This document discusses Security as a Service (SecaaS), which provides security for information through cloud computing models like SaaS, PaaS, and IaaS. SecaaS offers services like identity management, email security, firewalls, encryption, and more. It allows companies of all sizes to protect information in a cost-effective manner without needing specialized security skills or hardware. While SecaaS provides benefits, companies still bear responsibility for their sensitive data and must understand what is managed by the SecaaS provider versus what is their own responsibility. Risk management strategies like acceptance, mitigation, avoidance, and transfer can be used.
This document discusses Security as a Service (SecaaS), which provides security for information through cloud computing models like SaaS, PaaS, and IaaS. SecaaS offers services like identity management, email security, firewalls, encryption, and more. It allows companies of all sizes to protect information in a cost-effective manner without needing specialized security skills or hardware. While SecaaS provides benefits, companies still bear responsibility for their sensitive data and must understand what is managed by the SecaaS provider versus what is their own responsibility. Risk management strategies like acceptance, mitigation, avoidance, and transfer can be used.
This document discusses Security as a Service (SecaaS), which provides security for information through cloud computing models like SaaS, PaaS, and IaaS. SecaaS offers services like identity management, email security, firewalls, encryption, and more. It allows companies of all sizes to protect information in a cost-effective manner without needing specialized security skills or hardware. While SecaaS provides benefits, companies still bear responsibility for their sensitive data and must understand what is managed by the SecaaS provider versus what is their own responsibility. Risk management strategies like acceptance, mitigation, avoidance, and transfer can be used.
Informacija je valuta savremenog doba. Sve, bilo male ili velike kompanije znaju da je veoma bitno sauvati informacije presudne za njihovo poslovanje. Probijanje sigurnosti moe znaiti i gubitak posla. Loa reputacija, pravne regulative i sudski sporovi, mogu firmu dovesti na vrata bankrota. Firme znaju da je bitno zatititi informacije, i da to nije opcija, sada je to postalo potreba. Meutim, kompanije moraju zatititi informacije tako da im to bude isplativo. To znai izazov. Dakle, potrebno je osigurati informacije, implementirati robustnu sigurnosnu praksu a u isto vrijeme i isplativu. Mnoge kompanije su outsource-ovale odreene aplikacije i zadatke MSSP-ima (Managed Security Service Providers). Nekome ko e za njih da odrauje odreene zadatke. Tu se javlja SecaaS Security As A Service. SecaaS model sadri sve karakteristike cloud computing-a. SecaaS predstavlja budunost u zatiti informacija. SecaaS se moe dostavljati upotrebom Software as a Service (SaaS), Platform as a Service (PaaS) ili Infrastructure as a Service (IaaS), zavisno od nivoa zatite koji je kompanija obezbjedila. Neke od usluga koje nudi SecaaS:
IAM Identity and access management
Email security Antivirus and anti-malware/spyware Intrusion management (detection and prevention) Firewall integration and management Encryption Integrity monitoring Web site security and Secure Sockets Layer (SSL) certificates Data loss management Network security Business continuity and disaster recovery Security assessments Internet traffic filtering
Pojedini analitiari smatraju da je najvea korist SecaaS-a ekonomska.
Dodue, to je diskutabilno, obzirom da ivimo u svijetu gdje se iz dana u dan
prijetnje razvijaju i postaju kompleksnije. Najvea prednost SecaaS-a je
adaptivnost na te prijetnje i mogunost da koristi najsavremenije tehnologije kako bi te prijetnje savladala. Dodatno, velike kapitalne investicije i specijalne vjetine nijesu potrebne kako bi se upravljalo nekim sigunosnim rjeenjima koje nude SecaaS vendori. Upravo zbog toga su ta rjeenja prihvatljiva za sve vrste i veliine biznisa. Potreba za sigurnijim informacijama na raznim podruijima i u raznim sektorima raste. Dolo je vrijeme kada jaku sigurnostnu infrastrukturu nemaju samo mone korporacije. SecaaS omoguava i manjim igraima takmienje na tritu. Novi nain upravljanja i dostavljanja usluga privlai nove klijente. Sa manje barijera firme ulaze na trite i postaju ravnopravne, time se konkurencija jaa, a samim tim i trite. Ovdje se vidi zanaj SecaaSa. Upravo zbog toga SecaaS vendori moraju da budu kvalitetne i pouzdane kompanije. Transparentnost takoe igra bitnu ulogu. Kompanije se mogu osjeati nesigurno iz razloga to im usluge pruaju kompanije koje nude jeftine usluge a nijesu njigovo vlasnitvo. Pored toga, javljaju se i problemi u odnosima sigurnosti informaicija i vladinih regulacija. Pa se postavljaju sljedea pitanja:
Ko je odgovoran za sigurnost ega?
Ko ima pristu kojim podacima? Gdje se bitni podaci uvaju i da li im se moe pristupiti? Koje su procedure za unitavanje i arhiviranje? Kako popularnost SecaaS-a raste, da li e se pojavljivati nove regulacije
u skladu sa novonastalim problemima?
Itd.
Sa ili bez SecaaS-a, kompanija ostaje odgovorna za sve svoje osjetljive
podatke. To zakoni i regulacije podravaju. Dakle, kompanija mora da zna koje su to informacije bitne za organizaciju, njihove klijente i vlasnike i rizik koji ide uz njih. Bez odgovora na ovo, kompanije ne moe tano znati kakva zatita njoj treba i ta treba zatititi. Kompanije uglavnom prelaze na SecaaS zbog nedostatka strunog kadra za IT sigurnost, cijene i odreenih regulacija. Ekonomski benefiti koje nosi prelazak na SecaaS su: Cijena Kompanija plaa samo one usluge i resurse koje koristi i kad ih koristi. Mogue je gotovo odmah poveati ili smanjiti resurse, zavisno od
situacije i potrebe resursa. Ovo je razlog smanjenja potrebnog prostora,
komunalija i odravanja. Upravljanje i operativnost SecaaS provajder je odgovoran za menadzment i operativnost hardware-a i software-a koji se koristi za dostavljanje usluga firmama. Koristei web konzolu firma saznaje o incidentu i task usmjerava na SecaaS-u . Na taj nain firma eliminie potrebu za angaovanjem IT resursa i njegovog menadmenta. Fokus na sutinske kompetentnosti Kompanija moe da se fokusira na primarnu djelatnost, i sve aktivnosti koje joj donose profit, sigurnosne taskove povjerava SecaaS-u. Skalabilnost SecaaS brzo odgovara zahtjevima i potrebama kompanija. Najbolje od vrste SecaaS omoguava najnaprednije usluge za sigurnost informacija.
klijentima
najmodernije
Ekspertiza SecaaS omoguava kompanijama veu ekspertizu. Jer sve
kompanije nemaju struni kadar kada je u pitanju sigurnost informacija. Autimatizovani update-i - SecaaS omoguava konsantne automatizovane update-e. (bilo da je rije o aplikacijama ili infrastrukturi). Ako kompanija eli da angauje SecaaS provajdera, ona mora da rauna na to da SecaaS posjeduje odreene modele i rjeenja koja moe da ponudi, ali ne mora da znai da moe da ponudi sva rjeenja koja su jednoj kompaniji potrebna. Kako bi se odreene nedoumice razjasnile kompanija mora da zna ta je njena odgovornost a ta SecaaS provajdera, zbog toga mora da se upozna sa sljedeim injenicama. SecaaS usluge se uglavnom dostavljaju putem SaaS, PaaS ili IaaS modela. To zavisi od sloja koji treba da bude zatien. Svaki nain dostavljanja nudi razliite stvari. Npr., sve to SecaaS nudi putem SaaS modela se uva na Cloud-u. U PaaS-u kompanija ima vie kontrole nad platformama i njihovim konfiguracijama. Dok u IaaS modelu, kompanija ima jo veu kontrolu, to moe biti i tetan faktor. Kada je rije o povjerljivim podacima, kompanija mora da bude svjestna da svi podaci mogu biti sauvani samo ako se potuju odreena pravila. SecaaS provajderi su uglavnom prilino profesionalni kada je rije o uvanju
podataka. Razlog je to to im je uvanje podataka primarna aktivnost. To
naravno ne znai da kompanija moe da se opusti i da ne razmilja o tome kako upravlja sa podacima. Kompanija je ta koja e da bira nain zatite, zbog toga treba da se posveti tome kao da SecaaS ne postoji. Uvoenje SecaaS-a sa sobom donosi i rizik koji mnogo vie od upravljanja sigurnosnim uslugama u firminim data centrima. Mnoge firme nemaju struni kadar i ekspertizu za efenktivno upravljanje pomenutim uslugama, tako da je jedino rjeenje da u cjelini preu na SecaaS-ov paket zatite. Rizik ne posjedovanja totalne zatite je vei od rizika koji moe nastati upravljanjem SecaaS-a.
Opte poznate strategije upravljanja rizika su:
Prihvatanje Prihvatanje rizika je nekad bolje od pokuaja smanjenja.
Razlog je to je cijena izbjegavanja prevelika i nije vrijedna investicije.
Smanjenje Postavljanje odreenih kontrola koje e dovesti do
smanjenja ili limitiranja rizika. Ovo bi smanjilo rizik do te granice da postaje prihvatljiv za kompaniju.
Izbjegavanje Djelovanje u cilju izbjegavanja rizika. To djelovanje
treba da bude u skladu sa risk politikom definisanom od strane kompanije.
Transfer Prebacanje rizika na treu stranu (pr. osiguravajue
drutvo). Ovo je takoe jedna od strategija izbjegavanja.
Upravljanje rizikom je sloen proces upravljana. Kompanija svojim internim
dokumentima odreuje nain na koji e se postupati sa rizikom, kako e se kontrolisati rizik i prihvatati ili izbjegavati. Preko svakodnevnih akcija uoavanja, upravljanja i pregledanja operacionih IT rizika kompanija moe da kreira osnovicu rizika. Ovakav pristup se ogleda u ISO/IEC 27001:2005 standardu. Koncept Plan/Do/Check/Act se koristi u veini standardnih metodologija upravljanja rizikom (ukljuujui i COBIT 5). Glavna ideja je da je rizik poslednja i neprenosiva odgovornost svake kompanije, bilo da koristi SecaaS ili ne.
Postojee fizike, administrativne i tehnoloke kontrole u kompaniji e se
morati uskladiti sa onima SecaaS provajdera. Mnogi menaderi i direktori su vie nego spremni da koriste usluge preko cloud-a. Najvie zbog lakoe sprovoenja, upravljanja zbog njihove rastereenosti kao i zbog jednostavnosti. Iako su ove stvari tane i realne, one takoe mogu da uzrok raznih nevolja, pa na kraju krajeva i ogromnih trokova. Korisnici uglavnom biraju jednostavnost u odnosu na sigurnost, i tako se dobija neki rizik koji je teko kontrolisati. Koristei cloud servise zaposleni jedne kompanije se mogu prijaviti sa bilo kojeg mjesta na cloud na kojem se nalaze podaci, naravno, koristei svoje login informacije. Meutim, kako se moe pristupiti i van kompanije, sa privatnih raunara i privatnih ili javnih mrea, podaci mogu lako biti kompromitovani (sluajno ili namjerno). Zbog ovoga je potrebno da ISMS neke kompanije ima definisane politike, procedure i kontrole. Angaujui SecaaS kompanije mogu implementirati kontrole raznih tipova (tehnike, administrativne, tehnoloke) kako bi zatitile povjerljivost, integritet, dostupnost i autentinost. Kao to je i ranije pomenuto, kada se radi o podjeli odgovornosti, SecaaS provajder je odgovoran za operacioni dio. SecaaS se uglavnom fokusira na dostupnost, privatnost, zatita podataka, lokaciju i saglasnost. Brza ekspanzija u zahtjevanju usluga sigurnosti podigla je cloud servise na vii nivo. Tradicionalne metode zatite gube na popularnosti i ne stiu da idu u korak sa potrebama savremenih kompanijama. Dok sa druge strane SecaaS provajderi obeavaju alate koji e obezbjediti potrebnu bezbjednost i u isto vrijeme smanjiti trokove i resurse potrebne za tu bezbjednost. Na taj nani, kompanije uspjevaju da uvaju svoje podatke i dobijaju odrivu vrijednost od SecaaS-a.