Contributors
שמירה על נגישות לדאטה בעולם התוכנה כיום ובייחוד בתחום של תוכנות הכשירות (SaaS) היא משימה מאתגרת. יצא לכם לקחת פעם פעוט וחבריו לאולם מראות בלונה פארק? בטח חשבתם בהתחלה שהמצב יהיה נחמד, בילוי חביב ובר-ניהול, אבל די מהר גיליתם שאתם מאבדים שליטה. איבדתם את הילד שלכם, את החברים שלו, והתחלתם לחפש אותם ברחבי הפארק בתחושה שייתכן ולא תראו אותם שוב? אין ספק שמדובר בכאוס שמזכיר את אי הסדר בעולם אפליקציות ה-SaaS בארגונים כיום.
כאוס ה-SaaS
תחום ניהול הדאטה בארגון אמור להיות על פניו משימה די פשוטה מבחינה מקומית ונקודתית. כל אפליקציה, קובץ או מערכת לניהול קבצים מאפשר הרשאת גישה לנתונים פרטניים. בהמשך, תוכלו לפתוח רשימת בקרת גישה (ACL), ולמפות אותה בספריית המשתמש שלכם וכך להקצות או לבטל גישה לנתונים כרצונכם. המצב בתוכנות כשירות לעומת זאת, שונה לחלוטין.
אפליקציות SaaS, יחד עם מאגרי נתונים בענן, מציגות מגוון אתגרי גישה בתחום אבטחת הנתונים. הבעיה המרכזי אם כך היא בעיה של נראות. מנהל מערכת צריך להיכנס לאפליקציות SaaS כדי להבין מי ניגש אליהן, אך האפליקציות האלו גם מאפשרות בדרך כלל גישה למשתמשים חיצוניים, כך שלקבלן או לספק יכולה להיות גישה לנתונים ארגוניים ללא כל מעקב פנימי של החברה.
אין ספק שמדובר במתכון שיכול להוביל לכאוס מוחלט. ארגונים עם למעלה מאלף עובדים משתמשים בממוצע ב-177 יישומי SaaS שונים, כך שלמעשה אי אפשר לדעת למי יש גישה לאיזה מערך נתונים. אחראי אבטחת המידע בחברה לא יכולים מבחינה מעשית לעקוב אחר הנתונים הזמינים ולנהל מעקב דקדקני על נתוני הגישה של כל אחד מהיישומים.
כאוס כזה מבחינת הגישה לנתונים יכול להיות בעל השלכות חריפות על כל ארגון וחברה, גדולה וקטנה. ראשית משום שלא מדובר במצב אופטימלי מבחינה תפקודית. מצב כזה אומר הלכה למעשה שהעובדים לא יודעים היכן שמרו את הנתונים שלהם ולא ברור למי יש גישה לדאטה שהם שמרו או מי רשאי לבקש אותה. מדובר במצב לא בטוח שמשאיר את הנתונים שלכם במצב ביניים מסוכן: פגיעים ולא מפוקחים.
תהליך מסורבל
כפי שכבר הבנתם, בקרת שליטה בנתוני SaaS היא סוגיה מורכבת. לכל ספק יישומים יש מערכת בקרה פנימית משלו שמאפשרת לו גישה לנתונים המוזנים במערכת. בעלי עניין בתחום אבטחת המידע והפרטיות ברשת חייבים אפוא ללמוד איך כל אפליקציית SaaS מתפקדת ומבוקרת באופן פנימי.
כפי שציינו, ייתכן שלחברה יש מאות יישומי SaaS שהיא עושה בהן שימוש באופן יומיומי, כך שמישהו בתוך החברה צריך לשלוט בגישה לכלל הנתונים הללו, מה שידרוש מומחיות וניהול תהליכים שלוקחים זמן רב.
עובדים מעטים בלבד צריכים לבקש גישה לאפליקציות SaaS, ומתן גישה דורש הרשאת גישה לנתונים הללו באופן ידני על ידי צד שלישי. מדובר בתהליך לא יעיל, אך הבעיה האמתית מגיעה כאשר יש דווקא צורך לבטל הרשאה לגישה לאחר שניתנה לעובד מסוים, כאשר הוא עוזב את החברה או משנה תפקיד בארגון.
גישה ליישומי SaaS מבוססת על דפדפנים ולא תלויה בנוכחות של הארגון ברשת, מה שמעלה סיכון פנימי משמעותי. עובד לשעבר שעזב את החברה באווירה רעה, יכול להיכנס בקלות ליישום SaaS של הארגון מהבית ולגשת למידע שלא אמור להיות נגיש לו.
כך תתמודדו עם אי הסדר
כיום יש שיטות שונות שמטרתן להתמודד עם פרצות האבטחה המדוברות. גישה מוכחת ופופולרית היא התמקדות באבטחת נתונים בעלי השפעה קריטית על תפקוד הארגון. בתחום זה, הנראות לגישה למידע היא קריטית. כך לדוגמה, נתוני מבוססי SaaS או נתונים מבוססי ענן המכילים מידע תאגידי קנייני, מידע על קניין רוחני או מידע אישי מזהה ורגיש על העובדים – צריכים לקבל עדיפות גבוהה יותר מבחינת בקרת הגישה.
לא כל המידע ייכנס תחת המשבצת הזו כמובן. שירותי ענן הכוללים נתוני שיווק לצורך העניין, לא אמורים להיחשב כנתונים בעלי חשיבות גבוהה כל כך לארגון. מכאן ואילך – יש לסווג את קטגוריות המידע השונות בארגון ולהבין למי יש גישה לאיזה מידע, פנימי או חיצוני, והאם יש להשאיר את המצב כך או לערוך שינויים. כך תוכלו להבטיח שהמידע שלכם יישאר בטוח.
לי קפון היא מומחית לאבטחת מידע ובוגרת רשימת Forbes 30Under30. היא מכהנת כיום כמנכ"לית ומייסדת שותפה בחברת Suridata, סטארט-אפ שיצר פלטפורמה המיועדת לייצור פתרונות חדשניים בתחום אבטחת המידע.
ה-Contributors של פורבס ישראל הם כותבים עצמאיים שנבחרו על ידי מערכת פורבס, מומחים בתחומם, המספקים פרשנות וסקירת תופעות עכשוויות בתחום התמחותם. התוכן הוא מטעמם ובאחריותם והוא אינו תוכן ממומן.
