Quản lý rủi ro khi sử dụng SaaS
Thách thức đầu tiên mà các nhà lãnh đạo an ninh mạng trong mỗi tổ chức/doanh nghiệp phải đối mặt là việc thống kê chính xác được tất cả các công cụ SaaS mà nhân viên của họ đang sử dụng. Với bối cảnh SaaS luôn thay đổi liên tục như hiện nay thì những thách thức này không bao giờ dừng lại.
Thách thức tiếp theo là việc bảo mật các công cụ SaaS bằng cách sử dụng kết hợp các công cụ bảo mật với quản lý cấu hình như đăng nhập một lần (SSO). Đây là bước cần thiết để quản lý rủi ro của ứng dụng SaaS mà không kiểm soát tất cả các hành động mà người dùng thực hiện trong ứng dụng.
Mặc dù các chuyên gia an ninh mạng vẫn thường xuyên đưa ra các cảnh bao rủi ro, nhưng các nhân viên hàng ngày vẫn thực hiện một số hành động nhất định trong các ứng dụng SaaS có liên quan đến bảo mật và quyền riêng tư. Không phải tất cả các hành động này đều dẫn đến vi phạm dữ liệu hay thậm chí là sự cố bảo mật nhưng đều có nguy cơ gây lộ lọt thông tin của công ty. Do vậy, bắt buộc phải có một cách tiếp cận mới để đo lường và giảm thiểu những rủi ro đó.
Một số hoạt động SaaS có liên quan đến rủi ro bao gồm:
- Xuất bản danh sách người dùng: Trong nhiều giải pháp SaaS, người dùng có thể xuất bản hoặc tải xuống danh sách người dùng chứa thông tin nhận dạng cá nhân (PII). Chức năng này thường có trong các công cụ hỗ trợ.
- Chia sẻ tệp: Không chỉ dành riêng cho các bộ nhớ dùng chung như Google, Dropbox và Box, người dùng trong các ứng dụng SaaS như Slack có thể chia sẻ các tệp nhạy cảm và thậm chí đặt chúng ở chế độ công khai.
- Mời những người dùng bên ngoài: Những người dùng nội bộ có thể mời người dùng bên ngoài vào hầu hết các ứng dụng SaaS.
- Tích hợp SaaS: Một số ứng dụng SaaS được chấp nhận theo các quy tắc dữ liệu nhất định, chẳng hạn như GDPR hoặc HIPAA, nhưng dữ liệu này có thể dễ dàng được chia sẻ tới các ứng dụng SaaS mà không có các biện pháp hoặc cam kết bảo vệ dữ liệu phù hợp.
Đo lường rủi ro ứng dụng SaaS
Bước đầu tiên trong việc quản lý rủi ro khi sử dụng ứng dụng SaaS là đo lường rủi ro của việc sử dụng các ứng dụng đó. Khoảng 10% ứng dụng SaaS có nguy cơ rủi ro chiếm đến 90%, do đó, nhắm mục tiêu 10% này là bước đầu tiên. Các ứng dụng phổ biến nhất trong 10% này là những giải pháp quản lý quan hệ khách hàng (CRM), các nền tảng hỗ trợ, các công cụ kết nối và thúc đẩy năng xuất.
Các chuyên gia bảo mật có thể đo lường rủi ro SaaS bằng cách coi SaaS cũng như bất kỳ loại cơ sở hạ tầng khác, ghi lại các sự kiện ứng dụng SaaS và tốt nhất là đưa vào nền tảng quản lý bảo mật tập trung. Bước này cung cấp khả năng hiển thị và cách thức việc đo lường rủi ro được diễn ra liên tục. Sau đó, với các sự kiện ứng dụng SaaS này có thể chỉ kích hoạt một số hoạt động nhất định sẽ giúp ích trong việc quản lý rủi ro của SaaS.
Quản lý rủi ro ứng dụng SaaS
Nếu rủi ro của SaaS bắt nguồn từ các hành động cần thiết của người dùng, chẳng hạn như chia sẻ tài liệu quan trọng thông qua giải pháp SaaS thì rủi ro này có thể được quản lý như thế nào? Vì SaaS trao quyền tự chủ nhiều hơn cho người dùng cuối nên đòi hỏi họ phải có trách nhiệm hơn về bảo mật.
Tư duy bảo mật trong một tổ chức là yếu tố mang tính then chốt quan trọng, nhưng đây không phải là một nhiệm vụ dễ dàng, đặc biệt là khi các ứng dụng SaaS cho phép quy trình làm việc từ bất kỳ vị trí và thiết bị nào.
Do đó, cần đào tạo nâng cao nhận thức về bảo mật, cách tiếp cận mới để xây dựng tư duy bắt buộc này. Rủi ro từ các ứng dụng SaaS không thể giảm thiểu bằng cách đào tạo nhân viên về mật khẩu mạnh hay chuyên gia về ransomware. Quy trình làm việc của SaaS dành riêng cho các ứng dụng SaaS, vì vậy, quá trình đào tạo cần được cập nhật liên tục và phù hợp với từng phần mềm cụ thể đang được sử dụng.
Nhiều công ty đang bắt đầu việc đo lường và quản lý rủi ro từ các hành động của nhân viên trong ứng dụng SaaS. Bước đầu tiên trong việc quản lý rủi ro này là kiểm kê và xếp hạng rủi ro của các ứng dụng này. Cùng với đó, phải có một chương trình nâng cao nhận thức bảo mật thì mới có khả thi trong việc giảm thiểu rủi ro.
Trên thế giới, các nhà thống kê ước tính tốc độ tăng trưởng của thị trường SaaS sẽ đạt con số 17% vào năm 2022. Điều này cho thấy tiềm năng và cơ hội phát triển của ngành công nghệ dựa vào mô hình SaaS là vô cùng lớn. Ứng dụng SaaS được coi là mũi nhọn phát triển của ngành công nghệ. Chúng không chỉ dừng lại ở mục đích chia sẻ dữ liệu nhanh chóng mà còn được nâng cấp và mở rộng thành các phần mềm đặc thù với rất nhiều tiện ích và SaaS đang tiếp tục được mở rộng và phát triển không ngừng để đáp ứng nhu cầu ngày càng tăng của người sử dụng.
Trần Thanh Tùng