Posljednjih godina tvrtke su sve češće počele usvajati pristup “prvo u oblaku” sa sve većom učestalošću kada je riječ o IT tehnologijama. Glavne pokretačke snage iza ove promjene su jednostavnost uporabe, dostupnost, skalabilnost i isplativost ovog pristupa. Ogromna količina usluga u oblaku potrebna je za uvođenje različitih kategorija kako bi korisnici mogli bolje razumjeti prirodu usluge. Neke od najpoznatijih kategorija uključuju SaaS (Softver kao usluga), IaaS (Infrastruktura kao usluga), PaaS (Platforma kao usluga), FaaS (Funkcije kao usluga) i DaaS (Podaci kao usluga). Iako su svi spomenuti modeli popularni, SaaS vam najvjerojatnije pada na pamet kad razmišljate o softveru u oblaku. To je kategorija s kojom je većina tvrtki i zaposlenika izravno u kontaktu.
Kao što bismo mogli zamisliti kad razmotrimo njihovu popularnost, korištenje SaaS aplikacija ima mnogo prednosti. Uglavnom je SaaS nevjerojatno jednostavno postaviti; općenito su za početak korištenja softvera potrebne samo jednostavna registracija i kreditna kartica. Ovisno o vrsti softvera, SaaS će možda trebati neku vrstu integracije s drugim sustavima. Međutim, obično nije potrebno ništa instalirati lokalno.
SaaS predstavlja tri glavna problema za organizacije:
1. Ne znate ono što ne znate.
Vrlo je brzo i lako započeti korištenje softvera temeljenog na oblaku. Bilo koji zaposlenik s poslovnom adresom e-pošte može se registrirati i početi istraživati mogućnosti usluge. Iako je vrlo jednostavno, ovo predstavlja problem za organizaciju. Budući da ove SaaS aplikacije nisu pod centraliziranim IT upravljanjem, tamo kreirani računi također su nepoznati i njima se ne upravlja. Neki nude jedinstvenu prijavu ili slične značajke za integriranje sa centraliziranim sustavima za upravljanje identitetima, međutim, to je nešto što nije dostupno u velikoj većini usluga ili dolazi uz znatne dodatne troškove.
To postavlja dosta pitanja:
– Što se događa ako zaposlenik napusti tvrtku? Još uvijek može imati pristup softveru i uslugama koje može pohraniti ili obraditi osjetljive podatke
– Koji se podaci pohranjuju na platformi, kako se obrađuju ili dijele? Ako je uporaba softvera nepoznata s gledišta organizacije, gotovo da ne postoji šansa da tvrtka pravilno upravlja relevantnim politikama korištenja podataka.
– Koje politike i sporazume pruža dobavljač SaaS-a?
Prema različitim izvješćima, zaposlenik ima pristup desecima takvih aplikacija u oblaku, dok tvrtke u prosjeku koriste stotine aplikacija u oblaku. U slučaju tvrtki, to se može proširiti na tisuće aplikacija u oblaku, što sve predstavlja probleme u vezi s upravljanjem podacima tvrtke i privatnošću. To znači da se čak i manje organizacije mogu suočiti s tim velikim problemima, akumulirajući tisuće internetskih poslovnih računa na mreži, a velika poduzeća mogu imati desetke tisuća takvih računa.
2. Noćna mora upravljanja.
Čak i ako tvrtka nije u potpunosti shvatila velike izazove i rizike koje predstavljaju SaaS računi, mogla bi se umjesto toga svakodnevno suočavati s problemima upravljanja povezanim sa SaaS-om. Prije ili kasnije korisnici će iznijeti pitanja ili zahtjeve povezane s određenom uslugom. Upravljanje takvim zahtjevima može biti problematično ako IT služba jedva poznaje uslugu ili softver. Uobičajeni korisnički upiti uključuju potencijalne probleme s prijavom, pomoć za integraciju i pitanja o upotrebljivosti, da nabrojimo samo neke.
Mogli bi postojati i drugi zahtjevi za izradu inventara usluge, čak i ako su besplatni. Na primjer, ako revizija zahtijeva da navedete mrežne web-aplikacije zajedno s njihovom prirodom, politikama i ugovorima, ručno prikupljanje tih podataka izuzetno je dugotrajan i ponekad nemoguć zadatak.
3. Lozinke, lozinke, lozinke.
Korištenje SaaS računa predstavlja i mnoge izravne IT sigurnosne rizike, a najveći problem predstavljaju lozinke. Korisnici ne vole lozinke, posebno složene. Kao rezultat toga, oni obično koriste slabe lozinke ili ponovno koriste korporativne vjerodajnice kada stvaraju ili ažuriraju svoje račune. S druge strane, obrazloženje s njihove točke gledišta moglo bi biti da oni smatraju da je ovaj pristup korporativne prirode, pa koriste istu lozinku kao i onu za svoju poslovnu e-poštu, VPN itd. Čak i ako daju sve od sebe da bismo koristili jedinstvene i složene lozinke, milijarde računa krše se svake godine.
Tržište SaaS-a izuzetno je konkurentno, a većina razvojnih procesa dobavljača SaaS-a temelji se na značajkama, dok je sigurnost u najboljem slučaju tek sekundarna. Naravno, postoje mnogi dobavljači koji ulažu više napora u sigurnost svoje infrastrukture i proizvoda. No i ako je to slučaj, postoje ranjivosti – čak i one nultog dana – koje hakeri mogu iskoristiti za prikupljanje podataka za prijavu i drugih osjetljivih podataka. Kršenja i ponovna upotreba lozinke glavni su krivci za napade preuzimanja računa (ATO), jer se procurjele vjerodajnice mogu koristiti za neovlašteni pristup korporativnim resursima.
Scirge ima rješenje
Scirge pruža jedinstveni pristup otkrivanju i stjecanju kontrole nad neupravljanim web računima trećih strana. Scirge prati web stranice koje zaposlenici koriste korporativne adrese e-pošte za registraciju i prijavu. Imati središnju nadzornu ploču otkrivenih računa pomaže smanjiti rizik od prijetnji povezanih s vjerodajnicama, poput ponovne upotrebe lozinke ili preuzimanja računa (ATO). Scirge daje razinu kontrole nad upotrebom SaaS-a za prevladavanje Shadow IT-a. Također vam pomaže osigurati da se vaša tvrtka pridržava GDPR-a i ostalih zahtjeva revizije.
Kontaktirajte nas za više informacija o Scirgeu!
