In risposta all'aumento della domanda, gli editori di soluzioni di cybersecurity hanno ampliato la loro offerta includendo un modello di consumo SaaS.
Diverse famiglie di strumenti, finora distribuiti principalmente on premise, hanno fatto il grande passo: antimalware, WAF, proxy, SIEM, ecc. Questa tendenza a spostare i servizi di sicurezza nel cloud presenta molti vantaggi, ma anche svantaggi che devono essere presi in seria considerazione. Spostare le funzioni di sicurezza chiave e i relativi dati sensibili nel cloud rimane un salto nell'ignoto.
Contrastare questa tendenza alla "mimetizzazione del cloud" significa aiutare i decisori a far valere le loro richieste di trasparenza sul livello di sicurezza fornito dal fornitore e illuminare le aziende e le organizzazioni sui prodotti cloud che consumano. Senza aspettare il legislatore, ecco le domande chiave che dovreste porvi quando scegliete una soluzione SaaS, nonché i modi per assicurarvi di ottenere le informazioni essenziali:
Posizione
Dove si trova l'infrastruttura di hosting per il servizio SaaS?
- in Francia?
- nell'Unione Europea?
- in altri continenti?
➡️ Questi elementi sono talvolta comunicati pubblicamente dall'editore nei suoi termini e condizioni generali di utilizzo (GTCU). Tuttavia, a volte è necessario porre la domanda in modo esplicito.
La reputazione
- Qual è la reputazione dell'editore?
- È stata oggetto di fughe di dati o di attacchi informatici di alto profilo?
- I suoi prodotti sono frequentemente affetti da vulnerabilità ed esposizioni comuni (CVE)?
➡️ Di solito le risposte si trovano su Internet. Basta prendersi il tempo di fare una ricerca. Se l'editore pubblica i riferimenti sul suo sito, perché non chiedere ai suoi clienti un feedback?
Conformità
- Quanto è conforme l'editore?
- Quali certificazioni e qualifiche ha ottenuto?
- Le sue certificazioni sono compatibili con i vincoli legali e normativi che vi riguardano?
➡️ In generale, è nell'interesse dell'editore pubblicizzare le proprie certificazioni o qualifiche (ISO 27001, HDS, SecNumCloud, ecc.) Tuttavia, vi consigliamo di approfondire l'argomento:
- Chiedete una copia della certificazione e prestate molta attenzione all'ambito coperto. Un abuso comune è quello di nascondere il fatto che la certificazione copre un'area molto piccola.
- Se l'editore è certificato ISO 27001, chiedete la dichiarazione di applicabilità.
- Chiedete all'editore i rapporti di revisione, ad esempio ISAE 3402 o SOC 2, idealmente di tipo 2.
- Chiedete loro di presentare la loro politica di protezione dei dati e le misure adottate per garantire la conformità al RGPD.
- Verificare che l'editore sia iscritto nei registri pubblici tenuti da autorità di qualificazione come l'ANSSI (in Francia) o l'ENISA (in Europa).
- Presentare all'editore questionari sulla sicurezza, ad esempio basati sul CAIQ (Consensus Assessments Initiative Questionnaire) liberamente disponibile presso la CSA (Cloud Security Alliance).
- Negoziare la possibilità di effettuare audit di conformità.
Maturità
- Quanto è maturo l'editore nello sviluppo del software della sua soluzione?
➡️ Parte della risposta dovrebbe essere fornita dagli elementi di conformità che abbiamo già menzionato, ma vi consigliamo di chiedere ulteriori elementi:
- Gli sviluppatori ricevono una formazione o una sensibilizzazione sulla sicurezza del codice informatico?
- L'editore ha adottato le pratiche DevSecOps?
- Esegue regolarmente test di penetrazione sulla propria soluzione? Se sì, accetta di condividere almeno le sintesi dei suoi ultimi test?
- L'editore consente ai clienti di eseguire autonomamente i test di penetrazione?
Ottenere maggiori informazioni e trasparenza sui servizi di sicurezza SaaS è un'aspettativa legittima, che diventerà sempre più pressante con la migrazione delle soluzioni di sicurezza nel cloud. Incoraggiati dagli utenti, gli editori di soluzioni saranno più propensi ad aumentare il livello generale di protezione dei sistemi informatici in Francia. In questo modo, possiamo accelerare collettivamente la lotta contro il cyber-malware.