3 روشی که توسعه دهندگان بدون کد می توانند به خود شلیک کنند

زمانی وجود داشت که سازمان های ریسک گریز می توانستند توانایی کاربران تجاری خود را برای انجام اشتباهات پرهزینه به شدت محدود کنند. با دانش فنی محدود، مجوزهای سخت‌گیرانه، و فقدان دم باد، بدترین کاری که یک کاربر تجاری می‌توانست انجام دهد دانلود بدافزار یا گرفتار شدن در کمپین فیشینگ بود. آن روزها اکنون گذشته است.

امروزه، هر پلتفرم اصلی نرم افزار به عنوان سرویس (SaaS) به صورت همراه ارائه می شود با قابلیت های اتوماسیون و برنامه سازی که برای کاربران تجاری طراحی شده و مستقیماً برای آنها به بازار عرضه می شود. پلتفرم های SaaS مانند Microsoft 365، Salesforce و ServiceNow در حال تعبیه هستند پلتفرم های بدون کد/کد پایین به پیشنهادات موجود خود، آنها را مستقیماً در دست کاربران تجاری بدون درخواست تأیید شرکت قرار می دهند. قابلیت هایی که زمانی فقط در اختیار تیم های فناوری اطلاعات و توسعه بود، اکنون در سراسر سازمان در دسترس هستند.

پلتفرم پاور، پلتفرم کم‌کد مایکروسافت، در آفیس 365 تعبیه شده است و به دلیل جای پای قوی مایکروسافت در شرکت و میزان پذیرش آن توسط کاربران تجاری، نمونه‌ای عالی است. شاید بدون اینکه متوجه باشند، شرکت‌ها قدرت در سطح توسعه‌دهنده را در دستان افراد بیشتری نسبت به قبل، با امنیت یا دانش فنی بسیار کمتری قرار می‌دهند. چه چیزی ممکن است اشتباه باشد؟

در واقع خیلی زیاد بیایید چند نمونه واقعی از تجربه من را بررسی کنیم. اطلاعات ناشناس شده است و فرآیندهای تجاری خاص حذف شده است.

موقعیت 1: فروشنده جدید؟ فقط انجامش بده

تیم مراقبت از مشتری در یک شرکت خرده فروشی چندملیتی می خواستند داده های مشتریان خود را با بینش مصرف کننده غنی کنند. به ویژه، آنها امیدوار بودند که اطلاعات بیشتری در مورد مشتریان جدید پیدا کنند تا بتوانند حتی در هنگام خرید اولیه به آنها خدمات بهتری ارائه دهند. تیم مراقبت از مشتری تصمیم گرفتند فروشنده ای را انتخاب کنند که مایلند با آن کار کنند. فروشنده می‌خواست داده‌ها برای غنی‌سازی برای آنها ارسال شود، که سپس توسط خدمات آنها پس گرفته می‌شد.

به طور معمول، اینجا جایی است که فناوری اطلاعات به تصویر کشیده می شود. فناوری اطلاعات باید نوعی ادغام ایجاد کند تا داده‌ها را به و از فروشنده دریافت کند. بدیهی است که تیم امنیت فناوری اطلاعات نیز باید درگیر باشد تا اطمینان حاصل شود که این فروشنده می تواند به اطلاعات مشتری اعتماد کرده و خرید را تأیید کند. تدارکات و حقوقی نیز نقش مهمی را ایفا می کرد. در این مورد اما همه چیز به سمت دیگری پیش رفت.

این تیم خاص مراقبت از مشتری، کارشناسان Microsoft Power Platform بودند. به جای منتظر ماندن برای منابع یا تایید، آنها فقط پیش رفتند و خودشان ادغام را ایجاد کردند: جمع آوری داده های مشتری از سرورهای SQL در حال تولید، ارسال همه آنها به یک سرور FTP ارائه شده توسط فروشنده، و بازگرداندن داده های غنی شده از سرور FTP به پایگاه داده تولید هر بار که یک مشتری جدید به پایگاه داده اضافه می شد، کل فرآیند به طور خودکار اجرا می شد. همه این کارها از طریق واسط‌های کشیدن و رها کردن، میزبانی شده در Office 365 و استفاده از حساب‌های شخصی آنها انجام شد. مجوز از جیب خود پرداخت می شد، که تدارکات را دور از ذهن نگه می داشت.

تعجب CISO را تصور کنید زمانی که آنها یک دسته از اتوماسیون های تجاری را پیدا کردند که داده های مشتری را به یک آدرس IP کدگذاری شده در AWS منتقل می کند. این یک مشتری فقط Azure بود، این یک پرچم قرمز غول پیکر را برافراشت. به‌علاوه، داده‌ها با اتصال FTP ناامن ارسال و دریافت می‌شدند که خطر امنیت و انطباق را ایجاد می‌کرد. وقتی تیم امنیتی از طریق یک ابزار امنیتی اختصاصی متوجه این موضوع شد، تقریباً یک سال بود که داده‌ها به داخل و خارج سازمان منتقل می‌شدند.

موقعیت 2: اوه، آیا جمع آوری کارت های اعتباری اشتباه است؟

تیم منابع انسانی در یک فروشنده بزرگ فناوری اطلاعات در حال آماده شدن برای یک کمپین "Give Away" یک بار در سال بود که در آن کارمندان تشویق می شوند تا به خیریه مورد علاقه خود کمک مالی کنند و شرکت با تطبیق هر دلاری که توسط کارمندان اهدا می شود، مشارکت می کند. کمپین سال قبل موفقیت بزرگی بود، بنابراین انتظارات از پشت بام بود. برای تقویت کمپین و کاهش فرآیندهای دستی، یک کارمند خلاق منابع انسانی از پلتفرم Power مایکروسافت برای ایجاد اپلیکیشنی استفاده کرد که کل فرآیند را تسهیل کرد. برای ثبت نام، یک کارمند با حساب شرکتی خود وارد برنامه می شود، مبلغ کمک مالی خود را ارسال می کند، یک موسسه خیریه را انتخاب می کند و جزئیات کارت اعتباری خود را برای پرداخت ارائه می دهد.

این کمپین با مشارکت رکوردشکنی کارمندان و کار دستی کمی که از کارکنان منابع انسانی لازم بود، موفقیت بزرگی داشت. با این حال، به دلایلی، تیم امنیتی از شکل گیری اوضاع راضی نبودند. هنگام ثبت نام در کمپین، یکی از کارمندان تیم امنیتی متوجه شد که کارت‌های اعتباری در اپلیکیشنی جمع‌آوری می‌شوند که به نظر نمی‌رسد باید این کار را انجام می‌داد. پس از بررسی، آنها دریافتند که این جزئیات کارت اعتباری واقعاً به درستی مدیریت نشده است. جزئیات کارت اعتباری در محیط پیش‌فرض Power Platform ذخیره می‌شد، به این معنی که برای کل مستأجر Azure AD، از جمله همه کارمندان، فروشندگان، و پیمانکاران در دسترس بود. علاوه بر این، آنها به عنوان فیلدهای رشته متن ساده ذخیره می شدند.

خوشبختانه، نقض پردازش داده توسط تیم امنیتی قبل از اینکه عوامل مخرب - یا حسابرسان انطباق - آن را مشاهده کنند، کشف شد. پایگاه داده پاکسازی شد و برنامه وصله شد تا اطلاعات مالی را طبق مقررات به درستی مدیریت کند.

موقعیت 3: چرا نمی توانم فقط از جیمیل استفاده کنم؟

به عنوان یک کاربر، هیچ کس از کنترل های پیشگیری از دست دادن داده های سازمانی خوشش نمی آید. حتی در صورت لزوم، آنها اصطکاک آزاردهنده ای را به عملیات روزمره وارد می کنند. در نتیجه، کاربران همیشه سعی در دور زدن آنها داشته اند. یکی از کشمکش‌های همیشگی بین کاربران تجاری خلاق و تیم امنیتی، ایمیل شرکتی است. همگام سازی ایمیل شرکتی با یک حساب ایمیل شخصی یا تقویم شرکتی با یک تقویم شخصی: تیم های امنیتی راه حلی برای آن دارند. به عبارت دیگر، آنها امنیت ایمیل و راه حل های DLP را برای جلوگیری از ارسال ایمیل و اطمینان از حاکمیت داده ها در محل قرار دادند. این مشکل را حل می کند، درست است؟

خب نه. یک یافته تکراری در شرکت‌های بزرگ و کسب‌وکارهای کوچک متوجه می‌شود که کاربران در حال ایجاد اتوماسیون‌هایی هستند که کنترل‌های ایمیل را دور می‌زنند تا ایمیل و تقویم شرکتی خود را به حساب‌های شخصی خود ارسال کنند. آنها به جای ارسال ایمیل، داده ها را از یک سرویس به سرویس دیگر کپی و جایگذاری می کنند. با ورود به هر سرویس با هویت جداگانه و خودکار کردن فرآیند کپی-پیست بدون کد، کاربران تجاری به راحتی کنترل‌های امنیتی را دور می‌زنند - و بدون هیچ راه آسانی برای تیم‌های امنیتی برای پیدا کردن آن.

جامعه Power Platform حتی توسعه یافته است قالب که هر کاربر Office 365 می تواند آن را بگیرد و استفاده کند.

قدرت زیاد مسئولیت زیاد هم می آورد

توانمندسازی کاربران تجاری عالی است. خطوط تجاری نباید منتظر فناوری اطلاعات باشند یا برای منابع توسعه بجنگند. با این حال، ما نمی‌توانیم بدون هیچ راهنما یا حفاظی به کاربران تجاری قدرت در سطح توسعه‌دهنده بدهیم و انتظار داشته باشیم که همه چیز درست شود.

تیم های امنیتی باید به کاربران تجاری آموزش دهند و آنها را از مسئولیت های جدید خود به عنوان توسعه دهندگان برنامه آگاه کنند، حتی اگر این برنامه ها با استفاده از "بدون کد" ساخته شده باشند. تیم‌های امنیتی همچنین باید نرده‌های محافظ و نظارتی را در محل خود قرار دهند تا اطمینان حاصل کنند که وقتی کاربران تجاری مرتکب اشتباهی می‌شوند، مانند همه ما، گلوله برفی منجر به نشت کامل داده‌ها یا حوادث ممیزی انطباق نمی‌شود.