เคยมีช่วงเวลาที่องค์กรที่ไม่ชอบความเสี่ยงสามารถจำกัดความสามารถของผู้ใช้ทางธุรกิจอย่างมากในการทำผิดพลาดที่มีค่าใช้จ่ายสูง ด้วยความรู้ทางเทคนิคที่จำกัด การอนุญาตที่เข้มงวด และไม่มีหางลม สิ่งที่แย่ที่สุดที่ผู้ใช้ทางธุรกิจสามารถทำได้คือดาวน์โหลดมัลแวร์หรือตกเป็นเหยื่อของแคมเปญฟิชชิง วันเหล่านั้นหายไปแล้ว
ปัจจุบัน ทุกแพลตฟอร์ม software-as-a-service (SaaS) ที่สำคัญมาในชุด ด้วยความสามารถด้านระบบอัตโนมัติและการสร้างแอปพลิเคชันที่ออกแบบมาสำหรับและทำการตลาดโดยตรงกับผู้ใช้ทางธุรกิจ แพลตฟอร์ม SaaS เช่น Microsoft 365, Salesforce และ ServiceNow กำลังฝังอยู่ แพลตฟอร์มแบบไม่มีโค้ด/โค้ดต่ำ ลงในข้อเสนอที่มีอยู่ของพวกเขา วางไว้ในมือของผู้ใช้ทางธุรกิจโดยตรงโดยไม่ต้องขออนุมัติจากองค์กร ความสามารถที่เคยใช้ได้เฉพาะกับทีมไอทีและทีมพัฒนา ตอนนี้พร้อมใช้งานทั่วทั้งองค์กรแล้ว
Power Platform ซึ่งเป็นแพลตฟอร์มแบบเขียนโค้ดต่ำของ Microsoft สร้างขึ้นใน Office 365 และเป็นตัวอย่างที่ดีเนื่องจากฐานที่แข็งแกร่งของ Microsoft ในองค์กรและอัตราที่ผู้ใช้ทางธุรกิจนำมาใช้ บางทีโดยไม่รู้ตัว องค์กรต่างๆ กำลังวางอำนาจระดับนักพัฒนาไว้ในมือของผู้คนจำนวนมากขึ้นอย่างที่ไม่เคยเป็นมาก่อน โดยมีความปลอดภัยหรือความรู้ด้านเทคนิคที่น้อยลงมาก สิ่งที่อาจจะผิดไป?
ค่อนข้างมากจริงๆ มาดูตัวอย่างจากประสบการณ์จริงจากประสบการณ์ของฉันกัน ข้อมูลนี้ถูกทำให้เป็นนิรนาม และตัดกระบวนการเฉพาะของธุรกิจออก
สถานการณ์ที่ 1: ผู้ขายรายใหม่? แค่ทำมัน
ทีมดูแลลูกค้าของบริษัทค้าปลีกข้ามชาติต้องการเพิ่มข้อมูลลูกค้าด้วยข้อมูลเชิงลึกของผู้บริโภค โดยเฉพาะอย่างยิ่ง พวกเขาหวังว่าจะพบข้อมูลเพิ่มเติมเกี่ยวกับลูกค้ารายใหม่ เพื่อที่พวกเขาจะสามารถให้บริการพวกเขาได้ดียิ่งขึ้น แม้ในระหว่างการซื้อครั้งแรก ทีมดูแลลูกค้าตัดสินใจเลือกผู้ขายที่พวกเขาต้องการร่วมงานด้วย ผู้ขายจำเป็นต้องส่งข้อมูลไปให้พวกเขาเพื่อเพิ่มคุณค่า ซึ่งจากนั้นบริการของพวกเขาจะถูกดึงกลับ
โดยปกติแล้วนี่คือสิ่งที่ไอทีเข้ามาในภาพ ฝ่ายไอทีจำเป็นต้องสร้างการผสานรวมบางอย่างเพื่อรับข้อมูลเข้าและออกจากผู้จำหน่าย เห็นได้ชัดว่าทีมรักษาความปลอดภัยด้านไอทีจำเป็นต้องมีส่วนร่วมด้วย เพื่อให้แน่ใจว่าผู้จำหน่ายรายนี้สามารถเชื่อถือได้กับข้อมูลลูกค้าและอนุมัติการซื้อ การจัดซื้อจัดจ้างและกฎหมายก็มีส่วนสำคัญเช่นกัน อย่างไรก็ตาม ในกรณีนี้ สิ่งต่างๆ ไปในทิศทางที่ต่างออกไป
ทีมดูแลลูกค้าโดยเฉพาะนี้เป็นผู้เชี่ยวชาญของ Microsoft Power Platform แทนที่จะรอทรัพยากรหรือการอนุมัติ พวกเขาเพียงแค่เดินหน้าและสร้างการผสานรวมเอง: รวบรวมข้อมูลลูกค้าจากเซิร์ฟเวอร์ SQL ในการผลิต ส่งต่อทั้งหมดไปยังเซิร์ฟเวอร์ FTP ที่ผู้จำหน่ายจัดเตรียมให้ และดึงข้อมูลที่สมบูรณ์กลับจากเซิร์ฟเวอร์ FTP ไปยัง ฐานข้อมูลการผลิต กระบวนการทั้งหมดจะดำเนินการโดยอัตโนมัติทุกครั้งที่มีการเพิ่มลูกค้าใหม่ลงในฐานข้อมูล ทั้งหมดนี้ทำผ่านอินเทอร์เฟซแบบลากแล้วปล่อย ซึ่งโฮสต์บน Office 365 และใช้บัญชีส่วนบุคคล ใบอนุญาตจ่ายออกจากกระเป๋าซึ่งทำให้การจัดซื้อไม่อยู่ในวง
ลองนึกภาพว่า CISO จะต้องประหลาดใจเมื่อพวกเขาพบระบบอัตโนมัติทางธุรกิจจำนวนมากที่ย้ายข้อมูลลูกค้าไปยังที่อยู่ IP แบบฮาร์ดโค้ดบน AWS ในฐานะที่เป็นลูกค้า Azure เท่านั้น สิ่งนี้ทำให้ธงสีแดงขนาดใหญ่ปรากฏขึ้น นอกจากนี้ ข้อมูลถูกส่งและรับด้วยการเชื่อมต่อ FTP ที่ไม่ปลอดภัย ทำให้เกิดความเสี่ยงด้านความปลอดภัยและการปฏิบัติตามข้อกำหนด เมื่อทีมรักษาความปลอดภัยพบสิ่งนี้ผ่านเครื่องมือรักษาความปลอดภัยเฉพาะ ข้อมูลได้ถูกย้ายเข้าและออกจากองค์กรเป็นเวลาเกือบหนึ่งปี
สถานการณ์ที่ 2: โอ้ ผิดไหมที่จะรับบัตรเครดิต?
ทีมงานฝ่ายทรัพยากรบุคคลของผู้จำหน่ายไอทีรายใหญ่กำลังเตรียมแคมเปญ "Give Away" ปีละครั้ง โดยพนักงานจะได้รับการสนับสนุนให้บริจาคเพื่อการกุศลที่พวกเขาชื่นชอบ โดยบริษัทจะเข้าร่วมโดยการจับคู่เงินทุกดอลลาร์ที่พนักงานบริจาค แคมเปญในปีที่แล้วประสบความสำเร็จอย่างมาก ดังนั้นความคาดหวังจึงพุ่งทะลุหลังคา เพื่อขับเคลื่อนการรณรงค์และบรรเทากระบวนการด้วยตนเอง พนักงานฝ่ายทรัพยากรบุคคลที่มีความคิดสร้างสรรค์ได้ใช้ Power Platform ของ Microsoft เพื่อสร้างแอปที่อำนวยความสะดวกในกระบวนการทั้งหมด ในการลงทะเบียน พนักงานจะเข้าสู่ระบบแอปพลิเคชันด้วยบัญชีบริษัท ส่งจำนวนเงินบริจาค เลือกองค์กรการกุศล และให้รายละเอียดบัตรเครดิตสำหรับการชำระเงิน
แคมเปญนี้ประสบความสำเร็จอย่างมาก ด้วยการมีส่วนร่วมทำลายสถิติของพนักงานและการทำงานแบบแมนนวลเพียงเล็กน้อยที่พนักงานฝ่ายทรัพยากรบุคคลต้องการ ด้วยเหตุผลบางอย่าง ทีมรักษาความปลอดภัยไม่พอใจกับสิ่งที่เกิดขึ้น ขณะที่ลงทะเบียนเข้าร่วมแคมเปญ พนักงานจากทีมรักษาความปลอดภัยพบว่าบัตรเครดิตถูกรวบรวมในแอพที่ดูเหมือนว่าไม่ควรจะทำเช่นนั้น จากการสอบสวน พวกเขาพบว่ารายละเอียดบัตรเครดิตเหล่านั้นได้รับการจัดการอย่างไม่เหมาะสม รายละเอียดบัตรเครดิตถูกจัดเก็บไว้ในสภาพแวดล้อม Power Platform เริ่มต้น ซึ่งหมายความว่าผู้เช่า Azure AD ทั้งหมดจะพร้อมใช้งาน รวมถึงพนักงาน ผู้ขาย และผู้รับจ้างทั้งหมด นอกจากนี้ยังถูกจัดเก็บเป็นฟิลด์สตริงข้อความธรรมดาอย่างง่าย
โชคดีที่ทีมรักษาความปลอดภัยค้นพบการละเมิดการประมวลผลข้อมูลก่อนที่ผู้ประสงค์ร้ายหรือผู้ตรวจสอบการปฏิบัติตามกฎระเบียบจะตรวจพบ ฐานข้อมูลได้รับการล้างข้อมูล และแอปพลิเคชันได้รับการแก้ไขเพื่อให้จัดการข้อมูลทางการเงินได้อย่างเหมาะสมตามระเบียบข้อบังคับ
สถานการณ์ที่ 3: เหตุใดฉันจึงใช้ Gmail ไม่ได้
ในฐานะผู้ใช้ ไม่มีใครชอบการควบคุมการป้องกันข้อมูลสูญหายขององค์กร แม้จะจำเป็น แต่ก็ทำให้เกิดความขัดแย้งที่น่ารำคาญกับการปฏิบัติงานประจำวัน เป็นผลให้ผู้ใช้พยายามหลีกเลี่ยงเสมอ สงครามชักเย่อระหว่างผู้ใช้ธุรกิจสร้างสรรค์กับทีมรักษาความปลอดภัยคืออีเมลขององค์กร การซิงค์อีเมลของบริษัทกับบัญชีอีเมลส่วนตัวหรือปฏิทินของบริษัทไปยังปฏิทินส่วนตัว: ทีมรักษาความปลอดภัยมีวิธีแก้ปัญหาดังกล่าว กล่าวคือ พวกเขาวางระบบรักษาความปลอดภัยอีเมลและโซลูชัน DLP เพื่อบล็อกการส่งต่ออีเมลและรับรองการกำกับดูแลข้อมูล วิธีนี้ช่วยแก้ปัญหาได้ใช่ไหม?
ไม่เลย การค้นพบซ้ำ ในองค์กรขนาดใหญ่และธุรกิจขนาดเล็กพบว่าผู้ใช้กำลังสร้างระบบอัตโนมัติที่ข้ามการควบคุมอีเมลเพื่อส่งต่ออีเมลและปฏิทินของบริษัทไปยังบัญชีส่วนบุคคล แทนที่จะส่งต่ออีเมล พวกเขาคัดลอกและวางข้อมูลจากบริการหนึ่งไปยังอีกบริการหนึ่ง ด้วยการเข้าสู่ระบบแต่ละบริการด้วยข้อมูลประจำตัวที่แยกจากกันและทำให้กระบวนการคัดลอกและวางอัตโนมัติโดยไม่ต้องใช้รหัส ผู้ใช้ทางธุรกิจจะข้ามการควบคุมความปลอดภัยได้อย่างง่ายดาย — และไม่มีวิธีที่ง่ายสำหรับทีมรักษาความปลอดภัยในการค้นหา
ชุมชน Power Platform ได้พัฒนาขึ้นด้วยซ้ำ แม่แบบ ที่ผู้ใช้ Office 365 ทุกคนสามารถเลือกและใช้งานได้
ด้วยพลังอันยิ่งใหญ่มาพร้อมกับความรับผิดชอบที่ยิ่งใหญ่
การเพิ่มขีดความสามารถของผู้ใช้ทางธุรกิจนั้นยอดเยี่ยม สายงานธุรกิจไม่ควรรอคอยไอทีหรือต่อสู้เพื่อทรัพยากรการพัฒนา อย่างไรก็ตาม เราไม่สามารถให้อำนาจระดับนักพัฒนาแก่ผู้ใช้ทางธุรกิจโดยไม่มีคำแนะนำหรือการป้องกัน และคาดหวังว่าทุกอย่างจะไม่เป็นไร
ทีมรักษาความปลอดภัยจำเป็นต้องให้ความรู้แก่ผู้ใช้ทางธุรกิจและทำให้พวกเขาตระหนักถึงความรับผิดชอบใหม่ในฐานะนักพัฒนาแอปพลิเคชัน แม้ว่าแอปพลิเคชันเหล่านั้นจะสร้างขึ้นโดยใช้ "ไม่มีโค้ด" นอกจากนี้ ทีมรักษาความปลอดภัยควรวางแนวป้องกันและการตรวจสอบเพื่อให้แน่ใจว่าเมื่อผู้ใช้ทางธุรกิจทำผิดพลาด เช่นเดียวกับที่เราทำทั้งหมด จะไม่ทำให้ข้อมูลรั่วไหลหรือเหตุการณ์การตรวจสอบการปฏิบัติตามกฎระเบียบ
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
