Aiemmin riskejä välttelevät organisaatiot saattoivat rajoittaa vakavasti yrityskäyttäjiensä mahdollisuuksia tehdä kalliita virheitä. Rajallisen teknisen tietotaidon, tiukkojen lupien ja myötätuulen puutteen vuoksi yrityskäyttäjä voi pahinta ladata haittaohjelmia tai joutua tietojenkalastelukampanjaan. Ne ajat ovat nyt poissa.
Nykyään, kaikki suuret ohjelmistona palveluna käytettävät alustat (SaaS) toimitetaan mukana automaatio- ja sovellustenrakennusominaisuuksilla, jotka on suunniteltu ja markkinoidaan suoraan yrityskäyttäjille. SaaS-alustoja, kuten Microsoft 365, Salesforce ja ServiceNow, upotetaan no-code/low-code alustat olemassa olevaan tarjontaansa ja antaa ne suoraan yrityskäyttäjien käsiin ilman, että vaaditaan yrityksen hyväksyntää. Ominaisuudet, jotka olivat aiemmin vain IT- ja kehitystiimien käytettävissä, ovat nyt saatavilla koko organisaatiossa.
Power Platform, Microsoftin alhaisen koodin alusta, on sisäänrakennettu Office 365:een, ja se on loistava esimerkki Microsoftin vahvan jalansijan ansiosta ja yrityskäyttäjien omaksumisnopeudesta. Ehkä huomaamattaan yritykset antavat kehittäjätason vallan useammille ihmisille kuin koskaan ennen, ja heillä on paljon vähemmän turvallisuutta tai teknistä osaamista. Mikä voisi mennä pieleen?
Itse asiassa aika paljon. Tarkastellaanpa muutamia tosielämän esimerkkejä kokemuksestani. Tiedot on anonymisoitu, ja liiketoimintakohtaiset prosessit on jätetty pois.
Tilanne 1: Uusi myyjä? Anna mennä
Monikansallisen vähittäiskauppayrityksen asiakaspalvelutiimi halusi rikastuttaa asiakastietojaan kuluttajien oivalluksilla. Erityisesti he toivoivat saavansa lisätietoa uusista asiakkaista, jotta he voisivat palvella heitä paremmin jo ensimmäisen oston aikana. Asiakaspalvelutiimi päätti toimittajan, jonka kanssa he haluaisivat tehdä yhteistyötä. Myyjä vaati tietojen lähettämistä heille rikastamista varten, jotka sitten heidän palvelunsa vetäisivät takaisin.
Normaalisti tässä IT tulee kuvaan. IT:n olisi rakennettava jonkinlainen integraatio tietojen saamiseksi toimittajalle ja toimittajalta. Ilmeisesti myös IT-tietoturvatiimin pitäisi olla mukana, jotta asiakastiedot voidaan luottaa tälle toimittajalle ja se voi hyväksyä oston. Myös hankinnat ja lakiasiat olisivat olleet avainasemassa. Tässä tapauksessa asiat menivät kuitenkin toiseen suuntaan.
Tämä asiakastukitiimi oli Microsoft Power Platform -asiantuntijoita. Sen sijaan, että olisi odottanut resursseja tai hyväksyntää, he vain menivät eteenpäin ja rakensivat integraation itse: keräsivät asiakastiedot tuotannossa olevilta SQL-palvelimista, välitivät ne kaikki toimittajan tarjoamalle FTP-palvelimelle ja nousivat rikastetut tiedot takaisin FTP-palvelimelta tuotantotietokanta. Koko prosessi suoritettiin automaattisesti aina, kun tietokantaan lisättiin uusi asiakas. Tämä kaikki tehtiin Office 365:ssä isännöityjen vedä ja pudota -käyttöliittymien kautta ja heidän henkilökohtaisilla tileillään. Lisenssi maksettiin omasta taskusta, mikä piti hankinnat poissa silmukasta.
Kuvittele CISO:n yllätys, kun he löysivät joukon yritysautomaatioita siirtävän asiakastietoja kovakoodattuihin IP-osoitteisiin AWS:ssä. Koska kyseessä on vain Azure-asiakas, tämä nosti jättimäisen punaisen lipun. Lisäksi tietoja lähetettiin ja vastaanotettiin epävarmalla FTP-yhteydellä, mikä loi turvallisuus- ja vaatimustenmukaisuusriskin. Kun tietoturvatiimi löysi tämän erillisen tietoturvatyökalun kautta, tiedot olivat liikkuneet organisaatioon ja sieltä ulos lähes vuoden.
Tilanne 2: Voi, onko luottokorttien kerääminen väärin?
Suuren IT-toimittajan HR-tiimi valmistautui kerran vuodessa järjestettävään "Give Away" -kampanjaan, jossa työntekijöitä rohkaistaan lahjoittamaan suosikkihyväntekeväisyyteen, ja yritys osallistuu jokaiseen työntekijöiden lahjoittamaan dollariin. Edellisen vuoden kampanja oli valtava menestys, joten odotukset menivät läpi. Kampanjan tehostamiseksi ja manuaalisten prosessien helpottamiseksi luova HR-työntekijä loi Microsoftin Power Platformin avulla sovelluksen, joka helpotti koko prosessia. Rekisteröityäkseen työntekijä kirjautuu sovellukseen yritystilillään, ilmoittaa lahjoitussummansa, valitsee hyväntekeväisyysjärjestön ja antaa luottokorttitietonsa maksua varten.
Kampanja oli valtava menestys, sillä työntekijöiden osallistuminen oli ennätyksellistä ja henkilöstötyöntekijöiltä vaadittiin vähän manuaalista työtä. Jostain syystä turvallisuustiimi ei kuitenkaan ollut tyytyväinen asioiden kehittymiseen. Rekisteröityessään kampanjaan turvallisuustiimin työntekijä huomasi, että luottokortteja kerättiin sovelluksessa, jonka ei näyttänyt siltä, että sen pitäisi tehdä niin. Tutkimuksen yhteydessä he havaitsivat, että näitä luottokorttitietoja oli todellakin käsitelty väärin. Luottokorttitiedot tallennettiin oletusarvoiseen Power Platform -ympäristöön, mikä tarkoittaa, että ne olivat koko Azure AD -vuokralaisen saatavilla, mukaan lukien kaikki työntekijät, toimittajat ja urakoitsijat. Lisäksi ne tallennettiin yksinkertaisina selväkielisinä merkkijonokenttinä.
Onneksi tietoturvatiimi havaitsi tietojenkäsittelyrikkomuksen ennen kuin pahantahtoiset toimijat - tai vaatimustenmukaisuuden tarkastajat - huomasivat sen. Tietokanta siivottiin ja sovellus korjattiin käsittelemään taloustietoja asianmukaisesti määräysten mukaisesti.
Tilanne 3: Miksi en voi vain käyttää Gmailia?
Käyttäjänä kukaan ei pidä yrityksen tietojen häviämisen estoohjaimista. Tarvittaessa ne tuovat ärsyttävää kitkaa päivittäiseen toimintaan. Tämän seurauksena käyttäjät ovat aina yrittäneet kiertää niitä. Yksi ikuinen köydenveto luovien yrityskäyttäjien ja tietoturvatiimin välillä on yrityksen sähköposti. Yrityksen sähköpostin synkronointi henkilökohtaiseen sähköpostitiliin tai yrityksen kalenteri henkilökohtaiseen kalenteriin: Tietoturvatiimeillä on tähän ratkaisu. He nimittäin ottavat käyttöön sähköpostin suojaus- ja DLP-ratkaisut estämään sähköpostin edelleenlähetyksen ja varmistamaan tietojen hallinnan. Tämä ratkaisee ongelman, eikö?
No ei. Toistuva löytö suurissa ja pienissä yrityksissä havaitaan, että käyttäjät luovat automatisointeja, jotka ohittavat sähköpostin hallinnan ja välittävät yrityksen sähköpostinsa ja kalenterinsa henkilökohtaisille tileilleen. Sähköpostien välittämisen sijaan he kopioivat ja liittävät tietoja palvelusta toiseen. Kirjautumalla kuhunkin palveluun erillisellä tunnuksella ja automatisoimalla kopiointi-liittämisprosessi ilman koodia, yrityskäyttäjät ohittavat suojaussäädöt helposti – eikä tietoturvatiimille ole helppoa tapaa selvittää asiaa.
Power Platform -yhteisö on jopa kehittynyt malleja jonka kaikki Office 365 -käyttäjät voivat poimia ja käyttää.
Suurella voimalla on suuri vastuu
Yrityskäyttäjien vaikutusvalta on suuri. Liiketoimintalinjojen ei tule odottaa IT:tä tai taistella kehitysresursseista. Emme kuitenkaan voi vain antaa yrityskäyttäjille kehittäjätason valtaa ilman ohjausta tai suojakaiteita ja odottaa, että kaikki on hyvin.
Tietoturvatiimien on koulutettava yrityskäyttäjiä ja saatava heidät tietoisiksi uusista tehtävistään sovellusten kehittäjinä, vaikka sovellukset on luotu "ei koodia". Turvatiimien tulisi myös asettaa suojakaiteet ja valvonta varmistaakseen, että kun yrityskäyttäjät tekevät virheen, kuten me kaikki teemme, se ei johda lumipalloon täysimittaiseksi tietovuotoksi tai vaatimustenmukaisuuden auditointiin.
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
