Приложения, разработанные гражданами: да, вы можете сделать их безопасными для своего предприятия, и вот как

Опубликовано: 4 Марта, 2023
Приложения, разработанные гражданами: да, вы можете сделать их безопасными для своего предприятия, и вот как

Назовите их приложениями, разработанными гражданами, назовите их приложениями с низким кодом или назовите их приложениями без кода — они здесь, и они больше не маленькие. Исследование Forrester показало, что рынок приложений с низким кодом вырастет с 1,7 млрд долларов в 2015 году до 15 млрд долларов к концу 2020 года. Темпы этого роста точно отражают распространение приложений с низким кодом или приложений без кода в корпоративных ИТ.

Сотрудникам, которые не несут прямой ответственности за разработку приложений, но знакомы с основами разработки, намного проще использовать модели платформы приложений как услуги (aPaaS) для разработки приложений с базовой функциональностью и быстрого решения локализованных проблем.

В то время как в этом часто виновата вялость в доставке ИТ, подход самопомощи часто приводит к гибкости внутри команд, поскольку все делается быстро. Эти приложения с низким кодом или без кода можно использовать для самых разных целей, от инвентаризации до организации командных выходных!

Тогда в чем проблема?

Никто не может отрицать повышения производительности, которое приложения от гражданских разработчиков могут принести предприятиям, особенно те, которые демонстрируют свою ценность в решении бизнес-задач и могут масштабироваться для более широкого использования ИТ-командами.

Однако с этими приложениями связаны скрытые затраты и риски, которые предприятия не могут позволить себе игнорировать. Поскольку ИТ-отдел обычно не участвует в разработке этих приложений, они практически не управляются данными. Права доступа, безопасность интеграции и конфиденциальность данных — это критически важные аспекты любого бизнес-приложения, и весьма вероятно, что приложения, разработанные гражданами, не будут иметь хороших результатов по этим параметрам.

Медленно, но верно приложения, разработанные гражданами, становятся основой теневых ИТ на предприятиях. Как координаторы бизнеса и ИТ уравновешивают преимущества приложений с низким кодом и безопасностью? Это руководство помогает с ответами.

Разработка и распространение руководств по разработке безопасных приложений для граждан

Компания Gartner’s Strategic Planning Assumption опубликовала отчет, в котором говорится, что к 2020 году более 70% предприятий будут иметь строгую политику развития граждан (в 2010 году таких было 20%). До тех пор вы должны придерживаться следующих сильных сторон:

  • Информировать команды о нормативных требованиях, которым должно соответствовать предприятие; например, HIPAA для медицинской информации, PCI для данных кредитных карт и FERPA для образовательных записей.
  • Распространяйте информацию о том, какие данные безопасно хранить в облачном хранилище, а какие нет.
  • Проведите обучение, чтобы помочь пользователям понять нюансы принимаемых решений, связанных с доступом к приложениям и привилегиями ролей пользователей.
  • Внедрите механизмы для поиска информации о событиях, происходящих на ваших предприятиях каждый месяц.

Обеспечьте разумное использование в гражданских приложениях

Большинство известных рисков приложений, разработанных гражданами, связаны с неразумным использованием конфиденциальных данных и загрузкой конфиденциальной информации на рискованные платформы. Чтобы избежать этого, корпоративные ИТ-руководители могут использовать матрицу классификации данных или аналогичные инструменты. Эта матрица помогает предприятию классифицировать все виды данных.

Существуют различные категории: общедоступные, конфиденциальные, только для внутреннего использования и т. д. Это помогает гражданским разработчикам принимать взвешенные решения на основе данных, которые они собираются использовать для создания приложений с низким кодом. Кроме того, это помогает ИТ-командам выявлять более рискованные приложения с низким кодом, которые могут использовать конфиденциальные данные без полной безопасности.

Доступ на основе ролей

Доступ на основе ролей — это проверенная временем и доказавшая свою эффективность мера обеспечения соблюдения политик безопасности, и она одинаково хорошо применима с точки зрения того, как пользователи используют aPaaS для создания приложений с низким кодом. Чтобы убедиться, что только небольшая группа авторизованных пользователей может получить доступ к приложению, внедрите единый вход и добавьте в смесь параметры группы безопасности.

Пример: если отдел кадров выполняет проект по очистке данных о сотрудниках, создайте группу безопасности отдела кадров, добавьте в группу всех идентифицированных авторизованных пользователей и используйте параметры безопасности группы для управления доступом к приложениям для всей команды.

Как только это будет сделано, рекомендуется проводить ежеквартальные проверки разрешений и прав доступа, уделяя особое внимание удалению лиц, покинувших команду или организацию, и добавлению новых участников.

Реализация на стороне поставщика ограничений для программных приложений для граждан

Изображение 527
Викимедиа

Другой подход к обеспечению безопасности разработки приложений с низким кодом заключается в реализации методов, связанных с безопасностью, со стороны aPaaS. Например:

  • Требования многофакторной аутентификации для доступа к определенным приложениям и менее строгие требования для более приземленных приложений.
  • IP-фильтрация, чтобы любой доступ к приложению осуществлялся только из вашей офисной сети.
  • Блокировка или программная блокировка приложений, разработанных гражданами, в сочетании с простым процессом утверждения ИТ-специалистов, который может разблокировать приложения, основанный на автоматизированном рабочем процессе, который отправляет запросы на утверждение нужному лицу на основе иерархии отчетности запрашивающего лица.
  • Ограничение использования определенных типов данных в неавторизованных приложениях.

Эти методы должны быть реализованы с упором на то, чтобы сделать гражданские приложения открытыми, а не блокировать их, поэтому для каждой блокировки, которую вы создаете, должна быть четкая и не пугающая информация, чтобы помочь пользователям делиться сведениями о приложении с ИТ-командами.

Награждение приложений, разработанных гражданами, с целью мотивации раскрытия информации

Крайне важно, чтобы все ваши сообщения о необходимости защиты приложений, разработанных гражданами, не были пугающими. Если вы определили команды, в которых наиболее распространена культура приложений самопомощи, стоит внедрить механизм вознаграждения.

Больше всего на свете это будет мотивировать раскрытие этих приложений. С точки зрения ИТ убедитесь, что вы сосредоточены на защите раскрытых приложений, а не на том, чтобы сделать их неработоспособными. Это может помочь значительно уменьшить площадь поверхности угроз, возникающих в результате воинственного использования гражданских приложений с низким кодом.

Из тени

Не так давно гражданские приложения рассматривались исключительно в негативном свете, и наиболее часто приводившимся аргументом были связанные с ними риски интеграции и безопасности данных. Однако из-за простоты создания приложений с низким кодом и серьезной проблемы, связанной с тем, что ИТ-поставка опережает требования бизнеса, гражданские приложения стали реальностью, с которой должны смириться руководители ИТ-безопасности.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023