Wie sicher ist Ihr SaaS-Anbieter? 5 Fragen, die es zu berücksichtigen gilt

Unternehmen des öffentlichen und privaten Sektors wechseln zu Software as a Service (SaaS)-Angeboten. Studien zeigen, dass 94 % der Unternehmen Cloud-Dienste nutzen und ein durchschnittliches Unternehmen über 1000 Cloud-Dienste nutzt, was einem Anstieg von 25 % in weniger als fünf Jahren entspricht.¹ Ein Wechsel zu SaaS bietet viele Vorteile, wie z. B. Kosten und schnelle Markteinführung. Unternehmen können durch die Nutzung von SaaS eine erhebliche Kostenreduzierung erzielen, da sowohl die physische Hardware reduziert wird als auch die Hardware nicht mehr verwaltet werden muss. DeployAuch die Implementierung einer SaaS-Lösung erfolgt deutlich schneller und wird durch das Expertenwissen des Anbieters der Cloud-Lösung unterstützt. Obwohl es viele Vorteile gibt, wenn wir mit Kunden sprechen, ist eines ihrer Hauptanliegen bei der Umstellung auf SaaS die Sicherheit. Für jeden Anbieter, der Cloud- und SaaS-Dienste anbietet, ist es unerlässlich, dass die Sicherheit oberste Priorität hat.

FedRAMP ist ein großartiges Beispiel für die im öffentlichen Sektor praktizierte Sicherheit. FedRAMP entstand aus dem Bedürfnis heraus, mehr US-Regierungsorganisationen in die Cloud zu bringen und die Migration und Cloud-Nutzung zentral zu verwalten safe und sichere Weise. FedRAMP bietet einen standardisierten Ansatz zur Risiko- und Sicherheitsbewertung in der Cloud. Obwohl es für Initiativen des öffentlichen Sektors konzipiert wurde, sehen wir, dass der private Sektor die Vorteile der Erstellung und Verwaltung von FedRAMP-autorisierten Anwendungen prüft. Der Weg zu FedRAMP ist recht anspruchsvoll und erfordert gründliche Vorbereitung, Prüfungen und Genehmigungen. Der Vorteil besteht darin, dass man sich darüber im Klaren ist, dass alle autorisierten Anwendungen einem Sicherheitsstandard folgen:

• Die Erlangung der „Authorized to Operate“ ist ein mehrstufiger Prozess, der mit einem Agentursponsor und einer Vorbereitungsphase beginnt, die die Bereitstellung eines Systemsicherheitsplans (SSP) umfasst.
• Von dort aus muss sich der Anbieter einer vollständigen Sicherheitsbewertung unterziehen und dabei NIST 800-53-Kontrollen zur Bewertung nutzen. Das Ergebnis dieser Bewertung kann Lücken ermitteln, die einen Aktions- und Meilensteinplan (PoAM) erfordern.
• Anschließend kann entweder die Genehmigungsbehörde oder das Joint Authorization Board (JAB) die Authority to Operate (ATO) erteilen. Sobald ATO erreicht ist, befindet sich das Serviceangebot nach der Autorisierung in einem Zustand der kontinuierlichen Überwachung.

Aus sicherheitstechnischer Sicht können Unternehmen die ganze Sorgfalt schätzen, die in die Erreichung und Aufrechterhaltung einer FedRAMP-ATO gesteckt wird. Digital.ai bietet a FedRamp-Version von Agility ist nur ein Beispiel dafür, wie Digital.ai stellt Sicherheit bei allem, was wir tun, an die erste Stelle.

Da Digital.ai Agility verwendet die gleiche Codebasis sowohl für kommerzielle als auch für FedRAMP-autorisierte Angebote. Der Vorteil für die Kunden besteht darin, dass die für FedRAMP erforderliche Risikominderung, die als Teil des Entwicklungszyklus erfolgt, direkt auf alle Kunden, sowohl den kommerziellen als auch den öffentlichen Sektor, übertragen wird. Darüber hinaus ist die Digital.ai Das CloudOps-Team arbeitet fleißig daran, die neuesten Sicherheitspatches zu installieren und behält gleichzeitig die Bedrohungsüberwachung im Auge. Digital.ai ist bestrebt, Best Practices und Services zu nutzen, um die Sicherheit zu gewährleisten, und wir arbeiten mit Branchenführern für SaaS-Infrastruktursicherheit zusammen. Digital.ai bietet Dienste zur Risikoreduzierung, wie z. B. Verschlüsselung im Ruhezustand, und bietet Unterstützung für Single Sign-On (SSO) bei führenden Anbietern in diesem Bereich.

Wenn Sie über einen Wechsel zu SaaS nachdenken, ist es wichtig zu verstehen, wie der Anbieter Risiken mindert und Sicherheit gewährleistet. Im Hinblick auf die Sicherheit gibt es viele Themen zu berücksichtigen:

• Verfügt der Anbieter über eine ordnungsgemäße Konfiguration unter Verwendung bewährter Sicherheitspraktiken?
• Stellt der Anbieter sicher, dass die Infrastruktur so sicher wie möglich ist?
• Wie verwaltet der Anbieter 3^rd Schwachstellen der Partei? Dies gilt nicht nur für die Hauptanwendung, sondern auch für die von der Anwendung genutzten öffentlichen Bibliotheken
• Welche Schritte ergreifen Anbieter, um die Daten privat und sicher zu halten?
• Mit welchen Ansätzen scannt der Anbieter Wertpapiere und verwaltet Penetrationstests?

Die hier genannten Themen kratzen nur an der Oberfläche.

Seien Sie gespannt auf einen Blog zum Jahresende, der näher erläutert, was unser Unternehmen unternimmt, um unsere Kunden zu halten safe, und wir geben Ihnen weitere Tipps, wie Sie sicher bleiben können.

¹ https://www.zippia.com/advice/cloud-adoption-statistics/#:~:text=94%25%20of%20companies%20use%20cloud,their%20workloads%20to%20the%20cloud