Help Desk Migration Service
X

Segurança de SaaS e como o Help Desk Migration a Aborda

Yuriy Kril Fevereiro 1, 2022

As soluções Software-as-a-Service (SaaS) dão flexibilidade sem precedentes a qualquer negócio. Você pode acessá-las na nuvem quando quiser e onde quer que você esteja. Elas permitem que você minimize seus gastos com hardware e aumente e diminua sempre que necessário. Eventualmente, elas podem ser facilmente integradas em um único fluxo de trabalho. Mas apesar da crescente adoção de produtos de software baseados em nuvem, as preocupações com a segurança SaaS persistem. Em um estudo realizado em 2021, até 98% das empresas pesquisadas tinham sofrido pelo menos um incidente de segurança nos 18 meses anteriores.

Então, isso significa que todas essas afirmações sobre a segurança dos produtos SaaS não são nada mais do que propaganda? Bem, não é tão claro assim. Este artigo lhe dará uma compreensão básica da natureza dos riscos de segurança SaaS e como você pode preveni-los.

Os Principais Desafios da Segurança de SaaS na Nuvem

Os ambientes SaaS atuais incluem, em média, 42 aplicações de terceiros. Por um lado, ter a maioria dos dados e processos fora do local é extremamente libertador para uma empresa. Por outro lado, controlar tantas aplicações é um verdadeiro desafio. E é daí que derivam duas preocupações-chave de segurança de dados de SaaS – a falta de visibilidade e o gerenciamento insuficiente do acesso.

A Falta de Visibilidade

De acordo com uma pesquisa, seis em cada dez proprietários de empresas consideram a falta de visibilidade em seus ambientes SaaS como um de seus maiores desafios de segurança cibernética. E não é apenas por causa do número de aplicações que eles precisam vigiar de perto. Cada uma dessas aplicações vem com um conjunto individual de características de segurança, configurações de acesso e políticas de privacidade, que estão em constante mudança à medida que os provedores atualizam seus produtos. Para coroar tudo isso, não esqueçamos a variedade de dispositivos dos quais cada aplicativo SaaS pode ser acessado. Como resultado, as equipes de segurança têm pouco conhecimento dos riscos reais para os dados da empresa.

Gestão de Acesso Insuficiente

Com as empresas completamente sobrecarregadas com o número de aplicativos de terceiros em seus ambientes de nuvem, apenas 12% das empresas com 50-99 aplicativos em sua pilha SaaS realmente conduzem verificações semanais de má configuração. Acrescente isto à confiança generalizada em fornecedores de aplicativos SaaS em termos de segurança – e torna-se claro por que o gerenciamento inadequado de acesso é considerado outra grande ameaça à segurança pela maioria das empresas: muitas equipes de segurança não têm uma imagem completa de quem acessa os dados da empresa e de que forma, ou que tipo de dados estão sendo acessados.

Juntas, estas duas questões de controle têm o potencial de causar vazamentos enormes de dados, tornando seus sistemas mais vulneráveis a uma variedade de ameaças cibernéticas, tais como sequestro de contas, ataques de ransomware, campanhas de phishing e ameaças internas. Agora, vamos dar uma olhada em alguns casos e as lições que podem ser aprendidas com eles.

Incidentes de Segurança SaaS e o Que Eles Podem Proporcionar

Vamos encarar: para muitos de nós, todas essas descobertas estatísticas são apenas um conjunto de símbolos e avisos de especialistas em segurança cibernética que podem se sentir alheios à nossa própria situação. Mesmo assim, gostemos ou não, vazamentos de dados e ciberataques são reais. Abaixo, destacamos três incidentes de cibersegurança que se concentram (ou pelo menos envolvem) aplicativos SaaS que você conhece e pode usar.

Vazamento de Dados Globais do Jira

Em agosto de 2019, um pesquisador de segurança descobriu que milhares de empresas, incluindo a NASA, vazaram involuntariamente alguns de seus dados online devido a uma única configuração errada no Jira.

Acontece que quando você cria painéis de controle e filtros no Jira, a plataforma permite que você escolha entre algumas configurações de permissão para quem pode ver estes detalhes. E é aí que começam os problemas. Alguns administradores assumem que “todos os usuários” ou “todos” significa “aberto a qualquer pessoa na empresa”, no entanto, na verdade, isso significa que eles são visíveis publicamente e indexados nos mecanismos de busca. Pior ainda, estas opções são as opções padrão.

Pesquisadores de ameaças da Varonis revelaram que até 3.774 painéis de controle, 244 projetos e 75.629 questões são acessíveis ao público, tendo a maioria desses ativos entrado acidentalmente na rede aberta. Nomes de projetos, avatares, proprietários, status e e-mails de usuários são os ativos de dados mais comuns que vazaram dessa forma. Usando estas informações, os atacantes podem criar campanhas de phishing, lançar ataques de injeção de senhas ou enchimento de credenciais, ou alvejar sistemas ainda mais sensíveis.

Ataque à Cadeia de Suprimentos da SolarWinds

No final de 2020, o fornecedor de segurança FireEye relatou um grande ataque cibernético contra a SolarWinds — um proeminente fornecedor americano de software de gerenciamento de infraestrutura de TI. De acordo com seu According to its CEO, Sudhakar Ramakrishna, os malfeitores invadiram a conta do Office 365 da empresa, obtiveram acesso às contas de funcionários da SolarWinds e as usaram para injetar código malicioso na atualização do software Orion do fornecedor, que foi então empurrado para cerca de 18.000 clientes. Curiosamente, nem os investigadores da SolarWinds nem a Microsoft detectaram qualquer vulnerabilidade no código do Office 365 que pudesse ser explorada pelos hackers. Ambos apontam para o roubo de credenciais, ao invés de uma vulnerabilidade.

O incidente ocorreu em 2019 e, segundo pesquisadores de ameaças, afetou mais de 100 corporações privadas americanas e nove redes de agências federais. Estas incluíam Microsoft, Cisco e Deloitte, assim como o Pentágono, o Departamento de Segurança Nacional e outros. Com base em um relatório da IronNet de 2021, as empresas afetadas perderam, em média, 11% de sua receita anual.

Milhares de Gravações de Reuniões no Zoom Disponíveis Online

Quando a pandemia chegou, o Zoom viu um aumento sem precedentes na popularidade, de 90 milhões de usuários diários em dezembro de 2019 para 200 milhões em março de 2020. Além do aumento no preço das ações da empresa, isto provocou uma onda de preocupações com a privacidade dos dados.

Por exemplo, em abril de 2020, pesquisadores descobriram milhares de gravações de reuniões privadas do Zoom na rede aberta, para que qualquer pessoa pudesse assisti-las e até mesmo baixá-las. Isso foi o resultado de uma violação enorme de dados? De modo algum. O truque é que o Zoom permite que os usuários salvem suas reuniões gravadas em seu local preferido sem uma senha. Isto é ainda mais exacerbado pelo fato de que você pode salvar a gravação com seu título padrão, que é o mesmo que o tópico da reunião online. Como resultado, se você salvar seu vídeo, digamos, em buckets da Amazon Web Services (AWS) S3, qualquer um pode encontrá-lo através de uma simples busca de armazenamento em nuvem.

Melhores Práticas de Segurança SaaS

Com base no Relatório da Pesquisa de Segurança SaaS 2021, 89% das empresas pesquisadas relataram que as configurações errôneas de SaaS eram uma das três principais ameaças à segurança cibernética. Os pesquisadores descobriram que esta era a principal fonte das questões de cibersegurança apresentadas no relatório.

Em outras palavras, não é que os aplicativos SaaS tenham falhas de segurança inerentes, mas a forma como usamos esses aplicativos é a principal causa dos contratempos de segurança de software como um serviço. Um artigo sobre segurança na nuvem afirma que, até 2025, 99% dos incidentes de segurança cibernética serão simplesmente culpa do cliente. Então, como você pode garantir a segurança de suas aplicações SaaS? Aqui está o que recomendamos.

Avalie Todos os Seus Riscos

Em cenários de nuvem em primeiro lugar, a maioria das aplicações (se não todas) são integradas em um único ecossistema. Dito isto, você deve auditar regularmente cada aplicação em termos de conformidade, restrições de acesso disponíveis, o nível de proteção contra tentativas de hacking, e assim por diante. Isto permitirá que você defina e avalie todos os riscos que cada aplicação representa para seu ambiente de nuvem.

Automatize o Máximo Possível

Não há como negar que monitorar continuamente uma série de aplicações de terceiros é uma tarefa assustadora — essa é uma das razões pelas quais muitas organizações não conseguem acompanhar todas as suas aplicações e detectar problemas a tempo. Para garantir que nada escape, recomendamos fortemente que você dê uma olhada mais de perto nas ferramentas de automação, tais como as soluções SaaS Security Posture Management (SSPM). Elas podem fazer este trabalho por você.

Evite Erros de Configuração

Muitos pesquisadores concordam que configurações incorretas — em particular a má gestão de acesso, sua variedade chave — representam um sério risco à segurança cibernética SaaS. Para mitigar isso, certifique-se de obter o máximo das configurações de segurança de cada aplicativo. Existe autenticação multifator? Ative-a. Sua aplicação permite vários níveis de permissões de acesso do usuário? Analise quem estará usando a ferramenta e configure as permissões de acordo.

Adote a Política de Acesso com Menor Grau de Privilégio

Minimize o número de usuários que podem acessar seus dados corporativos tanto quanto você puder. Siga a regra geral: se uma determinada restrição de acesso do usuário não afetar negativamente seu fluxo de trabalho, siga em frente. Isto ajudará a evitar incidentes similares aos que enfrentaram os usuários do Jira.

Implemente Padrões

As pessoas tendem a ser descuidadas com os dados corporativos. A DoControl descobriu que 20% de todos os ativos SaaS corporativos estão sendo compartilhados internamente com um link e 18% externamente, expondo os dados a usuários não autorizados. O desenvolvimento de padrões de uso de aplicações para orientar sua equipe ajudará a minimizar vazamentos de dados como estes.

Eduque Sua Equipe

Atitudes negligentes em relação aos ativos da empresa também podem ser decorrentes do fato de que alguns funcionários talvez não estejam treinados em como gerenciar os dados de forma responsável, ou não estejam cientes da necessidade de fazer isso. Um programa formal de conscientização de segurança com sessões regulares de treinamento irá corrigir isso. Isso também reduzirá o risco de ataques realizados com a ajuda de técnicas de engenharia social.

Evite o Excesso de Provisão

Os ambientes SaaS modernos são “superpovoados”. Pesquisas demonstram que mais da metade das aplicações dentro de um stack SaaS médio não tem sido usado em mais de seis meses. Ter tantas aplicações que podem conter dados sensíveis não é um risco razoável. Portanto, livre-se de aplicações em excesso sempre que elas forem detectadas.

Analise Cuidadosamente Cada Aplicação Antes de Incorporar Outra à Sua Stack

Quanto mais aplicações você tiver — mais riscos sérios de segurança cibernética você expõe seus dados. Dado isso, seja particular em cada uma das aplicações que você está planejando usar para seu negócio. As perguntas a seguir o ajudarão a filtrar os fornecedores não confiáveis:

Esta é a lista básica de verificação de segurança SaaS, e outras considerações podem ser necessárias para seu negócio em particular. Mas aí vem o próximo desafio. Por exemplo, você percebeu que sua plataforma atual de suporte ao cliente tem inúmeras vulnerabilidades de segurança e quer mudar para uma opção mais segura. Então, a pergunta é: existe uma maneira segura de migrar facilmente seus dados de uma plataforma para outra? Encontre a resposta abaixo.

Como a Migração do Help Desk Fica Livre de Riscos de Segurança Cibernética

Se você está procurando migrar seus dados de help desk com segurança, não há necessidade de procurar na Internet por um fornecedor confiável de migração de dados. Basta deixar nossa solução de migração automatizada de dados — Help Desk Migration — fazer o trabalho para você com segurança. Aqui estão alguns dos padrões de segurança SaaS que seguimos para proteger seus dados.

Medidas Técnicas

No Help Desk Migration, acreditamos firmemente que a segurança de uma aplicação em termos de seu design é puramente de responsabilidade do fornecedor. A migração de dados do help desk com nosso serviço é segura devido às seguintes medidas:

Proteção de dados em trânsito e em repouso. Nossa rede privada é altamente segura com firewalls, proteções anti-DDoS, além avaliações regulares da postura da rede. A criptografia SSL protege os dados que fluem através da Internet. Também usamos criptografia de disco para proteger os dados estáticos, de modo que somente usuários autorizados podem lê-los.

Medidas Organizacionais

Embora nosso serviço seja seguro por design, tomamos uma variedade de medidas organizacionais para eliminar até mesmo a mínima chance de vazamento. Estas incluem:

Recursos de Segurança

E, claro, nenhuma solução SaaS confiável é completa sem uma variedade de configurações de segurança, permitindo que os usuários se beneficiem de uma proteção completa. Quando se trata de Migração de Help Desk, estas incluem:

Também recomendamos que nossos usuários mudem suas senhas e restrinjam as permissões de acesso concedidas a nós para mover seus dados cinco dias após a migração. Se você acha que detectou uma vulnerabilidade, estamos sempre felizes em discuti-la.

Conformidade

Nos orgulhamos de nosso grande portfólio de complementos, que mantemos atualizados e aos quais muitas vezes acrescentamos. Por enquanto, aderimos à HIPAA, EU GDPR, ISO/IEC 27001:2013 e PCI DSS.

Esta é uma breve visão geral de como asseguramos a migração segura de dados. Se você estiver disposto a aprender mais sobre quais medidas tomamos para proteger seus dados, você pode dar uma olhada em nossa página de Política de Segurança, se familiarizar com nosso Acordo de Nível de Serviço ou nos pedir para preencher um questionário de segurança.

Categories: Sucesso do Cliente
Help Desk Migration

Serviço automatizado para migrar seus dados entre plataformas de help desk sem habilidades de programação - basta seguir o Migration Wizard.

You May Also Like

Inscrever-se