위험을 회피하는 조직이 비즈니스 사용자가 비용이 많이 드는 실수를 저지르는 능력을 심각하게 제한할 수 있었던 때가 있었습니다. 제한된 기술 노하우, 엄격한 권한, 순풍 부족으로 인해 비즈니스 사용자가 할 수 있는 최악의 일은 악성 코드를 다운로드하거나 피싱 캠페인에 넘어가는 것이었습니다. 그런 시절은 이제 지나갔습니다.
현대, 모든 주요 SaaS(Software-as-a-Service) 플랫폼이 번들로 제공됩니다. 비즈니스 사용자를 위해 설계되고 직접 마케팅되는 자동화 및 애플리케이션 구축 기능을 갖추고 있습니다. Microsoft 365, Salesforce 및 ServiceNow와 같은 SaaS 플랫폼에는 노코드/로우코드 플랫폼 기업 승인을 요청하지 않고 비즈니스 사용자의 손에 직접 제공합니다. 한때 IT 및 개발팀에서만 사용할 수 있었던 기능을 이제 조직 전체에서 사용할 수 있습니다.
Microsoft의 로우 코드 플랫폼인 Power Platform은 Office 365에 내장되어 있으며 기업에서 Microsoft의 강력한 기반과 비즈니스 사용자의 채택률로 인해 훌륭한 예입니다. 아마도 깨닫지 못한 채 기업은 보안이나 기술 지식이 훨씬 부족한 상태에서 이전보다 더 많은 사람들의 손에 개발자 수준의 권한을 부여하고 있습니다. 무엇이 잘못될 수 있나요?
실제로 꽤 많습니다. 내 경험에서 나온 몇 가지 실제 사례를 살펴보겠습니다. 정보는 익명화되었으며, 사업별 프로세스는 생략되었습니다.
상황 1: 새로운 공급업체? 그냥 해
다국적 소매 회사의 고객 관리 팀은 소비자 통찰력을 통해 고객 데이터를 풍부하게 만들고 싶었습니다. 특히 신규 고객에 대한 더 많은 정보를 찾아 최초 구매 과정에서도 더 나은 서비스를 제공할 수 있기를 바랐습니다. 고객 관리 팀은 협력하고 싶은 공급업체를 결정했습니다. 공급업체는 강화를 위해 데이터를 전송하도록 요구했으며, 해당 데이터는 서비스에서 다시 가져옵니다.
일반적으로 IT가 등장하는 곳이 바로 여기입니다. IT는 공급업체와 데이터를 주고받기 위해 일종의 통합을 구축해야 합니다. 이 공급업체가 고객 데이터를 신뢰할 수 있고 구매를 승인할 수 있도록 IT 보안 팀도 당연히 참여해야 합니다. 조달 및 법률도 중요한 부분을 차지했을 것입니다. 그러나 이 경우에는 상황이 다른 방향으로 흘러갔다.
이 특정 고객 관리 팀은 Microsoft Power Platform 전문가였습니다. 리소스나 승인을 기다리지 않고 직접 통합을 구축했습니다. 즉, 프로덕션 환경의 SQL 서버에서 고객 데이터를 수집하고, 공급업체가 제공한 FTP 서버에 모두 전달하고, FTP 서버에서 풍부한 데이터를 다시 가져와서 프로덕션 데이터베이스. 새로운 고객이 데이터베이스에 추가될 때마다 전체 프로세스가 자동으로 실행되었습니다. 이 작업은 모두 Office 365에서 호스팅되고 개인 계정을 사용하여 끌어서 놓기 인터페이스를 통해 수행되었습니다. 라이센스는 본인 부담으로 지불되었으므로 조달 절차가 중단되었습니다.
고객 데이터를 AWS의 하드 코딩된 IP 주소로 이동하는 수많은 비즈니스 자동화를 발견했을 때 CISO가 얼마나 놀랐는지 상상해 보십시오. Azure 전용 고객이기 때문에 이로 인해 큰 위험 신호가 발생했습니다. 게다가 데이터가 안전하지 않은 FTP 연결을 통해 전송되고 수신되어 보안 및 규정 준수 위험이 발생했습니다. 보안팀이 전용 보안 도구를 통해 이 사실을 발견했을 때 데이터는 거의 XNUMX년 동안 조직 안팎으로 이동하고 있었습니다.
상황 2: 아, 신용카드를 모으는 것이 잘못된 걸까요?
대규모 IT 공급업체의 HR 팀은 XNUMX년에 한 번 직원들이 자신이 가장 좋아하는 자선 단체에 기부하도록 장려하는 "Give Away" 캠페인을 준비하고 있었고, 회사는 직원들이 기부한 모든 금액을 매칭하여 참여했습니다. 전년도 캠페인은 엄청난 성공을 거두었기 때문에 기대감이 하늘을 찌를 정도였습니다. 캠페인을 강화하고 수동 프로세스를 완화하기 위해 창의적인 HR 직원은 Microsoft의 Power Platform을 사용하여 전체 프로세스를 촉진하는 앱을 만들었습니다. 등록하려면 직원이 기업 계정으로 애플리케이션에 로그인하여 기부 금액을 제출하고 자선단체를 선택한 다음 결제를 위한 신용카드 정보를 입력하면 됩니다.
캠페인은 직원들의 기록적인 참여와 HR 직원의 수동 작업이 거의 필요하지 않아 큰 성공을 거두었습니다. 하지만 어떤 이유에서인지 보안팀은 결과가 만족스럽지 않았습니다. 캠페인에 등록하는 동안 보안팀 직원은 신용카드가 수집되어서는 안 될 것 같은 앱에서 신용카드가 수집되고 있다는 사실을 깨달았습니다. 조사 결과 해당 신용카드 정보가 실제로 부적절하게 처리된 것으로 나타났습니다. 신용 카드 세부 정보는 기본 Power Platform 환경에 저장되었습니다. 즉, 모든 직원, 공급업체 및 계약자를 포함한 전체 Azure AD 테넌트가 사용할 수 있었습니다. 또한 간단한 일반 텍스트 문자열 필드로 저장되었습니다.
다행스럽게도 데이터 처리 위반은 악의적인 행위자 또는 규정 준수 감사자가 발견하기 전에 보안 팀에 의해 발견되었습니다. 금융정보를 규정에 따라 적절하게 처리할 수 있도록 데이터베이스를 정리하고 애플리케이션을 패치했습니다.
상황 3: 왜 Gmail만 사용할 수 없나요?
사용자로서 기업 데이터 손실 방지 제어를 좋아하는 사람은 아무도 없습니다. 필요한 경우에도 일상적인 작업에 짜증나는 마찰이 발생합니다. 결과적으로 사용자들은 항상 이를 우회하려고 노력해 왔습니다. 창의적인 비즈니스 사용자와 보안 팀 사이의 끊임없는 줄다리기는 회사 이메일입니다. 회사 이메일을 개인 이메일 계정에 동기화하거나 회사 캘린더를 개인 캘린더에 동기화: 보안 팀에는 이에 대한 솔루션이 있습니다. 즉, 이메일 전달을 차단하고 데이터 거버넌스를 보장하기 위해 이메일 보안 및 DLP 솔루션을 마련했습니다. 그러면 문제가 해결됩니다. 그렇죠?
음 ... 아니. 반복되는 발견 대기업과 중소기업에서는 사용자가 이메일 제어를 우회하여 회사 이메일과 캘린더를 개인 계정으로 전달하는 자동화를 만들고 있다는 사실을 발견했습니다. 이메일을 전달하는 대신 한 서비스에서 다른 서비스로 데이터를 복사하여 붙여넣습니다. 별도의 ID로 각 서비스에 로그인하고 코드 없이 복사-붙여넣기 프로세스를 자동화함으로써 비즈니스 사용자는 쉽게 보안 제어를 우회할 수 있으며 보안 팀이 쉽게 알아낼 수 있는 방법은 없습니다.
Power Platform 커뮤니티는 심지어 템플릿 모든 Office 365 사용자가 선택하여 사용할 수 있습니다.
큰 힘에는 큰 책임이 따른다
비즈니스 사용자의 역량 강화는 훌륭합니다. 비즈니스 라인에서는 IT를 기다리거나 개발 리소스를 확보하기 위해 싸워서는 안 됩니다. 그러나 지침이나 가드레일 없이 비즈니스 사용자에게 개발자 수준의 권한을 부여하고 모든 것이 잘 될 것이라고 기대할 수는 없습니다.
보안 팀은 비즈니스 사용자를 교육하고 해당 애플리케이션이 "코드 없음"을 사용하여 구축된 경우에도 애플리케이션 개발자로서의 새로운 책임을 인식하도록 해야 합니다. 또한 보안 팀은 비즈니스 사용자가 우리 모두처럼 실수를 했을 때 눈덩이처럼 불어나 본격적인 데이터 유출이나 규정 준수 감사 사고가 발생하지 않도록 보장하기 위해 가드레일과 모니터링을 마련해야 합니다.
