Come gestire al meglio i servizi SaaS seguendo le linee guida NIST

Come gestire al meglio i servizi SaaS seguendo le linee guida NIST

Il National Institute of Standards and Technology (NIST) è sempre un buon riferimento dove trovare le migliori pratiche e linee guida in materia di sicurezza informatica.

La continua crescita di servizi erogati in modalità SaaS (Software as a Service) e i grandi cambiamenti nell’ambiente di lavoro dovuti alla pandemia, comportano nuove sfide per la sicurezza e una necessità di adattamento del NIST Cybersecurity Framework (CFS) alla nuova situazione ambientale.

Il NIST CSF definisce cinque funzioni di sicurezza (Identify, Protect, Detect, Respond e Recover), quindi le suddivide in categorie e sottocategorie. Le sottocategorie contengono i controlli effettivi. Per ciascuna sottocategoria, il CSF include un elenco di riferimenti incrociati a standard e framework noti come ad esempio la ISO 27001.

Di seguito si elencano gli aspetti del CSF che sono importanti ai fini della governance di un servizio SaaS:

  • Data in transit: il flusso di dati e di comandi va dall’utilizzatore al provider il quale garantisce la disponibilità e la sicurezza del servizio ma non la conformità normativa e nemmeno l’accesso legittimo ai dati.
  • Data leaks: le policy cambiano in un ambiente SaaS dal momento che, ad esempio, è buona pratica condividere il link (con scadenza di validità) ad un file e non il file stesso.
  • Gestione delle identità: avere più servizi SaaS potrebbe voler dire avere molte più tipologie di autenticazioni e molte più credenziali degli utilizzatori da gestire internamente.
  • VAPT: le azioni di verifica periodica di eventuali vulnerabilità applicative vanno concordate in fase di contratto, come pure il diritto del cliente di testarle in autonomia

 

Fonte: https://thehackernews.com/2022/01/nist-cybersecurity-framework-quick.html?_m=3n%2e009a%2e2648%2epk0ao06z5r%2e1op4

Leave a Comment

Top