人们很容易将某件事视为理所当然,直到它停止工作。因此,安全性的核心原则是了解可用性。
考虑一下如果某个 SaaS 应用程序突然不可用电报数据库或出现故障,可能产生的影响。这会影响您的客户吗?这会如何影响您的业务?现在了解这些风险可以让您今天就为明天的潜在灾难制定应急计划。做好准备总是更好的。
此外如果出现服务中断
提供商将如何以及何时通知您其产品存在服务问题?这是合同问题还是纯粹出于礼貌?理想情况下,寻找不仅提供检查服务可用性的站点,而且在合同中承诺在中断期间提供定期更新的服务。考虑提供商的服务水平协议 (SLA),并完全了解他们的合同义务以及如果不履行这些义务您将得到什么。
因此,我们考虑了可用性方面的差距,但如果供应商遭遇了一场彻底的灾难,该怎么办?对于您的公司来说至关重要的 SaaS 解决方案的灾难可能会对您的公司产生滚雪球式的影响——损害公共关系和您提供的整体服务。
在选择应用程序和协商合同时,请考虑询问供应商针对此类事件的应急计划。始终了解并理解您的 SaaS 提供商将如何从灾难中恢复以及他们能够检索哪些数据。
用于跟踪恢复 SLA 的指标称为:
- RTO——恢复时间目标是指从最坏的灾难中恢复需要多长时间。
- RPO——恢复点目标是指恢复完成时系统和数据所处的状态。
无论如何,要知道在灾难期间您的公司政策和Elida Vasquez 所有者义务是否仍然得到满足——这些信息通常会在您与 SaaS 提供商的 MSA 和/或 DPA 中描述。
可审计性和日志记录
您知道谁访问了您的 SaaS 解决方案实例、他们广告库了什么以及何时访问的吗?这种可见性水平是许多 SaaS 应用程序所欠缺的,因为此类信息往往需要大量投资存储容量。但是,这些信息对于公司内部的安全调查仍然至关重要,而不是依赖 SaaS 提供商的尽职调查承诺。
此外,请考虑是否可以将日志信息导出到您自己公司的安全系统(如 SIEM 或集中日志记录)。这样可以让组织避免依赖给定 SaaS 解决方案中的日志,因为这些日志存在被恶意行为者篡改的风险。将这些日志传输到您的环境中,可以让您在调查期间解决任何偏差。
尽管这种记录和可听性并不常见,但在签订合同之前仍然值得与您的提供商进行审查。
为数字化工作场所改进您的 SaaS 治理框架