كان هناك وقت يمكن فيه للمنظمات التي تتجنب المخاطر أن تحد بشدة من قدرة مستخدمي الأعمال على ارتكاب أخطاء مكلفة. مع المعرفة التقنية المحدودة والأذونات الصارمة والافتقار إلى الريح الخلفي ، كان أسوأ شيء يمكن أن يفعله مستخدم الأعمال هو تنزيل برامج ضارة أو الوقوع في حملة تصيد احتيالي. لقد ولت تلك الأيام الآن.
الوقت الحاضر، تأتي كل منصة برامج رئيسية كخدمة (SaaS) مجمعة مع إمكانات الأتمتة وبناء التطبيقات التي تم تصميمها وتسويقها مباشرة لمستخدمي الأعمال. يتم تضمين الأنظمة الأساسية SaaS مثل Microsoft 365 و Salesforce و ServiceNow الأنظمة الأساسية بدون رمز / منخفضة التعليمات البرمجية في عروضهم الحالية ، ووضعها مباشرة في أيدي مستخدمي الأعمال دون طلب موافقة الشركة. القدرات التي كانت متاحة في السابق فقط لفرق تكنولوجيا المعلومات والتطوير متاحة الآن في جميع أنحاء المؤسسة.
تم دمج Power Platform ، النظام الأساسي منخفض التعليمات البرمجية من Microsoft ، في Office 365 وهو مثال رائع بسبب موطئ قدم Microsoft القوي في المؤسسة ومعدل اعتماده من قبل مستخدمي الأعمال. ربما دون أن تدرك ذلك ، فإن الشركات تضع القوة على مستوى المطورين في أيدي عدد أكبر من الأشخاص من أي وقت مضى ، مع قدر أقل بكثير من الأمان أو الخبرة التقنية. ما الذي يمكن أن يحدث بشكل خاطئ؟
كثير جدا ، في الواقع. دعنا نفحص بعض الأمثلة الواقعية من تجربتي. تم إخفاء هوية المعلومات ، وتم حذف العمليات التجارية الخاصة.
الموقف 1: بائع جديد؟ افعل ذلك
أراد فريق خدمة العملاء في شركة بيع بالتجزئة متعددة الجنسيات إثراء بيانات العملاء برؤى المستهلك. على وجه الخصوص ، كانوا يأملون في العثور على مزيد من المعلومات حول العملاء الجدد حتى يتمكنوا من خدمتهم بشكل أفضل ، حتى أثناء عملية الشراء الأولية. قرر فريق خدمة العملاء اختيار البائع الذي يرغبون في العمل معه. طلب البائع إرسال البيانات إليهم من أجل التخصيب ، والتي سيتم سحبها بعد ذلك من خلال خدماتهم.
عادة ، هذا هو المكان الذي تأتي فيه تكنولوجيا المعلومات إلى الصورة. سيحتاج قسم تكنولوجيا المعلومات إلى بناء نوع من التكامل للحصول على البيانات من البائع وإليه. من الواضح أن فريق أمن تكنولوجيا المعلومات سيحتاج إلى المشاركة أيضًا لضمان الوثوق بهذا البائع من خلال بيانات العميل والموافقة على الشراء. كان من الممكن أن تأخذ المشتريات والقانونية دورًا رئيسيًا أيضًا. لكن في هذه الحالة ، سارت الأمور في اتجاه مختلف.
كان فريق رعاية العملاء هذا خبراء Microsoft Power Platform. بدلاً من الانتظار للحصول على الموارد أو الموافقة ، قاموا للتو ببناء التكامل بأنفسهم: جمع بيانات العملاء من خوادم SQL في الإنتاج ، وإعادة توجيهها جميعًا إلى خادم FTP الذي يوفره البائع ، وجلب البيانات الغنية مرة أخرى من خادم FTP إلى قاعدة بيانات الإنتاج. تم تنفيذ العملية بأكملها تلقائيًا في كل مرة يتم فيها إضافة عميل جديد إلى قاعدة البيانات. تم كل ذلك من خلال واجهات السحب والإفلات ، المستضافة على Office 365 ، واستخدام حساباتهم الشخصية. تم دفع الترخيص من الجيب ، مما أبقى المشتريات خارج الحلقة.
تخيل مفاجأة CISO عندما وجدوا مجموعة من أتمتة الأعمال تنقل بيانات العملاء إلى عنوان IP مشفر على AWS. نظرًا لكونك عميل Azure فقط ، فقد أدى ذلك إلى رفع علم أحمر ضخم. علاوة على ذلك ، تم إرسال البيانات واستلامها من خلال اتصال FTP غير آمن ، مما أدى إلى مخاطر تتعلق بالأمان والامتثال. عندما وجد فريق الأمان ذلك من خلال أداة أمان مخصصة ، كانت البيانات تنتقل من وإلى المنظمة لمدة عام تقريبًا.
الموقف الثاني: أوه ، هل من الخطأ جمع بطاقات الائتمان؟
كان فريق الموارد البشرية في شركة كبيرة لتكنولوجيا المعلومات يستعد لحملة "Give Away" مرة واحدة في العام ، حيث يتم تشجيع الموظفين على التبرع لمؤسستهم الخيرية المفضلة ، مع مشاركة الشركة من خلال مطابقة كل دولار يتبرع به الموظفون. حققت حملة العام السابق نجاحًا هائلاً ، لذلك كانت التوقعات على وشك الحد الأقصى. لتعزيز الحملة وتخفيف العمليات اليدوية ، استخدم موظف موارد بشرية مبدع Microsoft Power Platform لإنشاء تطبيق سهل العملية برمتها. للتسجيل ، يقوم الموظف بتسجيل الدخول إلى التطبيق بحساب الشركة الخاص به ، وإرسال مبلغ التبرع الخاص به ، واختيار مؤسسة خيرية ، وتقديم تفاصيل بطاقة الائتمان الخاصة به للدفع.
حققت الحملة نجاحًا هائلاً ، مع مشاركة حطمت الأرقام القياسية من قبل الموظفين وقليل من العمل اليدوي المطلوب من موظفي الموارد البشرية. لكن لسبب ما ، لم يكن فريق الأمن سعيدًا بالطريقة التي سارت بها الأمور. أثناء التسجيل في الحملة ، أدرك موظف من فريق الأمان أنه تم جمع بطاقات الائتمان في تطبيق لا يبدو أنه يجب أن يفعل ذلك. عند التحقيق ، وجدوا أن تفاصيل بطاقة الائتمان هذه تم التعامل معها بشكل غير صحيح بالفعل. تم تخزين تفاصيل بطاقة الائتمان في بيئة Power Platform الافتراضية ، مما يعني أنها كانت متاحة لمستأجر Azure AD بأكمله ، بما في ذلك جميع الموظفين والموردين والمقاولين. علاوة على ذلك ، تم تخزينها كحقول سلسلة نص عادي بسيطة.
لحسن الحظ ، اكتشف فريق الأمن انتهاك معالجة البيانات قبل أن يكتشفه الفاعلون الخبيثون - أو مدققو الامتثال. تم تنظيف قاعدة البيانات ، وتم تصحيح التطبيق للتعامل بشكل صحيح مع المعلومات المالية وفقًا للوائح.
الموقف 3: لماذا لا يمكنني استخدام Gmail فقط؟
كمستخدم ، لا أحد يحب ضوابط منع فقدان بيانات المؤسسة. حتى عند الضرورة ، فإنها تقدم احتكاكًا مزعجًا للعمليات اليومية. نتيجة لذلك ، حاول المستخدمون دائمًا التحايل عليها. يعد البريد الإلكتروني الخاص بالشركة بمثابة شجار دائم بين مستخدمي الأعمال الإبداعية وفريق الأمان. مزامنة البريد الإلكتروني للشركة مع حساب بريد إلكتروني شخصي أو تقويم الشركة إلى تقويم شخصي: لدى فرق الأمان حلاً لذلك. وهي تضع حلول أمان البريد الإلكتروني و DLP في مكانها الصحيح لمنع إعادة توجيه البريد الإلكتروني وضمان إدارة البيانات. هذا يحل المشكلة ، أليس كذلك؟
حسننا، لا. اكتشاف متكرر يجد المستخدمون عبر المؤسسات الكبيرة والشركات الصغيرة أن المستخدمين يقومون بإنشاء عمليات تلقائية تتجاوز عناصر التحكم في البريد الإلكتروني لإعادة توجيه البريد الإلكتروني للشركة والتقويم إلى حساباتهم الشخصية. بدلاً من إعادة توجيه رسائل البريد الإلكتروني ، يقومون بنسخ البيانات ولصقها من خدمة إلى أخرى. من خلال تسجيل الدخول إلى كل خدمة بهوية منفصلة وأتمتة عملية النسخ واللصق بدون رمز ، يتجاوز مستخدمو الأعمال عناصر التحكم في الأمان بسهولة - وبدون طريقة سهلة لاكتشافها فرق الأمان.
لقد تطور مجتمع Power Platform حتى النماذج يمكن لأي مستخدم Office 365 التقاطها واستخدامها.
مع القوة العظيمة تأتي المسؤولية العظيمة
تمكين مستخدم الأعمال أمر رائع. يجب ألا تنتظر خطوط الأعمال تكنولوجيا المعلومات أو تناضل من أجل موارد التنمية. ومع ذلك ، لا يمكننا أن نمنح مستخدمي الأعمال قوة على مستوى المطورين دون توجيه أو حواجز ، ونتوقع أن كل شيء سيكون على ما يرام.
تحتاج فرق الأمان إلى تثقيف مستخدمي الأعمال وتوعيتهم بمسؤولياتهم الجديدة كمطورين للتطبيقات ، حتى لو تم إنشاء هذه التطبيقات باستخدام "بدون رمز". يجب على فرق الأمن أيضًا وضع حواجز حماية ومراقبة لضمان أنه عندما يرتكب المستخدمون التجاريون خطأً ، كما نفعل جميعًا ، فلن يتحول الأمر إلى تسريبات بيانات كاملة أو حوادث تدقيق الامتثال.
