¿Qué pueden hacer los proveedores de SaaS si sus clientes empresariales se preocupan por exponer los datos afuera?

Bueno, si Equifax puede suceder, entonces cualquier cosa puede suceder. ¡Oh, pero no se lo menciones a tus clientes!

Como solía decir mi ex director general, usted pone su dinero con un tercero todo el tiempo. ¿Has oído hablar de un banco? El banco protege su dinero con todo lo que tiene porque es la base de sus negocios. Los datos son la base de su negocio. Si no está haciendo todo lo posible para proteger sus propios datos, tiene el riesgo absoluto de cerrar.

Por lo tanto, cuénteles a sus clientes por qué no se arriesgaría a cerrar su negocio dejando que los datos se expongan al exterior.

Cuéntales sobre las pruebas de pluma que haces.

Infórmeles sobre las certificaciones que tienen sus centros de datos (AWS, etc.).

Infórmeles sobre cómo se protegen sus datos en reposo y en tránsito.

Dígales cuánto cuesta mantener su propia red y equipo de seguridad, cuánto cuesta obtener certificaciones como TrustE, etc. ¿Sería más seguro el dinero en sus hogares o en los bancos?

Cuéntales acerca de lo que hagas, siempre habrá alguna vulnerabilidad con la que los hackers saldrán. No, realmente no les digas eso, pero entiende que es el caso.

Haga que sus clientes paguen auditorías externas de su infraestructura por parte de las compañías de su elección. Eso probablemente funcionaría mejor que cualquier otra cosa.

Y no, poner el sistema en las instalaciones de su cliente es la peor decisión de seguridad. A menos que el cliente empresarial tenga un equipo de seguridad y una infraestructura cuyo único trabajo sea monitorear la red y garantizar la seguridad.

La otra opción es darles una opción de inquilino único alojado que se coloque en el mismo centro de datos que sus otros clientes u otro centro de datos de su elección. No comparten la red o el espacio de datos con otros clientes, pero pagan más por las conexiones de red aisladas, los esfuerzos de monitoreo de seguridad aumentados de su lado y el espacio de datos exclusivo. Seguiría siendo más barato y seguro que hacer lo mismo en el sitio.

-Kash

Related Content

¿Cuál es la próxima gran novedad en términos de SaaS, dedicada a los consumidores?

¿Cuál es el mejor software de contabilidad para empresas?

¿Cuál es la mejor manera de aumentar las revisiones en los sitios de revisión de aplicaciones para productos en el espacio B2B?

¿Quiénes son las personas clave en Zenefits?

Como empresa SaaS, ¿cuál es el tipo de descuento correcto para ofrecer a sus suscripciones?

A2A

Ningún sistema es seguro. Lo mejor que puede hacer es practicar una buena gestión de riesgos y minimizar los vectores de ataque, las vulnerabilidades y el derrame de datos.

Use la encriptación donde sea que pueda, desde sesiones web HTTPS y VPN hasta encriptar bases de datos y sistemas de archivos. De esa manera, si los datos se filtran o alguien obtiene acceso, no podrán usar los datos porque no tienen las claves.

Dicho esto, mantén un control estricto de todas las claves de cifrado y usa hashes salados para todas las contraseñas. No use algoritmos obsoletos; use los que tardan varios segundos en procesarse por solicitud. Los usuarios no notarán la demora, pero los atacantes sí.

Establezca un sistema administrativo sólido de InfoSec, que incluya una revisión anual (como mínimo) de políticas y procedimientos. Asegúrese de que todos los empleados estén capacitados adecuadamente en los procedimientos de seguridad, particularmente los ataques de ingeniería social.

Crea una solución de parcheo realista. Una razón por la que Equifax falló es porque se publicó el parche Apache Struts, pero Equifax no quería eliminar todos sus servidores para instalar el parche. Hubiera requerido que Struts se reconstruyera en todos los sistemas.

Por supuesto, nada les impedía hacerlo poco a poco, es decir, ciertos sistemas de números a la vez mientras mantenían la red en funcionamiento. Alternativamente, tiene una red de prueba con sistemas representativos y prueba los parches antes de que se activen. Solo asegúrese de tener instantáneas u otras capacidades para revertir si el parche falla.

Siempre manténgase actualizado sobre los parches. Los CVE se publican semanalmente y es relativamente sencillo configurar una rutina de parches automatizada.

Si desea hacerlo bien, lea las diversas publicaciones del NIST y la NSA, ya que esas son las normas que utiliza el gobierno federal.

Timur Soft

Un tipo de preocupación es cuando se compara la seguridad de una solución con la de otros proveedores de SaaS; en este caso, consulte la respuesta de Kashyap Patel.

Otro tipo de preocupación es cuando el cliente está considerando alojar una solución internamente. En este caso, el argumento es que ningún departamento de TI interno puede esperar mantenerse al día con las consideraciones de seguridad que son mínimas en estos días. Es mejor dejar este trabajo a especialistas. En la mayoría de los casos de proveedores de SaaS, el problema de seguridad es manejado por subcontratistas indirectos (por ejemplo, los expertos relevantes en el proveedor de alojamiento desde donde opera la startup).

Este argumento es, de hecho, un muy buen argumento por qué ir a la nube vs alojado.

Timur Soft

La pregunta es bastante abierta, como es mi respuesta. En resumen, un proveedor de SaaS debe contratar auditorías de terceros y pruebas de penetración periódicas, recopilar comentarios de su base de clientes y, en general, realizar la debida diligencia básica. Si un proveedor no puede proporcionar los resultados de estas y otras evaluaciones antes de firmar un acuerdo con un cliente potencial, sería aconsejable que ese cliente potencial corra rápido y lejos. Para cualquier implementación significativa (ya sea en escala o sensibilidad), un cliente potencial sería prudente insistir en que un tercero de su elección realice estas evaluaciones (o, si tienen recursos disponibles, lo hagan ellos mismos).

Guy Lewis

Cifrar los datos.

Hoy en día puede usar Bitlocker, cifrado de terceros, algunas herramientas de respaldo (como Rollback Rx) ofrecen cifrado.

Realizo algunos trabajos como MSP de forma paralela, y todos mis clientes tienen cifrado de una forma u otra.

La mayoría de las veces si mencionas que sus datos están encriptados (y lo están), entonces estás bien.

Timur Soft

Hay una sección en este libro que trata este problema:

SaaS Entrepreneur, 2ª edición – Softletter

almiar

Kashyap Patel

Estoy de acuerdo con Kashyap Patel y agregaría que debe cambiar quién está preocupado. Su cultura debe ser preocuparse por la seguridad y estar haciendo todo lo posible para administrar su servicio de forma segura para que sus clientes no se preocupen nunca.

Dimitris Athanasiadis

More Interesting

¿Cuáles son los buenos objetivos para un Jefe de Producto en una empresa SaaS?

¿Cuáles son las mejores herramientas para el desarrollo de realidad aumentada?

¿Cómo funciona un modelo de negocio SaaS y cómo puedo desarrollar uno?

¿Cuál es una buena idea de SaaS que estás demasiado ocupado para ejecutar?

¿Cómo podemos rastrear representantes de ventas en una venta SaaS?

¿Cuáles son los pros y los contras de las suscripciones SAAS que se renuevan en la fecha de suscripción frente al primer mes?

¿Debería usar un CMS para un contenido SaaS (páginas de destino, preguntas frecuentes, etc.) o deberíamos usar la aplicación para crear las páginas de contenido allí?

¿Es la facilitación de pagos una buena opción para las aplicaciones SaaS?

A partir de marzo de 2015, ¿cuáles son las mejores herramientas de gestión de suscripción y facturación de SaaS?

¿Quiénes son los compradores de pequeñas empresas SAAS? Menos de $ 2 mm en ventas

En los primeros días de un inicio de SaaS, cuando la directora ejecutiva se está vendiendo a sí misma, ¿cómo calcula el costo de adquisición del cliente?

Al vender SaaS, ¿preferiría vender en múltiples verticales (suponiendo que el producto se ajuste) o en una vertical fuerte? ¿Cuáles son los factores de riesgo de cada uno?

¿Es más difícil para una empresa SaaS empresarial ser adquirida en Los Ángeles, en comparación con las que se encuentran en Nueva York?

¿Es una buena idea alojar una aplicación empresarial SaaS en PaaS?

¿Es mejor separar las API de AngularJS y Rails (también conocido como microservicios) o integrar AngularJS en una aplicación Rails (también conocido como monolítico)?