Cómo clasificar la seguridad de una aplicación de SaaS en la nube

En primer lugar, debe comprender de qué amenazas y vulnerabilidades protege y medir su nivel de seguridad frente a los riesgos identificados (por ejemplo, es inútil tener la capacidad de cifrar datos confidenciales si no tiene dichos datos). Entonces necesitas completar los siguientes pasos:

1. Identificar riesgos y posibles vectores de amenaza. NIST SP 800-53 con su enfoque de evaluación de riesgos sería útil comenzar con que.
2. Defina los controles de seguridad aplicables. Matriz de seguridad en la nube y Cuestionario de autoevaluación de Cloud Security Alliance sería útil.
3. Asigne controles de seguridad a los riesgos que identificó en el paso 1. Como resultado, recibirá una matriz con información sobre la protección de su solución y las brechas de seguridad existentes.

Estos pasos son aplicables a un nuevo servicio o al existente. Por supuesto, también deben implementarse otras técnicas de SDLC seguras, como pruebas de penetración, análisis de código estático, escaneo dinámico, etc., que deben realizarse de forma regular.

Este es un problema clave con el uso de servicios en la nube. Dado que no posee el equipo, no puede simplemente realizar sus propias pruebas de penetración sin que el proveedor de la nube dé su consentimiento y, lo más probable, soporte. Por lo tanto, es probable que tenga que usar medidas más suaves y más cualitativas.

1. Asegúrese de que si está implementando su propio software a través de un proveedor en la nube para operar como SaaS, ha realizado todos los tipos de controles de seguridad que puede realizar internamente, ya que no es probable que obtenga acceso gratuito a los sistemas del proveedor.
2. Trabaje con el proveedor antes de firmar un contrato para asegurarse de que sabe qué métodos de prueba de seguridad utilizan o que podrá usar. Esto sería un indicador del nivel de confianza y apoyo que tendrá con ellos.
3. Si no tiene un acuerdo preexistente a través del contrato, deberá trabajar directamente con el proveedor. Pueden ofrecer información de sus propios análisis de vulnerabilidad, o algunas otras pruebas. Es probable que se opongan a que usted intente realizar exploraciones de vulnerabilidades usted mismo, ya que puede haber aplicaciones o datos de otras empresas en los sistemas que analiza.
4. Evalúe cuál de las certificaciones en la nube que cree que mejor le muestran el nivel correcto de confianza. Muchos de estos certificados se otorgan solo después de una revisión independiente, por lo que ofrecen cierta seguridad.

El Registro STAR de la CSA puede ayudar con algún nivel de cuantificación, pero también debe buscar otros como, por ejemplo, la serie ISO 27000. SSAE, y certificaciones PCI.

La cuantificación directa de los niveles de seguridad es mucho más difícil de lo que parece, y desafortunadamente no hay muchas opciones.

Puede ejecutar un escaneo de nessus en el sistema. ( enlace )

Además, es una buena práctica tener un marco de prueba de api de descanso. Le ayudaría a automatizar y auditar el software contra vulnerabilidades conocidas.