¿Cuáles son algunas métricas que se usarán para evaluar la seguridad de SaaS?

En un modelo SaaS, es probable que no pueda realizar auditorías de código. Esto se debe a que, como se ha indicado, es el software como servicio. No es un software donde pueda descargar el software en sí mismo, y mucho menos el código fuente del software. Esa tarea se realizará a discreción del proveedor de software y / o del proveedor. Consulte " 5 problemas con la seguridad de SaaS "

Así que documentaré los problemas que tengo con SaaS y SaaS Security.

• Acceso: quién está accediendo a esto. ¿Es solo mi organización? Es una software multi-tenant. ¿Habría alguna superposición?
• Auditoría: ¿Cómo puedo auditar esto a voluntad? ¿Dónde se almacenan los registros? ¿Cómo puedo modificar esto para mi negocio (retención de datos)?
• Seguridad: si bien es posible que no pueda auditar el código, ¿cómo puedo realizar una prueba para detectar el problema? (vulnerabilidades conocidas conocidas, problemas de configuración, etc.)

La seguridad cuando se trata de software que compra nunca es su responsabilidad. Cuando compra un automóvil, y el fabricante de automóviles le dice que se sometieron (al menos a los EE. UU.) A las pruebas del IIHS (Instituto de Seguros para la Seguridad en las Carreteras) que establecieron una línea de base de seguridad, ¿alguna vez ha dicho: " no créalos, necesito chocar mi auto para asegurarme de que la bolsa de aire se despliega. "Muchos proveedores de SaaS más grandes tienen medidas de seguridad y pruebas en su lugar. (Google, Microsoft, Salesforce, etc.)

Entonces pongamos esto en una vista alternativa ahora. Usted prueba el software, encuentra vulnerabilidades. Y qué. Ahora que. ¿Los arreglas por tu cuenta? Lo que te hace pensar que un proveedor de SaaS te permitiría probar aleatoriamente su software "pre compra". Tiene que haber un cierto nivel de confianza, y si bien se puede decir: "Confíe pero verifique" en el mundo de los negocios, aquí es donde entran en juego los Acuerdos de nivel de servicio y los Términos de servicio para mitigar / transferir el riesgo.

Muchos proveedores de SaaS toman en serio la seguridad, por ejemplo, consulte La postura de Microsoft sobre esto :

  

Supervisión interna en línea de Office 365 y Microsoft Dynamics CRM   incluye monitoreo de cumplimiento automatizado de infraestructura (por ejemplo,   Análisis de vulnerabilidad, pruebas de penetración y pruebas de proceso y   controles de personas). El Office 365 y Microsoft Dynamics CRM en línea   El programa de validación de terceros incluye auditorías independientes que son   realizado anualmente para proporcionar la verificación de Office 365 y   La postura de seguridad de Microsoft Dynamics CRM Online.

¿Qué es exactamente lo que estás tratando de lograr? ¿Intenta ser el equipo de seguridad de un proveedor?

Puedo pensar en los siguientes escenarios:

• Seguridad contra la inyección de SQL y ataques relacionados con el inicio de sesión si su software tiene cuentas de usuario

• La precisión y la solidez de su control de acceso si su software tiene usuarios

Es probable que los oferentes de SaaS no acepten permitirle realizar una prueba de la pluma de sus servicios. Es posible que acepten realizar pruebas independientes, pero es probable que los marcos de prueba no sean comparables. Por lo tanto, será difícil comparar los resultados de uno con el de otro.

A menos que solicite $ 1B en el negocio, quizás la certificación FedRAMP sea lo mejor que pueda esperar. Consulte las plantillas de FedRAMP para conocer los criterios de evaluación que GSA utiliza para los proveedores de servicios en la nube (CSP). Documentos de información general del programa están muy influenciados por FISMA y NIST (este es un Programa del Gobierno de los EE. UU.), Por lo que es posible que no se sienta cómodo con la metodología . Sin embargo, dado el pensamiento y la energía puestos en FedRAMP, sería difícil que coincidiera en alcance y minuciosidad. Además, la metodología y el proceso de FedRAMP se han probado ampliamente en el camino a lo largo de los cinco años de historia del programa.

Hay desventajas en el uso de FedRAMP. Muchos profesionales de la seguridad señalan que el USG tiene un historial no tan estelar en materia de ciberseguridad. (Piense en la violación de la OPM). También argumentan que la metodología FISMA es demasiado compleja y no pone el debido énfasis y prioridad en los vectores de amenaza contemporáneos. Como una solución de servicios en la nube en general, puede que no esté bien adaptado para evaluar aplicaciones SaaS específicas. Por ejemplo, es probable que haya enfoques más adecuados para comparar SAP con PeopleSoft que con FedRAMP. Por último, las evaluaciones realizadas por evaluadores independientes independientes (3PAO) son pagadas por los CSP respectivos, por lo que las evaluaciones pueden no ser consistentemente excelentes.

Si elige hacer rodar su propia evaluación, no obstante, debería considerar el Plantilla de plan de evaluación de seguridad (SAP) . Este documento está diseñado para que las 3PAO de FedRAMPS se utilicen para planificar las pruebas de seguridad de los CSP. Una vez completado, este documento constituye un plan para la prueba. Los hallazgos reales de las pruebas se registran en los libros de procedimientos de prueba de seguridad de FedRAMP y en un Informe de Evaluación de Seguridad (SAR), también disponible en las páginas de Plantillas y Documentos de FedRAMP.