Riskten kaçınan kuruluşların, iş kullanıcılarının maliyetli hatalar yapma yeteneklerini ciddi şekilde sınırlayabildiği bir zaman vardı. Sınırlı teknik bilgi birikimi, katı izinler ve arka rüzgar eksikliği nedeniyle, bir iş kullanıcısının yapabileceği en kötü şey kötü amaçlı yazılım indirmek veya bir kimlik avı kampanyasına kanmaktı. O günler artık geride kaldı.
Günümüzde, her büyük hizmet olarak yazılım (SaaS) platformu, doğrudan iş kullanıcıları için tasarlanmış ve bunlara pazarlanan otomasyon ve uygulama geliştirme yetenekleriyle birlikte gelir. Microsoft 365, Salesforce ve ServiceNow gibi SaaS platformları, mevcut tekliflerine kodsuz/düşük kodlu platformlar ekleyerek bunları kurumsal onay istemeden doğrudan iş kullanıcılarının eline veriyor. Bir zamanlar yalnızca BT ve geliştirme ekipleri tarafından kullanılabilen yetenekler artık tüm kuruluşta kullanılabilir.
Microsoft’un düşük kodlu platformu olan Power Platform, Office 365’te yerleşiktir ve Microsoft’un kuruluştaki güçlü yeri ve iş kullanıcıları tarafından benimsenme hızı nedeniyle harika bir örnektir. Belki de farkında olmadan, kuruluşlar geliştirici düzeyindeki gücü, çok daha az güvenlik veya teknik bilgiyle, her zamankinden daha fazla insanın eline veriyor. Ne yanlış gidebilir ki?
Aslında oldukça fazla. Deneyimlerimden birkaç gerçek dünya örneğini inceleyelim. Bilgiler anonimleştirildi ve işletmeye özel süreçler atlandı.
Çok uluslu bir perakende şirketindeki müşteri hizmetleri ekibi, müşteri verilerini tüketici içgörüleriyle zenginleştirmek istedi. Özellikle, ilk satın alımları sırasında bile onlara daha iyi hizmet verebilmek için yeni müşteriler hakkında daha fazla bilgi bulmayı umuyorlardı. Müşteri hizmetleri ekibi, birlikte çalışmak istedikleri bir satıcıya karar verdi. Satıcı, zenginleştirme için kendilerine veri gönderilmesini istedi ve bu veriler daha sonra hizmetleri tarafından geri alındı.
Normalde bu, BT’nin resme girdiği yerdir. BT’nin satıcıya ve satıcıdan veri almak için bir tür entegrasyon oluşturması gerekir. Bu satıcıya müşteri verilerinin güvenilmesini ve satın alma işlemini onaylamasını sağlamak için BT güvenlik ekibinin de dahil olması gerektiği açıktır. Tedarik ve hukuk da önemli bir rol oynayacaktı. Ancak bu durumda işler farklı bir yöne gitti.
Bu özel müşteri hizmetleri ekibi, Microsoft Power Platform uzmanlarıydı. Kaynakları veya onayları beklemek yerine, sadece devam ettiler ve entegrasyonu kendileri oluşturdular: üretimdeki SQL sunucularından müşteri verilerini toplamak, hepsini satıcı tarafından sağlanan bir FTP sunucusuna iletmek ve zenginleştirilmiş verileri FTP sunucusundan geri getirmek. üretim veritabanı. Veritabanına her yeni müşteri eklendiğinde tüm süreç otomatik olarak yürütülüyordu. Tüm bunlar, Office 365’te barındırılan sürükle ve bırak arabirimleri ve kişisel hesapları kullanılarak yapıldı. Lisans, satın alma işlemini döngü dışında tutan cepten ödendi.
Müşteri verilerini AWS’de sabit kodlanmış bir IP adresine taşıyan bir dizi iş otomasyonu bulduklarında CISO’nun şaşkınlığını hayal edin. Yalnızca Azure müşterisi olmak, bu dev bir kırmızı bayrak kaldırdı. Ayrıca, veriler güvenli olmayan bir FTP bağlantısıyla gönderilip alınıyor, bu da güvenlik ve uyumluluk riski oluşturuyordu. Güvenlik ekibi bunu özel bir güvenlik aracıyla bulduğunda, veriler neredeyse bir yıldır kuruluşa girip çıkıyordu.
Büyük bir BT satıcısındaki İK ekibi, çalışanların en sevdikleri hayır kurumlarına bağış yapmaya teşvik edildiği yılda bir kez “Give Away” kampanyasına hazırlanıyordu ve şirket, çalışanların bağışladığı her bir doları eşleştirerek devreye giriyordu. Önceki yılın kampanyası büyük bir başarıydı, bu nedenle beklentiler tavan yaptı. Kampanyayı güçlendirmek ve manuel süreçleri hafifletmek için yaratıcı bir İK çalışanı, tüm süreci kolaylaştıran bir uygulama oluşturmak için Microsoft’un Power Platformunu kullandı. Kayıt olmak için, bir çalışan kurumsal hesabıyla uygulamaya giriş yapar, bağış tutarını gönderir, bir hayır kurumu seçer ve ödeme için kredi kartı bilgilerini verir.
Kampanya, çalışanların rekor düzeyde katılımı ve İK çalışanlarından gereken çok az el işi ile büyük bir başarı elde etti. Ancak nedense güvenlik ekibi işlerin gidişatından memnun değildi. Güvenlik ekibinden bir çalışan, kampanyaya kaydolurken kredi kartlarının olması gerektiği gibi görünmeyen bir uygulamada toplandığını fark etti. Soruşturma üzerine, bu kredi kartı detaylarının gerçekten uygunsuz bir şekilde ele alındığını tespit ettiler. Kredi kartı ayrıntıları, varsayılan Power Platform ortamında depolandı; bu, tüm çalışanlar, satıcılar ve yükleniciler dahil olmak üzere tüm Azure AD kiracısı tarafından kullanılabildiği anlamına gelir. Ayrıca, basit düz metin dize alanları olarak saklandılar.
Neyse ki, veri işleme ihlali, kötü niyetli aktörler veya uyumluluk denetçileri tarafından fark edilmeden önce güvenlik ekibi tarafından keşfedildi. Veritabanı temizlendi ve mali bilgileri yönetmeliğe göre düzgün bir şekilde işlemek için uygulamaya yama uygulandı.
Bir kullanıcı olarak, kurumsal veri kaybını önleme denetimlerini kimse sevmez. Gerektiğinde bile, günlük operasyonlarda can sıkıcı sürtüşmeler yaratırlar. Sonuç olarak, kullanıcılar her zaman onları atlatmaya çalıştılar. Kurumsal e-posta, yaratıcı iş kullanıcıları ve güvenlik ekibi arasındaki sürekli çekişmelerden biridir. Kurumsal e-postayı kişisel bir e-posta hesabıyla veya kurumsal takvimi kişisel bir takvimle senkronize etme: Güvenlik ekiplerinin bunun için bir çözümü var. Yani, e-posta iletmeyi engellemek ve veri yönetişimi sağlamak için e-posta güvenliği ve DLP çözümlerini devreye sokarlar. Bu sorunu çözer, değil mi?
Hayır. Tekrarlanan bir bulgu büyük kuruluşlarda ve küçük işletmelerde, kullanıcıların kurumsal e-postalarını ve takvimlerini kişisel hesaplarına iletmek için e-posta denetimlerini atlayan otomasyonlar oluşturduğunu tespit etti. E-postaları iletmek yerine, verileri bir hizmetten diğerine kopyalayıp yapıştırırlar. Her hizmette ayrı bir kimlikle oturum açarak ve kodsuz kopyala-yapıştır sürecini otomatikleştirerek, iş kullanıcıları güvenlik kontrollerini kolaylıkla ve güvenlik ekiplerinin öğrenmesi için kolay bir yol olmadan atlar.
Power Platform topluluğu bile gelişmiş şablonlar herhangi bir Office 365 kullanıcısının alıp kullanabileceği.
İş kullanıcı yetkilendirmesi harika. İş kolları BT’yi beklememeli veya geliştirme kaynakları için savaşmamalıdır. Ancak, iş kullanıcılarına hiçbir rehberlik veya korkuluk olmadan geliştirici düzeyinde güç verip her şeyin yoluna girmesini bekleyemeyiz.
Güvenlik ekiplerinin, iş kullanıcılarını eğitmesi ve bu uygulamalar “kodsuz” kullanılarak oluşturulmuş olsalar bile, uygulama geliştiricileri olarak yeni sorumluluklarının farkına varmalarını sağlamaları gerekir. Güvenlik ekipleri ayrıca, hepimizin yaptığı gibi iş kullanıcıları bir hata yaptığında, bunun tam gelişmiş veri sızıntılarına veya uyumluluk denetimi olaylarına dönüşmemesini sağlamak için korkulukları ve izlemeyi devreye sokmalıdır.
siber-1