Det blir alltmer vanligt att använda sig av SaaS lösningar (software as a service), mycket för att det är kostnadseffektivt, smidigt att använda då drift och underhåll sköts av leverantören samt kan ha hög säkerhet. Varför jag skriver kan är för att det kan gå fel om man inte är noggrann och kravställer säkerheten före köp. Allt för många köper en SaaS lösning med samma inställning som vid köp av en bil, de förväntar sig att den som byggt bilen har sett till att den är säker och bra.
3 viktiga saker att tänka på före köp av SaaS lösning
1. Ansvarsfördelning
Börja med att ta reda på vem som har ansvar för vad för att få en god översikt om lösningen. Cloud har många olika modeller, Privat Cloud där du själv sätter upp din egen miljö, kör och hanterar dina egna maskiner. Infrastructure as a Service där du som kund ansvarar för vissa delar och leverantören för vissa delar. Sen finns det Platform as a Service där leverantören hanterar det mesta samt Software as a Service som vi pratar om i denna artikel.
Det är ditt ansvar att säkerställa att du köper en produkt som kan hantera den säkerhetsklassning av data som lösningen ska hantera. Som att köpa en bil, Volvo ansvarar för att se till att du kan köra bilen säkert och att den inte brakar ihop men skulle du krocka och skada dig så är det ditt problem.
2. Kravställning
Vid utvärdering av leverantörer och under köpprocessen är det viktigt att du har kravställningen för säkerhet klar så att du kan se till att din data är helt säker hos den du väljer.
Vad en kravställning ska innehålla är individuellt, utgå alltid från vad du har för data i lösningen när du sätter din kravställning. Har du exempelvis kreditkortinformation ska lösningen kunna hantera PCI DSS och har du personuppgifter så ska lösningen efterfölja GDPR-lagen.
Trots att kravställningen är individuell brukar de allra flesta se till att penetrationstest utförs. Något som oftast görs av leverantören. Ett tips är att se till att leverantören tar in en pentestare från oberoende part. För att vara extra säker bör du även ha som krav att få använda egna oberoende testare när du köper en lösning, vilket nästan alltid brukar gå bra. Längst ner i denna artikel hittar du en lista på de mest viktigaste generella sakerna du bör ha med i en kravställning kring säkerhet.
Att själv ta in en extern part samt betala för säkerhetstesterna brukar leverantörerna vara mycket positiva till, men jag tycker att du borde se till att leverantören står för den kostnaden. Du är ju trots allt kund och betalar för produkten. Det är som att köpa en bil och sedan ta den till en bilverkstad för att kolla om den är säker, det gör man inte.
Beroende på vad det är för SaaS lösning så kan det vara så att man gör anpassade konfigurationer och integrationer. Om så är fallet utför du testerna och står för kostnaden själv.
Oftast går det bra att säkerställa sina krav med leverantören under utvärdering/innan köp, men många kommer tyvärr på detta för sent. Man hamnar då i en situation utan anpassade krav kring data vilket gör det hela mer komplext. Nummer ett är då att titta på lösningen, uppskatta hur kritisk den är för din information och se om det är något ni behöver/kan ändra på. Det andra är att ta reda på om leverantören är villig att göra dessa ändringar vilket de oftast är. Därifrån tar du fram en kravställning som ni tillsammans går igenom, tittar på vad som finns idag och vad som behöver åtgärdas.
SaaS leverantörerna är nästan alltid medgörliga till förändringsarbete men du behöver förstå att det inte är något som kommer att ske över en dag utan ta tid. Om du skulle få ett nej får du helt enkelt ta ett beslut om det går att leva med risken eller börja leta efter en ny plattform
3. Leverantörens processer kring säkerhet och test
Innan ett köp genomförs är det även viktigt att ta reda på hur leverantörens process på tester ser ut och hur de jobbar med säkerhet. Du vill inte stå med en produktägare som hellre prioriterar annat än säkerhet och dess åtgärder.
Ta reda på om de gör säkerhetstester och i så fall vilka säkerhetstester de gör. Ta reda på hur de gör testerna, vem som utför testerna, hur ofta de utför dem och hur processen ser ut för att lösa sårbarheter om det skulle uppstå. Be gärna om bevisföring för att granska hur rapporterna ser ut och hur de har löst tidigare sårbarheter (om det framkommit).
Det ska finnas en kontinuitet i deras säkerhetsarbete, tester ska inte enbart göras när någon frågar eller var tredje år.
Sammanfattning
Då fler bolag har börjat gå mot olika SaaS lösningar så har leverantörssidan fullkomligt exploderat. Oavsett om du väljer att drifta dina egna eller köra med SaaS lösningar så är det oerhört viktigt att se till att applikation, infrastruktur och data är skyddat på ett tillräckligt vis. Problematiken är att vi ofta förväntar oss att säkerheten är på plats utan att verifiera eller kravställa under uppköpsfasen vilket kan få ödesdigra konsekvenser vid en eventuell attack.