von Lindsay Nash | Aug. 12, 2021 | Artikel
Dies ist Teil 3 einer fünfteiligen Serie, in der wir untersuchen, warum Sicherheit bei der Fördermittelvergabe wichtig ist und worauf Sie bei der Bewertung eines Fördermittelverwaltungssystems achten sollten.
Die Auswahl vertrauenswürdiger Software ist eine große Aufgabe. Sie müssen die Sicherheit, den Datenschutz, die Zuverlässigkeit und die Compliance der Anwendung bewerten. Dabei gibt es eine Reihe von Punkten zu beachten. Auch wenn es mühsam erscheinen mag, ist es doch von entscheidender Bedeutung.
Dies ist ein umfangreiches Thema, daher werden wir die letzten 3 Teile dieser Serie diesem widmen, damit Sie einen umfassenden Überblick darüber erhalten, worauf Sie bei der Auswahl eines Fördermittelverwaltungssystems achten sollten.
In diesem Teil behandeln wir die spezifischen Sicherheitsfunktionen, auf die Sie achten sollten. In Teil 4 und 5 behandeln wir Zuverlässigkeit, Datenschutz und Compliance.
Die Sicherheitsfunktionen Ihrer gewählten Softwareanwendung sind entscheidend für den Schutz Ihrer Daten und der Daten Ihrer Bewerbende. Um diese Funktionen online zu finden, besuchen Sie die Website des Softwareanbieters und suchen Sie nach dessen Sicherheitsseite (diese befindet sich normalerweise in der Fußzeile). Wenn die folgenden Punkte auf der Website nicht aufgeführt sind und kein Sicherheitsnachweis erbracht wird, müssen Sie möglicherweise den Softwareanbieter direkt kontaktieren, um diese Informationen zu erhalten.
Eine der einfachsten Möglichkeiten, festzustellen, ob Software sicher ist, besteht darin, zu prüfen, ob der Anbieter ISO/IEC 27001-zertifiziert ist. Dies ist zum De-facto-Standard für Softwareanbieter geworden. Wenn sie diese Zertifizierung nicht haben, kann man sich nicht auf ihre Sicherheit verlassen.
Wichtig ist, dass Sie die gebotene Sorgfalt walten lassen und Kopien aller erteilten Zertifizierungen oder Audits anfordern. Kein Anbieter ist zertifiziert, es sei denn, er kann den Nachweis erbringen.
Die Zertifizierungen und Dokumentationen für Good Grants finden Sie auf unserer Sicherheitsseite.
Alle SaaS-Software wird physisch „irgendwo“ betrieben – sei es in der Cloud oder von einem Server auf dem Gelände des Anbieters. Prüfen Sie, wie diese Infrastruktur physisch geschützt ist und welche Maßnahmen ergriffen werden, um sicherzustellen, dass nur autorisierter Zugriff erlaubt ist.
Prüfen Sie auch, wie auf die Daten in diesen Infrastrukturen zugegriffen wird. FTP ist eine einfache Methode für den Zugriff auf Server, aber auch eine der anfälligsten für unbefugtes Eindringen. Stellen Sie sicher, dass klar angegeben ist, dass FTP-Zugriff vermieden wird. Bestätigen Sie außerdem, dass nur autorisiertes Personal des Anbieters Zugriff auf die Anwendung hat und dass bei der Bereitstellung des Zugriffs die entsprechenden Sicherheitsprotokolle eingehalten werden.
Bei Good Grants:
Unsere Multi-Server-Architektur ist in einer Virtual Private Cloud (VPC) gesichert. Es gibt keinen Zugriff über FTP. Der Serverzugriff ist nur autorisiertem Personal über SSH-schlüsselbasierte Authentifizierung mittels VPN-Zugriff auf unsere VPC möglich.
Der Zugriff auf unsere AWS-Infrastruktur ist nur autorisiertem Good Grants-Personal gestattet und wird durch Identity and Access Management (IAM) und Multi-Faktor-Authentifizierung (MFA) geregelt.
Prüfen Sie als Nächstes, wie sicher deren Server sind. Wenn Sie feststellen, dass die Anwendungsdaten in AWS (Amazon Web Services) gespeichert sind, können Sie die zugrunde liegende Infrastruktur im Allgemeinen als sehr sicher betrachten. AWS-Rechenzentren und Netzwerkarchitekturen sind so konzipiert, dass sie strengen globalen Standards wie SOC 1, SOC 2, SOC 3 und den Cloud Security Alliance Controls entsprechen. Wenn die Daten also nicht in AWS-Rechenzentren gespeichert sind, stellen Sie sicher, dass diese SOC-konform sind und den Cloud Security Alliance Controls standhalten.
Unsere gesamte physische Infrastruktur des Anwendungsstacks und die Datenspeicherung befinden sich in Amazon Web Services (AWS)-Rechenzentren. AWS-Rechenzentren sind in unscheinbaren Einrichtungen untergebracht. Der physische Zugang wird sowohl am Perimeter als auch an den Gebäudezugangspunkten durch professionelles Sicherheitspersonal unter Einsatz von Videoüberwachung, Einbruchmeldeanlagen und anderen elektronischen Mitteln streng kontrolliert.
Diese Standards erfüllen die Anforderungen der sicherheitssensibelsten Organisationen.
Gute rollen- und berechtigungsbasierte Zugriffskontrollen beschränken die Arten von Informationen, auf die ein Benutzer zugreifen kann, und stellen sicher, dass sensible Informationen nur von Personen mit expliziter Autorisierung eingesehen werden können.
Achten Sie auf gute Rollen- und Berechtigungsfunktionen. SaaS mit starker rollen- und berechtigungsbasierter Zugriffskontrolle ist in der Regel weit überlegen, bietet mehr Nutzen und ermöglicht eine größere Kontrolle über die Funktionsweise Ihres Programms als eine ohne.
Zum Beispiel müssen Sie möglicherweise Ihren Buchhaltern Zugriff auf Ihr Stipendiensystem für Prüfzwecke gewähren. Sie möchten Benutzern mit der Rolle „Buchhalter“ Berechtigungen erteilen, um Fördermittelbeträge pro Bewerbende anzuzeigen. Fördermittel sind jedoch möglicherweise nichts, was Gutachter sehen sollen, sodass Sie dieses Detail beispielsweise für Benutzer mit der Rolle „Gutachter“ ausblenden könnten.
Good Grants verfügt über ein erweiterbares System zur Definition von Benutzerrollen und zugehörigen Systemnutzungsberechtigungen, sodass Benutzer nur auf Funktionen zugreifen können, für die sie berechtigt sind, seien es Bewerbende, Gutachter oder Fördermittelmanager.
Die Förderung starker Passwörter ist ein entscheidender Schritt zur Verhinderung unbefugten Zugriffs auf Software. Aber Passwörter allein reichen nicht aus. Suchen Sie auch nach Multi-Faktor-Authentifizierungs-(MFA)-Optionen. MFA ist die Verwendung eines oder mehrerer zusätzlicher Schritte zur Überprüfung der Identität eines Benutzers. Wenn ein Faktor, wie das Passwort, kompromittiert wird, können Angreifer ohne die anderen Faktoren immer noch keinen Zugriff erhalten.
Und es ist dringend notwendig… Laut Verizons Data Breach Investigation Report zufolge sind gestohlene Passwörter immer noch die am häufigsten verwendete Taktik beim Hacking.
Jede Person, die auf das System zugreift, einschließlich Bewerbende, sollte ermutigt werden, sich zu registrieren und einen Benutzernamen und ein Passwort einzurichten, und vorzugsweise auch MFA zu aktivieren. Stellen Sie daher sicher, dass der Softwareanbieter sowohl eine strenge Passwortrichtlinie als auch 2FA (Zwei-Faktor-Authentifizierung) oder MFA (Multi-Faktor-Authentifizierung) anbietet.
Der Zugriff auf Benutzerkonten ist passwortgeschützt. Passwörter werden mit Einweg-Bcrypt-Hashing gespeichert.
Dadurch kann das ursprüngliche Passwort niemals von jemandem gelesen, eingesehen oder wiederhergestellt werden, selbst nicht von Personen mit direktem Zugriff auf die Systemdatenbank.
Einzelne Benutzer können den Schutz ihres Kontos vor unbefugtem Zugriff erhöhen, indem sie die Multi-Faktor-Authentifizierung (MFA) aktivieren. MFA kann auch für bestimmte Rollen mit erhöhten Zugriffsrechten erforderlich sein.
Die primäre Authentifizierungsmethode nach dem Passwort ist ein zeitbasiertes Einmalpasswort (TOTP). Backup-Wiederherstellungsmethoden umfassen Wiederherstellungscodes und SMS.
Datenverschlüsselung bedeutet im Wesentlichen, dass Ihre digitalen Programmdaten unlesbar wären, sollte es einer unbefugten Person jemals gelingen, diese abzufangen. Datenverschlüsselung verschlüsselt Daten und macht sie für jeden unlesbar, der keine Autorisierung dazu besitzt.
Datenverschlüsselung sollte sowohl auf übertragene Daten als auch auf gespeicherte Daten angewendet werden. Oder in Sicherheitsterminologie ausgedrückt: auf Daten „ruhend“ und Daten „in Bewegung“. Achten Sie auf diese Begriffe.
Es gibt verschiedene Verschlüsselungsstandards, aber einer der besten ist der Advanced Encryption Standard (AES)-256.
Manchmal verschlüsseln Anbieter Daten „in Bewegung“ oder Ihre Daten „ruhend“ nicht. Einige Anbieter kümmern sich gar nicht darum. Dies ist ein erheblicher Mangel in ihrer Sicherheit und der Fähigkeit, Ihre Informationen privat zu halten. Achten Sie auf Hinweise, die ausdrücklich besagen, ob beides verschlüsselt ist und welcher Standard dafür verwendet wird.
Gemäß den Best Practices für Sicherheit werden alle ruhenden Daten (in unseren Datenbanken und Medienspeichern) verschlüsselt gespeichert. Alle Daten während der Übertragung (einschließlich Anmeldeinformationen) werden standardmäßig mit TLS 1.2 (https) geschützt, mit (AES)-256 bit Verschlüsselung und SHA-256 signierten Zertifikaten.
Angesichts der weltweit zunehmenden Bot-Angriffe ist es naheliegend, dass jede Plattform, die Sie zur Verwaltung Ihrer Fördermittel- oder Stipendienprogramme auswählen, Bot-Angriffen standhalten oder diese zumindest minimieren sollte. Dies stellt nicht nur sicher, dass unerwünschter Traffic Ihr Programm nicht durch einen DDoS-Angriff beeinträchtigt, sondern auch, dass die Bewerbungen für Ihr Programm von echten Personen stammen.
Good Grants verwendet eine hochentwickelte Echtzeit-Bot-Schutztechnologie, um unautorisierte Bot-Aktivitäten sofort zu analysieren, zu erkennen und zu blockieren. Der Bot-Schutzansatz von Good Grants vergleicht jede Anfrage an Ihre Fördermittel- oder Stipendienplattform mit einer massiven In-Memory-Musterdatenbank und nutzt eine Kombination aus KI und maschinellem Lernen, um schnell zu entscheiden, ob der Zugriff auf Ihre Seiten gewährt werden soll oder nicht.
In Teil 4 werfen wir einen Blick auf die spezifischen Funktionen im Zusammenhang mit der Zuverlässigkeit. Laden Sie unser kostenloses E-Book herunter, das eine praktische Checkliste enthält, mit der Sie verschiedene Fördermittelverwaltungssysteme bewerten können.
Artikel
Funktionen im Fokus
E-Books
Videos
Veröffentlichungen