Bayangkan ini: penguncian seluruh perusahaan ke CRM perusahaan, seperti Salesforce, karena admin eksternal organisasi mencoba menonaktifkan MFA untuk diri mereka sendiri. Mereka tidak berpikir untuk berkonsultasi dengan tim keamanan dan tidak mempertimbangkan implikasi keamanan, hanya kemudahan yang mereka butuhkan untuk tim mereka untuk menggunakan login mereka.
CRM ini, bagaimanapun, mendefinisikan MFA sebagai pengaturan keamanan tingkat atas; misalnya, Salesforce memiliki konfigurasi “Nilai Masuk dengan Jaminan Tinggi” dan segera mengunci semua pengguna sebagai tindakan pencegahan keamanan. Seluruh organisasi terhenti dan frustrasi dan bingung.
Sangat memprihatinkan, ini bukan peristiwa satu kali, admin untuk aplikasi SaaS yang penting bagi bisnis sering kali duduk di luar departemen keamanan dan memiliki kendali yang mendalam. Tidak terlatih dan tidak fokus pada langkah-langkah keamanan, admin ini bekerja menuju KPI departemen mereka. Misalnya, Hubspot biasanya dimiliki oleh departemen pemasaran, demikian pula Salesforce sering dimiliki oleh departemen bisnis, dll. Departemen bisnis memiliki aplikasi ini karena itulah yang memungkinkan mereka melakukan pekerjaan mereka secara efisien. Namun, paradoksnya terletak pada kenyataan bahwa adalah tanggung jawab tim keamanan untuk mengamankan tumpukan aplikasi SaaS organisasi dan mereka tidak dapat secara efektif menjalankan tugas ini tanpa kontrol penuh atas aplikasi SaaS.
Laporan Survei Keamanan SaaS 2022, dijalankan oleh CSA dan Adaptive Shield, menggali realitas paradoks ini, menyajikan data dari CISO dan profesional keamanan hari ini. Artikel ini akan mengeksplorasi poin-poin data penting dari para responden dan mendiskusikan solusi apa yang bisa dilakukan oleh tim keamanan.
Pelajari bagaimana tim keamanan Anda dapat memperoleh kembali kendali atas semua aplikasi SaaS.
Aplikasi SaaS di Tangan Departemen Bisnis
Di seluruh organisasi biasa, beragam aplikasi SaaS digunakan (lihat gambar 1), dari platform data cloud, aplikasi berbagi file dan kolaborasi hingga CRM, manajemen proyek dan kerja, otomatisasi pemasaran, dan banyak lagi. Kebutuhan untuk setiap aplikasi SaaS mengisi peran khusus yang dibutuhkan oleh organisasi. Tanpa menggunakan semua aplikasi SaaS ini, sebuah bisnis dapat menemukan dirinya tertinggal atau membutuhkan lebih banyak waktu untuk mencapai KPI-nya.
Laporan Survei Keamanan SaaS 2022 melaporkan bahwa 40% dari aplikasi ini dikelola dan dimiliki oleh tim non-keamanan, seperti penjualan, pemasaran, hukum, dll. (lihat gambar 2). Sementara tim keamanan dan TI dilaporkan menjadi tujuan utama manajemen aplikasi SaaS, 40% departemen bisnis juga mengambil bagian dan memiliki akses penuh yang memperumit lanskap ancaman.
Tim keamanan tidak dapat mengambil kepemilikan ini karena pemilik aplikasi bisnis perlu mempertahankan akses tingkat tinggi ke aplikasi SaaS mereka yang relevan untuk penggunaan yang optimal. Namun, tanpa pengetahuan mendalam tentang keamanan atau kepentingan pribadi (KPI keamanan yang mencerminkan produk kerja mereka), tidak masuk akal bagi tim keamanan untuk berharap bahwa pemilik bisnis akan memastikan tingkat keamanan yang tinggi di SaaS mereka.
 |
| Gambar 2. Departemen yang Mengelola aplikasi SaaS, Laporan Survei Keamanan SaaS 2022 |
Membongkar Paradoks Kepemilikan Aplikasi SaaS
Ketika ditanya alasan utama untuk insiden keamanan yang disebabkan oleh kesalahan konfigurasi (gambar 3), responden dari laporan survei menyebutkan ini di empat teratas mereka: (1) Ada terlalu banyak departemen dengan akses ke pengaturan keamanan; (2) Kurangnya visibilitas ke pengaturan keamanan saat diubah (3) Kurangnya pengetahuan keamanan SaaS; (4) Izin pengguna yang disalahgunakan. Semua alasan ini, baik secara terang-terangan maupun tersirat, dapat dikaitkan dengan Paradoks Kepemilikan Aplikasi SaaS.
Penyebab utama insiden keamanan yang disebabkan oleh kesalahan konfigurasi adalah memiliki terlalu banyak departemen dengan akses ke pengaturan keamanan. Ini sejalan dengan penyebab berikutnya – kurangnya visibilitas saat perubahan keamanan diubah. Departemen bisnis dapat membuat perubahan pada pengaturan aplikasi untuk mengoptimalkan kemudahan penggunaannya tanpa berkonsultasi dengan atau memberi tahu departemen keamanan.
Selain itu, izin pengguna yang disalahgunakan dapat dengan mudah berasal dari pemilik departemen bisnis yang tidak memperhatikan keamanan aplikasi. Seringkali pengguna diberikan izin istimewa yang bahkan tidak mereka butuhkan.
Bagaimana Tim Keamanan Dapat Mendapatkan Kembali Kontrol
Dengan model tanggung jawab bersama ini, satu-satunya cara efisien untuk menjembatani kesenjangan komunikasi ini adalah melalui platform Manajemen Postur Keamanan SaaS (SSPM). Dipuji sebagai solusi HARUS MEMILIKI untuk terus menilai risiko keamanan dan mengelola postur keamanan aplikasi SaaS dalam “4 Teknologi yang Harus Dimiliki yang Membuat Siklus Hype Gartner untuk Keamanan Cloud, 2021”, solusi semacam itu dapat mengingatkan tim keamanan pada setiap perubahan konfigurasi aplikasi yang dibuat oleh pemilik aplikasi, dan memberikan arahan yang jelas tentang cara memperbaikinya melalui sistem manajemen tiket atau kolaborasi.
Dengan solusi SSPM, yang dimiliki dan dikelola oleh tim keamanan organisasi, tim keamanan dapat memperoleh visibilitas lengkap dari semua aplikasi SaaS perusahaan dan pengaturan keamanannya, termasuk peran dan izin pengguna. W
Organisasi dapat mengambil satu langkah lebih jauh dan meminta pemilik aplikasi bergabung dengan platform SSPM sehingga mereka dapat secara aktif mengontrol dan mengawasi semua konfigurasi di aplikasi yang mereka miliki. Dengan menggunakan kemampuan admin tercakup (gambar 4), tim keamanan dapat memberi pemilik aplikasi akses ke aplikasi yang mereka miliki dan dapat memperbaiki masalah keamanan, dengan pengawasan dan arahan mereka.
Tidak ada cara untuk menghilangkan akses departemen bisnis ke pengaturan keamanan aplikasi SaaS, dan meskipun pengguna di seluruh organisasi harus dididik tentang keamanan SaaS dasar untuk mengurangi risiko yang mungkin terjadi dari departemen bisnis, hal itu tidak selalu terjadi atau hanya tidak cukup. Organisasi perlu menerapkan solusi yang membantu menghindari situasi ini dengan mengaktifkan visibilitas dan kontrol untuk tim keamanan, memperingatkan penyimpangan konfigurasi, log audit yang memberikan wawasan tentang tindakan dalam aplikasi SaaS dan admin cakupan.
Dapatkan demo 10 menit tentang bagaimana solusi SSPM Adaptive Shield membantu tim keamanan mendapatkan kembali kendali.