SaaS-beveiliging: bescherm je gegevens in de cloud
Binnen het brede en diverse scala aan digitale tools en diensten, worden SaaS-oplossingen (Software as a Service) steeds populairder. Bij SaaS koop je geen eenmalige versie van een product die je on-premises installeert, maar neem je een abonnement op de software die de leverancier vervolgens in de cloud aanbiedt. Office 365, Salesforce en Google Workspace zijn voorbeelden van populaire en veelvuldig gebruikte SaaS-platforms. De SaaS-dienst of -oplossing blijft eigendom van de leverancier en wordt ook door hem beheerd en onderhouden (updates, beschikbaarheid, een deel van de security).
Het gebruiken van een of meerdere SaaS-oplossingen heeft veel voordelen, maar brengt met name op het vlak van security en risicobeheersing ook uitdagingen met zich mee. Wat zijn de belangrijkste die om de hoek komen kijken bij SaaS-beveiliging? En welke maatregelen en best practices helpen om jouw SaaS-toepassingen veilig te houden? Je leest het in deze blog.
SaaS-beveiliging: de grootste uitdagingen
Maar de evolutie en grootschalige adoptie van SaaS levert naast voordelen ook een aantal veiligheidsuitdagingen op. We zetten de belangrijkste op een rij.
1. Configuratiemanagement
Zeker de complexere SaaS-applicaties hebben talloze beveiligingsopties die je op verschillende manieren kunt configureren. Daarnaast heb je binnen grote bedrijven te maken met honderden of duizenden gebruikersrollen en toegangsrechten die vaak ook nog eens gekoppeld zijn aan wettelijke, algemene en branchespecifieke veiligheidsstandaarden en -frameworks.
Het vinden van de juiste en voor jouw organisatie ideale configuratie kan in zo’n complex web een stevige uitdaging zijn. Het feit dat de leverancier en niet jouw eigen securityteam achter de knoppen zit bij het beheren en updaten van de SaaS-oplossing, maakt configuratiemanagement een nog uitdagendere klus als SaaS een belangrijke plek inneemt binnen je IT-landschap.
2. Gebruikers en apparaten
Een groot voordeel van SaaS is natuurlijk dat je een applicatie of dienst op meerdere apparaten beschikbaar kunt stellen aan gebruikers. Maar dit is ook een potentieel risico. Een SaaS-oplossing gebruiken op een apparaat dat niet afdoende beveiligd is (geen sterke en actuele antivirussoftware, toegang met een zwak wachtwoord), kan leiden tot serieuze problemen als veiligheidsincidenten of datalekken.
Het risico op problemen is vooral groot als een gebruiker met veel rechten en toegang tot privacygevoelige en bedrijfskritische informatie werkt op een slecht beveiligd apparaat. Het beveiligen van apparaten is minstens zo belangrijk als het beveiligen van de applicaties als je gebruikmaakt van SaaS.
3. Bedreigingen van binnenuit
Ook bedreigingen van binnenuit (‘inside threats’) zijn een belangrijk aandachtspunt bij SaaS-beveiliging. Volgens een uit 2021 daterende studie van BetterCloud naar SaaS-beveiliging ziet 72% van de IT-professionals welwillende, maar soms nalatige medewerkers als de grootste risicofactor bij het ontstaan van datalekken en veiligheidsincidenten. Kwaadwillende (ex-)werknemers en hackers volgen pas op ruime afstand. Een extern iemand toegang geven via Slack of een foto onbeveiligd delen via Dropbox: het zijn foutjes die zonder een duidelijk raamwerk voor SaaS-beveiliging zo zijn gemaakt.
4. Bestanden beheren
De grote kracht van SaaS is dat het veel makkelijker wordt om bestanden te delen en te communiceren met mensen binnen en buiten de eigen organisatie. En dat ook nog eens grotendeels apparaat- en locatieonafhankelijk. Het gemak van SaaS is tevens een potentiële valkuil. Vanuit de gedachte van makkelijk samenwerken met externe partijen deelt een medewerker een belangrijk bestand bijvoorbeeld publiek, zich niet realiserend dat Google het indexeert en zo publiekelijk beschikbaar maakt.
5. Inzicht in je SaaS-omgeving
Zeker tijdens de coronapandemie hebben veel bedrijven allerlei SaaS-oplossingen voor op afstand communiceren en samenwerken versneld uitgerold om zo goed mogelijk te anticiperen op het fenomeen thuiswerken. Ze gingen er toen echter vanuit dat dit tijdelijk zou zijn.
De realiteit toont iets anders: hybride (deels thuis en deels op kantoor) werken bevalt zo goed dat het inmiddels de norm wordt. Omdat snel uitrollen in coronatijd soms belangrijker was dan zorgvuldige adoptie en de indruk bestond dat veel oplossingen iets voor de korte termijn waren, missen sommige organisaties inzicht in hun snel gegroeide SaaS-landschap.
De oplossingen: zo maak je van SaaS-beveiliging een succes
Gelukkig zijn er diverse manieren om serieus werk te maken van SaaS-beveiliging en zo zorgeloos te profiteren van de voordelen en innovatieve kracht van het populaire model.
Pas identity and access management (IAM) toe
Met Identity and Access Management (IAM) beheer je de toegang tot privacygevoelige en bedrijfskritische informatie binnen je organisatie op een geautomatiseerde manier. Toegangsrechten en -privileges kun je finetunen en nauwkeurig afstemmen op de identiteit, functies en rollen van gebruikers. Sterke, lastig te kraken wachtwoorden, multifactorauthenticatie (MFA) en biometrische gegevens (vingerafdruk, irisscan) zijn authenticatiemiddelen die je bij IAM kunt inzetten.
Bouw zekerheden in
Veilig werken met SaaS-toepassingen gaat veel beter en makkelijker als je bepaalde zekerheden inbouwt. Denk bijvoorbeeld aan het standaard versleutelen van belangrijke data, zowel bij het opslaan als het delen. En aan het ontwikkelen van workflows die garanderen dat het omgaan met SaaS-applicaties altijd gebeurt volgens de interne veiligheidsrichtlijnen die binnen de organisatie gelden. Voer het beheer van SaaS-oplossingen ook zoveel mogelijk uit in combinatie met de traditionele beveiligingstools die je reeds gebruikt.
Creëer security-bewustzijn
Voor SaaS geldt hetzelfde als voor andere IT-toepassingen: de mens is vaak de zwakste schakel in de veiligheidsketen. Hier kun je wat aan doen door te werken aan het securitybewustzijn van medewerkers. Train ze gericht op SaaS-beveiliging, het belang van multifactorauthenticatie en het herkennen van bedreigingen zoals phishing en malware.
Beveilig data gericht door proactieve monitoring
Je kunt gegevens ook beveiligen door data en bestanden doorlopend te monitoren op:
- de blootlegging van gevoelige informatie als wachtwoorden, encryptiesleutels en privacygevoelige informatie;
- zakelijke e-mails die automatisch doorgestuurd worden naar persoonlijke accounts;
- gebruikers die geen toegang meer hebben tot bepaalde applicaties, bestanden, data of omgevingen;
- gevoelige informatie of bestanden die gedeeld worden met een concurrent;
- e-mails die naar mailadressen buiten je domein gaan;
- appkeuzes van medewerkers;
- gevoelige mappen (denk aan accounting en finance) die iemand publiek of met externen deelt.
Ontwikkel een goed responsplan
Geen enkele organisatie is onhackbaar of volledig immuun tegen cyberdreigingen. Als het toch een keer misgaat, kun je met een goed incident response plan veel ellende voorkomen. Zo’n plan beschrijft tot in detail hoe mensen binnen de organisatie dienen te handelen als er een veiligheidsincident of hack plaatsvindt. Het beschrijft ook de voor jouw organisatie acceptabele RTO (de hersteltijd na een crash of veiligheidsincident) en RPO (de maximale hoeveelheid dataverlies).
Ook een goede continuïteitsregeling kun je zien als een extra veiligheidsclausule. Zo’n regeling voorkomt namelijk dat je toegang tot je data en SaaS-applicaties verliest als een leverancier of cloudprovider onverhoopt failliet gaat.
Zorg voor zichtbaarheid en controle
Zichtbaarheid en controle zijn ook essentieel bij het regelen van SaaS-beveiliging. Het helpt om gebruik te maken van het principe van ‘least privilege’. Dit houdt in dat een persoon alleen bij de applicaties, systemen en data kan die hij of zij daadwerkelijk nodig heeft voor het uitvoeren van zijn of haar werk.
Daarnaast is het belangrijk om een goed overzicht te creëren van alle SaaS-toepassingen die draaien op je netwerk en aanwezig zijn binnen de organisatie. Dit helpt om eventueel onveilige schaduw-IT op te sporen. Het beveiligen van gebruikersinteracties binnen SaaS-applicaties is eveneens belangrijk bij het veilig houden van deze toepassingen.
Lees de blog: Cloudsecurity: hoe veilig is data in de (public) cloud?
Vragen over SaaS-beveiliging?
SaaS (Software as a Service) oplossingen worden steeds populairder binnen het brede scala aan digitale tools en diensten. Bij SaaS neemt men een abonnement op de software die door een leverancier in de cloud aangeboden wordt. SaaS-oplossingen hebben veel voordelen, maar het gebruik brengt ook uitdagingen op het gebied van security en risicobeheersing met zich mee. De grootste uitdagingen zijn configuratiemanagement, het beveiligen van gegevens in de cloud en het bewaken van de toegang tot de software. Heb je na het lezen van deze blog vragen en/of opmerkingen? Neem contact op om te sparren over jouw doelstellingen.