Software as a Service (SaaS) is al een lange tijd bezig met een flinke opmars. Logisch, want SaaS applicaties zijn ontzettend handig. Zo kost implementatie weinig tijd omdat de applicatie toegankelijk is via het internet. Ook heeft u vanaf elk apparaat toegang tot uw data.
Daar komt meteen het security vraagstuk omhoog: hoe weet ik zeker dat mijn data veilig is bij deze SaaS diensten en niemand anders erbij kan? Moet ik de SaaS applicatie die ik gebruik vertrouwen op hun securitybeleid, of kan ik zelf nog extra securitymaatregelen treffen? We geven antwoord.
Allereerst: wie is er verantwoordelijk als er iets mis gaat?
Naast toegankelijkheid is het andere grote voordeel van een SaaS oplossing dat de app-ontwikkelaars zich ook ontfermen over de security. Is er een kwetsbaarheid? Dan is de kans groot dat de SaaS leverancier hier zelf mee aan de slag gaat. Toch geldt dit niet voor elke SaaS applicatie. Zij kiezen zelf wat ze kunnen en willen bieden op het gebied van cyber security (let hier extra op bij leveranciers uit niet-Europese landen).
Niet alleen om die reden is het slim om zelf goed stil te staan bij de security van een SaaS aanbieder. Een andere reden is namelijk dat u verantwoordelijk blijft voor uw data. Dus gaat er iets mis? Dan ligt de verantwoordelijkheid nooit bij de eventueel nalatige SaaS dienst, maar bij u als organisatie.
Meer hierover weten? Lees dan dit artikel van onze partner Check Point over het Shared Responsibility model.
Hoe maakt u veilig gebruik van SaaS applicaties?
Veilig aan de slag gaan met SaaS oplossingen start met het opzetten van een security-bril tijdens de keuze ervan. Ja, er zijn mogelijkheden om van buitenaf invloed te hebben op de security van uw data binnen een SaaS dienst. Maar logischerwijs wilt u in de eerste plaats samenwerken met een betrouwbare SaaS leverancier.
Actuele security test
SaaS applicaties die hun cybersecurity écht serieus nemen, hebben geregeld het rapport van een recente securitycheck (zoals een pentest) voor u klaarliggen. Zo koos Tech2B vorig jaar nog voor een pentest: niet alleen om hun applicatie te verbeteren, maar ook om aan hun klanten te bewijzen hoe veilig ze zijn.
Om te inventariseren hoe het met de security van een SaaS oplossing zit, is het dus raadzaam informatie op te vragen bij de partijen die u op het oog hebt. Slaan ze de data encrypted op? Gebruiken ze 2FA of MFA? Daar hangt natuurlijk aan vast dat uw organisatie ook gebruik maakt van die MFA en veilig omgaat met de inloggegevens en accounts.
Hoe zorgt u zelf voor extra security?
Bent u kritisch geweest in de keuze van uw SaaS oplossing? Mooi, dan is de tweede stap het controleren van de security instellingen. Veel SaaS applicaties bieden extra beveiligingsmaatregelen. Denk bijvoorbeeld aan “Logging en Alerting”: SaaS leveranciers geven hiermee een melding bij verdachte activiteit. Bijvoorbeeld een login poging vanuit een ander continent.
Maak gebruik van best practices
Maar dat is niet het enige: met een beetje geluk is er – naast MFA – een hoop in te stellen op het gebied van security. Maak zeker gebruik van die opties en zoek best practices op. Het is uw verantwoordelijkheid dat u de extra instellingen die de applicatie mogelijk maakt goed gebruikt.
Zo heeft u bij sommige SaaS applicaties de “IP whitelisting” optie. Hiermee stelt u zelf in vanuit welke IP-adressen gebruikers mogen inloggen. Werken ze vanaf een ander IP-adres? Dan komen ze er niet in. Dit maakt het voor aanvallers lastiger in te loggen. Al biedt het geen garanties: hackers kennen slimme manieren om hieromheen te werken.
Over security instellingen gesproken: lees hier hoe u de security instellingen van Office365 flink aanscherpt. Er zijn namelijk wat opties die velen over het hoofd zien.
Harmony Email and Office
Wist u dat ruim 50% van de SaaS-datalekken ontstaan zijn door account takeovers? Om u extra bescherming te bieden, heeft Check Point de Harmony Email and Office oplossing ontwikkeld. Deze software verkleint niet alleen de kans op account takeovers, maar ook:
– Malware en zero-day bedreigingen
– Geavanceerde phishing aanvallen op e-maildiensten
– Diefstal van shared files en gevoelige bedrijfsinformatie
Hoe? Harmony Email and Office maakt onder anderen de mails die u via SaaS e-maildiensten binnen krijgt vrij van schadelijke links en bestanden. U leest meer over Harmony Email and Office van Check Point op deze pagina.
Dus: waar moet u op letten bij SaaS security?
SaaS applicaties zijn te handig om ze niet te gebruiken. Bijna elke organisatie heeft er minstens één in gebruik: denk aan Office365 bijvoorbeeld. Er zijn dus maar weinig organisaties die niet te maken hebben met het belang van SaaS security.
SaaS aanbieders nemen gelukkig over het algemeen de nodige security maatregelen, maar dat hoeft niet altijd het geval te zijn. Daarnaast kan het zijn dat u als organisatie andere security-behoeften hebt die niet overeen komen met de maatregelen van de SaaS ontwikkelaar. Let dus altijd op het volgende:
- Hoe essentieel is het dat u deze SaaS applicatie gebruikt?
- Welke security maatregelen heeft de ontwikkelaar genomen? Is daar bewijs van? Is er bijvoorbeeld een recente pentest om in te zien?
- Heeft u alle security instellingen binnen de SaaS applicatie naar behoefte ingesteld?
- Is uw organisatie in staat veilig om te gaan met accounts? (Geen generieke accounts hergebruiken, etc.)
- Welke data wilt u onderbrengen bij deze leverancier? Wat is essentieel?
- Welke risico’s neemt u door deze data op te slaan bij deze SaaS dienst?
- Heeft u al extra beschermende maatregelen zoals Harmony Email and Office genomen?
Advies nodig bij SaaS security?
Zeker wanneer u het belangrijk vindt dat applicaties flexibel beschikbaar zijn voor uw medewerkers en collega’s zijn SaaS diensten een ideale oplossing. Wilt u zeker weten dat u alles zo veilig mogelijk gebruikt? Onze security experts helpen u graag met het op orde brengen van uw SaaS-beveiliging.
Neem contact met ons op of bekijk onze producten en diensten.
