Comprendere e applicare il modello di responsabilità condivisa nella propria organizzazione

Per evitare lacune significative nella sicurezza e rischi per i dati sensibili, le organizzazioni devono comprendere il modello di responsabilità condivisa utilizzato da molti fornitori SaaS.
Tristan Grush
3 minuto di lettura
Ultimo aggiornamento 12 marzo 2024

Poiché le aziende integrano sempre più applicazioni SaaS, IaaS e altre nei loro ambienti e processi, alcune organizzazioni non sono consapevoli del proprio ruolo nella protezione dei dati sensibili. 

Questo può lasciare una lacuna significativa nello stack di sicurezza di un'organizzazione quando si affida esclusivamente ai provider SaaS per proteggere le proprie informazioni. 

Capire quali aspetti della sicurezza sono di competenza di un'organizzazione e quali rientrano nel dominio dell'applicazione SaaS è noto come modello di responsabilità condivisa.

I team di sicurezza devono comprendere questo modello per mitigare i rischi delle principali minacce informatiche di oggi e proteggere le proprie informazioni sensibili.  

Che cos'è un modello di responsabilità condivisa? 

Il modello di responsabilità condivisa ritiene che i fornitori SaaS siano responsabili della sicurezza dell'infrastruttura e della fornitura di una soluzione altamente disponibile. Il consumatore è responsabile della protezione e della sicurezza dei propri dati all'interno della piattaforma, fatto di cui molte organizzazioni non sono a conoscenza.  

L'incomprensione su chi sia responsabile della sicurezza dei dati deriva normalmente dal fatto che i team interni acquistano prodotti SaaS senza coinvolgere il reparto IT o i team di sicurezza. 

Di seguito è riportata una ripartizione tradizionale della responsabilità condivisa descritta, a cui aderiscono diversi fornitori di servizi cloud, come Salesforce, AWS e Microsoft nelle loro organizzazioni.  

Blog_SharedResponsibilityModel_Diagram_202402_V1

Un modello tradizionale di responsabilità condivisa.

Programma una demo personalizzata di 30 minuti con uno dei nostri esperti di sicurezza.
Richiedi una demo

Responsabilità condivisa in azione 

Salesforce è un esempio significativo del modello di responsabilità condivisa in azione.  

Salesforce adotta la sicurezza fin dalla progettazione per la sua infrastruttura, ma spetta all'utente finale implementare i corretti controlli di sicurezza e le best practice per proteggere i propri dati critici da minacce e violazioni. 

Varonis aiuta le organizzazioni a sostenere la loro parte del modello di responsabilità condivisa offrendo visibilità in tempo reale sulla loro postura di sicurezza dei dati di Salesforce, garantendo che solo le persone autorizzate abbiano accesso ai dati più importanti, correggendo automaticamente le configurazioni errate e rilevando attività sospette.  

Quando le organizzazioni acquistano Salesforce, i team di vendita tendono a gestire lo strumento CRM e si concentrano sul garantire che le informazioni siano facilmente accessibili agli utenti.

Tuttavia, è abbastanza comune che i team di sicurezza abbiano una visibilità o una consapevolezza limitata dei rischi associati a una piattaforma SaaS come Salesforce, nonostante la natura sensibile dei dati in essa contenuti.  

La necessità di un accesso rapido e l'assenza totale di supervisione della sicurezza spesso porta dimenticare la sicurezza e la governance dei dati. Questo è particolarmente vero quando le applicazioni SaaS vengono acquistate e lanciate con poca o nessuna supervisione da parte del reparto IT, aumentando così notevolmente la probabilità di una violazione dei dati. 

Ecco perché l'implementazione di un modello di responsabilità condivisa è fondamentale per la protezione dei dati.  

Come implementare il modello di responsabilità condivisa nella propria organizzazione 

Per evitare che i dati sensibili finiscano nelle mani sbagliate, i componenti di un modello di responsabilità condivisa devono essere riconosciuti e compresi dal team di sicurezza e dai proprietari delle applicazioni.  

Un rapporto di collaborazione tra i team interni e i proprietari delle applicazioni aiuta a garantire che i dati cloud siano adeguatamente protetti e trattati con la stessa cura dei dati che si trovano su un file server. 

Fornisci al tuo team di sicurezza e ai proprietari delle applicazioni l'accesso e i controlli appropriati per garantire che entrambi i gruppi possano rispondere a queste tre domande: 

  1. Dove vengono archiviati i miei dati sensibili in questa applicazione? 
  2. Chi può accedere a questi dati?
  3. Chi accede ai miei dati?

I membri del team devono individuare i componenti di sicurezza della cui protezione la propria azienda è responsabile rispetto agli aspetti di proprietà del provider SaaS e capire quali aspetti di sicurezza devono essere affrontati specificamente da loro. Tutte le piattaforme SaaS utilizzate dall'organizzazione devono essere valutate tenendo in considerazione il modello di responsabilità condivisa. 

Varonis aiuta le organizzazioni a capire dove risiedono i loro dati sensibili, mappa l'accesso ai tuoi dati e offre funzionalità di controllo e rilevamento delle minacce.  

Offriamo una comprensione chiara e contestuale dei dati SaaS, proteggendo la tua organizzazione con risultati automatizzati senza incidere sulla continuità aziendale. La nostra copertura include una serie di dati SaaS, IaaS, on-premise e altro ancora.  

Non aspettare che si verifichi una violazione.  

Se le organizzazioni non definiscono adeguatamente la propria responsabilità condivisa con le app SaaS, la mancanza di proprietà e preparazione potrebbe determinare la loro incapacità di reagire in modo appropriato a una violazione dei dati o a una minaccia interna. 

Vuoi sapere se i tuoi dati sensibili sono protetti?  

Inizia con la nostra Data risk assessment gratuita. In meno di 24 ore avrai una visione chiara e basata sul rischio dei dati più importanti e un percorso chiaro verso la remediation automatizzata. 

O que devo fazer agora?

Listamos abaixo três recomendações para reduzir os riscos de dados na sua organização:

1

Agende uma demonstração conosco Veja a usabilidade de Varonis em uma sessão personalizada com base nas necessidades de segurança de dados da sua organização. Responderemos a todas as suas perguntas.

2

Veja um exemplo do nosso Relatório de Risco de Dados Conheça as ameaças que podem permanecer no seu ambiente. O Relatório da Varonis é gratuito e demonstra claramente como realizar a remediação automatizada.

3

Siga-nos no LinkedIn, YouTube et X (Twitter) Obtenha insights detalhados sobre todos os aspectos da segurança de dados, incluindo DSPM, detecção de ameaças, segurança de IA, entre outros.

Prova Varonis gratis.

Ottieni un report dettagliato sul rischio dei dati in base ai dati della tua azienda. Distribuzione in pochi minuti.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

tre-modi-in-cui-varonis-ti-aiuta-a-combattere-le-minacce-interne
Tre modi in cui Varonis ti aiuta a combattere le minacce interne
Le organizzazioni hanno difficoltà a contrastare le minacce interne. La moderna risposta di Varonis alla cybersecurity si basa sulla triade della sicurezza dei dati (sensibilità, accesso e attività) per combattere le minacce.
generative-ai-security:-ensuring-a-secure-microsoft-copilot-rollout
Generative AI Security: Ensuring a Secure Microsoft Copilot Rollout
Questo articolo descrive come funziona il modello di sicurezza di Microsoft 365 Copilot e i rischi da valutare per garantire un'implementazione sicura.
varonis-accelera-l'adozione-sicura-di-microsoft-copilot-per-microsoft-365
Varonis accelera l'adozione sicura di Microsoft Copilot per Microsoft 365
Varonis e Microsoft hanno dato vita a una nuova collaborazione strategica per aiutare le organizzazioni a sfruttare in modo sicuro uno degli strumenti di produttività più potenti del pianeta: Microsoft Copilot per Microsoft 365.
tendenze-della-cybersecurity-nel-2024:-cosa-c'è-da-sapere
Tendenze della cybersecurity nel 2024: cosa c'è da sapere
Scopri di più sulla gestione della postura della sicurezza dei dati, sui rischi della sicurezza dell'AI, sulle modifiche della conformità e altro ancora per preparare la strategia di cybersecurity per il 2024.