Gil é cofundador e CTO da Merge, a plataforma API unificada líder. Anteriormente, Gil foi Chefe de Engenharia da Untapped e trabalhou como engenheiro de software na Wealthfront e no LinkedIn. Formado pela Universidade de Columbia, ele vive e…
Pivotando de React para APIs DOM nativas: um exemplo do mundo real
24 de junho de 2024
O que as solicitações pull do GitHub revelam sobre os hábitos de desenvolvimento da sua equipe
24 de junho de 2024Uma das nossas principais prioridades desde a fundação da Merge tem sido garantir que o nosso integrações são tão seguros quanto possível.
Com esse objetivo em mente, desenvolvemos diversos recursos, investimos em determinadas infraestruturas e adotamos políticas específicas que vão além dos mais altos padrões de segurança do setor. segurança e privacidade para manter os dados do cliente protegidos.
Essas experiências também informaram nossa abordagem para avaliar as integrações de possíveis fornecedores de SaaS, o que é uma parte fundamental de nossos critérios ao avaliar os riscos de segurança desses fornecedores.
Descreverei esta parte do nosso processo de avaliação de segurança na esperança de que isso ajude você a adicionar algo semelhante ao processo de gerenciamento de riscos de terceiros da sua empresa.
Definindo uma estrutura de classificação de dados e fazendo um inventário de nossos dados
Para ter uma ideia do impacto dessas integrações à medida que integramos novos fornecedores, primeiro precisamos classificar e inventariar os dados que temos em nossos sistemas existentes. Nossa equipe de segurança construiu um sistema de classificação de dados que define claramente o quão sensíveis são os diferentes tipos de dados.
Mais especificamente, criaram quatro buckets, onde cada um está associado a um determinado tipo de dados.
- Restrito: Inclui dados que impactarão negativamente nossos negócios e os de nossos clientes, como credenciais de integração e dados de integração que estão em produção
- Confidencial: Composto por dados que causaria danos significativos aos nossos negócios se fossem tornados públicos, como informações estratégicas internas ou dados financeiros confidenciais
- Uso interno: Quaisquer dados que todos os nossos funcionários em tempo integral possam acessar, mas não possam compartilhar externamente, como nosso manual do funcionário
- Público: Dados que podem ser compartilhados com qualquer pessoa e provavelmente estão disponíveis on-line, como nossas vagas em aberto
É importante ressaltar que esses buckets e suas respectivas definições podem variar de empresa para empresa, pois dependem da tolerância ao risco da organização, do setor alvo, do produto e de outros fatores.
Depois de definir esses buckets, nossa equipe de segurança trabalhou para criar um inventário de dados em toda a organização para rastrear onde cada tipo de dados é armazenado. Uma vez feito isso, eles criaram um formulário de admissão para envios de fornecedores que levou em consideração todo o cenário ao avaliar as integrações de fornecedores em potencial.
Iniciando o processo de avaliação do fornecedor
Como parte do nosso formulário de admissão de fornecedores, pedimos ao solicitante que liste todas as integrações que planeja construir com a ferramenta SaaS e os casos de uso associados às integrações.
Essas informações são combinadas com as informações do nosso inventário de dados, bem como com outras informações enviadas pelo solicitante. Juntando tudo isso, a equipe de segurança pode determinar uma pontuação de risco inicial para o fornecedor, que pode informar as próximas etapas do processo.
Por exemplo, um fornecedor que só precisa de acesso a dados disponíveis publicamente pode ser aprovado sem análise adicional. Mas se um fornecedor exigir dados confidenciais por meio de integrações, nossa equipe precisará fazer perguntas sobre suas políticas para gerenciar credenciais e escopos de integração (abordaremos isso com mais detalhes na próxima seção).
Trabalhando com fornecedores para revisar em profundidade possíveis áreas de preocupação
Assim que o formulário de admissão do solicitante for preenchido e for determinado que o fornecedor exige uma análise de segurança, nossa equipe enviará ao fornecedor um questionário de segurança.
Parte do questionário pede detalhes específicos que ajudam a determinar como eles gerenciam o acesso aos dados e credenciais de integração. E como essas informações muitas vezes não são incluídas no escopo das estruturas de conformidade de segurança ou em documentação de segurança mais genérica, é fundamental que eles nos forneçam esses detalhes diretamente.
Por exemplo, a equipe de segurança investigaria como as políticas de segurança de um possível fornecedor se aplicam ao gerenciamento de credenciais de autenticação, como chaves de API ou tokens OAuth. Isso inclui determinar quem dentro da organização do fornecedor pode realmente acessar as credenciais de autenticação e como o aplicativo do fornecedor armazena e trata as credenciais (incluindo registro e monitoramento).
Além disso, a equipe de segurança garante (muitas vezes por meio de perguntas de acompanhamento ao fornecedor) que os escopos da integração correspondem à autorização que lhe foi concedida. Por exemplo, se uma ferramenta precisar apenas de acesso aos nomes de nossos funcionários, mas solicitar uma chave de API ou token OAuth com acesso de administrador ao nosso sistema HRIS, perguntaremos ao fornecedor se sua ferramenta ainda funciona se tiver um escopo mais limitado.
A segurança da integração é apenas uma peça do quebra-cabeça para determinar o quão arriscado um fornecedor de SaaS é para o nosso negócio. Também precisamos determinar se eles cumprem certos regulamentos de segurança (por exemplo, GDPR), passar em auditorias específicas (por exemplo, SOC 2 Tipo 2) e assim por diante.
Dito isso, avaliar com sucesso os riscos de segurança da integração entre possíveis fornecedores de SaaS tem sido fundamental para nos ajudar a identificar os fornecedores mais seguros ao longo do tempo. Esperançosamente, ele pode fazer o mesmo por você.
YOUTUBE.COM/THENEWSTACK
A tecnologia avança rápido, não perca um episódio. Inscreva-se em nosso canal no YouTube para transmitir todos os nossos podcasts, entrevistas, demonstrações e muito mais.
SE INSCREVER
