在审查的这个阶段,您已准备好通过渗透测试来验电报筛查证您的发现。虽然这取决于您的用例,但您需要确保您没有看到供应商审查中未出现的任何内容。
渗透测试涉及对 SaaS 的所有部分进行深入评估以识别漏洞。考虑在制定安全审查问卷的同时采取此步骤。
完成安全审查
此时,您已准备好将调查结果提交给内部利益相关者。初步讨论应侧重于让各方了解审查结果、确定是否需要进行风险审查以及获取风险审查,并总结任何未解决的风险和/或问题以供供应商解决。
从此,供应商必须验证您的索赔并解决您的安全审查总结的结果,以消除任何剩余的担忧。供应商为补救或缓解风险而采取的任何行动都可能需要安全部门再次进行额外的一次性审查,以确保风险得到解决。
通常情况下,供应商承诺在安全团队通过风险管理计划同意的时间段内修复复杂或复杂的发现。一旦通过风险管理计划解决了所有剩余风险并做出了通过/不通过的决定,安全审查即视为完成。
最后,您应将结果汇编成一份可审计的报告,以供将来审查,并应保存以备记录。如果供应商合同中没有条款规定在承诺的时限内补救任何剩余风险,我们建议将此类承诺写入合同,以确保补救的法律责任。
使用确保您的 SaaS 安全
安全审查不应在入职后结束。作为安全团队尽职调查的一部分,它们需要定期继续进行。所有这些都确保您的 SaaS 应用程序与您入职时一样安全,或者识别出过去遗漏的风险。这对于您环境中的每个 SaaS 应用程序都是如此 – 特别是如果它们符合您组织的认证或法规遵从性要求。
这些审查的频率应在入职时决定。通常,这将在续订到期时、客户修复已提交的漏洞修复时或每年进行。此外,定期审查可确保 SaaS 应用程序在更新(例如新功能或编码)期间保持合规性。
尽管安全审查可能很难跟上,但 Zylo 可以帮助您保持领先地位。
跟踪和可见性对于 SaaS 安全至关重要。Zylo 的安如何以适当且成功的方式接触目全详细信息同时提供了这两种功能。它让您知道谁拥有应用程序,同时通过轻松查看应用程序合规性认证来了解与您的 SaaS 堆栈相关的风险。
此外,Zylo 还能全面发现您环境中运行的所有 SaaS 应用程序。其中包括高安全风险,例如在安全和 IT 监控下运行的 影子 IT 。
更好的安全性始于更好的可见性。阅读此广告库处了解有关 Zylo 的发现引擎如何帮助您找到所有 SaaS 的更多信息。