamme, Expense Management ja solutions matkakulujen hallintaan, on nykyään monia vaihtoehtoja. Tosiasia on, että suuri osa tietoturvavastuusta on ohjelmistotoimittajan vastuulla, joten sinun on oltava varovainen, kun valitset yhteistyökumppanisi.
Sinun on etsittävä myyjiä, jotka tarjoavat ratkaisun käyttäjäoikeuksien ja tiedonsaannin vankan hallinnan, ja jos mahdollista, on myös eduksi, jos myyjä voi tarjota tietojen salauksen. On myös tärkeää kysyä, missä ja miten tiedot säilytetään. Säilytetäänkö tietoja kotimaassa, EU:ssa, EU:n ulkopuolella vai jossain kellarissa? Mikä luonnehtii palvelinasennusta ja siihen liittyvää tietoturvaa?
Sinun on myös tarkistettava, miten varmuuskopiointiin ja tietojen hakemiseen liittyvä prosessi toimii.
Muista myös, että SaaS-palveluntarjoajalle ei ole täysin ilmaista luoda ja ylläpitää vahvaa tietoturva-asetusta ja hyvin dokumentoituja prosesseja. Siksi kehotan sinua miettimään kahdesti, ennen kuin valitset listalta halvimman ratkaisun - se voi tulla kalliiksi pitkällä aikavälillä!
2. Pilvipohjaisten sovellusten käyttöä koskevien sääntöjen käyttöönotto
Tämä vinkki liittyy sinun osaasi työstäsi - toisin sanoen kyse on SaaS-tuotteiden asianmukaisesta ja turvallisesta käytöstä. Sinun on laadittava ja otettava käyttöön selkeä käytäntö ja sääntökokonaisuus pilvipohjaisten ohjelmistojen käyttöä varten.
Ihannetapauksessa tämän politiikan on kohdistuttava sekä käyttäjiin että päätöksentekijöihin, jotka ostavat ohjelmistoja. Sen on oltava sääntökokonaisuus, jossa määritellään, minkälaisille työntekijöille myönnetään pääsy kyseisiin työkaluihin ja mitä käyttöoikeustasoja eri työntekijöille on myönnettävä. Siinä on myös määriteltävä, miten tuotteita voidaan käyttää - eli minkä laitteiden kautta.
Tämänkaltainen politiikka tulisi myös liittää siihen, miten yrityksesi kouluttaa työntekijöitään internet-pohjaisten ohjelmistojen solutions käyttöön liittyvästä oikeasta käyttäytymisestä. Miten työntekijät esimerkiksi suojaavat itsensä, henkilöllisyytensä, käyttäjätunnuksensa ja salasanansa parhaalla mahdollisella tavalla?
3. Harkitse, tarvitsetko erillistä työkalua SaaS-tietojen suojaamiseen.
Ehkä käytät jo SaaS-tuotteita useilta arvostetuilta toimittajilta, joilla on vahvat turvatoimet. Mutta samaan aikaan sovelluskokonaisuutesi on ehkä muuttunut niin monimutkaiseksi, että nyt on järkevää investoida omaan tietoturvakerrokseen.
Tämä vinkki liittyy läheisesti vinkkiin numero 2, koska markkinoilla on solutions , joka auttaa sinua hallitsemaan omaa osuuttasi turvallisuustehtävästä. On kuitenkin hyvä ajatus, että sinulla on säännöt ja käytännöt valmiina (vinkki numero 2 mukaisesti), ennen kuin alat etsiä työkalua, joka auttaa sinua valvomaan niiden noudattamista. Tietoturvaloukkauksia voi tapahtua monella eri tavalla, esimerkiksi tietojen sopimattomalla jakamisella, varkauksilla (kuten työntekijät varastavat tietoja), heikosta salasanavahvuudesta johtuvilla vaarantuneilla käyttäjätunnuksilla, liiallisilla käyttäjäoikeuksilla jne. Tällaisia tietoturvaloukkauksia sinun on käsiteltävä.
Kun otat käyttöön sääntöjä organisaatiosi pilvipohjaisten työkalujen käyttöä varten, sinun on myös varmistettava, että työntekijäsi noudattavat sääntöjä. Ja tämä voi olla haastavaa, jos ympäristö on kasvanut suureksi ja monimutkaiseksi. On olemassa useita solutions -osoitteita, jotka auttavat sinua tässä, ja aluksi voit tutustua joidenkin suurten toimijoiden, kuten McAfeen ja RSI:n, tarjontaan.
Yhteinen vastuu
Kuten aiemmin tässä blogikirjoituksessa mainitsin, sinulla ja toimittajallasi on yhteinen vastuu tietoturvasta, kun kyseessä on SaaS solutions. Mielestäni tämä on tärkeää muistaa. Siihen pyrin näillä kolmella vinkillä. Vaikka oma organisaatiosi olisi kuinka huolellinen SaaS-tietoturvan suhteen, sillä ei ole mitään vaikutusta, jos olet valinnut toimittajan, joka ei hoida tehtäväänsä. Ja päinvastoin, tietenkin.
Yritykseni Acubiz on vakiintunut pilvipohjaisten ohjelmistojen toimittaja, joka hallinnoi työntekijöiden kuluja ja matkakuluja. Suhtaudumme vakavasti tietoturvaan liittyvään osaamme. Todella vakavasti. Se on tärkeä osa tuotestrategiaamme, koska uskomme, että vahvat tietoturva-asetukset suojaavat asiakkaidemme palveluun tekemiä investointeja.
Muista, että saat asettaa vaatimuksia myyjillesi. Niin luottamussuhteessa pitääkin olla.
Kysymys kuuluu: "Luotatko nykyisiin SaaS-toimittajiin?".