在冠状病毒疫情蔓延期间,云迁移和SaaS的采用激增。实际上,根据最近发布的一项调查报告,疫情使40%的企业加快了向云平台的迁移。很多企业依靠这些平台和工具的灵活性来提高生产力,而无需考虑员工的工作位置。
互连环境
企业还经常将这些应用程序连接到关键业务流程,以传输有价值的客户数据、个人身份信息(PII)、财务和其他敏感信息,以帮助流程顺利运行。但随着越来越多的业务流程从内部部署扩展到云计算平台,企业开始对其互联应用生态系统的风险失去可见性。
问题在于,在互连的环境中,配置错误的系统或安全漏洞可能会使企业面临风险,并且IT、网络安全、开发和审计团队越来越难以了解哪些应用程序和服务支持关键业务流程,它们是如何相互连接,以及更改如何影响合规性、安全性、可用性。
随着远程工作成为现实,现在是提出三个关键问题的时候了,以确保企业都了解潜在风险以及如何降低风险。
错误配置如何造成风险?
实施数字化转型,以及云服务和API消费的稳步增长,使得集成和连接来自不同供应商的两个或多个不同系统变得异常容易。但无论是使用Salesforce还是SAP公司的API,企业都可能面临巨大的风险。
这是因为许多业务应用程序反映了基于底层技术构建的复杂工作流和流程。因此,虽然集成很容易,但企业现在正在使用两个高度可配置的应用程序融合在一起。能力越强,风险就越大。定制这些应用程序可能会引入不同的漏洞,这些漏洞可能会影响集成、身份验证、审核、加密、用户授权等领域。
为了识别这些风险,企业首先需要对底层技术有更深入的了解。第二步是创建一个包括云计算和内部部署资产的资产图,以了解哪些应用程序运行的环境以及正在传输什么数据。
最后,企业需要依赖安全性和合规性合作伙伴来分析每个应用程序及其支持的数据,以更好地了解保护和合规性方面的差距。例如,根据GDPR法规中查看人力资源数据,根据SOX查看财务信息,或者PCI查看信用卡信息,成为提供某种程度控制的驱动因素。
归根结底,这些不一致可能会危及应用程序和数据的完整性,而无论部署如何,仍应由客户负责数据安全,因此,获得配置控制是必不可少的。
如何才能掌握用户权限?
授权和访问控制是企业风险管理和内部控制的基本组成部分。谁有权使用任务和职责分离(SoD)是至关重要的过程,可确保关键职能分散在多名员工或多个部门中,以减轻欺诈和错误的风险。
然而,随着企业将应用程序从内部部署环境转移到云计算环境,以及各部门在IT权限之外购买SaaS应用程序,维护权限的准确视图变得非常困难。此外,恶意攻击在云计算应用中更为普遍,这使得在应用程序中严格控制用户授权至关重要。从内部的角度来看,权限的失效可以使员工或居心不良者能够轻松地从一个应用程序迁移到另一个应用程序。
由于某些过程跨越多个应用程序,因此关联用户的能力对于有效控制授权和SoD至关重要。为了进一步应对这种复杂性,企业安全团队还应该考虑采用可以在应用程序之间提供广泛用户活动视图的技术,能够标记异常行为或在权限未经许可升级时发出警报。
确保持续合规的关键是什么?
Gartner公司预计数据隐私法规将会有重大突破,对于运行内部部署、基于云计算和SaaS应用的企业来说,合规性可能是一个挑战,许多应用程序都受到严格监管,以确保个人身份信息(PII)和财务数据得到保护。
传统上,负责确保法规标准的审核团队都会进行检查以确保合规性。如今,诸如人力资源等不同业务部门经常使用SaaS应用程序(例如SuccessFactors和Workday),由于审计团队难以找到真实的来源,因为每个应用程序通常是相互连接的,因此使人工流程变得更加复杂。这些人工审核在屏幕截图和Excel电子表格之间可能花费大量时间和成本,并且只显示某一“时间点”的检查结果。
自动化是简化这些繁琐任务的关键。良好的解决方案可以智能地分析应用程序之间的连接,以全面了解合规性错误的根源以及如何解决这些错误,并推动组织达到“持续合规性”的水平,从而使他们可以简化整个业务应用程序中最关键的控制以节省成本和时间,同时获取审计师是否遵守各种法规的证据。
SaaS和云计算应用程序已经成为数字化转型的关键因素,使员工无论在哪里工作都能提高工作效率。但是,这些应用程序也会带来严重的合规性和安全风险,如果处理不当,可能会使企业的数据泄露,并且面临巨额罚款。随着企业不断采用SaaS,他们必须了解这些关键问题,以帮助降低风险、增强安全性,并保持持续合规性。
