在冠状病毒疫情蔓延期间,云迁移和SaaS激增。事实上,根据最近发布的一份调查报告,疫情加速了40%的企业向云平台的迁移。许多企业依靠这些平台和工具的灵活性来提高生产力,而不考虑员工的工作地位。
互连环境
企业通常将这些应用程序连接到关键业务流程,以传输有价值的客户数据和个人身份信息(PII)、财务和其他敏感信息有助于流程顺利运行。然而,随着越来越多的业务流程从内部部署扩展到云计算平台,企业开始对其互联应用生态系统的风险失去可见性。
问题是,在连接环境中,错误的系统或安全漏洞的配置可能会使企业面临风险,IT、网络安全、开发和审计团队越来越难理解哪些应用程序和服务支持关键业务流程,它们是如何连接的,以及如何影响合规性、安全性和可用性。
现在是时候提出三个关键问题了,以确保企业了解潜在风险,以及如何降低风险。
1. 错误配置如何造成风险?
实施数字化转型字化转型API随着消费的稳步增长,不同供应商的两个或两个以上不同系统的集成和连接变得极其容易。但无论是使用Salesforce还是SAP公司的API,企业可能面临巨大的风险。
这是因为许多业务应用程序反映了基于底层技术的复杂工作流程和过程。因此,虽然集成很容易,但企业现在正在使用两个高度可配置的应用程序。能力越强,风险就越大。定制这些应用程序可能会导致不同的漏洞,这可能会影响集成、身份验证、审计、加密、用户授权等领域。
为了识别这些风险,企业首先需要对底层技术有更深入的了解。第二步是创建一个资产图,包括云计算和内部资产部署,以了解应用程序运行的环境和传输的数据。
最后,企业需要依靠安全和合规合作伙伴来分析每个应用程序及其支持的数据,以更好地了解保护和合规之间的差距。例如,根据GDPR根据法律法规查看人力资源数据SOX查看财务信息,或者PCI查看信用卡信息已成为提供某种程度控制的驱动因素。
归根结底,这些不一致性可能会危及应用程序和数据的完整性,无论部署如何,客户仍然应该负责数据安全。因此,获得配置控制至关重要。
2. 如何掌握用户权限?
授权和访问控制是企业风险管理和内部控制的基本组成部分。谁有权使用任务和职责分离(SoD)为了降低欺诈和错误的风险,确保关键职能分散在多名员工或多个部门。
然而,随着企业将应用程序从内部部署环境转移到云计算环境,以及各部门在IT在权限之外购买SaaS对于应用程序来说,很难保持权限的准确视图。此外,恶意攻击在云计算应用中更为常见,这使得严格控制用户授权在应用程序中非常重要。从内部角度来看,权限的失效可以使员工或居心不良者轻松地从一个应用程序转移到另一个应用程序。
由于某些过程跨越多个应用程序,相关用户的能力可以有效控制授权和SoD至关重要。为了进一步应对这一复杂性,企业安全团队还应考虑使用技术,可以在应用程序之间提供广泛的用户活动视图,并在未经许可的情况下标记异常行为或发出报警。
3. 保证持续合规的关键是什么?
Gartner公司预计数据隐私法规将取得重大突破,运行内部部署,基于云计算和SaaS对于应用企业来说,合规性可能是一个挑战,许多应用程序都受到严格监管,以确保个人身份信息(PII)保护财务数据。
传统上,负责确保法律法规和标准的审计团队将进行检查,以确保合规性。如今,不同的业务部门,如人力资源,经常被使用SaaS应用程序(例如SuccessFactors和Workday),由于审计团队很难找到真正的来源,因为每个应用程序通常都是相互连接的,因此人工过程变得更加复杂。屏幕截图和屏幕截图中的手动审核Excel电子表格之间可能会花费大量的时间和成本,并且只显示一个“时间点”检查结果。
自动化是简化这些繁琐任务的关键。一个好的解决方案可以智能地分析应用程序之间的联系,充分了解合规错误的根源以及如何解决这些错误,并促进组织的实现“持续合规性”这样,他们就可以简化整个业务应用程序中最关键的控制,同时获得审计师是否遵守各种法律法规的证据。
SaaS云计算应用程序已成为数字转型的关键因素,使员工无论在哪里工作都能提高工作效率。然而,这些应用程序也会带来严重的合规性和安全风险。如果处理不当,可能会泄露企业数据,面临巨额罚款。随着企业的不断采用SaaS,为了帮助降低风险,增强安全性,保持持续合规,他们必须了解这些关键问题。