SaaS jsou cloudové aplikace, které fungují jako služby, typicky přes prohlížeč, aniž byste je museli provozovat na vlastních serverech. Otázkou však je, kolik jich vaše firma reálně používá. Podle společnosti BetterCloud se v případě průměrné organizace jedná o 106 nástrojů. V takovém množství už nejde jen o pohodlí a produktivitu, ale hlavně o přístupy, sdílení dat, integrace a bezpečnost jako celek.
SaaS aplikace a jak si nad nimi udržet kontrolu bez zákazů
Když si každý pořídí svůj nástroj
Ve firmách se dnes SaaS (Software as a Service) používá často mimo centrální dohled. Jeden tým si pořídí nástroj na řízení projektů, druhý začne sdílet soubory přes novou platformu, HR zkusí nástroj na nábor.
Výsledkem je roztříštěné prostředí s desítkami až stovkami aplikací, ve kterých se spravují účty, práva, sdílení a integrace. A čím je počet větší, tím hůř se vám odpovídá na otázku, co všechno vlastně používáte a kdo to má na starosti.
Problémem není samotný počet aplikací
Takzvaný SaaS sprawl není jen nekontrolovaný nárůst počtu aplikací. Jde o situaci, kdy část aplikací nemá jasného vlastníka, pravidla použití a průběžnou kontrolu. Tady pak nejčastěji vznikají slabá místa, protože nikdo nehlídá, co se kde sdílí, kdo má jaká oprávnění k přístupu a jaké integrace běží na pozadí.
U každé aplikace je proto zásadní v první řadě určit, kdo ji ve firmě potřebuje a kdo za ni nese odpovědnost. Nejen tým, ale konkrétní vlastník – bez toho se z řízení rizik stává detektivka.
Nekontrolované šíření dat
Chybějící vlastník a nevyjasněná pravidla jsou rizikem, které se brzy projeví na tom nejcennějším – na datech. SaaS aplikace jsou totiž místem, kde vznikají firemní data a kde se také sdílejí. Právě proto je pro bezpečnost důležité akceptovat, že sdílení je norma. Lidé sdílejí odkazy, posílají soubory externě, exportují tabulky, kopírují obsah do dalších nástrojů. Riziko ale vzniká ve chvíli, kdy sdílení nemá jasná pravidla.
Nejdříve si řekněte, co považujete za citlivé informace (například zákaznická data, interní finanční údaje nebo informace o zaměstnancích) a jak s nimi budete zacházet v SaaS aplikacích. Pomáhá, když si nastavíte minimum pro tři typické situace:
- externí sdílení – kdo a co se smí sdílet mimo firmu,
- veřejné odkazy – jestli jsou povolené a na jak dlouho,
- exporty – kdo a kam může předávat citlivá data.
Cílem není brzdit lidi při práci, ale zajistit, aby se citlivé informace nerozutekly mimo dohled jen proto, že to šlo na dvě kliknutí.
O bezpečnosti rozhodují přístupy
Jakmile máte pod kontrolou sdílení, narazíte na druhou klíčovou otázku a tou jsou přístupy. U SaaS aplikací platí jednoduché pravidlo: hranicí není hardware ani síť, ale účet a jeho oprávnění. Když někdo získá neomezený přístup, logicky se dostane ke všem datům i funkcím. Proto se vyplatí dívat se na SaaS bezpečnost jako na disciplínu správy přístupů.
Ve firmách se nejčastěji opakují tyto chyby:
- zbytečně široká oprávnění
- administrátorské role tam, kde by stačilo běžné oprávnění
- sdílené účty, protože to zrychluje práci
- chybějící vícefaktorové ověření (druhý krok při přihlašování)
- účty bez vlastníka, které nikdo nehlídá
Jako rychlý akční krok nastavte minimální standard schválených SaaS aplikací. Typicky to znamená vícefaktorové ověření pro přístup, žádné sdílené účty, role podle potřeby a pravidelnou revizi administrátorů.
A pozor ještě na jednu věc, která se v SaaS prostředí snadno přehlédne: přístupy nevznikají jen lidem, ale i propojením mezi aplikacemi. Jakmile SaaS nástroje integrujete, přidáváte další účty netýkající se běžných uživatelů.
Integrace používají tokeny, tedy klíče, kterými se aplikace nebo skript prokazují, a ty mohou zůstat aktivní i dlouho poté, co se změnil projekt, dodavatel nebo lidé v týmu. V praxi tak vedle běžných uživatelských účtů máte další, „neviditelné“ identity: automatizace, propojení, robotické účty, přístupy třetích stran.
Proto se držte pravidla, že každá integrace musí mít majitele a u každé musí být jasné, k čemu slouží a jak ji vypnete. Pokud tohle neumíte říct, integrace je kandidátem na revizi.
Offboarding v SaaS není jen vypnutí účtu
Problematický bývá v SaaS světě také odchod zaměstnance, ze kterého plyne bezpečnostní operace napříč aplikacemi. Nestačí vypnout e-mailový účet. Potřebujete zavřít všechny cesty, kterými se šlo do aplikací dostat, a uklidit věci, jež po člověku zůstaly.
Tady je nejúčinnější mít krátký offboarding checklist pro SaaS: co se vypíná, co se převádí (například vlastnictví dokumentů nebo automatizací) a co se kontroluje. Ne proto, aby přibylo kontrol, ale aby se pokaždé nezapomínalo na stejné věci.
Odchází vám zaměstnanec? Máme 7 tipů pro bezpečný offboarding
Zobrazit
Pravidla fungují lépe než restrikce
Plošné zákazy SaaS aplikací ve firmách obvykle vedou k tomu, že se nástroje používají bokem. Bezpečnější je oficiální cesta, jak nástroj používat, a k tomu jasná pravidla.
Dobře funguje jednoduchý životní cyklus aplikace: schválit, používat, kontrolovat, vyřadit. V praxi to znamená:
- pravidla schvalování nových aplikací (kdo schvaluje a podle čeho),
- katalog schválených nástrojů (ať lidé vědí, kam sahat),
- minimální bezpečnostní standard pro SaaS (vlastník, role, pravidla sdílení, kontrola integrací, …),
- průběžné revize oprávnění a integrací u klíčových aplikací.
Jak si usnadnit kontrolu
Jakmile máte tolik SaaS aplikací, že ruční kontrola přestává dávat smysl, je namístě uvažovat o nástrojích, které zautomatizují dohled.
SSPM (správa bezpečnostního nastavení SaaS) je přístup nebo nástroj, který průběžně hlídá, jak jsou SaaS aplikace nastavené. Typicky upozorňuje na riziková nastavení, nadměrná oprávnění, účty bez vlastníka nebo potřebu aktualizace pravidel.
CASB (bezpečnostní vrstva pro přístup ke cloudovým aplikacím) je způsob, jak prosazovat pravidla při používání cloudových aplikací. Dokumentuje, jaké cloudové aplikace se používají, a v některých scénářích pomáhá řídit přístup a práci s daty.
Důležité je brát to jako podporu procesu. Bez vlastníků aplikací a minimálních standardů vám žádný nástroj dlouhodobě neudělá pořádek. Může vám ale výrazně pomoct ve chvíli, kdy už nechcete řešit kontrolu ručně.
Stáhněte si praktický auditní seznam SaaS aplikací
Stáhněte si praktický auditní seznam SaaS aplikací
Stáhnout soubor
Co si z článku odnést?
- Firemní SaaS aplikace vyžadují centrální dohled, jinak nebudete vědět, co všechno používáte a kdo za to ručí.
- SaaS sprawl není o počtu aplikací, ale o chybějícím vlastnictví, pravidlech a průběžné kontrole.
- Nejčastější slabiny jsou tři: nekontrolované sdílení dat, nespecifikované přístupy a oprávnění, nedůsledný offboarding.
- Plošné zákazy většinou nefungují, lepší je oficiální cesta: schvalování, katalog nástrojů, minimální bezpečnostní standard a pravidelné revize.
- Při větším množství SaaS dává smysl zapojit automatické nástroje pro průběžný dohled (např. SSPM/CASB).
Kateřina Dobrá
Marketingový specialista pro B2BKáťa se věnuje tvorbě článků, O2 CyberCastu a newsletterů na téma kyberbezpečnosti a moderních technologií. Srozumitelně překládá složitá témata do lidské řeči, propojuje technický svět s praxí a ráda jde pod povrch věcí. Zaměřuje se na bezpečnost dat, nové technologické trendy a jejich reálný dopad na firmy i jednotlivce.
Byl pro vás článek užitečný?
Mohlo by vás zajímat
DALŠÍ ČLÁNKY
AI agenti, 2. díl: Jak je správně nastavit a řídit
AI agenti, 1. díl: Pomůžou v diagnostice i administrativě, mají ale svá rizika
Podvody s fakturami stojí firmy miliony. Jak nenaletět?
Jeden botnet, desetitisíce zneužitých IoT zařízení. Jak se poučit z útoku Eleven11bot?
Kyberpsycholog Jan Šmahaj: Podvodníci znají lidskou psychiku líp, než si myslíte
Průmysl se digitalizuje. Jenže tradiční IT řešení na jeho ochranu nestačí
Bezpečnostní kamera jako vstup do firemní sítě. Proč se na její ochranu zapomíná?
