Приложения, разработанные гражданами: да, вы можете сделать их безопасными для своего предприятия, и вот как
Назовите их приложениями, разработанными гражданами, назовите их приложениями с низким кодом или назовите их приложениями без кода — они здесь, и они больше не маленькие. Исследование Forrester показало, что рынок приложений с низким кодом вырастет с 1,7 млрд долларов в 2015 году до 15 млрд долларов к концу 2020 года. Темпы этого роста точно отражают распространение приложений с низким кодом или приложений без кода в корпоративных ИТ.
Сотрудникам, которые не несут прямой ответственности за разработку приложений, но знакомы с основами разработки, намного проще использовать модели платформы приложений как услуги (aPaaS) для разработки приложений с базовой функциональностью и быстрого решения локализованных проблем.
В то время как в этом часто виновата вялость в доставке ИТ, подход самопомощи часто приводит к гибкости внутри команд, поскольку все делается быстро. Эти приложения с низким кодом или без кода можно использовать для самых разных целей, от инвентаризации до организации командных выходных!
Тогда в чем проблема?
Никто не может отрицать повышения производительности, которое приложения от гражданских разработчиков могут принести предприятиям, особенно те, которые демонстрируют свою ценность в решении бизнес-задач и могут масштабироваться для более широкого использования ИТ-командами.
Однако с этими приложениями связаны скрытые затраты и риски, которые предприятия не могут позволить себе игнорировать. Поскольку ИТ-отдел обычно не участвует в разработке этих приложений, они практически не управляются данными. Права доступа, безопасность интеграции и конфиденциальность данных — это критически важные аспекты любого бизнес-приложения, и весьма вероятно, что приложения, разработанные гражданами, не будут иметь хороших результатов по этим параметрам.
Медленно, но верно приложения, разработанные гражданами, становятся основой теневых ИТ на предприятиях. Как координаторы бизнеса и ИТ уравновешивают преимущества приложений с низким кодом и безопасностью? Это руководство помогает с ответами.
Разработка и распространение руководств по разработке безопасных приложений для граждан
Компания Gartner’s Strategic Planning Assumption опубликовала отчет, в котором говорится, что к 2020 году более 70% предприятий будут иметь строгую политику развития граждан (в 2010 году таких было 20%). До тех пор вы должны придерживаться следующих сильных сторон:
- Информировать команды о нормативных требованиях, которым должно соответствовать предприятие; например, HIPAA для медицинской информации, PCI для данных кредитных карт и FERPA для образовательных записей.
- Распространяйте информацию о том, какие данные безопасно хранить в облачном хранилище, а какие нет.
- Проведите обучение, чтобы помочь пользователям понять нюансы принимаемых решений, связанных с доступом к приложениям и привилегиями ролей пользователей.
- Внедрите механизмы для поиска информации о событиях, происходящих на ваших предприятиях каждый месяц.
Обеспечьте разумное использование в гражданских приложениях
Большинство известных рисков приложений, разработанных гражданами, связаны с неразумным использованием конфиденциальных данных и загрузкой конфиденциальной информации на рискованные платформы. Чтобы избежать этого, корпоративные ИТ-руководители могут использовать матрицу классификации данных или аналогичные инструменты. Эта матрица помогает предприятию классифицировать все виды данных.
Существуют различные категории: общедоступные, конфиденциальные, только для внутреннего использования и т. д. Это помогает гражданским разработчикам принимать взвешенные решения на основе данных, которые они собираются использовать для создания приложений с низким кодом. Кроме того, это помогает ИТ-командам выявлять более рискованные приложения с низким кодом, которые могут использовать конфиденциальные данные без полной безопасности.
Доступ на основе ролей
Доступ на основе ролей — это проверенная временем и доказавшая свою эффективность мера обеспечения соблюдения политик безопасности, и она одинаково хорошо применима с точки зрения того, как пользователи используют aPaaS для создания приложений с низким кодом. Чтобы убедиться, что только небольшая группа авторизованных пользователей может получить доступ к приложению, внедрите единый вход и добавьте в смесь параметры группы безопасности.
Пример: если отдел кадров выполняет проект по очистке данных о сотрудниках, создайте группу безопасности отдела кадров, добавьте в группу всех идентифицированных авторизованных пользователей и используйте параметры безопасности группы для управления доступом к приложениям для всей команды.
Как только это будет сделано, рекомендуется проводить ежеквартальные проверки разрешений и прав доступа, уделяя особое внимание удалению лиц, покинувших команду или организацию, и добавлению новых участников.
Реализация на стороне поставщика ограничений для программных приложений для граждан
Другой подход к обеспечению безопасности разработки приложений с низким кодом заключается в реализации методов, связанных с безопасностью, со стороны aPaaS. Например:
- Требования многофакторной аутентификации для доступа к определенным приложениям и менее строгие требования для более приземленных приложений.
- IP-фильтрация, чтобы любой доступ к приложению осуществлялся только из вашей офисной сети.
- Блокировка или программная блокировка приложений, разработанных гражданами, в сочетании с простым процессом утверждения ИТ-специалистов, который может разблокировать приложения, основанный на автоматизированном рабочем процессе, который отправляет запросы на утверждение нужному лицу на основе иерархии отчетности запрашивающего лица.
- Ограничение использования определенных типов данных в неавторизованных приложениях.
Эти методы должны быть реализованы с упором на то, чтобы сделать гражданские приложения открытыми, а не блокировать их, поэтому для каждой блокировки, которую вы создаете, должна быть четкая и не пугающая информация, чтобы помочь пользователям делиться сведениями о приложении с ИТ-командами.
Награждение приложений, разработанных гражданами, с целью мотивации раскрытия информации
Крайне важно, чтобы все ваши сообщения о необходимости защиты приложений, разработанных гражданами, не были пугающими. Если вы определили команды, в которых наиболее распространена культура приложений самопомощи, стоит внедрить механизм вознаграждения.
Больше всего на свете это будет мотивировать раскрытие этих приложений. С точки зрения ИТ убедитесь, что вы сосредоточены на защите раскрытых приложений, а не на том, чтобы сделать их неработоспособными. Это может помочь значительно уменьшить площадь поверхности угроз, возникающих в результате воинственного использования гражданских приложений с низким кодом.
Из тени
Не так давно гражданские приложения рассматривались исключительно в негативном свете, и наиболее часто приводившимся аргументом были связанные с ними риски интеграции и безопасности данных. Однако из-за простоты создания приложений с низким кодом и серьезной проблемы, связанной с тем, что ИТ-поставка опережает требования бизнеса, гражданские приложения стали реальностью, с которой должны смириться руководители ИТ-безопасности.