Det brukade finnas en tid då riskvilliga organisationer allvarligt kunde begränsa sina affärsanvändares förmåga att göra kostsamma misstag. Med begränsad teknisk kunskap, strikta behörigheter och brist på medvind var det värsta en företagsanvändare kunde göra att ladda ner skadlig programvara eller falla för en nätfiskekampanj. De dagarna är nu borta.
Numera, alla större SaaS-plattformar (software-as-a-service) levereras medföljande med automations- och applikationsbyggande funktioner som är designade för och marknadsförs direkt till företagsanvändare. SaaS-plattformar som Microsoft 365, Salesforce och ServiceNow bäddas in no-code/low-code plattformar in i sina befintliga erbjudanden och placera dem direkt i händerna på företagsanvändare utan att be om företagets godkännande. Funktioner som en gång endast var tillgängliga för IT- och utvecklingsteamen är nu tillgängliga i hela organisationen.
Power Platform, Microsofts lågkodsplattform, är inbyggd i Office 365 och är ett bra exempel på grund av Microsofts starka fotfäste i företaget och den takt som den antas av företagsanvändare. Kanske utan att inse det, lägger företag makten på utvecklarnivå i händerna på fler människor än någonsin tidigare, med mycket mindre säkerhet eller tekniska kunskaper. Vad kan gå fel?
Ganska mycket, faktiskt. Låt oss undersöka några verkliga exempel från min erfarenhet. Informationen har anonymiserats och verksamhetsspecifika processer har utelämnats.
Situation 1: Ny leverantör? Gör det bara
Kundtjänstteamet på ett multinationellt detaljhandelsföretag ville berika sin kunddata med konsumentinsikter. Framför allt hoppades de på att hitta mer information om nya kunder så att de bättre kunde betjäna dem, även under deras första köp. Kundtjänstteamet bestämde sig för en leverantör de skulle vilja arbeta med. Säljaren krävde att data skulle skickas till dem för anrikning, som sedan skulle dras tillbaka av deras tjänster.
Normalt sett är det här IT kommer in i bilden. IT skulle behöva bygga någon form av integration för att få data till och från leverantören. IT-säkerhetsteamet skulle naturligtvis också behöva involveras för att säkerställa att denna leverantör kan lita på kunddata och godkänna köpet. Upphandling och juridik skulle också ha tagit en nyckelroll. I det här fallet gick det dock åt ett annat håll.
Detta särskilda kundvårdsteam var Microsoft Power Platform-experter. Istället för att vänta på resurser eller godkännande gick de bara vidare och byggde själva integrationen: samlade in kunddata från SQL-servrar i produktion, vidarebefordrade allt till en FTP-server som tillhandahålls av leverantören och hämtade berikad data tillbaka från FTP-servern till produktionsdatabasen. Hela processen kördes automatiskt varje gång en ny kund lades till i databasen. Allt detta gjordes genom dra-och-släpp-gränssnitt, värd på Office 365 och med deras personliga konton. Licensen betalades ur fickan, vilket höll upphandlingen borta.
Föreställ dig CISO:s förvåning när de hittade ett gäng affärsautomatiseringar som flyttade kunddata till en hårdkodad IP-adress på AWS. Eftersom det är en Azure-kund höjdes en jätte röd flagga. Dessutom skickades och togs data emot med en osäker FTP-anslutning, vilket skapade en säkerhets- och efterlevnadsrisk. När säkerhetsteamet hittade detta genom ett dedikerat säkerhetsverktyg hade data rört sig in och ut ur organisationen i nästan ett år.
Situation 2: Åh, är det fel att samla in kreditkort?
HR-teamet hos en stor IT-leverantör förberedde sig för en "Give Away"-kampanj en gång om året, där anställda uppmuntras att donera till sin favorit välgörenhet, där företaget ställer upp genom att matcha varje dollar som doneras av anställda. Förra årets kampanj var en enorm framgång, så förväntningarna var genom taket. För att driva kampanjen och lindra manuella processer använde en kreativ HR-anställd Microsofts Power Platform för att skapa en app som underlättade hela processen. För att registrera sig skulle en anställd logga in på applikationen med sitt företagskonto, skicka in sitt donationsbelopp, välja en välgörenhetsorganisation och ge sina kreditkortsuppgifter för betalning.
Kampanjen blev en stor framgång, med rekordstort deltagande av anställda och lite manuellt arbete som krävdes av HR-anställda. Av någon anledning var dock säkerhetsteamet inte nöjda med hur saker och ting blev. När han registrerade sig för kampanjen insåg en anställd från säkerhetsteamet att kreditkort samlades in i en app som inte såg ut att göra det. Efter undersökning fann de att dessa kreditkortsuppgifter verkligen hanterades felaktigt. Kreditkortsuppgifter lagrades i standard Power Platform-miljön, vilket innebär att de var tillgängliga för hela Azure AD-hyresgästen, inklusive alla anställda, leverantörer och entreprenörer. Dessutom lagrades de som enkla strängfält i klartext.
Lyckligtvis upptäcktes databehandlingsöverträdelsen av säkerhetsteamet innan illvilliga aktörer – eller efterlevnadsrevisorer – upptäckte det. Databasen rensades upp och applikationen patchades för att korrekt hantera finansiell information enligt förordning.
Situation 3: Varför kan jag inte bara använda Gmail?
Som användare gillar ingen företagskontroller för förebyggande av dataförlust. Även vid behov introducerar de irriterande friktion i den dagliga verksamheten. Som ett resultat har användare alltid försökt att kringgå dem. En ständig dragkamp mellan kreativa företagsanvändare och säkerhetsteamet är företagets e-post. Synkronisera företags e-post till ett personligt e-postkonto eller företagskalender till en personlig kalender: Säkerhetsteam har en lösning för det. De sätter nämligen e-postsäkerhet och DLP-lösningar på plats för att blockera vidarebefordran av e-post och säkerställa datastyrning. Detta löser problemet, eller hur?
Tja, nej. Ett upprepat fynd över stora företag och småföretag upptäcker att användare skapar automatiseringar som kringgår e-postkontroller för att vidarebefordra företagets e-post och kalender till deras personliga konton. Istället för att vidarebefordra e-post, kopierar och klistrar de in data från en tjänst till en annan. Genom att logga in på varje tjänst med en separat identitet och automatisera kopierings- och klistraprocessen utan kod, kringgår företagsanvändare säkerhetskontroller med lätthet – och utan något enkelt sätt för säkerhetsteam att ta reda på.
Power Platform-gemenskapen har till och med utvecklats mallar som alla Office 365-användare kan hämta och använda.
Med stor kraft kommer stort ansvar
Bemyndigande av företagsanvändare är fantastiskt. Affärslinjer bör inte vänta på IT eller slåss om utvecklingsresurser. Men vi kan inte bara ge affärsanvändare kraft på utvecklarnivå utan vägledning eller skyddsräcken och förvänta oss att allt kommer att ordna sig.
Säkerhetsteam måste utbilda affärsanvändare och göra dem medvetna om sitt nya ansvar som applikationsutvecklare, även om dessa applikationer byggdes med "ingen kod". Säkerhetsteam bör också sätta skyddsräcken och övervakning på plats för att säkerställa att när affärsanvändare gör ett misstag, som vi alla gör, kommer det inte att snöa in i fullskaliga dataläckor eller incidenter för granskning av efterlevnad.
