Warum CISOs und CIOs ihren Saas-Ansatz überdenken sollten

Die Zukunft der Arbeit liegt in SaaS. Der derzeitige Ansatz benötigt jedoch einen Wandel. Wie Ihre Identity Security-Strategie den Begriff der „Transparenz“ neu definieren muss und welche gefährlichen Lücken Ihr derzeitiger Ansatz aufweist.

Wenn es Ihnen wie den anderen CISOs geht, mit denen ich regelmäßig zu tun habe, haben Sie vermutlich mit vielen dringenden Problemen zu kämpfen, die mit der schnellen Übernahme von Cloud-basierten Diensten zusammenhängen. Die Verbreitung von Cloud- und SaaS-Diensten hat sich mit der Popularisierung der Informationstechnologie beschleunigt. Benutzer haben sich daran gewöhnt, Anwendungen und Dienste aus der Cloud herunterzuladen und für ihre Arbeit einzusetzen, oft jedoch ohne die ausdrückliche Genehmigung der IT-Abteilung. Das Geschäftsmodell von SaaS hängt selbst von der Endbenutzerakzeptanz ab. Es gibt ganze Teams von Entwicklern und Marketingleuten, die diese Plattformen entwickeln, um mithilfe von kostenlosen Testversionen ein „produktgestütztes Wachstum“ zu fördern, die Bindung an das Produkt zu erhöhen, Benutzer zum Kauf zu ermutigen usw.

Die zunehmende digitale Transformation und der weit verbreitete Wechsel zur Remote-Arbeit haben die massive Zunahme der SaaS-Nutzung sogar noch verstärkt. Viele CISOs verschärfen dieses Problem sogar noch, das ihrer Meinung nach nur ein weiterer Kostenfaktor ist – Schatten-IT. Mehr zum Thema Schatten-IT erfahren Sie hier in unserem Blog. Laut einiger Berichte schätzen manche Experten, dass 80 % der Mitarbeiter zugeben, SaaS-Anwendungen bei der Arbeit zu nutzen, ohne vorher die Genehmigung der IT-Abteilung einzuholen.

Schatten-IT verschlingt in großen Unternehmen ganze 30 bis 40 % der gesamten IT-Ausgaben, so Gartner. Das heißt, dass nahezu die Hälfte Ihres IT-Budgets für Tools ausgegeben wird, die Teams und Geschäftsbereiche ohne Wissen der IT-Abteilung kaufen (und nutzen). Viele der nicht genehmigten Programme und Dienste können die Funktionalität der genehmigten duplizieren, sodass Ihr Unternehmen Gelder ineffizient ausgibt. Wie wirkt sich dies auf den Gesamtumsatz aus? Das hängt zwar von der Branche ab, laut einer aktuellen Studie von Deloitte Insights geben Unternehmen im Durchschnitt 3,28 % ihres Umsatzes für IT aus. Banken und Wertpapierhäuser geben am meisten aus (7,16 %), während Bauunternehmen am wenigsten ausgeben (1,51 %).

Außerdem birgt die Schatten-IT ein höheres Risikopotenzial für Sicherheit und Compliance, da die Tools nicht ordnungsgemäß geprüft werden. Zu diesen Risiken zählt auch mangelnde Sicherheit, die zu Datenverstößen führen kann. Ihr IT-Team kann die Sicherheit der Software oder Dienste nicht gewährleisten und sie nicht effektiv verwalten und Aktualisierungen durchführen. Gartner prognostiziert, dass bis zum Jahr 2022 ein Drittel der erfolgreichen Angriffe auf Unternehmen auf deren Schatten-IT-Ressourcen verübt werden wird. Wenn wir Ponemons durchschnittliche Kosten einer Sicherheitsverletzung von 3,86 Mio. USD und eine durchschnittliche Wahrscheinlichkeit einer Sicherheitsverletzung von 27,2 % pro Jahr als Basis nehmen, kann Sie die Schatten-IT bis zu 350.000 USD pro Jahr an Risikokosten im Zusammenhang mit Sicherheitsverletzungen kosten.

Wie erfassen Sie Ihren SaaS-Fußabdruck? Damit meine ich nicht nur die zentralen Geschäftsanwendungen, sondern wirklich alles. Wenn die Antwort eine Tabellenkalkulation ist, sind Sie damit nicht alleine. Dieser Ansatz bietet jedoch keine vollständige Transparenz, sondern bildet nur einen Bruchteil der Realität ab. Und sobald die Tabellenkalkulation aktualisiert wird, ist sie nicht mehr aktuell. Dieser Ansatz ist Zeitverschwendung und birgt viele Ungenauigkeiten.

Ich möchte Ihnen veranschaulichen, welche Auswirkungen dieser Ansatz für Sie hat…

Sie kennen die Geschichten. Ein Finanzvorstand hat über eine Cloud-Dateispeicheranwendung einen Stammordner für externe Personen freigegeben. Dadurch wurde versehentlich der Zugriff auf detaillierte Finanzberichte ermöglicht, die niemals veröffentlicht oder freigegeben hätten werden sollen. Gehälter, Gewinn- und Verlustrechnungen und vieles mehr wurden unbeabsichtigt offengelegt. Darüber hinaus wurden die Dateien, Ordner und Gespräche des Teams des Finanzvorstands vollständig publik gemacht, wodurch Finanzdateien und andere sensible Informationen von Suchmaschinen indiziert werden konnten. Wer trägt in diesem Falle die Schuld? Nicht der Finanzvorstand… sondern der CISO und der CIO.

Ein anderes Beispiel wäre die Situation, in der ein Unternehmen unwissentlich nicht nur eine, sondern gleich fünf (oder noch mehr) duplizierte Projektmanagement-Apps außerhalb des Einflussbereichs der IT-Abteilung einsetzt, die über das gesamte Unternehmen verteilt sind. Dies führt zu enormen Kostenüberschreitungen und Sicherheitslücken – wie viele sensible Daten sind wohl in den anderen Anwendungen gespeichert? Aus eigener Erfahrung kann ich bestätigen, dass dies leider allzu häufig vorkommt und wahrscheinlich auch in Ihrem eigenen Unternehmen passiert.

Indem sie Schatten-IT und SaaS-Zugriffsrisiken beleuchten und mehr Transparenz über das gesamte Ausmaß nicht verwalteter SaaS-Anwendungen erhalten, können Unternehmen jedes Jahr Hunderttausende von Dollar sparen. So können sie für ihre gesamte SaaS-App-Landschaft einen nahtlosen Prozess von der Aufdeckung bis zur Governance umsetzen und jede neu entdeckte SaaS-App (und die darin enthaltenen Daten) mit den richtigen Sicherheitskontrollen ausstatten – und so die Schatten-IT-Probleme im gesamten Unternehmen beseitigen.

Man schätzt, dass sich bis 2022 fast 90 % der Unternehmen für den Betrieb ihres Unternehmens fast vollständig auf SaaS-Anwendungen verlassen werden. In dieser neuen IT-Ära kann das heutige Cloud-Unternehmen nur dann vollständig geschützt werden, wenn zunächst alle diese versteckten SaaS-Anwendungen aufgedeckt werden und dann dieselben Governance-Kontrollen angewendet werden, die bereits für den Rest der kritischen Geschäftsanwendungen gelten. Einzig SailPoint kann Sie dabei unterstützen, dies zu erreichen. Als Marktführer im Bereich Identity Security hilft SailPoint Unternehmen dabei, ihre ungeregelten SaaS-Anwendungen zu beleuchten und die richtigen Sicherheitskontrollen einzurichten, damit nur berechtigte Personen auf diese Anwendungen zugreifen können. Dadurch helfen wir IT-Teams, diese SaaS-Apps schnell aufzufinden und sie unter Kontrolle zu bringen. Dies erfolgt mit der nötigen Transparenz und Intelligenz, damit nachvollzogen werden kann, wer Zugriff hat, wie dieser Zugriff genutzt wird und damit übermäßiger oder nicht mehr benötigter Zugriff entfernt oder angepasst werden kann. Mit SailPoint können Sie nicht nur SaaS-Risiken mindern und die Compliance verbessern, sondern auch die Lizenzkosten optimieren und unnötige IT-Ausgaben eliminieren.