3 dicas para proteger aplicações SaaS, segundo um diretor de segurança

3 dicas para proteger aplicações SaaS, segundo um diretor de segurança

4 minutos de leitura

Eric Kaasenbrood, diretor de segurança da informação, explica como empresas podem se proteger num cenário em que as aplicações SaaS são cada vez mais comuns.



Por Redação em 23/06/2021

Eric Kaasenbrood, diretor de segurança da informação da Unit4, explica como empresas podem se proteger num cenário em que as aplicações SaaS são cada vez mais comuns

Aplicações SaaS ficaram ainda mais em evidência após a mudança para o trabalho remoto impulsionado pela pandemia de COVID-19. Para as empresas, isso significou que as soluções on-premise de segurança poderiam não ter tanta eficácia para manter os dados protegidos, já que a TI ficou descentralizada.

Essa descentralização pode ser explicada como o uso de VPN, servidores em nuvem e outras soluções como serviço que ficaram muito presentes a partir do momento que foi preciso dar aos colaboradores a possibilidade de tocar suas demandas de casa, dando continuidade às operações da empresa.

No entanto, o crescimento nos investimentos em soluções SaaS – a Gartner prevê US$ 122,6 bilhões em 2021 – vai exigir novas estratégias de segurança. Ainda mais para as organizações que possuem políticas locais (pensadas no uso interno) ou de rede.

Com o trabalho remoto, a TI invisível (saiba mais aqui) passou a ser uma preocupação para os CIOs. Por exemplo, um funcionário pode usar a VPN para acessar a rede da empresa, mas a conexão residencial está ali para ele navegar em outros sites fora dos limites da companhia.

A área de TI não tem controle de ambientes externos. Então, o que é preciso para garantir a segurança da informação e proteger os dados de um possível incidente? Eric Kaasenbrood, diretor de segurança da informação da Unit4, fornecedora de softwares corporativos, compartilhou 3 dicas com o site InformationWeek:

  1. Arquitetura de TI moderna;
  2. Definição de boas práticas de governança;
  3. Responsabilidade compartilhada.

Confira abaixo um resumo delas.

Dica 1: Arquitetura de TI voltada para a nuvem

Eric escreve que, em um primeiro momento, a empresa deve revisar os riscos de segurança para mover as ferramentas da rede local para a nuvem. Esse processo ajudará a entender como proteger os endpoints (notebooks, desktops e/ou smartphones) com acesso externo.

Por exemplo, MDM, Cloud Web Gateway e Endpoint Security são três soluções que podem ser um diferencial na estratégia de segurança da sua empresa. Saiba mais aqui.

Ainda nessa primeira dica, Eric destaca a definição de acesso seguro às aplicações SaaS. Dependendo da solução em nuvem usada, a TI consegue colocar autenticação de dois fatores, gerenciar o acesso e outros recursos para garantir a segurança dos dados. Preferencialmente antes de os colaboradores usarem essa solução.

Dica 2: Ter uma equipe multidisciplinar para definir a governança

Há algum tempo, a criação de ambientes de TI era tarefa para o time de TI. De uns tempos para cá, diz o especialista, os próprios donos de negócios passaram a criar os ecossistemas e definir as regras de governança.

Eric explica que os diretores de segurança de informação podem proteger melhor os ativos da empresa ao reunir um time com representantes de diferentes áreas (TI, segurança, jurídico, compliance, entre outras áreas) para definir as regras de governança para a companhia.

A dica do especialista é criar políticas e regras baseadas em risco e em um sistema de pesos e contrapesos*, que vão possibilitar a adoção de novas soluções em nuvem. Outro ponto que ele ressalta é a aproximação com os provedores de SaaS para saber como eles trabalham a segurança de suas aplicações.

Nota da redação: Pesos e contrapesos é um sistema em que há instâncias capazes de controlar as outras, de modo que nenhuma parte integrante seja capaz de ter o poder total e fazer mudanças extremas. Assemelha-se na democracia ao conceito de separação de poderes.

O executivo afirma que esses provedores geralmente padronizam as ofertas para atingir um maior número de empresas no mercado. “Ao revisar os contratos dos provedores de nuvem, peça documentação ou certificações de garantia de segurança”, aconselhou.

Dica 3: Compreender qual é a responsabilidade compartilhada

Ao contratar uma solução de um provedor SaaS é preciso saber a responsabilidade de cada parte para que fique claro a obrigação de fornecedores e clientes. Para essa dica, pense, como exemplo, no fornecimento de energia para a sua residência.

A companhia de energia, por contrato, fornece eletricidade para que você consiga ligar seus dispositivos e eletrodomésticos. Mas como você usa esse fornecimento não é de responsabilidade da contratada.

O mesmo pode ser explicado para a responsabilidade compartilhada. As aplicações SaaS são gerenciadas pelo provedor para garantir que elas irão funcionar, sem apresentar instabilidades ou outros problemas.

No entanto, os recursos dessas aplicações – como o gerenciamento de usuários, o armazenamento de dados e a configuração desses aplicativos – são de responsabilidade do contratante.

Aplicações SaaS são tendência, logo a segurança é uma obrigação

Nas palavras de Eric, garantir a segurança de aplicações SaaS pode variar de acordo com o setor, estratégia de negócios e outras particularidades, mas é preciso alinhar “a estratégia de TI com a estratégia de negócios”. “Mas em qualquer framework de governança, é preciso “definir as funções e responsabilidades [de cada área] para garantir a segurança doas aplicações SaaS”, escreveu.

Apesar dos desafios em manter soluções SaaS rodando dentro de uma empresa e criar uma política de segurança para elas, Eric acredita que, por conta da pandemia, os provedores datecnologia amadureceram, o que traz algumas vantagens.

“Quando as empresas encontram o fornecedor certo, o ambiente de SaaS pode fornecer uma atualização de segurança significativa e tirar um pouco da pressão sobre a TI”, disse. Isso toca em outro ponto: a capacitação de executivos e funcionários fora da área de TI.

Modernizar a segurança para que ela esteja alinhada com a realidade é imperativo. “Com um sistema de pesos e contrapesos correto, as empresas podem assegurar aos usuários o acesso às ferramentas necessárias para o trabalho e ao mesmo tempo manter os dados protegidos”, conclui o executivo.

Principais destaques desta matéria

  • Aplicações SaaS estão em evidência desde o trabalho remoto imposto pela COVID-19.
  • Porém, muitas empresas ainda possuem estratégias de segurança baseadas em on-premise.
  • Ao InformationWeek, diretor de segurança dá 3 dicas de como as empresas podem proteger as soluções em nuvem.


Matérias relacionadas

ciberseguranca pmes Estratégia

Falta de cibersegurança causa efeitos notórios nas PMEs, mostram pesquisas

Mais de 27% das pequenas e médias empresas (PMEs) não colocam a cibersegurança como prioridade no orçamento

migracao para cloud Estratégia

5 erros na migração para cloud

Planejamento e equipe capacitada estão entre os principais cuidados para as organizações que desejam fazer a migração para cloud

Ásia tecnologia Estratégia

Lições da Ásia para o futuro da tecnologia

Estudo aponta que haverá mais 900 milhões de usuários de internet na Ásia até 2025, o que demanda investimentos de mais US$ 151 bilhões em TI até esta data

varejo tecnologia Estratégia

Varejo usa tecnologia para entregar boa experiência de consumo 

Com participação do Boticário, 5º episódio da minissérie Empresas Líquidas mostra como os dados e a tecnologia empoderam o cliente no varejo