Evaluating security and privacy of SaaS service

Abstract

Software as a Service (SaaS) -sovelluksista on tullut suosittu tapa IT-palveluiden käyttämiseen, erityisesti pienissä tai keskisuurissa organisaatioissa (pk-yritykset). SaaS-mallissa asiakas on riippuvainen palveluntarjoajasta asianmukaisten turvatoimien ja saatavuuden suhteen. Uutta palvelua ostettaessa tulee huomioida monet kyberturvallisuus- ja tietosuojavaatimukset. Opinnäytetyön tavoitteena oli löytää keskeisiä SaaS-sovellusten tietoturva- ja tietosuojakriteereitä ja tutkia mahdollisuutta tarjota pk-yritysten organisaatioille tarkistuslistatyökalu, jonka avulla nämä vaatimukset voidaan arvioida manuaalisesti ilman hankintajärjestelmiin ja kyberturvallisuusresursseihin panostamista. SaaS-arviointityökalun vaatimukset kerättiin kirjallisuuskatsauksen avulla, mukaan lukien SaaS-tietoturvaongelmat, -mitigaatiot ja -standardit, jotta voidaan ymmärtää viitekehyksen tarpeet. Työssä hyödynnettiin myös saatavilla olevia pilviturvallisuuden arviointikehyksiä, kuten Enisa ja Cloud Security Appliance (CSA) Tarkistuslistatyökalun avulla testiryhmä kokeili arviointimallia ja heidän antamaansa palautetta analysoitiin kvalitatiivisella tutkimusmenetelmällä. Näiden tulosten perusteella oli mahdollista koota manuaalisen evoluutioprosessin haasteita. Huomattiin yhteisen tavan puuttuminen SaaS-palveluiden turvallisuuden kuvaamisessa ja termistön ymmärtäminen vaatii tietoturvaosaamista. Lisäksi manuaalinen arviointi koettiin työlääksi ja sen ajantasaisuuden ja vertailukelpoisuuden varmistaminen vaatii jatkotoimenpiteitä. Tutkimuksen yhteenvetona voidaan todeta, että on haastavaa rakentaa SaaS-palvelun tietoturvallisuuden ja tietosuojan arviointikriteeristöä. Toisaalta on mahdollista jakaa tietoa tietoturvavaatimuksista liiketoiminnalle, vastaajat kokivat sen hyödylliseksi. Kehitystoiveina nähdään tarve viranomaisten kehittämälle vertailukelpoiselle viitekehykselle pilvipalveluiden turvallisuuden arvioimiselle. Lisäksi pk-yrityksille suunnatut helpot ja kustannustehokkaat IT-hankintajärjestelmät auttaisivat automatisoimaan hankittavien palveluiden turvallisuusarviointeja.

Software as a Service (SaaS) applications have become famous for IT services, especially in small and medium-sized organizations (SMEs). In the SaaS model, the customer depends on the service provider for appropriate security measures and availability. Many cybersecurity and data protection requirements must be considered when purchasing a new service. The thesis aims to find key security aspects of SaaS applications and investigate the possibility of providing a checklist tool for SME organizations to evaluate these requirements manually without investing in procurement systems and cybersecurity resources. The SaaS evaluation tool requirements are collected using a literature review, including SaaS security issues, mitigations, and security standards, to understand the needs of the framework. There are also reviewed available cloud security evaluation frameworks, like Enisa and Cloud Security Appliance (CSA). Using the checklist tool, the test group tried out the evaluation model, and their feedback was analysed using a qualitative research method. Based on these results, it was possible to compile the challenges of the manual evolution process. It was noticed that there is no standard method in describing the security of SaaS services and understanding the terminology requires information security knowledge. In addition, the manual evaluation was perceived as laborious, and ensuring its up-to-date and comparability requires follow-up measures. As a summary of the research, it can be stated that it is challenging to build a SaaS service information security and data protection evaluation criteria. On the other hand, it is possible to share information about information security requirements for business; the respondents found it helpful. In future development, the need for authorities is to provide a consistent framework for cloud security documentation. Another requirement is to get an easy and cost-effective IT procurement solution for SME-size businesses to auto-mate these security evolutions.