Da Unternehmen zunehmend SaaS-, IaaS- und andere Anwendungen in ihre Umgebungen und Prozesse integrieren, sind sich viele Organisationen ihrer Rolle bei der Sicherung sensibler Daten nicht bewusst.
Dies kann erhebliche Lücken im Sicherheitssystem von Unternehmen hinterlassen, falls es sich beim Schutz seiner Daten ausschließlich auf SaaS-Anbieter verlässt.
Zu verstehen, für welche Sicherheitsaspekte ein Unternehmen selbst verantwortlich ist und welche in den Verantwortungsbereich des SaaS-Anbieters fallen, wird als Modell der gemeinsamen Verantwortung bezeichnet.
Sicherheitsteams müssen dieses Modell verstehen, um die Risiken der aktuell wichtigsten Cyber-Bedrohungen zu mindern und ihre sensiblen Daten zu schützen.
Was ist das Modell der gemeinsamen Verantwortung?
Das Modell der gemeinsamen Verantwortung macht SaaS-Anbieter für die Sicherung der Infrastruktur und die Bereitstellung einer hochverfügbaren Lösung verantwortlich. Der Verbraucher hingegen ist für den Schutz und die Sicherung seiner Daten innerhalb der Plattform verantwortlich, was vielen Organisationen nicht bewusst ist.
Das Missverständnis, wer für die Datensicherheit verantwortlich ist, rührt in der Regel daher, dass interne Teams SaaS-Produkte kaufen, ohne ihre IT-Abteilung oder Sicherheitsteams einzubeziehen.
Hier sehen Sie eine herkömmliche Darstellung der gemeinsamen Verantwortung, mit der verschiedene Cloud-Anbieter wie Salesforce, AWS und Microsoft in ihren Organisationen arbeiten.
Ein herkömmliches Modell der gemeinsamen Verantwortung
Gemeinsame Verantwortung in Aktion
Salesforce ist ein bemerkenswertes Beispiel für das Modell der geteilten Verantwortung in der Praxis.
Salesforce setzt Security-by-Design für seine Infrastruktur ein, aber es liegt an den Endbenutzern, angemessene Sicherheitskontrollen und Best Practices zu implementieren, um ihre kritischen Daten vor Bedrohungen und Datenschutzverletzungen zu schützen.
Varonis unterstützt Unternehmen dabei, ihren Teil des Modells der gemeinsamen Verantwortung umzusetzen, indem es Echtzeiteinblicke in ihre Salesforce-Datensicherheit bietet und sicherstellt, dass nur die richtigen Personen Zugang zu den kritischsten Daten haben, Fehlkonfigurationen automatisch behebt und verdächtige Aktivitäten erkennt.
Wenn Unternehmen Salesforce kaufen, verwalten Vertriebsteams in der Regel das CRM-Tool und konzentrieren sich darauf, sicherzustellen, dass die Informationen für die Benutzer leicht zugänglich sind.
Es ist jedoch durchaus üblich, dass Sicherheitsteams nur begrenzte Sichtbarkeit in oder Bewusstsein über die Risiken haben, die mit einer SaaS-Plattform wie Salesforce verbunden sind – obwohl die darin enthaltenen Daten sensibel sind.
Wenn schneller Zugriff nötig ist, allerdings keine Sicherheitsaufsicht vorhanden ist, bleiben Datensicherheit und Daten-Governance oft auf der Strecke. Dies gilt insbesondere dann, wenn SaaS-Anwendungen mit wenig bis gar keiner Aufsicht durch die IT gekauft und eingeführt werden, was Datenschutzverletzungen deutlich wahrscheinlicher macht.
Daher ist das Modell der gemeinsamen Verantwortung für den Datenschutz enorm wichtig.
Wie Sie das Modell der gemeinsamen Verantwortung in Ihrem Unternehmen umsetzen
Damit sensible Daten nicht in falsche Hände geraten, muss Ihr Sicherheitsteam und die Anwendungseigentümer die Elemente des Modells der gemeinsamen Verantwortung gut verstehen und umsetzen.
Eine Zusammenarbeit zwischen Ihren internen Teams und den Anwendungseigentümern trägt dazu bei, dass Ihre Cloud-Daten ordnungsgemäß geschützt und mit der gleichen Sorgfalt behandelt werden wie Daten, die auf einem Dateiserver gespeichert sind.
Geben Sie Ihrem Sicherheitsteam und den Anwendungseigentümern Zugang und angemessene Kontrollen, um sicherzustellen, dass beide Gruppen die folgenden drei Fragen beantworten können:
- Wo werden meine sensiblen Daten in dieser Anwendung gespeichert?
- Wer kann auf diese Daten zugreifen?
- Wer greift auf meine Daten zu?
Die Teammitglieder müssen verstehen, für welche Sicherheitskomponenten Ihr Unternehmen und für welche Aspekte der SaaS-Anbieter verantwortlich ist sowie welche Sicherheitsaspekte ausschließlich von ihm behoben werden müssen. Alle SaaS-Plattformen, die Ihre Organisation verwendet, sollten nach dem Modell der gemeinsamen Verantwortung bewertet werden.
Varonis hilft Unternehmen zu verstehen, wo ihre sensiblen Daten gespeichert sind, ordnet den Zugriff auf Ihre Daten zu und bietet Funktionen für Audits und Bedrohungserkennung.
Wir bieten ein klares, kontextbezogenes Verständnis von SaaS-Daten und schützen Ihre Organisation mit automatisierten Ergebnissen, ohne die Geschäftskontinuität zu beeinträchtigen. Unser Angebot umfasst eine Vielzahl von SaaS-, IaaS- und On-Premises-Daten und mehr.
Warten Sie nicht, bis es zu einem Verstoß kommt.
Wenn Unternehmen ihre Mitverantwortung für SaaS-Anwendungen nicht angemessen definieren, kann dieser Mangel an Eigenverantwortung und Bereitschaft ggf. dazu führen, dass sie nicht in der Lage sind, auf Datenschutzverletzungen oder Insider-Bedrohungen angemessen zu reagieren.
Möchten Sie wissen, ob Ihre sensiblen Daten geschützt sind?
Fangen Sie mit unserem kostenlosen Data Risk Assessment an. In weniger als 24 Stunden haben Sie einen klaren, risikobasierten Überblick über die wichtigsten Daten und einen klaren Weg zur automatischen Sanierung.
