Il National Institute of Standards and Technology (NIST) è sempre un buon riferimento dove trovare le migliori pratiche e linee guida in materia di sicurezza informatica.
La continua crescita di servizi erogati in modalità SaaS (Software as a Service) e i grandi cambiamenti nell’ambiente di lavoro dovuti alla pandemia, comportano nuove sfide per la sicurezza e una necessità di adattamento del NIST Cybersecurity Framework (CFS) alla nuova situazione ambientale.
Il NIST CSF definisce cinque funzioni di sicurezza (Identify, Protect, Detect, Respond e Recover), quindi le suddivide in categorie e sottocategorie. Le sottocategorie contengono i controlli effettivi. Per ciascuna sottocategoria, il CSF include un elenco di riferimenti incrociati a standard e framework noti come ad esempio la ISO 27001.
Di seguito si elencano gli aspetti del CSF che sono importanti ai fini della governance di un servizio SaaS:
- Data in transit: il flusso di dati e di comandi va dall’utilizzatore al provider il quale garantisce la disponibilità e la sicurezza del servizio ma non la conformità normativa e nemmeno l’accesso legittimo ai dati.
- Data leaks: le policy cambiano in un ambiente SaaS dal momento che, ad esempio, è buona pratica condividere il link (con scadenza di validità) ad un file e non il file stesso.
- Gestione delle identità: avere più servizi SaaS potrebbe voler dire avere molte più tipologie di autenticazioni e molte più credenziali degli utilizzatori da gestire internamente.
- VAPT: le azioni di verifica periodica di eventuali vulnerabilità applicative vanno concordate in fase di contratto, come pure il diritto del cliente di testarle in autonomia