Os recentes ataques cibernéticos à cadeia de abastecimento estão a levar as regulamentações de segurança cibernética no sector financeiro a reforçar os requisitos de conformidade, e espera-se que outras indústrias o sigam. Muitas empresas ainda não possuem métodos eficientes para gerenciar tarefas relacionadas de segurança e conformidade de SaaS urgentes. Ferramentas gratuitas de avaliação de risco de SaaS são uma maneira fácil e prática de trazer visibilidade e controle inicial para a expansão de SaaS e Shadow AI. Essas ferramentas agora oferecem atualizações incrementais, ajudando os profissionais de segurança a atingir o orçamento ou o nível de maturidade da empresa.
A pressão regulatória, a proliferação de SaaS e IA e o aumento do risco de violações ou vazamentos de dados por meio de aplicativos de terceiros fazem da segurança SaaS uma das áreas mais importantes para os profissionais aprenderem e adotarem. As novas regulamentações exigirão um gerenciamento robusto do ciclo de vida de riscos de SaaS de terceiros, que começa com a descoberta de serviços SaaS e o gerenciamento de riscos de terceiros (TPRM) e termina com a exigência dos CISOs de relatar incidentes em sua cadeia de suprimentos dentro de 72 horas. Regulamentações cibernéticas financeiras como NY-DFS e DORA baseiam-se em princípios de redução de risco semelhantes, apesar de utilizarem terminologias diferentes.
Lições a aprender com os requisitos de segurança de SaaS financeiro
Os profissionais de segurança que entendem os requisitos de conformidade cibernética do setor financeiro estão mais bem equipados para gerenciar o risco de SaaS e lidar com várias outras estruturas de conformidade. Espera-se que estes princípios subjacentes, amplamente categorizados em quatro etapas, sejam replicados em vários setores. Eles fornecem um modelo excelente para usar SaaS com segurança, que deve ser aprendido como uma prática recomendada de segurança.
 |
| *Mapeamento dos requisitos NY-DFS para quatro etapas de segurança SaaS |
1. Descoberta de terceiros e gerenciamento de riscos (TPRM)
A jornada de segurança SaaS começa identificando e mapeando todos serviços de terceiros utilizados pela organização. Estes serviços precisam de ser avaliados pela sua importância para as operações e pelo seu impacto nas informações não públicas (NPI), e devem ser comparados com uma pontuação de reputação do fornecedor (uma avaliação de risco externa). Embora muitas empresas se concentrem apenas em “aplicativos sancionados” avaliados durante o processo de compra, essa abordagem não acompanha o ritmo da rápida adoção do SaaS e de como ele é usado nas organizações. Uma política de segurança abrangente também deve abranger a “TI paralela”, que se refere aos aplicativos não autorizados adotados por funcionários individuais, bem como aos testes gratuitos usados por diferentes equipes. Ambos os tipos de aplicativos normalmente expõem o NPI e fornecem acesso backdoor aos ativos mais confidenciais da empresa.
2. Definir e aplicar políticas de risco
Depois de avaliar o risco, as equipes de segurança precisam estabelecer políticas claras em relação aos fornecedores de SaaS aprovados e não aprovados e aos tipos de dados que podem ser compartilhados com esses serviços hospedados na nuvem. A educação simplificada dos usuários é essential para garantir que todos entendam essas políticas. A aplicação contínua, que tem um significado explicit em ambientes SaaS, também é necessária. O funcionário médio usa 29 aplicativos diferentes, com mudanças frequentes. Muitas empresas ainda dependem de revisões periódicas e processos manuais que podem ignorar a aplicação de shadow IT e aplicativos adicionados mesmo minutos após uma auditoria de SaaS. É importante observar que os CISOs permanecem responsáveis por quaisquer incidentes de segurança relacionados a esses aplicativos SaaS integrados tardiamente ou usados pelos funcionários.
3. Redução da superfície de ataque
Em seguida, o foco muda para o gerenciamento da superfície de ataque e a redução do número de provedores aprovados. As soluções SaaS Safety Posture Administration (SSPM) são poderosas para essa etapa complexa, porém crítica. Isso inclui fortalecer as configurações iniciais dos aplicativos SaaS, com ênfase regulatória na autenticação multifator (MFA), integração e gerenciamento de direitos de acesso para identidades humanas e não humanas por meio de revisões de acesso de usuários. As equipes avançadas também monitoram tokens não utilizados e aplicativos excessivamente permissivos e gerenciam o compartilhamento de informações. Esses aspectos são críticos para a segurança do SaaS, mas são apenas parcialmente cobertos pelas regulamentações.
4. Detecção e resposta a incidentes
Apesar de todas as medidas de redução de risco, terceiros ainda podem sofrer violações. A pesquisa da Wing revelou que quase todas as 500 empresas analisadas usaram pelo menos um aplicativo violado no ano passado. Os reguladores financeiros exigem que os CISOs relatem incidentes na cadeia de suprimentos rapidamente (dentro de 72 horas no NY-DFS e no próximo dia útil no DORA). A interpretação destes requisitos ainda precisa de ser testada, deixando muitos CISOs dependentes das boas práticas dos seus fornecedores quando reportam eventos. Com um mercado composto por 350.000 aplicações SaaS diferentes e os desafios da Shadow IT, são necessários serviços de suporte robustos para uma recuperação rápida de eventos e conformidade.
Segurança SaaS para todos
As organizações variam em seus níveis de maturidade de segurança SaaS, apetite por risco e investimentos em mão de obra e ferramentas de segurança. Wing Safety oferece uma ferramenta básica gratuita para descobrir e avaliar o risco dos aplicativos SaaS mais usados de uma organização. Recentemente, eles atualizaram seu nível básico básico para automatizar tarefas que exigem muita mão de obra e são críticas para as equipes de segurança. Este novo nível inclui descoberta profunda de TI obscura, definição e aplicação de políticas e educação contínua da força de trabalho sobre fornecedores de SaaS. A partir de US$ 3.500 por ano para organizações menores, o nível Básico oferece um ponto de entrada econômico para a segurança SaaS, com atualizações adicionais disponíveis para aprimorar mais casos de uso de proteção e reduzir custos de tarefas regulatórias.
Para muitas empresas que ainda não utilizam soluções de segurança SaaS completas, os modelos escalonáveis de camadas fornecem uma maneira fácil de descobrir riscos e mostrar rapidamente o ROI. As organizações mais avançadas desejarão que os níveis Professional ou Enterprise completos abordem e gerenciem com eficiência todas as quatro etapas típicas de conformidade detalhadas acima.
