এমন একটি সময় ছিল যখন ঝুঁকি-প্রতিরোধী সংস্থাগুলি তাদের ব্যবসায়িক ব্যবহারকারীদের ব্যয়বহুল ভুল করার ক্ষমতাকে মারাত্মকভাবে সীমিত করতে পারে। সীমিত প্রযুক্তিগত জ্ঞান, কঠোর অনুমতি, এবং টেলওয়াইন্ডের অভাবের সাথে, একজন ব্যবসায়িক ব্যবহারকারী সবচেয়ে খারাপ কাজটি করতে পারে তা হল ম্যালওয়্যার ডাউনলোড করা বা ফিশিং প্রচারণার জন্য পড়ে যাওয়া। সেই দিনগুলো এখন চলে গেছে।
আজকাল, প্রতিটি প্রধান সফ্টওয়্যার-এ-সার্ভিস (SaaS) প্ল্যাটফর্ম বান্ডিল করে আসে অটোমেশন এবং অ্যাপ্লিকেশন-বিল্ডিং ক্ষমতাগুলির সাথে যা সরাসরি ব্যবসায়িক ব্যবহারকারীদের জন্য ডিজাইন করা হয়েছে এবং বাজারজাত করা হয়েছে। SaaS প্ল্যাটফর্ম যেমন Microsoft 365, Salesforce, এবং ServiceNow এম্বেড করছে নো-কোড/লো-কোড প্ল্যাটফর্ম তাদের বিদ্যমান অফারগুলিতে, কর্পোরেট অনুমোদনের জন্য জিজ্ঞাসা না করে সরাসরি ব্যবসায়িক ব্যবহারকারীদের হাতে রেখে দেয়। যে ক্ষমতাগুলি একবার শুধুমাত্র আইটি এবং ডেভেলপমেন্ট টিমের জন্য উপলব্ধ ছিল এখন সংস্থা জুড়ে উপলব্ধ।
পাওয়ার প্ল্যাটফর্ম, মাইক্রোসফ্টের লো-কোড প্ল্যাটফর্ম, অফিস 365-এ নির্মিত এবং এন্টারপ্রাইজে মাইক্রোসফ্টের দৃঢ় অবস্থান এবং ব্যবসায়িক ব্যবহারকারীদের দ্বারা এটি যে হারে গৃহীত হয় তার জন্য এটি একটি দুর্দান্ত উদাহরণ। সম্ভবত এটি উপলব্ধি না করেই, এন্টারপ্রাইজগুলি আগের চেয়ে অনেক বেশি লোকের হাতে ডেভেলপার-স্তরের ক্ষমতা রাখছে, অনেক কম নিরাপত্তা বা প্রযুক্তিগত জ্ঞানী। সম্ভাব্য ভুল গুলো কী কী হতে পারতো?
বেশ অনেক, আসলে. আমার অভিজ্ঞতা থেকে কিছু বাস্তব-বিশ্বের উদাহরণ পরীক্ষা করা যাক। তথ্য বেনামী করা হয়েছে, এবং ব্যবসা-নির্দিষ্ট প্রক্রিয়া বাদ দেওয়া হয়েছে।
পরিস্থিতি 1: নতুন বিক্রেতা? এটা করতে
একটি বহুজাতিক খুচরা কোম্পানির কাস্টমার কেয়ার টিম ভোক্তাদের অন্তর্দৃষ্টি দিয়ে তাদের গ্রাহক ডেটা সমৃদ্ধ করতে চেয়েছিল। বিশেষ করে, তারা নতুন গ্রাহকদের সম্পর্কে আরও তথ্য পাওয়ার আশা করছিল যাতে তারা তাদের প্রাথমিক কেনাকাটার সময়ও তাদের আরও ভালভাবে পরিবেশন করতে পারে। কাস্টমার কেয়ার টিম একটি বিক্রেতার বিষয়ে সিদ্ধান্ত নিয়েছে যে তারা কাজ করতে চায়। বিক্রেতাকে সমৃদ্ধকরণের জন্য তাদের কাছে ডেটা পাঠানোর প্রয়োজন ছিল, যা তারপরে তাদের পরিষেবা দ্বারা ফিরিয়ে আনা হবে।
সাধারণত, এখানেই আইটি ছবিতে আসে। বিক্রেতার কাছে এবং তার কাছ থেকে ডেটা পেতে আইটি-কে কিছু ধরণের ইন্টিগ্রেশন তৈরি করতে হবে। এই বিক্রেতাকে গ্রাহকের ডেটার সাথে বিশ্বাস করা যায় এবং ক্রয় অনুমোদন করা যায় তা নিশ্চিত করার জন্য আইটি নিরাপত্তা দলকে অবশ্যই জড়িত থাকতে হবে। সংগ্রহ এবং আইনি একটি মূল অংশ নিতে হবে, পাশাপাশি. এই ক্ষেত্রে, জিনিসগুলি ভিন্ন দিকে চলে গেছে।
এই বিশেষ কাস্টমার কেয়ার টিম ছিল মাইক্রোসফট পাওয়ার প্ল্যাটফর্ম বিশেষজ্ঞ। রিসোর্স বা অনুমোদনের জন্য অপেক্ষা করার পরিবর্তে, তারা শুধু এগিয়ে গেছে এবং নিজেরাই ইন্টিগ্রেশন তৈরি করেছে: উৎপাদনে এসকিউএল সার্ভার থেকে গ্রাহক ডেটা সংগ্রহ করা, বিক্রেতার দ্বারা প্রদত্ত একটি FTP সার্ভারে এটি ফরওয়ার্ড করা এবং FTP সার্ভার থেকে সমৃদ্ধ ডেটা ফিরিয়ে আনা উৎপাদন ডাটাবেস। প্রতিবার ডাটাবেসে নতুন গ্রাহক যোগ করার সময় সম্পূর্ণ প্রক্রিয়াটি স্বয়ংক্রিয়ভাবে সম্পাদিত হয়। অফিস 365-এ হোস্ট করা ড্র্যাগ-এন্ড-ড্রপ ইন্টারফেসের মাধ্যমে এবং তাদের ব্যক্তিগত অ্যাকাউন্ট ব্যবহার করে এটি করা হয়েছিল। লাইসেন্সটি পকেটের বাইরে অর্থ প্রদান করা হয়েছিল, যা ক্রয়কে লুপের বাইরে রেখেছিল।
CISO-এর আশ্চর্যের কথা কল্পনা করুন যখন তারা একগুচ্ছ ব্যবসায়িক অটোমেশন গ্রাহকের ডেটা AWS-এ একটি হার্ড-কোডেড IP ঠিকানায় স্থানান্তরিত করে। শুধুমাত্র Azure-এর গ্রাহক হওয়ায়, এটি একটি বিশাল লাল পতাকা উত্থাপন করেছে। অধিকন্তু, একটি নিরাপত্তা ও সম্মতি ঝুঁকি তৈরি করে, একটি অনিরাপদ FTP সংযোগের সাথে ডেটা পাঠানো এবং গ্রহণ করা হচ্ছিল। যখন নিরাপত্তা দল একটি নিবেদিত নিরাপত্তা সরঞ্জামের মাধ্যমে এটি খুঁজে পেয়েছিল, প্রায় এক বছর ধরে তথ্য সংস্থার ভিতরে এবং বাইরে চলেছিল।
পরিস্থিতি 2: ওহ, ক্রেডিট কার্ড সংগ্রহ করা কি ভুল?
একটি বৃহৎ আইটি বিক্রেতার এইচআর টিম বছরে একবার "গিভ অ্যাওয়ে" ক্যাম্পেইনের জন্য প্রস্তুতি নিচ্ছিল, যেখানে কর্মীদের তাদের প্রিয় দাতব্য প্রতিষ্ঠানে দান করতে উৎসাহিত করা হয়, কোম্পানি কর্মীদের দ্বারা দান করা প্রতিটি ডলারের সাথে মিল রেখে পিচ ইন করে। আগের বছরের প্রচারাভিযান ব্যাপক সাফল্য ছিল, তাই প্রত্যাশা ছিল ছাদের মধ্য দিয়ে। প্রচারাভিযানকে শক্তিশালী করতে এবং ম্যানুয়াল প্রক্রিয়াগুলিকে উপশম করতে, একজন সৃজনশীল এইচআর কর্মী মাইক্রোসফটের পাওয়ার প্ল্যাটফর্ম ব্যবহার করে একটি অ্যাপ তৈরি করে যা পুরো প্রক্রিয়াটিকে সহজতর করে। নিবন্ধন করার জন্য, একজন কর্মচারী তাদের কর্পোরেট অ্যাকাউন্ট দিয়ে অ্যাপ্লিকেশনটিতে লগ ইন করবে, তাদের অনুদানের পরিমাণ জমা দেবে, একটি দাতব্য সংস্থা নির্বাচন করবে এবং অর্থপ্রদানের জন্য তাদের ক্রেডিট কার্ডের বিশদ প্রদান করবে।
কর্মীদের রেকর্ড-ব্রেকিং অংশগ্রহণ এবং এইচআর কর্মচারীদের সামান্য কায়িক পরিশ্রমের কারণে ক্যাম্পেইনটি একটি বিশাল সাফল্য ছিল। কিছু কারণে, যদিও, নিরাপত্তা দলটি যেভাবে পরিণত হয়েছিল তাতে খুশি ছিল না। প্রচারাভিযানে নিবন্ধন করার সময়, নিরাপত্তা দলের একজন কর্মচারী বুঝতে পেরেছিলেন যে ক্রেডিট কার্ডগুলি এমন একটি অ্যাপে সংগ্রহ করা হচ্ছে যা এটি করা উচিত বলে মনে হচ্ছে না। তদন্তের পরে, তারা দেখেছে যে সেই ক্রেডিট কার্ডের বিশদগুলি আসলেই ভুলভাবে পরিচালনা করা হয়েছিল। ক্রেডিট কার্ডের বিশদ ডিফল্ট পাওয়ার প্ল্যাটফর্ম পরিবেশে সংরক্ষিত ছিল, যার অর্থ তারা সমস্ত কর্মচারী, বিক্রেতা এবং ঠিকাদার সহ সমগ্র Azure AD ভাড়াটেদের কাছে উপলব্ধ ছিল। উপরন্তু, তারা সরল প্লেইনটেক্সট স্ট্রিং ক্ষেত্র হিসাবে সংরক্ষণ করা হয়েছিল।
সৌভাগ্যবশত, দূষিত অভিনেতা - বা কমপ্লায়েন্স অডিটররা - এটি সনাক্ত করার আগে নিরাপত্তা দল দ্বারা ডেটা-প্রসেসিং লঙ্ঘন আবিষ্কৃত হয়েছিল। ডাটাবেস পরিষ্কার করা হয়েছিল, এবং প্রবিধান অনুযায়ী আর্থিক তথ্য সঠিকভাবে পরিচালনা করার জন্য অ্যাপ্লিকেশনটি প্যাচ করা হয়েছিল।
পরিস্থিতি 3: কেন আমি শুধু Gmail ব্যবহার করতে পারি না?
একজন ব্যবহারকারী হিসাবে, কেউ এন্টারপ্রাইজ ডেটা ক্ষতি প্রতিরোধ নিয়ন্ত্রণ পছন্দ করে না। এমনকি যখন প্রয়োজন হয়, তারা প্রতিদিনের অপারেশনগুলিতে বিরক্তিকর ঘর্ষণ প্রবর্তন করে। ফলস্বরূপ, ব্যবহারকারীরা সর্বদা তাদের বাধা দেওয়ার চেষ্টা করেছেন। সৃজনশীল ব্যবসা ব্যবহারকারী এবং নিরাপত্তা দলের মধ্যে একটি বহুবর্ষজীবী টাগ-অফ-ওয়ার হল কর্পোরেট ইমেল। একটি ব্যক্তিগত ইমেল অ্যাকাউন্ট বা কর্পোরেট ক্যালেন্ডারে একটি ব্যক্তিগত ক্যালেন্ডারে কর্পোরেট ইমেল সিঙ্ক করা: নিরাপত্তা দলগুলির কাছে এর জন্য একটি সমাধান রয়েছে৷ যথা, তারা ইমেল ফরওয়ার্ডিং ব্লক করতে এবং ডেটা শাসন নিশ্চিত করতে ইমেল সুরক্ষা এবং DLP সমাধানগুলি স্থাপন করে। এই সমস্যার সমাধান করে, তাই না?
আচ্ছা, না। বারবার পাওয়া বড় উদ্যোগ এবং ছোট ব্যবসা জুড়ে ব্যবহারকারীরা অটোমেশন তৈরি করছে যা তাদের কর্পোরেট ইমেল এবং ক্যালেন্ডার তাদের ব্যক্তিগত অ্যাকাউন্টে ফরোয়ার্ড করার জন্য ইমেল নিয়ন্ত্রণগুলিকে বাইপাস করে৷ ইমেল ফরওয়ার্ড করার পরিবর্তে, তারা এক পরিষেবা থেকে অন্য পরিষেবাতে ডেটা কপি এবং পেস্ট করে। প্রতিটি পরিষেবায় একটি পৃথক পরিচয়ের সাথে লগ ইন করে এবং নো-কোড সহ কপি-পেস্ট প্রক্রিয়া স্বয়ংক্রিয় করার মাধ্যমে, ব্যবসায়িক ব্যবহারকারীরা সহজেই নিরাপত্তা নিয়ন্ত্রণগুলিকে বাইপাস করে — এবং নিরাপত্তা দলগুলির জন্য কোনও সহজ উপায় ছাড়াই।
পাওয়ার প্ল্যাটফর্ম সম্প্রদায় এমনকি বিকশিত হয়েছে টেমপ্লেট যে কোনো Office 365 ব্যবহারকারী নিতে এবং ব্যবহার করতে পারেন।
মহান শক্তি দিয়ে মহান দায়িত্ব আসে
ব্যবসা ব্যবহারকারী ক্ষমতায়ন মহান. ব্যবসায়িক লাইনগুলি আইটির জন্য অপেক্ষা করা বা উন্নয়ন সংস্থানগুলির জন্য লড়াই করা উচিত নয়। যাইহোক, আমরা শুধুমাত্র ব্যবসায়িক ব্যবহারকারীদের ডেভেলপার-স্তরের ক্ষমতা দিতে পারি না কোন নির্দেশিকা বা পাহারারল ছাড়াই এবং আশা করি যে সবকিছু ঠিক হয়ে যাবে।
নিরাপত্তা দলগুলিকে ব্যবসায়িক ব্যবহারকারীদের শিক্ষিত করতে হবে এবং অ্যাপ্লিকেশন বিকাশকারী হিসাবে তাদের নতুন দায়িত্ব সম্পর্কে সচেতন করতে হবে, এমনকি যদি সেই অ্যাপ্লিকেশনগুলি "কোন কোড না" ব্যবহার করে তৈরি করা হয়। সিকিউরিটি টিমগুলিকেও পাহারারেল এবং মনিটরিং স্থাপন করা উচিত যাতে নিশ্চিত করা যায় যে যখন ব্যবসায়িক ব্যবহারকারীরা ভুল করে, যেমন আমরা সবাই করি, এটি সম্পূর্ণরূপে ডেটা ফাঁস বা কমপ্লায়েন্স অডিট ঘটনাগুলিতে স্নোবল না করে।
