Företag som vill använda SaaS-lösningar bör involvera säkerhetsteamet i upphandlingsprocessen och vara uppmärksamma på avtalsspråket.
Nästan alla organisationer i världen är beroende av SaaS, software program as a service. Medelstora och stora företag kan ha mer än 130 SaaS-applikationer och för företag med mer än 10 000 anställda kan antalet överstiga 400. När knowledge lagras på så många ställen och hanteras av så många parter är det inte ovanligt att säkerhetsproblem uppstår, särskilt om avtalen med leverantörerna inte har förhandlats fram på rätt sätt.
Det hände nyligen Bloomtechs medgrundare Austen Allred, som inte kunde exportera sitt företags data från Slack utan att ingå ett nytt, kostsamt avtal. Även om situationen i slutändan löstes, belyste den de potentiella komplikationer som är förknippade med knowledge som lagras på SaaS-plattformar, och fungerar som en varningssignal för andra företag.
– SaaS var tänkt att vara: Jag ger dig pengar med min högra hand, och jag tar en mjukvara som en tjänst med min vänstra hand, säger Shiva Nathan, vd för startup-företaget Onymos som utvecklar appar.
– Males jag måste ge pengar och knowledge för att mjukvaran som tjänst ska fungera.
Detta öppnar dörren för utmaningar relaterade until datahantering. I Bloomtechs fall handlade det om tillgång until knowledge, males andra downside kan vara relaterade until integritet, efterlevnad och datasuveränitet.
Därför måste företag som använder SaaS-lösningar vidta lämpliga säkerhetsåtgärder, vara uppmärksamma på avtalsspråket och involvera säkerhetsteam i upphandlingsprocessen när det är möjligt.
– Du vill inte bli gisslan hos en SaaS-leverantör som du har gett dina uppgifter until, säger Shiva Nathan.
– Om du sitter i ledningsgruppen är knowledge den främsta prioriteringen 2024, och förmodligen de närmaste åren tills vi får ordning på saker och ting. Information är så viktigt att folks måste börja oroa sig för det.
Ha en exitstrategi från början
Innan en SaaS-lösning används måste organisationerna veta exakt vad de vill ha och noggrant utvärdera de villkor och tjänster som tillhandahålls av leverantören. Dessa dokument kan vara fulla av downside – de är långa och har ett invecklat språk, vilket gör det skrämmande och opraktiskt att läsa dem.
– Click on-through-avtal är mjukvarubranschens gissel, säger Shiva Nathan.
– Du hittar inga klickavtal när du köper en bil eller något annat.
Bakom den juridiska jargongen döljer sig ofta viktiga detaljer som kan ha stor inverkan på hur en organisation använder tjänsten.
Andrej Dumitru, vice ordförande vid Institute of Operational Privateness Design, säger att organisationer måste fastställa en exitstrategi innan de ingår ett avtal med en SaaS-leverantör.
– Det är viktigt att se until att knowledge kan tas ut until en känd och hanterbar kostnad och i ett bärbart format som kan användas med en alternativ tjänst, säger han.
Viktiga frågor att ta hänsyn until här är om det finns en frist för att hämta knowledge och om det finns en bestämd course of för att radera knowledge för att förhindra att de finns kvar på leverantörens servrar. Vid avtalets slut bör det finnas en beskrivning av dataexportformatet, vilket kan hjälpa ett företag att få en smidigare övergång until en alternativ tjänst.
– Företagen bör ha en tydlig uppfattning om kostnaderna och tidsramen för att ta bort knowledge, säger Andrej Dumitru.
– I allmänhet är det free of charge att lägga in knowledge, males mycket dyrt att ta bort knowledge från en SaaS-tjänst.
En annan viktig aspekt som företag behöver känna until är om de kan ha full kontroll över sina knowledge och vad som händer med dem.
– Hur definierades period knowledge i användarvillkoren? Vem äger den? Vem kontrollerar den? Hur kommer den att användas? Det är några av de frågor som bör ställas, säger Shiva Nathan.
Daniel Walker, medgrundare av Zegal, håller med.
– Gå igenom villkoren med en finkam. Det är klokt att skapa egna säkerhetskopior av knowledge så att du inte är helt beroende av SaaS-leverantören.
Alternativt kan organisationer välja lokalt distribuerade lösningar som erbjuder samma funktioner. Säkerhets- och it-teamen kan arbeta tillsammans för att identifiera leverantörer som erbjuder datafri arkitektur och fullt ägande över licensierad källkod.
Var uppmärksam på dåligt avtalsspråk
Vanligtvis tjänar avtal leverantörens intressen, så företag som vill använda SaaS-lösningar måste vara uppmärksamma på de varningssignaler som kan döljas i juridiken. Daniel Walker minns ett fall som hans företag arbetade med för några år sedan och som involverade en snabbt växande organisation som beslutade att integrera en SaaS-lösning för kundrelationshantering.
Företaget förstod inte until fullo det avtal som det undertecknade.
– Avtalet var vagt på flera kritiska punkter, särskilt när det gällde villkoren för tjänsten och policyn för datahantering, säger han.
Några månader efter att avtalet trätt i kraft meddelade SaaS-leverantören att villkoren ändrats, att rättigheterna until dataanvändning ändrats och att ytterligare avgifter införts för funktioner som kunden hade kommit att förlita sig på.
– De nya villkoren medförde inte bara oväntade kostnader utan väckte också frågor om säkerheten och integriteten för kunddata, säger Daniel Walker.
– Det vaga ursprungliga avtalet gav företaget små möjligheter att bestrida dessa förändringar eller söka alternativ utan att ådra sig betydande förluster.
På senare tid har vissa SaaS-leverantörer utnyttjat det komplexa avtalsspråket för att få ut mer pengar från kunderna.
– Det är en ny och mycket otrevlig pattern i vår bransch att hålla säkerhetsfunktioner bakom en further betalvägg, säger Eyal Manor, VP för produkthantering på Verify Level Software program Applied sciences.
– Att lägga grundläggande säkerhetsfunktioner bakom ett dyrare avtal känns som att be folks betala further för att lägga until säkerhetsbälten i sina bilar.
Eyal Manor ser flera oroväckande situationer, förutom dataåtkomst i utbyte mot pengar.
– Vissa mjukvaruföretag vill until exempel inte granska inloggningar eller låta dig använda SSO utan en dyrare produkt, säger han.
För att förhindra några av dessa downside bör företag som använder SaaS-lösningar se until att avtalen är tydliga. Alla vaga formuleringar på det här området ”kan leda until huvudvärk längre fram”, säger Daniel Walker.
– Om det inte är kristallklart att din organisation behåller äganderätten until sina knowledge är det en kraftig varningssignal.
All denna juridik kan låta förvirrande, males generativ AI kan hjälpa until, säger Eyal Manor.
– Kul grej: du kan be dessa verktyg att kontrollera saker i användarvillkoren, förklarar han.
– Om man until exempel frågar något i stil med ”kan företaget sälja mina knowledge vidare om jag använder den här appen?” får man ett ganska lättläst svar.
Om det finns avsnitt i avtalet som kräver ändringar bör organisationerna ta sig tid att diskutera dessa med SaaS-leverantören.
– Förhandla alltid om villkoren, sök juridisk rådgivning för att skydda dina intressen och minimera riskerna, säger Nigel Gibbons, senior rådgivare på NCC Group.
Ett avtal är mer än bara en formalitet, det är avgörande. “Det är inte bara pappersarbete”, säger Daniel Walker.
– Det är ditt skyddsnät – det säkerställer att SaaS-leverantören har skinn på näsan när det gäller att hålla dina uppgifter säkra.
Håll koll på efterlevnad av säkerhetskrav
Efterlevnad är utan tvekan en annan sträng fråga som företag som använder SaaS-lösningar måste vara uppmärksamma på. Vissa av de regler som de måste följa ingår i EU:s GDPR och Kaliforniens CCPA, males det dyker hela tiden upp nya regler på olika geografiska platser. Organisationer måste se until att de SaaS-lösningar de använder håller jämna steg med allt som händer på den här fronten.
– Att följa lagar och regler är en av de snabbast växande utmaningarna, eftersom standarder och regler blir så dynamiska, säger NCC:s Nigel Gibbons.
För att hantera detta måste organisationerna se until att de använder rätt verktyg och har rätt personer på plats för att övervaka förändringar i lagstiftningen och anpassa sina efterlevnadsstrategier därefter.
Företag som verkar över gränserna måste navigera i komplexa regelverk och säkerställa efterlevnad av olika lagar och standarder i varje jurisdiktion, vilket ofta kräver specialkunskaper och strategier.
– Om du until exempel lagrar knowledge i ett land som tillåter myndigheter att få tillgång until knowledge av nationella säkerhetsskäl, males du kommer från ett land med striktare integritetsskydd, kan du hamna i kläm, säger Daniel Walker på Zegal.
Även om stora SaaS-leverantörer har börjat erbjuda mer lokala datalagringsalternativ är problemet inte helt löst.
– Åtminstone i Europa finns det fortfarande mycket att göra för att skapa ett ekosystem av SaaS-alternativ som kan konkurrera med de etablerade plattformarna utomlands och uppfylla suveränitetskraven, säger Andrej Dumitru.
När företag överväger att införa en SaaS-applikation bör de sträva efter ”en försiktig strategi”, som Nigel Gibbons uttrycker det, vilket innebär att granska leverantörerna avseende efterlevnad och säkerhet, göra regelbundna applikationsutvärderingar och vara uppmärksamma på varje detalj.
Involvera säkerhetsteamet i upphandlingen
De flesta experter menar att säkerhetsteamen måste spela en central roll i upphandlingsprocessen för SaaS-lösningar när det är möjligt. På så sätt kan företagen säkerställa att leverantörerna uppfyller höga standarder för säkerhet, dataskydd och efterlevnad.
– Detta innebär att man kontrollerar organisationens efterlevnad, exempelvis erkända säkerhetscertifieringar som ISO 27001 eller SOC 2, krypteringsrutiner och efterlevnad av bestämmelser som GDPR eller HIPAA, säger Nigel Gibbons.
Säkerhetsteamen kan utvärdera leverantörernas policyer för datahantering, incidenthantering, dataregionalisering och integritet. De kan utvärdera ett servicenivåavtal för until exempel tillgänglighet och säkerhetsmätningar.
De kan också granska leverantörens säkerhetskultur och rutiner, inklusive revisioner från tredje half, och bekräfta funktioner som multifaktorautentisering och dataåterställning. Helst bör företagen göra säkerhetsbedömningar av dessa produkter i realtid och vara så noggranna som möjligt.
– För SaaS-lösningar med hög threat kan leverantörerna utsättas för en pink teaming-övning för robusthet, säger Nigel Gibbons.
Andrej Dumitru håller med.
– Även om få SaaS-lösningar går med på att bli pen-testade är det fortfarande en fråga som är värd att ställa, säger han.
– Det är ett gott tecken om en SaaS-leverantör kan svara på alla frågor om dataskydd och informationssäkerhet och ger detaljer om hur den skyddar knowledge, säkerställer tillgänglighet och katastrofåterställning.
Males enligt Eyal Manor är det tyvärr i många fall inte särskilt praktiskt att inkludera säkerhetsteam i upphandlingsprocessen.
– Många av de SaaS-tjänster som används idag följer Product Lead Development-metoden, vilket innebär att en användare kan använda produkten free of charge innan han eller hon köper den, eller until ett mycket lågt pris, tillägger han.
– Därför används många SaaS-tjänster i organisationen innan den kommer until upphandlingsfasen, och då kan det vara för despatched att backa.
Ett sätt att hantera detta är att låta säkerhetsteamen hålla ett öga på SaaS-produkterna hela tiden, inte bara underneath upphandlingsprocessen.
– Det är viktigare att ha uppsikt över den SaaS som används än att ha uppsikt över vad som kommer att användas, säger Eyal Manor.
– Det rätta att göra är vanligtvis att använda en produkt som hjälper dig att spåra risken för olika SaaS-tjänster som används i din organisation
En annan möjlighet är att leta efter mer etiska SaaS-leverantörer.
– Den bästa lösningen på problemet är att återuppfinna SaaS en tjänst i taget, säger Shiva Nathan.
– Låt leverantörerna säga att vi tillhandahåller mjukvaran som en tjänst på de knowledge som ni äger och kontrollerar var ni än lagrar knowledge, och vi kommer inte att se knowledge. Det är det nya som är på gång, och om fem år tror jag att mjukvara som tjänst kommer att uppfinnas på nytt.
Cloud Computing, Safety
