Dulu ada waktu di mana organisasi yang menghindari risiko dapat sangat membatasi kemampuan pengguna bisnis mereka untuk membuat kesalahan yang merugikan. Dengan pengetahuan teknis yang terbatas, izin yang ketat, dan kurangnya penarik, hal terburuk yang dapat dilakukan pengguna bisnis adalah mengunduh malware atau terjebak dalam kampanye phishing. Hari-hari itu sekarang hilang.
Sekarang, setiap platform software-as-a-service (SaaS) utama dibundel dengan otomatisasi dan kemampuan membangun aplikasi yang dirancang untuk dan dipasarkan langsung ke pengguna bisnis. Platform SaaS seperti Microsoft 365, Salesforce, dan ServiceNow sedang disematkan platform tanpa kode/kode rendah ke dalam penawaran mereka yang ada, menempatkannya langsung di tangan pengguna bisnis tanpa meminta persetujuan perusahaan. Kemampuan yang sebelumnya hanya tersedia untuk TI dan tim pengembangan kini tersedia di seluruh organisasi.
Power Platform, platform kode rendah Microsoft, dibangun ke dalam Office 365 dan merupakan contoh yang bagus karena pijakan Microsoft yang kuat di perusahaan dan tingkat adopsinya oleh pengguna bisnis. Mungkin tanpa disadari, perusahaan menempatkan kekuatan tingkat pengembang di tangan lebih banyak orang daripada sebelumnya, dengan keamanan atau pemahaman teknis yang jauh lebih sedikit. Apa yang mungkin salah?
Cukup banyak, sebenarnya. Mari kita periksa beberapa contoh dunia nyata dari pengalaman saya. Informasi tersebut telah dianonimkan, dan proses khusus bisnis dihilangkan.
Situasi 1: Vendor Baru? Lakukan saja
Tim layanan pelanggan di sebuah perusahaan ritel multinasional ingin memperkaya data pelanggan mereka dengan wawasan konsumen. Secara khusus, mereka berharap menemukan lebih banyak informasi tentang pelanggan baru sehingga mereka dapat melayani mereka dengan lebih baik, bahkan selama pembelian awal mereka. Tim layanan pelanggan memutuskan vendor yang ingin mereka ajak bekerja sama. Vendor membutuhkan data untuk dikirimkan kepada mereka untuk pengayaan, yang kemudian akan ditarik kembali oleh layanan mereka.
Biasanya, di sinilah TI muncul. TI perlu membangun semacam integrasi untuk mendapatkan data ke dan dari vendor. Tim keamanan TI jelas perlu dilibatkan juga, untuk memastikan vendor ini dapat dipercaya dengan data pelanggan dan menyetujui pembelian. Pengadaan dan hukum juga akan mengambil bagian penting. Namun, dalam kasus ini, semuanya berjalan ke arah yang berbeda.
Tim layanan pelanggan khusus ini adalah pakar Microsoft Power Platform. Alih-alih menunggu sumber daya atau persetujuan, mereka langsung melanjutkan dan membangun integrasinya sendiri: mengumpulkan data pelanggan dari server SQL dalam produksi, meneruskan semuanya ke server FTP yang disediakan oleh vendor, dan mengambil kembali data yang diperkaya dari server FTP ke database produksi. Seluruh proses dijalankan secara otomatis setiap kali pelanggan baru ditambahkan ke database. Ini semua dilakukan melalui antarmuka seret dan lepas, dihosting di Office 365, dan menggunakan akun pribadi mereka. Lisensi dibayar sendiri, yang membuat pengadaan tidak dapat dilakukan.
Bayangkan betapa terkejutnya CISO ketika mereka menemukan sekumpulan otomatisasi bisnis yang memindahkan data pelanggan ke alamat IP hard-coded di AWS. Menjadi pelanggan khusus Azure, ini menimbulkan tanda bahaya besar. Selain itu, data dikirim dan diterima dengan koneksi FTP yang tidak aman, menimbulkan risiko keamanan dan kepatuhan. Saat tim keamanan menemukan ini melalui alat keamanan khusus, data telah keluar masuk organisasi selama hampir satu tahun.
Situasi 2: Aduh, Salahkah Mengumpulkan Kartu Kredit?
Tim SDM di sebuah vendor TI besar sedang mempersiapkan kampanye "Give Away" setahun sekali, di mana karyawan didorong untuk menyumbang ke badan amal favorit mereka, dengan perusahaan ikut serta dengan mencocokkan setiap dolar yang disumbangkan oleh karyawan. Kampanye tahun sebelumnya sukses besar, jadi harapannya sangat tinggi. Untuk mendukung kampanye dan meringankan proses manual, karyawan SDM yang kreatif menggunakan Microsoft Power Platform untuk membuat aplikasi yang memfasilitasi keseluruhan proses. Untuk mendaftar, seorang karyawan akan masuk ke aplikasi dengan akun perusahaan mereka, mengirimkan jumlah donasi mereka, memilih badan amal, dan memberikan detail kartu kredit mereka untuk pembayaran.
Kampanye ini sukses besar, dengan partisipasi karyawan yang memecahkan rekor dan sedikit pekerjaan manual yang diperlukan dari karyawan SDM. Namun, untuk beberapa alasan, tim keamanan tidak senang dengan keadaan yang terjadi. Saat mendaftar ke kampanye, seorang karyawan dari tim keamanan menyadari bahwa kartu kredit dikumpulkan di aplikasi yang sepertinya tidak seharusnya dilakukan. Setelah diselidiki, mereka menemukan bahwa detail kartu kredit tersebut memang ditangani dengan tidak semestinya. Detail kartu kredit disimpan di lingkungan Power Platform default, yang berarti tersedia untuk seluruh penyewa Azure AD, termasuk semua karyawan, vendor, dan kontraktor. Selain itu, mereka disimpan sebagai bidang string teks biasa sederhana.
Untungnya, pelanggaran pemrosesan data ditemukan oleh tim keamanan sebelum aktor jahat โ atau auditor kepatuhan โ melihatnya. Basis data dibersihkan, dan aplikasi ditambal untuk menangani informasi keuangan dengan benar sesuai peraturan.
Situasi 3: Mengapa Saya Tidak Bisa Menggunakan Gmail Saja?
Sebagai pengguna, tidak ada yang menyukai kontrol pencegahan kehilangan data perusahaan. Bahkan bila perlu, mereka menimbulkan gesekan yang mengganggu pada operasi sehari-hari. Akibatnya, pengguna selalu berusaha menghindarinya. Salah satu tarik menarik antara pengguna bisnis kreatif dan tim keamanan adalah email perusahaan. Menyinkronkan email perusahaan ke akun email pribadi atau kalender perusahaan ke kalender pribadi: Tim keamanan memiliki solusi untuk itu. Yakni, mereka menempatkan keamanan email dan solusi DLP untuk memblokir penerusan email dan memastikan tata kelola data. Ini menyelesaikan masalah, bukan?
Nah, tidak. Temuan berulang di perusahaan besar dan usaha kecil menemukan bahwa pengguna membuat otomatisasi yang memintas kontrol email untuk meneruskan email dan kalender perusahaan mereka ke akun pribadi mereka. Alih-alih meneruskan email, mereka menyalin dan menempelkan data dari satu layanan ke layanan lainnya. Dengan masuk ke setiap layanan dengan identitas terpisah dan mengotomatiskan proses salin-tempel tanpa kode, pengguna bisnis melewati kontrol keamanan dengan mudah โ dan tidak mudah bagi tim keamanan untuk mengetahuinya.
Komunitas Power Platform bahkan telah berkembang template yang dapat diambil dan digunakan oleh setiap pengguna Office 365.
Dengan Kekuatan Besar Datang Tanggung Jawab Besar
Pemberdayaan pengguna bisnis sangat bagus. Lini bisnis tidak boleh menunggu TI atau memperebutkan sumber daya pengembangan. Namun, kami tidak bisa begitu saja memberikan kekuatan tingkat pengembang kepada pengguna bisnis tanpa panduan atau pagar pembatas dan berharap semuanya akan baik-baik saja.
Tim keamanan perlu mengedukasi pengguna bisnis dan membuat mereka sadar akan tanggung jawab baru mereka sebagai pengembang aplikasi, bahkan jika aplikasi tersebut dibuat menggunakan "tanpa kode". Tim keamanan juga harus menempatkan pagar pembatas dan pemantauan untuk memastikan bahwa ketika pengguna bisnis membuat kesalahan, seperti yang kita semua lakukan, itu tidak akan menjadi bola salju ke dalam kebocoran data besar-besaran atau insiden audit kepatuhan.
