資安長與資訊長為何需要重新思考 SaaS 管理方式

The SailPoint Blog
| Andy Phelan | Market Views

工作的未來仰賴 SaaS,現在的方法則需要重新調整。您需要重新思考您所認為的「可見性」以及您現行方法存有的危險漏洞,並以此為基礎建立您的身分安全策略。

如果您和我固定洽談的其他資安長一樣,那麼您大概碰到了許多與迅速採用雲端服務相關的急迫議題。雲端與 SaaS 的成長已隨著資訊技術的消費化加速。使用者已經習慣下載及使用來自雲端的應用程式與服務,在工作上幫助自己,不過常常未取得 IT 部門明確的核准。SaaS 本身的商業模式仰賴終端使用者的採用。現在有工程師與行銷人員組成團隊,打造透過免費試用帶動「產品導向式成長」的平台,驅動產品黏著度,鼓勵使用者邀請等等。

數位轉型加速和員工廣泛轉型為遠端工作進一步推動了 SaaS 應用程式採用大規模成長。許多資安長認為影子 IT 的問題只是業務上的另一項成本,這其實讓問題更加惡化。我們的部落格有更多影子 IT 的相關內容。我讀過的某些報告中,專家估計有 80% 的員工承認自己工作上會使用未經過 IT 部門核准的 SaaS 應用程式。

Gartner 的資料顯示,影子 IT 佔大型企業整體 IT 支出高達 30% 至 40%。這表示您的 IT 預算有將近一半都花在讓團隊與業務單位購買 (以及使用) IT 部門不知道的工具上。許多未經核准的軟體與服務在功能上可能和獲得核准者一模一樣,也就是說貴公司使用經費的效率不彰。這對整體營收有何影響呢?雖然各個產業的影響都不一樣,不過 Deloitte Insights 近期的研究顯示,平均來說,公司會將營收的 3.28% 花在 IT 上。金融與證券公司的花費最多 (7.16%),營建公司最少 (1.51%)。

此外,由於工具未經過妥善審查,影子 IT 更有可能造成安全與合規性的複雜問題。風險之中包含缺乏安全性導致資料外洩。您的 IT 團隊無法確保未核准軟體或服務的安全,也沒辦法有效管理並執行更新。Gartner 預測,到了 2022 年時,針對企業攻擊得逞的事件將有三分之一是針對企業的影子 IT 資源。如果以 Ponemon 提出的外洩平均成本 (386 萬美元) 與每年外洩平均機率 (27.2%) 為準,影子 IT 在外洩相關的風險成本上,每年可能會花費您高達 350,000 美元。

您如何追蹤 SaaS 足跡?我說的不是企業的核心應用程式,而是所有足跡。如果您是用試算表追蹤,也有人跟您用同樣方法。不過,現實是這種方法無法掌控全面可見性。試算表只能追蹤一小部分足跡,只要更新,就會過時。這種方法浪費時間,也非常不準確。

讓我說明一下這種方法對您有何影響…

大家都聽過這些故事。有位財務主管透過雲端檔案儲存應用程式,與外部人員共用根資料夾。這種做法在不經意之間讓外部人員可以存取本來絕對不會公開或共用的財務明細。薪資表、損益表等資料全都不慎曝光。此外,這位財務主管的團隊檔案、資料夾、討論都被完整公開,不再是僅供內部使用的唯讀檔案,這使得搜尋引擎可以用財務檔案與其他敏感資訊建立索引。這個情境中,是誰的錯?不是財務主管…而是資安長與資訊長。

或是換一種情形,公司在不知情的狀況下,有多達五個 (或以上) 相同的專案管理應用程式運作著,這些程式在公司裡四處使用著,不在 IT 的管轄範圍內。這種現象會造成龐大的預算重疊與安全弱點,其他應用程式裡可能儲存了多少敏感資料呢?我可以用個人經驗肯定,這種情形太普遍了,您的公司甚至也有可能發生。

公司讓影子 IT 和 SaaS 存取風險顯露無遺,並且掌握未受管治 SaaS 應用程式完整範疇的深度可見性後,就能每年省下數十萬美元。這種方法讓公司得以實施從搜尋到管治旗下整個 SaaS 應用程式態勢的流暢程序,針對每個新找到的 SaaS 應用程式 (以及其中資料) 推出妥善的安全控管措施,進而消除整個企業裡的影子 IT 問題。

目前預估,到了 2022 年時,將近 90% 的組織將幾乎完全依賴 SaaS 應用程式執行業務。在這個 IT 新時代裡,若想徹底保護今日的雲端企業,唯一的方法就是先找出所有隱藏的 SaaS 應用程式,再實施其他重要業務應用程式已經施行的管治控制措施。只有 SailPoint 能幫助您實現這點。SailPoint 是身分安全領域的領導者,幫助組織讓未經管治的 SaaS 應用程式顯露無遺,再實施正確的安全控制措施,確保只有正確的人員才能存取這類應用程式。我們的成果之一是幫助 IT 團隊快速找出這類 SaaS 應用程式並加以管治,提供必要的可見性與情報,以瞭解存取權限擁有者的身分、權限使用方式,並且移除或修改過度佈建或不需要的存取權限。有了 SailPoint,您不僅能減輕 SaaS 風險並改善合規性,還能最佳化授權成本並消除 IT 支出上的浪費。