在参加各种会议、圆桌会议和其他信息安全聚会时，经常出现的一个共同主题是对软件即服务 (SaaS) 供应商安全性的担忧。另一个共同主题似乎是 IT 网络安全团队要么对他们如何管理这种特定的“云”风险非常有信心，要么他们对如何发现和处理风险完全感到困惑。 图像在参加各种会议、圆桌会议和其他信息安全聚会时，经常出现的一个共同主题是对软件即服务 (SaaS) 供应商安全性的担忧。另一个共同主题似乎是 IT 网络安全团队要么对他们如何管理这种特定的“云”风险非常有信心，要么他们对如何发现和处理风险完全感到困惑。 通过在这些讨论中使用一些非常基本的倾听技巧（我有时被告知倾听不是我的强项），即使是贝多芬也会发现自信的安全领导者都遵循类似的流程来管理 SaaS 风险：真正的信息安全领导者会向供应商 提问关于他们在购买产品之前如何管理安全性。

哇听起来很难不是吗！

更多阅读 数据泄露在线交易者 在线交易者需要认真对待数据泄露的威胁 基于云的 GPS 跟踪彻底改变了挖掘项目 CASB 帮助基于云的企业避免数据泄露 大数据时代提升数据安全计划的 6 个理由 2023 年云数据安全堆栈的顶级工具 “尽职调查”是这个领域真正区分男人和男孩的唯一因素，因为如果你 最新邮件数据库 不至少向 SaaS 供应商提问，你永远不会知道他们的安全状态。所有有效的安全组织似乎都有一个流程，潜在供应商必须在该流程中完成有关其安全实践的调查或问卷。调查确实因组织而异，但它们应该有所不同，以突出每个组织的关键风险和信息安全合规性要求。为了真正有效，评估应纳入 SDLC 或 PMO 流程，因此所有新合同都需要评估。 在过去的几年中，像云安全联盟 (CSA) 这样的组织在这个领域取得了相当大的进步，但是 CSA 控制相当广泛，因此 CISO 和 SaaS 供应商都很难有效地完成/审查详尽的控制列表。

但是使用这些安全控

制作为基准是找到对您的行业和组织最关键的区域的好方法。一定要查看 云安全联盟。 提出一些关键问题后，您将开始了解有关某些 SaaS 提供商的一些有趣事实。这是我遇到的几个例子： 在我过去的一次评估和与供应商的后续会议中，我了解到他们在业主的地下室运行他们的服务器，安全性最低。他们 GI列表 确实向我保证，房主的房子有家庭安全系统。根据这一发现，我们迫使他们转向托管服务提供商。 另一家供应商的评论显示，他们在卡特里娜飓风期间实际执行的 DR 流程是将服务器扔到他们的面包车后面，然后将其移动到开发商的房子里。在这种情况下，我非常担心，因为他们的应用程序处理了工资单信息（非常敏感）。我们没有继续与该供应商合作。 至少不询问供应商问题，这种类型的信息永远不会暴露。提出问题是一个很好的开始，但网络安全的真正领导者认识到将提高安全性作为此过程的一部分的机会。