Bezpieczeństwo SaaS

Beata Marek Biznes, Cloud Computing 1 Comment

Aplikacje działające w modelu SaaS są bardzo wygodne i stanowią alternatywę dla tradycyjnego oprogramowania instalowanego na urządzeniach znajdujących się w firmie. Umożliwiają one dostęp do usługi za pośrednictwem przeglądarki internetowej bez konieczności wdrożenia i długotrwałego przeszkolenia pracowników oraz konieczności dokonywania okresowych aktualizacji.

Wiążą się nie tylko ze zmniejszeniem kosztów ponoszonych na infrastrukturę IT, ale także ze zwiększeniem efektywności pracy (np. w związku ze stosowaniem polityki BYOD). Przedkładają się bezpośrednio także na mobilność pracownika oraz dostępność do usług w różnym czasie i miejscu. Reasumując, powyższe i zarazem najczęściej wymieniane zalety chmury w modelu SaaS, Twoja firma może odnotować wzrosty w obrębie różnych działów, począwszy od finansowego, jeżeli zdecyduje się zwirtualizować swoje środowisko pracy.

Właśnie dzisiaj skupimy się na omówieniu istotnego aspektu, a mianowicie kwestii bezpieczeństwa w SaaS. Usługi działające w chmurze oparte są na outsourcingu czyli powierzeniu zewnętrznemu usługodawcy danych, w tym niejednokrotnie danych osobowych. W związku z tym kluczowym elementem jest zweryfikowanie własnych potrzeb i wymagań (GRC) oraz skonfrontowanie ich z ofertą providera i jego możliwością dostosowania się. Potrzeby i wymagania warto rozumieć szerzej czyli jako związane z:

  • komfortem pracy, wydajnością, możliwościami aplikacji, interferejsem etc.;
  • bezpieczeństwem;
  • legislacją.
  • Podobnie istotnym czynnikiem jest ustalenie zakresu i wielkości danych, które będą outsourcowane, a także określenie czy dane będą gromadzone w tzw. chmurze publicznej (serwer współdzielony), prywatnej (serwer dedykowany) czy hybrydowej (część danych na serwerze współdzielonym, a część na serwerze dedykowanym), oszacowanie własnego ryzyka oraz dostosowanie rozwiązania do planu ciągłości działania.

    Niejednokrotnie podejście do problematyki bezpieczeństwa na etapie zawierania umowy pozostawia wiele do życzenia. W dużej mierze z uwagi na fakt, iż usługobiorcy nie wiedzą o co pytać i czego wymagać od providera. W takiej sytuacji najpewniej jest zlecić wykonanie audytu osobie lub firmie, która jest kompetentna, niezależna oraz, której zleceniodawca może zaufać.

    Już na etapie wyboru należy interesować się bezpieczeństwem aplikacji oraz ochroną danych osobowych klientów tak samo jak możliwościami programu oraz restrykcją przepisów.

    Nie traktuj bezpieczeństwa jako przykrego obowiązku. Jeśli zadbasz o nie od początku zyskasz przewagę.

    Dane stanowią wartość dodaną Twojej firmy. Każdy przetwarza dane cyfrowe i cyberprzestępcy doskonale o tym wiedzą.

    Dlatego wybierz takiego providera, który jest otwarty na współpracę oraz elastyczny w dopasowaniu oferty do Twoich oczekiwań. Dodam, że współpraca ta powinna utrzymywać się także w czasie trwania umowy co wiąże się bezpośrednio z późniejszym nadzorem providera. Tak. Nadzorem 🙂

    Większość aplikacji działających w modelu SaaS, które optymalizują środowisko pracy i wymiany informacji w firmie, są ściśle związane z przetwarzaniem danych osobowych. Jeżeli będziesz korzystać z aplikacji, za pośrednictwem których dane osobowe są przetwarzane (np. utrwalane, przechowywane, opracowywane, zmieniane, udostępniane czy usuwane) w infrastrukturze usługodawcy to obligatoryjnym będzie zawarcie z dostawcą tej usługi chmurowej umowy o powierzaniu danych osobowych. Czasem może zaistnieć także konieczność zawarcia umowy o podpowierzaniu danych osobowych z podmiotem trzecim.

    Obowiązek ten dotyczy zatem tych wszystkich aplikacji webowych (czyli przeglądarkowych) gdzie dane przetwarzane są na innym serwerze niż Twój. Ps. Powinieneś też wiedzieć na jakim serwerze/ach dane są przetwarzane (np. czy nie znajdują się w darmowej chmurze publicznej!) i gdzie znajduje się ich lokalizacja!

    Warto pamiętać, że działanie w chmurze nie zwalnia nas z obowiązku opracowania stosownej dokumentacji (np. polityki bezpieczeństwa, instrukcji zarządzania systemem informatycznym czy upoważnień) oraz prawidłowego zabezpieczania własnych systemów informatycznych (czyli urządzeń, za pomocą których łączymy się z aplikacją). W dokumentacji należy odpowiednio uwzględnić zestaw usług providera oraz aspekt bezpieczeństwa. Dobrą praktyką jest także opracowanie oraz wdrożenie planu ciągłości działania (związany bezpośrednio z bezpieczeństwem informacji).

    Jeżeli posiadasz własne i zarazem właściwe procedury bezpieczeństwa oraz stosowną dokumentację jesteś prawidłowo przygotowany/a na zawarcie umowy z providerem i przejście do SaaS.

    Autor grafiki promującej wpis: Eddie Lobanovskiy