Volt idő, amikor a kockázatkerülő szervezetek súlyosan korlátozhatták üzleti felhasználóik azon képességét, hogy költséges hibákat kövessenek el. A korlátozott technikai tudás, a szigorú engedélyek és a hátszél hiánya miatt a legrosszabb, amit egy üzleti felhasználó tehet, az volt, hogy rosszindulatú programokat tölthet le, vagy beleesett egy adathalász kampányba. Ezek a napok mára elmúltak.
Manapság, minden jelentős szoftver-szolgáltatásként (SaaS) platform csomagban érkezik automatizálási és alkalmazásépítési képességekkel, amelyeket közvetlenül az üzleti felhasználók számára terveztek és értékesítenek. A SaaS platformok, például a Microsoft 365, a Salesforce és a ServiceNow beágyazódnak kód nélküli/alacsony kódú platformok meglévő kínálatukba, közvetlenül az üzleti felhasználók kezébe adva azokat anélkül, hogy vállalati jóváhagyást kérnének. Azok a képességek, amelyek korábban csak az informatikai és fejlesztői csapatok számára voltak elérhetőek, mára az egész szervezetben elérhetőek.
A Power Platform, a Microsoft alacsony kódszámú platformja az Office 365-be van beépítve, és nagyszerű példa a Microsoft nagyvállalati pozíciójára, valamint az üzleti felhasználók általi elfogadási arányára. Talán anélkül, hogy észrevennék, a vállalatok minden eddiginél több ember kezébe adják a fejlesztői szintű hatalmat, sokkal kevesebb biztonsággal vagy műszaki hozzáértéssel. Mi lehet a baj?
Sőt, nagyon sokat. Nézzünk meg néhány valós példát az én tapasztalataimból. Az információkat anonimizáltuk, és az üzletspecifikus folyamatokat kihagytuk.
1. helyzet: Új szállító? Csak csináld
Egy multinacionális kiskereskedelmi vállalat ügyfélszolgálati csapata fogyasztói betekintésekkel kívánta gazdagítani vásárlói adatait. Különösen abban reménykedtek, hogy több információt találnak az új ügyfelekről, hogy még a kezdeti vásárlás során jobban ki tudják szolgálni őket. Az ügyfélszolgálati csapat úgy döntött, hogy melyik szállítóval szeretne együtt dolgozni. Az eladó megkövetelte, hogy adatokat küldjenek nekik gazdagítás céljából, amelyeket aztán szolgáltatásaik visszavonnak.
Általában itt jön a képbe az IT. Az IT-nek valamiféle integrációt kellene kiépítenie ahhoz, hogy adatokat kapjon a szállítótól és azoktól. Nyilvánvalóan az IT-biztonsági csapatot is be kell vonni annak biztosításához, hogy erre a szállítóra megbízhassák az ügyfelek adatait, és jóváhagyhassák a vásárlást. A beszerzés és a jogi kérdések is kulcsszerepet kaptak volna. Ebben az esetben azonban más irányba mentek a dolgok.
Ez az ügyfélszolgálati csapat a Microsoft Power Platform szakértőiből állt. Ahelyett, hogy vártak volna az erőforrásokra vagy a jóváhagyásra, csak nekivágtak, és maguk építették ki az integrációt: vevőadatokat gyűjtöttek az éles SQL-kiszolgálókról, továbbították az összeset a szállító által biztosított FTP-kiszolgálóra, és a bővített adatokat visszakérték az FTP-kiszolgálóról a termelési adatbázist. A teljes folyamat automatikusan lefutott minden alkalommal, amikor új ügyfél került az adatbázisba. Mindez az Office 365-ön tárolt fogd-és-vidd felületeken és személyes fiókjaik segítségével történt. A licencet saját zsebből fizették ki, ami a beszerzést távol tartotta a huroktól.
Képzelje el a CISO meglepetését, amikor egy csomó üzleti automatizálást találtak, amelyek az ügyfelek adatait egy keményen kódolt IP-címre helyezték át az AWS-en. Mivel csak az Azure-ügyfél, ez óriási piros zászlót tűzött ki. Ezenkívül az adatok küldése és fogadása nem biztonságos FTP-kapcsolaton történt, ami biztonsági és megfelelőségi kockázatot jelent. Amikor a biztonsági csapat erre egy dedikált biztonsági eszközön keresztül rájött, az adatok közel egy éve mozogtak a szervezetben és onnan kifelé.
2. szituáció: Ó, helytelen hitelkártyákat gyűjteni?
Egy nagy IT-szállító HR csapata egy évente egyszer megrendezésre kerülő „Give Away” kampányra készült, ahol az alkalmazottakat arra buzdítják, hogy adományozzanak kedvenc jótékonysági szervezetüknek, a cég pedig az alkalmazottak által adományozott minden dollár ellenértékével járul hozzá. Az előző évi kampány hatalmas sikert aratott, így a várakozások túlszárnyaltak. A kampány teljesítménye és a manuális folyamatok enyhítése érdekében egy kreatív HR-alkalmazott a Microsoft Power Platform segítségével készített egy alkalmazást, amely megkönnyíti a teljes folyamatot. A regisztrációhoz az alkalmazottnak be kell jelentkeznie az alkalmazásba a vállalati számlájával, el kell adnia az adomány összegét, ki kell választania egy jótékonysági szervezetet, és meg kell adnia hitelkártyaadatait a fizetéshez.
A kampány óriási sikert aratott, rekordszámú dolgozói részvétellel és kevés fizikai munkát igényelt a HR-es dolgozóktól. Valamiért azonban a biztonsági csapat nem volt elégedett a dolgok alakulásával. A kampányba való regisztráció során a biztonsági csapat egyik alkalmazottja rájött, hogy egy olyan alkalmazásban gyűjtik a hitelkártyákat, amely nem úgy néz ki, mint kellene. A vizsgálat során megállapították, hogy ezeket a hitelkártyaadatokat valóban nem megfelelően kezelték. A hitelkártyaadatokat az alapértelmezett Power Platform környezetben tárolták, ami azt jelenti, hogy a teljes Azure AD-bérlő számára elérhetők voltak, beleértve az összes alkalmazottat, szállítót és vállalkozót. Ezenkívül egyszerű, egyszerű szöveges karakterlánc-mezőkként tárolták őket.
Szerencsére az adatfeldolgozási jogsértést a biztonsági csapat fedezte fel, mielőtt a rosszindulatú szereplők – vagy a megfelelőségi ellenőrök – észrevették volna. Megtörtént az adatbázis megtisztítása, az alkalmazás javítása a pénzügyi információk megfelelő, szabályozás szerinti kezeléséhez.
3. helyzet: Miért nem használhatom a Gmailt?
Felhasználóként senki sem szereti a vállalati adatvesztés elleni vezérlőket. Még szükség esetén is bosszantó súrlódást okoznak a napi műveletekben. Ennek eredményeként a felhasználók mindig megpróbálták megkerülni őket. A kreatív üzleti felhasználók és a biztonsági csapat közötti állandó kötélhúzás a vállalati e-mail. Vállalati e-mailek szinkronizálása személyes e-mail fiókkal vagy vállalati naptár személyes naptárral: A biztonsági csapatoknak van erre megoldásuk. Ugyanis e-mail biztonsági és DLP megoldásokat vezettek be az e-mailek továbbításának blokkolására és az adatkezelés biztosítására. Ez megoldja a problémát, igaz?
Hát nem. Ismételt megállapítás A nagyvállalatok és a kisvállalkozások körében azt tapasztalja, hogy a felhasználók olyan automatizálásokat hoznak létre, amelyek megkerülik az e-mail vezérlőket, és továbbítják a vállalati e-maileket és naptárukat személyes fiókjukba. Az e-mailek továbbítása helyett adatokat másolnak és illesztenek be egyik szolgáltatásból a másikba. Azáltal, hogy minden szolgáltatásba külön azonosítóval jelentkeznek be, és kód nélkül automatizálják a másolás-beillesztés folyamatot, az üzleti felhasználók könnyedén megkerülhetik a biztonsági ellenőrzéseket – és a biztonsági csapatok számára nincs egyszerű módja annak, hogy kiderítsék.
Még a Power Platform közösség is fejlődött sablonok amelyet bármely Office 365 felhasználó felvehet és használhat.
Nagy hatalommal nagy felelősség jár
Az üzleti felhasználók felhatalmazása nagyszerű. Az üzletágaknak nem szabad informatikára várniuk, vagy fejlesztési forrásokért küzdeni. Azonban nem adhatunk csak úgy az üzleti felhasználóknak fejlesztői szintű hatalmat útmutatás vagy védőkorlát nélkül, és elvárhatjuk, hogy minden rendben lesz.
A biztonsági csapatoknak oktatniuk kell az üzleti felhasználókat, és tudatosítaniuk kell az alkalmazásfejlesztőként betöltött új feladataikat, még akkor is, ha ezek az alkalmazások „kód nélkül” készültek. A biztonsági csapatoknak védőkorlátokat és felügyeletet is fel kell helyezniük annak biztosítására, hogy amikor az üzleti felhasználók hibát követnek el, mint mi, az ne sodorja magával a teljes adatszivárgást vagy a megfelelőségi ellenőrzési incidenseket.
