Poiché le aziende integrano sempre più applicazioni SaaS, IaaS e altre nei loro ambienti e processi, alcune organizzazioni non sono consapevoli del proprio ruolo nella protezione dei dati sensibili.
Questo può lasciare una lacuna significativa nello stack di sicurezza di un'organizzazione quando si affida esclusivamente ai provider SaaS per proteggere le proprie informazioni.
Capire quali aspetti della sicurezza sono di competenza di un'organizzazione e quali rientrano nel dominio dell'applicazione SaaS è noto come modello di responsabilità condivisa.
I team di sicurezza devono comprendere questo modello per mitigare i rischi delle principali minacce informatiche di oggi e proteggere le proprie informazioni sensibili.
Che cos'è un modello di responsabilità condivisa?
Il modello di responsabilità condivisa ritiene che i fornitori SaaS siano responsabili della sicurezza dell'infrastruttura e della fornitura di una soluzione altamente disponibile. Il consumatore è responsabile della protezione e della sicurezza dei propri dati all'interno della piattaforma, fatto di cui molte organizzazioni non sono a conoscenza.
L'incomprensione su chi sia responsabile della sicurezza dei dati deriva normalmente dal fatto che i team interni acquistano prodotti SaaS senza coinvolgere il reparto IT o i team di sicurezza.
Di seguito è riportata una ripartizione tradizionale della responsabilità condivisa descritta, a cui aderiscono diversi fornitori di servizi cloud, come Salesforce, AWS e Microsoft nelle loro organizzazioni.
Un modello tradizionale di responsabilità condivisa.
Responsabilità condivisa in azione
Salesforce è un esempio significativo del modello di responsabilità condivisa in azione.
Salesforce adotta la sicurezza fin dalla progettazione per la sua infrastruttura, ma spetta all'utente finale implementare i corretti controlli di sicurezza e le best practice per proteggere i propri dati critici da minacce e violazioni.
Varonis aiuta le organizzazioni a sostenere la loro parte del modello di responsabilità condivisa offrendo visibilità in tempo reale sulla loro postura di sicurezza dei dati di Salesforce, garantendo che solo le persone autorizzate abbiano accesso ai dati più importanti, correggendo automaticamente le configurazioni errate e rilevando attività sospette.
Quando le organizzazioni acquistano Salesforce, i team di vendita tendono a gestire lo strumento CRM e si concentrano sul garantire che le informazioni siano facilmente accessibili agli utenti.
Tuttavia, è abbastanza comune che i team di sicurezza abbiano una visibilità o una consapevolezza limitata dei rischi associati a una piattaforma SaaS come Salesforce, nonostante la natura sensibile dei dati in essa contenuti.
La necessità di un accesso rapido e l'assenza totale di supervisione della sicurezza spesso porta dimenticare la sicurezza e la governance dei dati. Questo è particolarmente vero quando le applicazioni SaaS vengono acquistate e lanciate con poca o nessuna supervisione da parte del reparto IT, aumentando così notevolmente la probabilità di una violazione dei dati.
Ecco perché l'implementazione di un modello di responsabilità condivisa è fondamentale per la protezione dei dati.
Come implementare il modello di responsabilità condivisa nella propria organizzazione
Per evitare che i dati sensibili finiscano nelle mani sbagliate, i componenti di un modello di responsabilità condivisa devono essere riconosciuti e compresi dal team di sicurezza e dai proprietari delle applicazioni.
Un rapporto di collaborazione tra i team interni e i proprietari delle applicazioni aiuta a garantire che i dati cloud siano adeguatamente protetti e trattati con la stessa cura dei dati che si trovano su un file server.
Fornisci al tuo team di sicurezza e ai proprietari delle applicazioni l'accesso e i controlli appropriati per garantire che entrambi i gruppi possano rispondere a queste tre domande:
- Dove vengono archiviati i miei dati sensibili in questa applicazione?
- Chi può accedere a questi dati?
- Chi accede ai miei dati?
I membri del team devono individuare i componenti di sicurezza della cui protezione la propria azienda è responsabile rispetto agli aspetti di proprietà del provider SaaS e capire quali aspetti di sicurezza devono essere affrontati specificamente da loro. Tutte le piattaforme SaaS utilizzate dall'organizzazione devono essere valutate tenendo in considerazione il modello di responsabilità condivisa.
Varonis aiuta le organizzazioni a capire dove risiedono i loro dati sensibili, mappa l'accesso ai tuoi dati e offre funzionalità di controllo e rilevamento delle minacce.
Offriamo una comprensione chiara e contestuale dei dati SaaS, proteggendo la tua organizzazione con risultati automatizzati senza incidere sulla continuità aziendale. La nostra copertura include una serie di dati SaaS, IaaS, on-premise e altro ancora.
Non aspettare che si verifichi una violazione.
Se le organizzazioni non definiscono adeguatamente la propria responsabilità condivisa con le app SaaS, la mancanza di proprietà e preparazione potrebbe determinare la loro incapacità di reagire in modo appropriato a una violazione dei dati o a una minaccia interna.
Vuoi sapere se i tuoi dati sensibili sono protetti?
Inizia con la nostra Data risk assessment gratuita. In meno di 24 ore avrai una visione chiara e basata sul rischio dei dati più importanti e un percorso chiaro verso la remediation automatizzata.
