Intesa come protezione delle applicazioni, e non come fornitura di funzionalità di sicurezza dal cloud, la sicurezza SaaS non è affatto una disciplina nuova. Sono oltre 10 anni che i provider di sicurezza per l’accesso al cloud si propongono per aiutare le organizzazioni a tracciare l’utilizzo, controllare l’accesso e proteggere i dati residenti nelle applicazioni.
Man mano che si è esteso l’ambiente SaaS, però, le esigenze di security delle aziende sono cambiate. Prima erano guidate dalla compliance, ora la spinta principale per molte organizzazioni è l’urgenza di proteggersi da malware e ransomware. Anche l’identificazione e la correzione di configurazioni errate, come l’uso di password deboli o predefinite, permessi utente eccessivi e autorizzazioni non aggiornate, sono ambiti su cui lavorare per evitare di aprire le porte agli attacchi degli aggressori.
Nel panorama odierno, sono molti i team di sicurezza che non si rendono conto della portata del problema. Le applicazioni non autorizzate creano punti ciechi e l’interconnessione di quelle SaaS con estensioni di terze parti e altre, offusca ulteriormente la portata dell’impronta SaaS di un’organizzazione e l’esposizione al rischio.
Dal punto di vista dei prodotti, ci sono aspetti buoni e cattivi. La notizia positiva è che esistono numerosi strumenti per affrontare questi problemi di sicurezza SaaS: i provider di sicurezza per l’accesso al cloud, la gestione della postura di sicurezza SaaS, i browser aziendali, il servizio di sicurezza edge e il Secure Access Service Edge, per esempio.
La cattiva notizia è che, data l’abbondanza di strumenti per la sicurezza SaaS, le organizzazioni potrebbero avere difficoltà a capire quali adottare. Una risposta univoca non esiste: si deve decidere la linea d’azione in base ai propri casi d’uso, tenendo in forte considerazione alcuni elementi prioritari in ogni contesto in cui si adottano prodotti di sicurezza SaaS:
- La visibilità è alla base di qualsiasi strumento di sicurezza SaaS. È necessario avere una visione dell’uso autorizzato e non autorizzato dell’applicazione, delle estensioni di terze parti collegate tramite API, dei dati a cui si accede e di ciò che gli utenti fanno all’interno dell’applicazione. Ciò consente ai team di definire policy specifiche per controllare l’uso, limitare il rischio insider e proteggere le applicazioni stesse.
- I flussi di lavoro flessibili consentono ai team di sicurezza di collaborare in modo efficiente con i proprietari di applicazioni distribuite senza creare un onere eccessivo. Storicamente la cybersecurity non è in grado di garantire un coordinamento efficace tra i team di sicurezza e di line-of-business. Ciò è particolarmente vero nell’ambito della sicurezza SaaS. Gli strumenti che consentono ai team di sicurezza di assegnare chiaramente i compiti ai proprietari delle applicazioni, e persino di automatizzare alcune azioni, contribuiscono ad alleviare questo onere.
- L’UX trasparente è fondamentale. In ultima analisi, i team di sicurezza devono proteggere l’organizzazione, consentendo al contempo l’attività aziendale. I prodotti che impediscono ai dipendenti di essere produttivi, invece di renderli sicuri, sono difficili da vendere nell’azienda moderna.
Dando la priorità a questi fattori, i responsabili della sicurezza possono essere avvantaggiati nella creazione e nell’implementazione di una strategia di sicurezza SaaS e nella ricerca degli strumenti giusti.