एक समय ऐसा हुआ करता था जब जोखिम-प्रतिकूल संगठन अपने व्यावसायिक उपयोगकर्ताओं की महंगी गलतियाँ करने की क्षमता को गंभीर रूप से सीमित कर सकते थे। सीमित तकनीकी जानकारी, सख्त अनुमतियों और टेलविंड की कमी के साथ, एक व्यावसायिक उपयोगकर्ता जो सबसे खराब काम कर सकता है, वह है मैलवेयर डाउनलोड करना या फ़िशिंग अभियान के लिए गिरना। वे दिन अब चले गए हैं।
आजकल, हर प्रमुख सॉफ्टवेयर-एज-ए-सर्विस (सास) प्लेटफॉर्म बंडल में आता है ऑटोमेशन और एप्लिकेशन-बिल्डिंग क्षमताओं के साथ जो सीधे व्यावसायिक उपयोगकर्ताओं के लिए डिज़ाइन और मार्केटिंग की जाती हैं। SaaS प्लेटफ़ॉर्म जैसे Microsoft 365, Salesforce और ServiceNow एम्बेड कर रहे हैं नो-कोड / लो-कोड प्लेटफॉर्म कॉर्पोरेट अनुमोदन के लिए पूछे बिना उन्हें सीधे व्यावसायिक उपयोगकर्ताओं के हाथों में रखकर उनकी मौजूदा पेशकशों में। क्षमताएं जो कभी केवल आईटी और विकास टीमों के लिए उपलब्ध थीं, अब पूरे संगठन में उपलब्ध हैं।
Power Platform, Microsoft का लो-कोड प्लेटफ़ॉर्म, Office 365 में बनाया गया है और एंटरप्राइज़ में Microsoft की मज़बूत पैठ और व्यावसायिक उपयोगकर्ताओं द्वारा इसे अपनाने की दर के कारण एक बेहतरीन उदाहरण है। शायद इसे साकार किए बिना, उद्यम कम सुरक्षा या तकनीकी जानकारों के साथ पहले से कहीं अधिक लोगों के हाथों में डेवलपर-स्तर की शक्ति दे रहे हैं। क्या गलत होने की सम्भावना है?
वास्तव में बहुत कुछ। आइए मेरे अनुभव से कुछ वास्तविक दुनिया के उदाहरणों की जाँच करें। जानकारी को गुमनाम कर दिया गया है, और व्यवसाय-विशिष्ट प्रक्रियाओं को छोड़ दिया गया है।
स्थिति 1: नया विक्रेता? बस कर दो
एक बहुराष्ट्रीय खुदरा कंपनी की ग्राहक सेवा टीम अपने ग्राहक डेटा को उपभोक्ता अंतर्दृष्टि से समृद्ध करना चाहती थी। विशेष रूप से, वे नए ग्राहकों के बारे में अधिक जानकारी प्राप्त करने की उम्मीद कर रहे थे ताकि वे अपनी प्रारंभिक खरीदारी के दौरान भी उनकी बेहतर सेवा कर सकें। कस्टमर केयर टीम ने एक विक्रेता के बारे में फैसला किया जिसके साथ वे काम करना चाहते हैं। विक्रेता को संवर्धन के लिए उन्हें भेजे जाने वाले डेटा की आवश्यकता होती है, जिसे बाद में उनकी सेवाओं द्वारा वापस खींच लिया जाएगा।
आम तौर पर, यहीं पर आईटी तस्वीर में आता है। विक्रेता को और उससे डेटा प्राप्त करने के लिए आईटी को किसी प्रकार का एकीकरण बनाने की आवश्यकता होगी। आईटी सुरक्षा टीम को स्पष्ट रूप से शामिल होने की आवश्यकता होगी, यह सुनिश्चित करने के लिए कि इस विक्रेता पर ग्राहक डेटा के साथ भरोसा किया जा सकता है और खरीद को मंजूरी दी जा सकती है। खरीद और कानूनी ने भी एक महत्वपूर्ण हिस्सा लिया होगा। हालाँकि, इस मामले में, चीजें एक अलग दिशा में चली गईं।
यह विशेष ग्राहक सेवा टीम Microsoft Power Platform विशेषज्ञ थी। संसाधनों या अनुमोदन के लिए इधर-उधर प्रतीक्षा करने के बजाय, वे बस आगे बढ़े और स्वयं एकीकरण का निर्माण किया: उत्पादन में SQL सर्वर से ग्राहक डेटा एकत्र करना, विक्रेता द्वारा प्रदान किए गए FTP सर्वर पर इसे अग्रेषित करना, और FTP सर्वर से समृद्ध डेटा वापस प्राप्त करना उत्पादन डेटाबेस। डेटाबेस में एक नया ग्राहक जोड़े जाने पर पूरी प्रक्रिया स्वचालित रूप से निष्पादित की गई थी। यह सब Office 365 पर होस्ट किए गए ड्रैग-एंड-ड्रॉप इंटरफ़ेस और उनके व्यक्तिगत खातों का उपयोग करके किया गया था। लाइसेंस का भुगतान जेब से किया गया था, जो खरीद को लूप से बाहर रखता था।
CISO के आश्चर्य की कल्पना करें जब उन्हें AWS पर हार्ड-कोडेड IP पते पर ग्राहक डेटा ले जाने वाले व्यवसाय स्वचालन का एक समूह मिला। Azure-only ग्राहक होने के नाते, इसने एक विशाल लाल झंडा उठाया। इसके अलावा, डेटा एक असुरक्षित एफ़टीपी कनेक्शन के साथ भेजा और प्राप्त किया जा रहा था, जिससे सुरक्षा और अनुपालन जोखिम पैदा हो रहा था। जब सुरक्षा दल को एक समर्पित सुरक्षा उपकरण के माध्यम से यह पता चला, तो डेटा लगभग एक वर्ष से संगठन के अंदर और बाहर जा रहा था।
स्थिति 2: ओह, क्या क्रेडिट कार्ड लेना गलत है?
एक बड़े आईटी विक्रेता की एचआर टीम साल में एक बार "गिव अवे" अभियान की तैयारी कर रही थी, जहां कर्मचारियों को उनके पसंदीदा चैरिटी को दान करने के लिए प्रोत्साहित किया जाता है, कंपनी कर्मचारियों द्वारा दान किए गए प्रत्येक डॉलर का मिलान करके पिचिंग करती है। पिछले साल का अभियान एक बड़ी सफलता थी, इसलिए उम्मीदें आसमान छू रही थीं। अभियान को शक्ति प्रदान करने और मैन्युअल प्रक्रियाओं को कम करने के लिए, एक रचनात्मक मानव संसाधन कर्मचारी ने Microsoft के Power Platform का उपयोग एक ऐप बनाने के लिए किया, जिसने पूरी प्रक्रिया को सुगम बनाया। पंजीकरण करने के लिए, एक कर्मचारी अपने कॉर्पोरेट खाते के साथ आवेदन में लॉग इन करेगा, अपनी दान राशि जमा करेगा, एक चैरिटी का चयन करेगा और भुगतान के लिए अपने क्रेडिट कार्ड का विवरण प्रदान करेगा।
अभियान एक बड़ी सफलता थी, जिसमें कर्मचारियों की रिकॉर्ड-ब्रेकिंग भागीदारी और एचआर कर्मचारियों से बहुत कम शारीरिक श्रम की आवश्यकता थी। हालांकि, किसी वजह से, जिस तरह से चीजें हुईं उससे सुरक्षा दल खुश नहीं था। अभियान में पंजीकरण करते समय, सुरक्षा दल के एक कर्मचारी ने महसूस किया कि एक ऐप में क्रेडिट कार्ड एकत्र किए जा रहे थे जो ऐसा नहीं लग रहा था कि ऐसा करना चाहिए। जांच करने पर, उन्होंने पाया कि उन क्रेडिट कार्ड विवरणों को वास्तव में अनुचित तरीके से संभाला गया था। क्रेडिट कार्ड विवरण डिफ़ॉल्ट Power Platform वातावरण में संग्रहीत किए गए थे, जिसका अर्थ है कि वे सभी कर्मचारियों, विक्रेताओं और ठेकेदारों सहित संपूर्ण Azure AD किरायेदार के लिए उपलब्ध थे। इसके अलावा, वे सरल सादा पाठ स्ट्रिंग फ़ील्ड के रूप में संग्रहीत किए गए थे।
सौभाग्य से, डेटा-प्रोसेसिंग उल्लंघन की खोज सुरक्षा टीम द्वारा दुर्भावनापूर्ण अभिनेताओं – या अनुपालन लेखा परीक्षकों – द्वारा की गई थी। डेटाबेस को साफ किया गया था, और विनियमन के अनुसार वित्तीय जानकारी को ठीक से संभालने के लिए एप्लिकेशन को पैच किया गया था।
स्थिति 3: मैं Gmail का उपयोग क्यों नहीं कर सकता?
एक उपयोगकर्ता के रूप में, कोई भी एंटरप्राइज़ डेटा हानि रोकथाम नियंत्रण पसंद नहीं करता है। आवश्यक होने पर भी, वे दिन-प्रतिदिन के कार्यों में कष्टप्रद घर्षण का परिचय देते हैं। नतीजतन, उपयोगकर्ताओं ने हमेशा उन्हें दरकिनार करने की कोशिश की है। रचनात्मक व्यावसायिक उपयोगकर्ताओं और सुरक्षा टीम के बीच एक बारहमासी रस्साकशी कॉर्पोरेट ईमेल है। कॉर्पोरेट ईमेल को व्यक्तिगत ईमेल खाते या कॉर्पोरेट कैलेंडर को व्यक्तिगत कैलेंडर में सिंक करना: सुरक्षा टीमों के पास इसका समाधान है। अर्थात्, उन्होंने ईमेल अग्रेषण को अवरुद्ध करने और डेटा शासन सुनिश्चित करने के लिए ईमेल सुरक्षा और DLP समाधान स्थापित किए। यह समस्या हल करता है, है ना?
नहीं। बार-बार खोज बड़े उद्यमों और छोटे व्यवसायों में यह पाया गया है कि उपयोगकर्ता ऑटोमेशन बना रहे हैं जो ईमेल नियंत्रणों को बायपास करके उनके कॉर्पोरेट ईमेल और कैलेंडर को उनके व्यक्तिगत खातों में अग्रेषित करने के लिए करते हैं। ईमेल अग्रेषित करने के बजाय, वे डेटा को एक सेवा से दूसरी सेवा में कॉपी और पेस्ट करते हैं। एक अलग पहचान के साथ प्रत्येक सेवा में लॉग इन करके और बिना कोड के कॉपी-पेस्ट प्रक्रिया को स्वचालित करके, व्यावसायिक उपयोगकर्ता सुरक्षा नियंत्रणों को आसानी से बायपास कर देते हैं - और सुरक्षा टीमों के लिए इसका पता लगाने का कोई आसान तरीका नहीं है।
Power Platform समुदाय अब विकसित भी हो गया है टेम्पलेट्स जिसे कोई भी Office 365 उपयोगकर्ता उठा सकता है और उपयोग कर सकता है.
महान शक्ति के साथ महान जिम्मेदारी आती है
व्यावसायिक उपयोगकर्ता सशक्तिकरण बहुत अच्छा है। व्यावसायिक क्षेत्र को आईटी के लिए प्रतीक्षा नहीं करनी चाहिए या विकास संसाधनों के लिए संघर्ष नहीं करना चाहिए। हालांकि, हम बिना किसी मार्गदर्शन या रेलिंग के केवल व्यावसायिक उपयोगकर्ताओं को डेवलपर-स्तर की शक्ति नहीं दे सकते हैं और उम्मीद करते हैं कि सब कुछ ठीक हो जाएगा।
सुरक्षा टीमों को व्यावसायिक उपयोगकर्ताओं को शिक्षित करने और उन्हें एप्लिकेशन डेवलपर्स के रूप में उनकी नई जिम्मेदारियों से अवगत कराने की आवश्यकता है, भले ही वे एप्लिकेशन "बिना कोड" का उपयोग करके बनाए गए हों। सुरक्षा टीमों को यह सुनिश्चित करने के लिए रेलिंग और निगरानी भी रखनी चाहिए कि जब व्यावसायिक उपयोगकर्ता कोई गलती करते हैं, जैसा कि हम सभी करते हैं, तो यह पूर्ण रूप से डेटा लीक या अनुपालन ऑडिट घटनाओं में स्नोबॉल नहीं होगा।
