Solía haber un momento en que las organizaciones adversas al riesgo podían limitar severamente la capacidad de sus usuarios comerciales para cometer errores costosos. Con conocimientos técnicos limitados, permisos estrictos y falta de viento de cola, lo peor que podría hacer un usuario empresarial era descargar malware o caer en una campaña de phishing. Esos días ahora se han ido.
Hoy en día, todas las principales plataformas de software como servicio (SaaS) vienen incluidas con capacidades de automatización y creación de aplicaciones diseñadas y comercializadas directamente para usuarios comerciales. Se están incorporando plataformas SaaS como Microsoft 365, Salesforce y ServiceNow plataformas sin código/de código bajo en sus ofertas existentes, colocándolos directamente en manos de los usuarios comerciales sin solicitar la aprobación corporativa. Las capacidades que alguna vez estuvieron disponibles solo para los equipos de desarrollo y TI ahora están disponibles en toda la organización.
Power Platform, la plataforma de código bajo de Microsoft, está integrada en Office 365 y es un gran ejemplo debido a la sólida posición de Microsoft en la empresa y la velocidad con la que los usuarios empresariales la adoptan. Tal vez sin darse cuenta, las empresas están poniendo el poder de nivel de desarrollador en manos de más personas que nunca, con mucha menos seguridad o conocimientos técnicos. ¿Qué podría salir mal?
Bastante, en realidad. Examinemos algunos ejemplos del mundo real de mi experiencia. La información se anonimizó y se omitieron los procesos específicos del negocio.
Situación 1: ¿Nuevo proveedor? Hazlo
El equipo de atención al cliente de una empresa minorista multinacional quería enriquecer los datos de sus clientes con información sobre los consumidores. En particular, esperaban encontrar más información sobre nuevos clientes para poder atenderlos mejor, incluso durante su compra inicial. El equipo de atención al cliente eligió un proveedor con el que les gustaría trabajar. El proveedor requería que se le enviaran datos para su enriquecimiento, que luego sus servicios retirarían.
Normalmente, aquí es donde TI entra en escena. TI necesitaría construir algún tipo de integración para obtener datos hacia y desde el proveedor. Obviamente, el equipo de seguridad de TI también debería participar para garantizar que se pueda confiar en este proveedor con los datos del cliente y aprobar la compra. Las adquisiciones y los aspectos legales también habrían tenido un papel clave. En este caso, sin embargo, las cosas fueron en una dirección diferente.
Este equipo de atención al cliente en particular eran expertos en Microsoft Power Platform. En lugar de esperar los recursos o la aprobación, simplemente siguieron adelante y crearon la integración ellos mismos: recopilaron datos de clientes de servidores SQL en producción, los reenviaron todos a un servidor FTP proporcionado por el proveedor y recuperaron datos enriquecidos del servidor FTP a la base de datos de producción. Todo el proceso se ejecutaba automáticamente cada vez que se añadía un nuevo cliente a la base de datos. Todo esto se hizo a través de interfaces de arrastrar y soltar, alojadas en Office 365 y usando sus cuentas personales. La licencia se pagó de su bolsillo, lo que mantuvo la adquisición fuera del circuito.
Imagine la sorpresa del CISO cuando encontraron un montón de automatizaciones comerciales que transfieren datos de clientes a una dirección IP codificada en AWS. Al ser un cliente exclusivo de Azure, esto planteó una gran bandera roja. Además, los datos se enviaban y recibían con una conexión FTP no segura, lo que creaba un riesgo de seguridad y cumplimiento. Cuando el equipo de seguridad encontró esto a través de una herramienta de seguridad dedicada, los datos habían entrado y salido de la organización durante casi un año.
Situación 2: Ohh, ¿está mal cobrar tarjetas de crédito?
El equipo de RR. HH. de un gran proveedor de TI se estaba preparando para una campaña "Give Away" que se realiza una vez al año, en la que se alienta a los empleados a donar a su organización benéfica favorita, y la empresa contribuye igualando cada dólar donado por los empleados. La campaña del año anterior fue un gran éxito, por lo que las expectativas estaban por las nubes. Para potenciar la campaña y aliviar los procesos manuales, un empleado creativo de recursos humanos usó Power Platform de Microsoft para crear una aplicación que facilitó todo el proceso. Para registrarse, un empleado iniciaría sesión en la aplicación con su cuenta corporativa, enviaría el monto de su donación, seleccionaría una organización benéfica y proporcionaría los detalles de su tarjeta de crédito para el pago.
La campaña fue un gran éxito, con una participación sin precedentes de los empleados y se requirió poco trabajo manual por parte de los empleados de recursos humanos. Sin embargo, por alguna razón, el equipo de seguridad no estaba contento con la forma en que resultaron las cosas. Mientras se registraba en la campaña, un empleado del equipo de seguridad se dio cuenta de que las tarjetas de crédito se recopilaban en una aplicación que no parecía que debería hacerlo. Tras la investigación, descubrieron que los detalles de la tarjeta de crédito se manejaron de manera incorrecta. Los detalles de la tarjeta de crédito se almacenaron en el entorno predeterminado de Power Platform, lo que significa que estaban disponibles para todo el arrendatario de Azure AD, incluidos todos los empleados, proveedores y contratistas. Además, se almacenaron como simples campos de cadena de texto sin formato.
Afortunadamente, la violación del procesamiento de datos fue descubierta por el equipo de seguridad antes de que los actores maliciosos, o los auditores de cumplimiento, la detectaran. Se limpió la base de datos y se parcheó la aplicación para manejar adecuadamente la información financiera de acuerdo con la regulación.
Situación 3: ¿Por qué no puedo simplemente usar Gmail?
Como usuario, a nadie le gustan los controles de prevención de pérdida de datos empresariales. Incluso cuando es necesario, introducen una molesta fricción en las operaciones diarias. Como resultado, los usuarios siempre han tratado de eludirlos. Un tira y afloja perenne entre los usuarios comerciales creativos y el equipo de seguridad es el correo electrónico corporativo. Sincronizar el correo electrónico corporativo con una cuenta de correo electrónico personal o el calendario corporativo con un calendario personal: los equipos de seguridad tienen una solución para eso. Es decir, implementan seguridad de correo electrónico y soluciones DLP para bloquear el reenvío de correo electrónico y garantizar el control de datos. Esto resuelve el problema, ¿verdad?
Bueno no. Un hallazgo repetido en grandes empresas y pequeñas empresas descubre que los usuarios están creando automatizaciones que eluden los controles de correo electrónico para reenviar su correo electrónico y calendario corporativos a sus cuentas personales. En lugar de reenviar correos electrónicos, copian y pegan datos de un servicio a otro. Al iniciar sesión en cada servicio con una identidad separada y automatizar el proceso de copiar y pegar sin código, los usuarios comerciales eluden los controles de seguridad con facilidad, y los equipos de seguridad no tienen una forma sencilla de averiguarlo.
La comunidad de Power Platform incluso ha desarrollado plantillas que cualquier usuario de Office 365 puede recoger y usar.
Con un gran poder viene una gran responsabilidad
El empoderamiento de los usuarios comerciales es excelente. Las líneas de negocio no deberían estar esperando TI o luchando por los recursos de desarrollo. Sin embargo, no podemos simplemente otorgar a los usuarios comerciales el poder del nivel de desarrollador sin orientación ni medidas de seguridad y esperar que todo salga bien.
Los equipos de seguridad deben educar a los usuarios comerciales y concienciarlos sobre sus nuevas responsabilidades como desarrolladores de aplicaciones, incluso si esas aplicaciones se crearon "sin código". Los equipos de seguridad también deben implementar barandillas y monitoreo para garantizar que cuando los usuarios comerciales cometen un error, como todos lo hacemos, no se convertirá en una bola de nieve en fugas de datos o incidentes de auditoría de cumplimiento.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
