Der plejede at være en tid, hvor risikovillige organisationer i høj grad kunne begrænse deres forretningsbrugeres mulighed for at begå dyre fejl. Med begrænset teknisk knowhow, strenge tilladelser og mangel på medvind var det værste, en virksomhedsbruger kunne gøre, at downloade malware eller falde for en phishing-kampagne. De dage er nu forbi.
I dag, hver større software-as-a-service (SaaS) platform leveres med bundtet med automatiserings- og applikationsopbygningsfunktioner, der er designet til og markedsført direkte til forretningsbrugere. SaaS-platforme som Microsoft 365, Salesforce og ServiceNow integreres ingen-kode/lavkode-platforme ind i deres eksisterende tilbud og placerer dem direkte i hænderne på erhvervsbrugere uden at bede om virksomhedens godkendelse. Funktioner, der engang kun var tilgængelige for IT- og udviklingsteamene, er nu tilgængelige i hele organisationen.
Power Platform, Microsofts lavkodeplatform, er indbygget i Office 365 og er et godt eksempel på grund af Microsofts stærke fodfæste i virksomheden og den hastighed, hvormed den bliver adopteret af erhvervsbrugere. Måske uden at være klar over det, lægger virksomheder magten på udviklerniveau i hænderne på flere mennesker end nogensinde før, med langt mindre sikkerhed eller teknisk indsigt. Hvad kunne gå galt?
Rigtig meget, faktisk. Lad os undersøge et par eksempler fra den virkelige verden fra min erfaring. Oplysningerne er blevet anonymiseret, og forretningsspecifikke processer er udeladt.
Situation 1: Ny leverandør? Bare gør det
Kundeplejeteamet hos en multinational detailvirksomhed ønskede at berige deres kundedata med forbrugerindsigt. De håbede især på at finde mere information om nye kunder, så de bedre kunne betjene dem, selv under deres første køb. Kundeserviceteamet besluttede sig for en leverandør, de gerne ville arbejde med. Sælgeren krævede, at data blev sendt til dem til berigelse, som derefter ville blive trukket tilbage af deres tjenester.
Normalt er det her, IT kommer ind i billedet. IT ville være nødt til at bygge en form for integration for at få data til og fra leverandøren. IT-sikkerhedsteamet skal naturligvis også involveres for at sikre, at denne leverandør kan have tillid til kundedata og godkende købet. Indkøb og juridisk ville også have spillet en central rolle. I dette tilfælde gik det dog i en anden retning.
Dette særlige kundeplejeteam var Microsoft Power Platform-eksperter. I stedet for at vente på ressourcer eller godkendelse, gik de bare videre og byggede selv integrationen: indsamlede kundedata fra SQL-servere i produktion, videresende det hele til en FTP-server leveret af leverandøren og hentede berigede data tilbage fra FTP-serveren til produktionsdatabasen. Hele processen blev automatisk udført, hver gang en ny kunde blev tilføjet til databasen. Det hele blev gjort gennem træk-og-slip-grænseflader, hostet på Office 365 og ved hjælp af deres personlige konti. Licensen blev betalt ud af lommen, hvilket holdt indkøb ude af løkken.
Forestil dig CISO's overraskelse, da de fandt en masse forretningsautomatiseringer, der flyttede kundedata til en hårdkodet IP-adresse på AWS. Da det var en Azure-kunde, rejste dette et kæmpe rødt flag. Desuden blev dataene sendt og modtaget med en usikker FTP-forbindelse, hvilket skabte en sikkerheds- og compliancerisiko. Da sikkerhedsteamet fandt dette gennem et dedikeret sikkerhedsværktøj, havde data bevæget sig ind og ud af organisationen i næsten et år.
Situation 2: Åh, er det forkert at indsamle kreditkort?
HR-teamet hos en stor it-leverandør forberedte sig på en "Give Away"-kampagne én gang om året, hvor medarbejderne opfordres til at donere til deres yndlingsvelgørenhed, hvor virksomheden meldte sig ind ved at matche hver dollar doneret af medarbejderne. Det foregående års kampagne var en stor succes, så forventningerne var i top. For at drive kampagnen og afhjælpe manuelle processer brugte en kreativ HR-medarbejder Microsofts Power Platform til at skabe en app, der faciliterede hele processen. For at registrere vil en medarbejder logge ind på ansøgningen med deres virksomhedskonto, indsende deres donationsbeløb, vælge en velgørende organisation og give deres kreditkortoplysninger til betaling.
Kampagnen var en stor succes med rekordstor deltagelse af medarbejderne og lidt manuelt arbejde krævet af HR-medarbejdere. Af en eller anden grund var sikkerhedsteamet dog ikke tilfredse med, hvordan tingene gik. Mens han tilmeldte sig kampagnen, indså en medarbejder fra sikkerhedsteamet, at der blev indsamlet kreditkort i en app, der ikke så ud til at skulle gøre det. Efter undersøgelse fandt de ud af, at disse kreditkortoplysninger faktisk blev behandlet forkert. Kreditkortoplysninger blev gemt i standard Power Platform-miljøet, hvilket betyder, at de var tilgængelige for hele Azure AD-lejeren, inklusive alle medarbejdere, leverandører og kontrahenter. Desuden blev de gemt som simple tekststrengfelter.
Heldigvis blev databehandlingsovertrædelsen opdaget af sikkerhedsteamet, før ondsindede aktører - eller compliance auditorer - opdagede det. Databasen blev ryddet op, og applikationen blev lappet for korrekt at håndtere økonomiske oplysninger i henhold til regulering.
Situation 3: Hvorfor kan jeg ikke bare bruge Gmail?
Som bruger er der ingen, der kan lide kontrol for forebyggelse af datatab i virksomheden. Selv når det er nødvendigt, introducerer de irriterende friktion i den daglige drift. Som et resultat har brugere altid forsøgt at omgå dem. Et evigt tovtrækkeri mellem kreative forretningsbrugere og sikkerhedsteamet er virksomhedens e-mail. Synkronisering af virksomheds-e-mail til en personlig e-mail-konto eller virksomhedskalender til en personlig kalender: Sikkerhedsteams har en løsning til det. De sætter nemlig e-mailsikkerhed og DLP-løsninger på plads for at blokere for videresendelse af e-mail og sikre datastyring. Dette løser problemet, ikke?
Altså nej. Et gentaget fund på tværs af store virksomheder og små virksomheder opdager, at brugere laver automatiseringer, der omgår e-mail-kontroller for at videresende deres virksomheds e-mail og kalender til deres personlige konti. I stedet for at videresende e-mails kopierer og indsætter de data fra en tjeneste til en anden. Ved at logge ind på hver tjeneste med en separat identitet og automatisere copy-paste-processen uden kode, omgår forretningsbrugere sikkerhedskontrol med lethed - og uden nogen nem måde for sikkerhedsteam at finde ud af.
Power Platform-fællesskabet har endda udviklet sig skabeloner som enhver Office 365-bruger kan hente og bruge.
Med stor magt kommer stort ansvar
Bemyndigelse af erhvervsbrugere er fantastisk. Forretningslinjer bør ikke vente på IT eller kæmpe om udviklingsressourcer. Vi kan dog ikke bare give forretningsbrugere magt på udviklerniveau uden vejledning eller autoværn og forvente, at alt vil være i orden.
Sikkerhedsteams skal uddanne forretningsbrugere og gøre dem opmærksomme på deres nye ansvar som applikationsudviklere, selvom disse applikationer blev bygget ved hjælp af "ingen kode". Sikkerhedshold bør også sætte rækværk og overvågning på plads for at sikre, at når forretningsbrugere laver en fejl, som vi alle gør, vil det ikke snebolde sig ind i fuldstændige datalækager eller overholdelsesrevisionshændelser.
