Företag som vill använda SaaS-lösningar bör involvera säkerhetsteamet i upphandlingsprocessen och vara uppmärksamma på avtalsspråket.
Nästan alla organisationer i världen är beroende av SaaS, software as a service. Medelstora och stora företag kan ha mer än 130 SaaS-applikationer och för företag med mer än 10 000 anställda kan antalet överstiga 400. När data lagras på så många ställen och hanteras av så många parter är det inte ovanligt att säkerhetsproblem uppstår, särskilt om avtalen med leverantörerna inte har förhandlats fram på rätt sätt.
Det hände nyligen Bloomtechs medgrundare Austen Allred, som inte kunde exportera sitt företags data från Slack utan att ingå ett nytt, kostsamt avtal. Även om situationen i slutändan löstes, belyste den de potentiella komplikationer som är förknippade med data som lagras på SaaS-plattformar, och fungerar som en varningssignal för andra företag.
– SaaS var tänkt att vara: Jag ger dig pengar med min högra hand, och jag tar en mjukvara som en tjänst med min vänstra hand, säger Shiva Nathan, vd för startup-företaget Onymos som utvecklar appar.
– Men jag måste ge pengar och data för att mjukvaran som tjänst ska fungera.
Detta öppnar dörren för utmaningar relaterade till datahantering. I Bloomtechs fall handlade det om tillgång till data, men andra problem kan vara relaterade till integritet, efterlevnad och datasuveränitet.
Därför måste företag som använder SaaS-lösningar vidta lämpliga säkerhetsåtgärder, vara uppmärksamma på avtalsspråket och involvera säkerhetsteam i upphandlingsprocessen när det är möjligt.
– Du vill inte bli gisslan hos en SaaS-leverantör som du har gett dina uppgifter till, säger Shiva Nathan.
– Om du sitter i ledningsgruppen är data den främsta prioriteringen 2024, och förmodligen de närmaste åren tills vi får ordning på saker och ting. Data är så viktigt att folk måste börja oroa sig för det.
Ha en exitstrategi från början
Innan en SaaS-lösning används måste organisationerna veta exakt vad de vill ha och noggrant utvärdera de villkor och tjänster som tillhandahålls av leverantören. Dessa dokument kan vara fulla av problem – de är långa och har ett invecklat språk, vilket gör det skrämmande och opraktiskt att läsa dem.
– Click-through-avtal är mjukvarubranschens gissel, säger Shiva Nathan.
– Du hittar inga klickavtal när du köper en bil eller något annat.
Bakom den juridiska jargongen döljer sig ofta viktiga detaljer som kan ha stor inverkan på hur en organisation använder tjänsten.
Andrej Dumitru, vice ordförande vid Institute of Operational Privacy Design, säger att organisationer måste fastställa en exitstrategi innan de ingår ett avtal med en SaaS-leverantör.
– Det är viktigt att se till att data kan tas ut till en känd och hanterbar kostnad och i ett bärbart format som kan användas med en alternativ tjänst, säger han.
Viktiga frågor att ta hänsyn till här är om det finns en frist för att hämta data och om det finns en bestämd process för att radera data för att förhindra att de finns kvar på leverantörens servrar. Vid avtalets slut bör det finnas en beskrivning av dataexportformatet, vilket kan hjälpa ett företag att få en smidigare övergång till en alternativ tjänst.
– Företagen bör ha en tydlig uppfattning om kostnaderna och tidsramen för att ta bort data, säger Andrej Dumitru.
– I allmänhet är det gratis att lägga in data, men mycket dyrt att ta bort data från en SaaS-tjänst.
En annan viktig aspekt som företag behöver känna till är om de kan ha full kontroll över sina data och vad som händer med dem.
– Hur definierades era data i användarvillkoren? Vem äger den? Vem kontrollerar den? Hur kommer den att användas? Det är några av de frågor som bör ställas, säger Shiva Nathan.
Daniel Walker, medgrundare av Zegal, håller med.
– Gå igenom villkoren med en finkam. Det är klokt att skapa egna säkerhetskopior av data så att du inte är helt beroende av SaaS-leverantören.
Alternativt kan organisationer välja lokalt distribuerade lösningar som erbjuder samma funktioner. Säkerhets- och it-teamen kan arbeta tillsammans för att identifiera leverantörer som erbjuder datafri arkitektur och fullt ägande över licensierad källkod.
Var uppmärksam på dåligt avtalsspråk
Vanligtvis tjänar avtal leverantörens intressen, så företag som vill använda SaaS-lösningar måste vara uppmärksamma på de varningssignaler som kan döljas i juridiken. Daniel Walker minns ett fall som hans företag arbetade med för några år sedan och som involverade en snabbt växande organisation som beslutade att integrera en SaaS-lösning för kundrelationshantering.
Företaget förstod inte till fullo det avtal som det undertecknade.
– Avtalet var vagt på flera kritiska punkter, särskilt när det gällde villkoren för tjänsten och policyn för datahantering, säger han.
Några månader efter att avtalet trätt i kraft meddelade SaaS-leverantören att villkoren ändrats, att rättigheterna till dataanvändning ändrats och att ytterligare avgifter införts för funktioner som kunden hade kommit att förlita sig på.
– De nya villkoren medförde inte bara oväntade kostnader utan väckte också frågor om säkerheten och integriteten för kunddata, säger Daniel Walker.
– Det vaga ursprungliga avtalet gav företaget små möjligheter att bestrida dessa förändringar eller söka alternativ utan att ådra sig betydande förluster.
På senare tid har vissa SaaS-leverantörer utnyttjat det komplexa avtalsspråket för att få ut mer pengar från kunderna.
– Det är en ny och mycket otrevlig trend i vår bransch att hålla säkerhetsfunktioner bakom en extra betalvägg, säger Eyal Manor, VP för produkthantering på Check Point Software Technologies.
– Att lägga grundläggande säkerhetsfunktioner bakom ett dyrare avtal känns som att be folk betala extra för att lägga till säkerhetsbälten i sina bilar.
Eyal Manor ser flera oroväckande situationer, förutom dataåtkomst i utbyte mot pengar.
– Vissa mjukvaruföretag vill till exempel inte granska inloggningar eller låta dig använda SSO utan en dyrare produkt, säger han.
För att förhindra några av dessa problem bör företag som använder SaaS-lösningar se till att avtalen är tydliga. Alla vaga formuleringar på det här området ”kan leda till huvudvärk längre fram”, säger Daniel Walker.
– Om det inte är kristallklart att din organisation behåller äganderätten till sina data är det en kraftig varningssignal.
All denna juridik kan låta förvirrande, men generativ AI kan hjälpa till, säger Eyal Manor.
– Kul grej: du kan be dessa verktyg att kontrollera saker i användarvillkoren, förklarar han.
– Om man till exempel frågar något i stil med ”kan företaget sälja mina data vidare om jag använder den här appen?” får man ett ganska lättläst svar.
Om det finns avsnitt i avtalet som kräver ändringar bör organisationerna ta sig tid att diskutera dessa med SaaS-leverantören.
– Förhandla alltid om villkoren, sök juridisk rådgivning för att skydda dina intressen och minimera riskerna, säger Nigel Gibbons, senior rådgivare på NCC Group.
Ett avtal är mer än bara en formalitet, det är avgörande. “Det är inte bara pappersarbete”, säger Daniel Walker.
– Det är ditt skyddsnät – det säkerställer att SaaS-leverantören har skinn på näsan när det gäller att hålla dina uppgifter säkra.
Håll koll på efterlevnad av säkerhetskrav
Efterlevnad är utan tvekan en annan sträng fråga som företag som använder SaaS-lösningar måste vara uppmärksamma på. Vissa av de regler som de måste följa ingår i EU:s GDPR och Kaliforniens CCPA, men det dyker hela tiden upp nya regler på olika geografiska platser. Organisationer måste se till att de SaaS-lösningar de använder håller jämna steg med allt som händer på den här fronten.
– Att följa lagar och regler är en av de snabbast växande utmaningarna, eftersom standarder och regler blir så dynamiska, säger NCC:s Nigel Gibbons.
För att hantera detta måste organisationerna se till att de använder rätt verktyg och har rätt personer på plats för att övervaka förändringar i lagstiftningen och anpassa sina efterlevnadsstrategier därefter.
Företag som verkar över gränserna måste navigera i komplexa regelverk och säkerställa efterlevnad av olika lagar och standarder i varje jurisdiktion, vilket ofta kräver specialkunskaper och strategier.
– Om du till exempel lagrar data i ett land som tillåter myndigheter att få tillgång till data av nationella säkerhetsskäl, men du kommer från ett land med striktare integritetsskydd, kan du hamna i kläm, säger Daniel Walker på Zegal.
Även om stora SaaS-leverantörer har börjat erbjuda mer lokala datalagringsalternativ är problemet inte helt löst.
– Åtminstone i Europa finns det fortfarande mycket att göra för att skapa ett ekosystem av SaaS-alternativ som kan konkurrera med de etablerade plattformarna utomlands och uppfylla suveränitetskraven, säger Andrej Dumitru.
När företag överväger att införa en SaaS-applikation bör de sträva efter ”en försiktig strategi”, som Nigel Gibbons uttrycker det, vilket innebär att granska leverantörerna avseende efterlevnad och säkerhet, göra regelbundna applikationsutvärderingar och vara uppmärksamma på varje detalj.
Involvera säkerhetsteamet i upphandlingen
De flesta experter menar att säkerhetsteamen måste spela en central roll i upphandlingsprocessen för SaaS-lösningar när det är möjligt. På så sätt kan företagen säkerställa att leverantörerna uppfyller höga standarder för säkerhet, dataskydd och efterlevnad.
– Detta innebär att man kontrollerar organisationens efterlevnad, exempelvis erkända säkerhetscertifieringar som ISO 27001 eller SOC 2, krypteringsrutiner och efterlevnad av bestämmelser som GDPR eller HIPAA, säger Nigel Gibbons.
Säkerhetsteamen kan utvärdera leverantörernas policyer för datahantering, incidenthantering, dataregionalisering och integritet. De kan utvärdera ett servicenivåavtal för till exempel tillgänglighet och säkerhetsmätningar.
De kan också granska leverantörens säkerhetskultur och rutiner, inklusive revisioner från tredje part, och bekräfta funktioner som multifaktorautentisering och dataåterställning. Helst bör företagen göra säkerhetsbedömningar av dessa produkter i realtid och vara så noggranna som möjligt.
– För SaaS-lösningar med hög risk kan leverantörerna utsättas för en red teaming-övning för robusthet, säger Nigel Gibbons.
Andrej Dumitru håller med.
– Även om få SaaS-lösningar går med på att bli pen-testade är det fortfarande en fråga som är värd att ställa, säger han.
– Det är ett gott tecken om en SaaS-leverantör kan svara på alla frågor om dataskydd och informationssäkerhet och ger detaljer om hur den skyddar data, säkerställer tillgänglighet och katastrofåterställning.
Men enligt Eyal Manor är det tyvärr i många fall inte särskilt praktiskt att inkludera säkerhetsteam i upphandlingsprocessen.
– Många av de SaaS-tjänster som används idag följer Product Lead Growth-metoden, vilket innebär att en användare kan använda produkten gratis innan han eller hon köper den, eller till ett mycket lågt pris, tillägger han.
– Därför används många SaaS-tjänster i organisationen innan den kommer till upphandlingsfasen, och då kan det vara för sent att backa.
Ett sätt att hantera detta är att låta säkerhetsteamen hålla ett öga på SaaS-produkterna hela tiden, inte bara under upphandlingsprocessen.
– Det är viktigare att ha uppsikt över den SaaS som används än att ha uppsikt över vad som kommer att användas, säger Eyal Manor.
– Det rätta att göra är vanligtvis att använda en produkt som hjälper dig att spåra risken för olika SaaS-tjänster som används i din organisation
En annan möjlighet är att leta efter mer etiska SaaS-leverantörer.
– Den bästa lösningen på problemet är att återuppfinna SaaS en tjänst i taget, säger Shiva Nathan.
– Låt leverantörerna säga att vi tillhandahåller mjukvaran som en tjänst på de data som ni äger och kontrollerar var ni än lagrar data, och vi kommer inte att se data. Det är det nya som är på gång, och om fem år tror jag att mjukvara som tjänst kommer att uppfinnas på nytt.