Nul
Bij het classificeren van gegevens voor de risico -, moet u eerst overwegen een lijst van bedreigingen die de gegevens en toepassingen kunnen krijgen. U dan wegen deze risico ‘ s door hun kans. Dit is geen exacte wetenschap, maar het kan intelligent worden behandeld door een ervaren security consultant.
Typisch bedreigingen zijn:
Het verlies of openbaar worden van de kleine/grote aantallen records van persoonlijke gegevens van klanten/werknemers (Deze kunnen worden beschouwd als vier verschillende risico ‘ s) Verlies of openbaarmaking van gevoelige intellectueel eigendom van het bedrijf, zoals business plannen of programma broncode Verlies van fysieke media die niet-versleutelde, gevoelige data Verspreiding van malware via SaaS
Dit is natuurlijk geen uitputtende lijst. Een gedegen plan zou zijn onder meer specifieke aandacht voor uw bedrijf.
Als je weegt de bedreigingen door hun waarschijnlijkheid en hun impact, hoewel, kunt u een idee krijgen van waar moet u de prioriteit van uw inspanningen. Dit kan zo eenvoudig zijn als het vermenigvuldigen met een factor waarschijnlijkheid, van 1 voor de minst waarschijnlijk 5 voor het meest waarschijnlijk, tegen een impact factor van 1 voor de laagste impact op 5 voor de grootste.
Voor de bepaling van deze factoren zijn er vele vragen die u moet stellen. Dit is waar een expert in risico analyse kan helpen. Onder deze zijn:
Hoeveel mensen hebben toegang tot de gegevens? In welke mate is de geanonimiseerde gegevens (bijvoorbeeld het opslaan van alleen de laatste 4 cijfers van een nummer van een creditcard)? Heeft de gegevens van de SaaS voor andere domeinen? Het Is verwerkt op partner websites of op de lokale systemen van de onderneming? De gegevens altijd versleuteld, in rust en tijdens het vervoer?
De real-world lijst is veel langer. Maar een belangrijke vraag is nu, hoe kunt u het toepassen van deze risico-evaluatie en de wereld van SaaS-aanbieders, zoals Microsoft Office 365 en Google G Suite?
SaaS-aanbieders zijn niet verstoken van beveiligingsfuncties, maar ze hebben niet de vereiste functionaliteit te beperken uw organisatie risico. Voor de introductie van een derde partij CASB (Toegang tot de Cloud Security Broker) – zoals PaloAlto Netwerken’ Diafragma — is nodig. De beste CASBs werken in de cloud zichzelf en integreren met SaaS-applicaties op de API-laag. In dit scenario, de CASB heeft toegang tot informatie voor de gebruiker en het systeem logs, waardoor het automatiseren van handhaving van het beleid.
Een CASB zoals Diafragma monitoren van de actuele gegevens kunnen worden gebruikt door de gebruiker en kan daarom onderzoeken of het voor de gevoeligheid. Heeft het de kenmerken van een technisch schema? Is het software source code? Heeft de gegevens overeenkomen met de patronen met sofi-nummers of andere PI? Zijn e-mails worden doorgestuurd naar een onbevoegde domein? Als een van deze het geval is, heeft de gebruiker bevoegd zijn om het in en stuur het?
Alleen een veiligheidsbeleid actief zijn in de SaaS-applicatie zelf kan detecteren kwaadaardige gebeurtenissen zoals ze zich voordoen en een einde aan hen. Naast het Diafragma, de Palo Alto Networks kan u helpen met het risico-assessment en de veiligheid van de planning.
Meer informatie over Palo Alto Networks® Next-Generation Security Platform voor cloud go.paloaltonetworks.com/secureclouds.
0