Раніше були часи, коли організації, які не схильні до ризику, могли серйозно обмежити здатність своїх бізнес-користувачів робити дорогі помилки. Маючи обмежені технічні знання, суворі дозволи та відсутність попутного вітру, найгірше, що міг зробити бізнес-користувач, — це завантажити зловмисне програмне забезпечення або потрапити на фішингову кампанію. Ті дні вже минули.
В даний час, кожна велика платформа програмного забезпечення як послуги (SaaS) поставляється в комплекті з можливостями автоматизації та створення додатків, які розроблені та продаються безпосередньо бізнес-користувачам. Платформи SaaS, такі як Microsoft 365, Salesforce і ServiceNow, вбудовуються платформи без коду/з низьким кодом у свої існуючі пропозиції, надаючи їх безпосередньо бізнес-користувачам, не запитуючи корпоративного схвалення. Можливості, які колись були доступні лише ІТ-командам і командам розробників, тепер доступні в усій організації.
Power Platform, платформа Microsoft з низьким кодом, вбудована в Office 365 і є чудовим прикладом завдяки сильній позиції Microsoft на підприємстві та швидкості, з якою її використовують бізнес-користувачі. Можливо, самі того не усвідомлюючи, підприємства передають повноваження на рівні розробника в руки більшої кількості людей, ніж будь-коли раніше, з набагато меншим рівнем безпеки чи технічної підкованості. Що може піти не так?
Насправді досить багато. Давайте розглянемо кілька реальних прикладів із мого досвіду. Інформація була знеособлена, а бізнес-процеси були опущені.
Ситуація 1: новий постачальник? Просто зроби це
Команда служби підтримки клієнтів у міжнаціональній компанії роздрібної торгівлі хотіла збагатити дані своїх клієнтів інформацією про споживачів. Зокрема, вони сподівалися знайти більше інформації про нових клієнтів, щоб краще обслуговувати їх, навіть під час початкової покупки. Команда обслуговування клієнтів визначилася з постачальником, з яким вони хотіли б працювати. Постачальник вимагав, щоб дані були надіслані йому для збагачення, які потім поверталися їхніми службами.
Зазвичай тут з’являється ІТ. ІТ-спеціалістам потрібно створити певну інтеграцію, щоб отримувати дані від постачальника та від нього. Команда ІТ-безпеки, очевидно, також повинна бути залучена, щоб переконатися, що цьому постачальнику можна довіряти дані клієнтів і схвалити покупку. Закупівлі та юридичні також мали б ключову роль. Однак у цьому випадку все пішло в іншому напрямку.
Ця конкретна команда обслуговування клієнтів була експертами Microsoft Power Platform. Замість того, щоб чекати ресурсів чи схвалення, вони просто пішли вперед і самостійно створили інтеграцію: збираючи дані клієнтів із серверів SQL у виробництві, пересилаючи їх на FTP-сервер, наданий постачальником, і повертаючи збагачені дані з FTP-сервера на виробнича база даних. Весь процес автоматично виконувався кожного разу, коли до бази даних додавався новий клієнт. Все це було зроблено через інтерфейси перетягування, розміщені в Office 365, і з використанням їхніх особистих облікових записів. Ліцензія була сплачена з власної кишені, що не дозволяло здійснювати закупівлі.
Уявіть собі здивування CISO, коли вони виявили купу засобів автоматизації бізнесу, які переміщують дані клієнтів на жорстко закодовану IP-адресу на AWS. Будучи клієнтом лише Azure, це підняло гігантський червоний прапор. Крім того, дані надсилалися та отримувалися через незахищене з’єднання FTP, що створювало ризик для безпеки та відповідності. Коли команда безпеки виявила це за допомогою спеціального інструменту безпеки, дані переміщувалися в організацію та з неї майже рік.
Ситуація 2: Ой, чи це неправильно збирати кредитні картки?
Команда відділу кадрів великого постачальника ІТ-технологій готувалася до щорічної кампанії «Give Away», під час якої співробітників заохочують робити пожертви їхнім улюбленим благодійним організаціям, а компанія долучається до кожного долара, пожертвуваного працівниками. Попередня кампанія мала величезний успіх, тому очікування були зашкалюваними. Щоб посилити кампанію та полегшити ручні процеси, креативний співробітник відділу кадрів використав Microsoft Power Platform для створення програми, яка полегшила весь процес. Щоб зареєструватися, працівник повинен увійти в додаток за допомогою свого корпоративного облікового запису, вказати суму пожертви, вибрати благодійну організацію та надати дані своєї кредитної картки для оплати.
Кампанія мала величезний успіх, залучивши рекордну кількість співробітників, а від співробітників відділу кадрів вимагалося небагато ручної праці. Однак команда безпеки чомусь не була задоволена тим, як все обернулося. Під час реєстрації в кампанії співробітник групи безпеки зрозумів, що кредитні картки збираються в програмі, яка, схоже, не мала б це робити. Під час розслідування вони виявили, що дані кредитної картки справді оброблялися неналежним чином. Дані кредитної картки зберігалися в середовищі Power Platform за замовчуванням, що означає, що вони були доступні для всього клієнта Azure AD, включаючи всіх співробітників, постачальників і підрядників. Крім того, вони зберігалися як прості рядкові поля відкритого тексту.
На щастя, порушення обробки даних було виявлено командою безпеки до того, як його помітили зловмисники або аудитори відповідності. Базу даних було очищено, а додаток було виправлено, щоб належним чином обробляти фінансову інформацію відповідно до нормативних актів.
Ситуація 3. Чому я не можу просто використовувати Gmail?
Як користувач, нікому не подобаються засоби керування запобіганням втраті корпоративних даних. Навіть коли це необхідно, вони вносять дратівливі труднощі в повсякденну роботу. У результаті користувачі завжди намагалися їх обійти. Одним із постійних конфліктів між креативними бізнес-користувачами та командою безпеки є корпоративна електронна пошта. Синхронізація корпоративної електронної пошти з особистим обліковим записом електронної пошти або корпоративного календаря з особистим календарем: у команди безпеки є рішення для цього. Зокрема, вони запровадили рішення безпеки електронної пошти та DLP, щоб блокувати пересилання електронної пошти та забезпечити керування даними. Це вирішує проблему, чи не так?
Ну, ні. Повторна знахідка на великих підприємствах і малих підприємствах виявляє, що користувачі створюють автоматизовані засоби, які обходять контроль електронної пошти, щоб пересилати свою корпоративну електронну пошту та календар до своїх особистих облікових записів. Замість того, щоб пересилати електронні листи, вони копіюють і вставляють дані з однієї служби в іншу. Увійшовши в кожну службу з окремим обліковим записом і автоматизувавши процес копіювання та вставки без використання коду, бізнес-користувачі легко обходять контроль безпеки — і це нелегко для команд безпеки.
Спільнота Power Platform навіть розвинулася Шаблони який будь-який користувач Office 365 може взяти та використовувати.
З великою силою приходить велика відповідальність
Розширення можливостей бізнес-користувачів — це чудово. Бізнес-напрямки не повинні чекати ІТ або боротися за ресурси розвитку. Однак ми не можемо просто надати бізнес-користувачам повноваження на рівні розробника без вказівок чи огорож і очікувати, що все буде гаразд.
Команди безпеки повинні навчати бізнес-користувачів і інформувати їх про їхні нові обов’язки як розробників додатків, навіть якщо ці додатки створено без використання коду. Команди безпеки також повинні встановити огорожі та моніторинг, щоб гарантувати, що коли бізнес-користувачі роблять помилку, як це робимо всі ми, це не переросте в повномасштабний витік даних або інциденти аудиту відповідності.
