Murrstock - stock.adobe.com
Warum Sie für die Sicherung von SaaS-Daten verantwortlich sind
Unternehmen, die sich bei der Sicherung und Wiederherstellung von SaaS-Daten auf den Serviceanbieter verlassen, haben einen schweren Weg vor sich. Sparen Sie nicht beim Backup.
Die Entfremdung zwischen IT-Leitern und SaaS-Anbietern ist real und könnte Ihr Unternehmen viel Geld kosten.
Laut Data Protection for SaaS, einem aktuellen Forschungsbericht der Enterprise Strategy Group von TechTarget, verlassen sich etwa 33 Prozent der IT-Leiter, die SaaS-Anwendungen nutzen, beim Schutz ihrer SaaS-Anwendungsdaten auf den Anbieter. Weitere 45 Prozent sind der Meinung, dass sie teilweise für den Schutz der Daten ihres Unternehmens verantwortlich sind und sich sowohl auf den SaaS-Anbieter als auch auf ein Data-Protection-Tool oder einen Data-Protection-Dienst eines Drittanbieters verlassen.
Die meisten Unternehmen nutzen heute SaaS, um das zu nutzen, was früher eine Anwendung im Rechenzentrum oder sogar eine Anwendung in der Public Cloud war. Die Nutzung eines Dienstes „von der Stange“, der dennoch konfigurierbar ist und von einem Drittanbieter verwaltet wird, hat viele Vorteile.
SaaS und unternehmenskritische Daten
Aus derselben Studie geht hervor, dass 66 Prozent der Befragten SaaS-Anwendungen den Vorzug vor der Entwicklung eigener Anwendungen geben und diese nach Möglichkeit nutzen. Laut Anbietern und Fachleuten in der Branche besteht eine allgemeine Übereinstimmung (die in der obigen Studie nicht berücksichtigt wurde), dass die meisten Organisationen Dutzende, in größeren Unternehmen sogar Hunderte von SaaS-Anwendungen einsetzen, um ihre zahlreichen funktionalen Anforderungen zu erfüllen.
Viele dieser SaaS-Anwendungen sind für das Unternehmen von entscheidender Bedeutung. Ich würde argumentieren, dass alle Daten im Unternehmen geschützt werden sollten, aber lassen Sie uns der Argumentation zuliebe zustimmen, dass es eine Rangordnung gibt und dass einige Anwendungen gleichwertiger sind als andere. Wenn eine SaaS-Anwendung zu den geschäftskritischen Anwendungen gehört, dann bedeutet das, dass bestimmte strenge Anforderungen an die Service-Levels im Allgemeinen und an die Sicherung und Wiederherstellung im Besonderen gelten.
Unsere Untersuchung zeigt, dass die meisten der Befragten der Meinung sind, dass einige bekannte SaaS-Anwendungen kritisch sind, wie Microsoft 365, Microsoft Dynamics, Salesforce, ServiceNow, Google Workspace, Workday und Zendesk, um nur einige zu nennen, die wir untersucht haben. Natürlich gibt es noch viele weitere.
Beginnen wir mit ein paar Beobachtungen, die niemanden schockieren sollten:
- Wenn es in einer Anwendung private Daten oder persönlich identifizierbare Informationen gibt, ist dies aus Gründen der Compliance kritisch.
- Es sind Ihre Daten. Ihr Unternehmen hat beschlossen, die funktionale Anwendung als Service zu nutzen, aber es sind die Daten Ihres Unternehmens.
- Das bedeutet, dass Sie für die Daten verantwortlich sind und dafür sorgen müssen, dass sie angemessen gesichert und wiederherstellbar sind.
Wo liegt die Verantwortung für SaaS-Daten wirklich?
Lassen Sie mich den 33 Prozent der IT-Fachleute, die ich vorab in diesem Artikel erwähnt habe, eine Nachricht überbringen: Die SaaS-Anbieter sind nicht für Ihre Daten verantwortlich, sie werden sie nicht für Sie sichern, und es gibt keine magischen Backup-Leute, die das für Sie tun. Das ist es, was ich die große SaaS-Datenschutzlücke nenne.
SaaS-Anbieter schützen sich selbst und wenden bewährte Verfahren für Backups an, um ihren Dienst so verfügbar und wiederherstellbar wie möglich zu machen, aber es ist ihr eigenes Geschäft, das sie schützen. Wenn Sie, also ein Unternehmenskunde, Daten versehentlich löschen und es erst merken, wenn sie nicht mehr wiederherstellbar sind, sind Sie selbst schuld.
Unsere Untersuchung zeigt, dass es leicht ist, SaaS-Daten zu verlieren. Zu den häufigsten Gründen, die von den Befragten genannt wurden, gehören, in dieser Reihenfolge: Ausfall oder Nichtverfügbarkeit des SaaS-Anbieters, böswillige Löschung durch einen Cyberangriff, versehentliche Löschung, Schließung des Kontos, unzureichende oder mangelhafte Backup-Mechanismen, der aktuelle Backup-Anbieter unterstützt die spezifische(n) SaaS-Anwendung(en) nicht, falsch verstandene Aufbewahrungs-/Löschungsrichtlinien, böswillige Löschung durch einen Mitarbeiter und falsch konfigurierte Schemas oder fehlerhafte Schema-Updates.
Geteilte Verantwortung erfordert eine Aufteilung der Backup-Last
Vor dem Hintergrund dieser Liste sollten wir über die 45 Prozent sprechen, die angeben, dass sie das Modell der geteilten Verantwortung nutzen und ein Backup-Tool oder einen Service eines Drittanbieters verwenden.
Erstens ist die Verwendung einer Backup-Option eines Drittanbieters die richtige Antwort, solange Sie alle Ihre geschäftskritischen SaaS-Anwendungen intern schützen. Die meisten Backup-Anbieter unterstützen heute nur einige wenige SaaS-Anwendungen, so dass Sie möglicherweise mehrere Anbieter nutzen müssen. Außerdem gibt es viele SaaS-Anwendungen, für die kein Anbieter offiziell Unterstützung anbietet. Zweitens sind die Anbieter von Datensicherungen bei der Bereitstellung von Korrekturen für diese Probleme in Verzug geraten. Glücklicherweise ist das eine Chance, die viele jetzt zu nutzen beginnen.
Die Idee eines Modells der geteilten Verantwortung ist nicht neu; im Grunde handelt es sich um einen Vertrag mit mehr oder weniger Verhandlungsspielraum. Das kann durchaus in Ordnung sein, wenn man die Service Level Agreements(SLAs) wirklich versteht. Die meisten IT-Experten haben gesagt, dass sie das tun, aber ich glaube das nicht. Aus der obigen Liste der Datenverluste können Sie ersehen, wie viele dieser Ursachen rein servicebezogen sind.
Nehmen wir zum Beispiel den Rechnungsabschluss: Warum glauben Sie, dass ein Drittanbieter Ihre Daten aufbewahrt, nachdem Sie Ihr Konto geschlossen haben? Es kostet Geld, Daten zu verwalten und zu speichern! Ein weiterer Bereich, in dem SLAs zu Verwirrung und Unklarheiten führen, ist die Verfügbarkeit von Diensten. IT-Experten neigen dazu, Serviceverfügbarkeit mit Hochverfügbarkeit und Datensicherung zu verwechseln oder zu vermischen.
Die gute Nachricht ist, dass IT-Fachleute sich vorrangig um die Verbesserung ihrer SaaS-Datensicherungsfunktionen bemühen. Für mehr als vier von zehn Unternehmen hat der Schutz von SaaS-Anwendungen höchste IT-Priorität, und weitere 45 Prozent geben an, dass dies zu ihren fünf wichtigsten Prioritäten gehört. Der Aufbau einer stabilen SaaS-Datenschutzinfrastruktur, die die richtigen Anbieter für alle geschäftskritischen Daten und Anwendungen umfasst, wird einige Zeit in Anspruch nehmen, aber er ist bereits im Gange. Als IT-Experte können Sie dieses Thema nicht ignorieren.