虽然影子总是一个挑战企业IT团队,迅速开始加速增长的智能手机,然后用难以置信的扩张云计算公共云基础设施和软件作为一种服务产品,使它容易访问云服务提供一个信用卡。今天,影子IT已经超越了智能手机、平板电脑和云服务,并迅速扩展到企业开发领域。
如果这些影子,或公民,开发商,都没有遏制这一趋势可能为企业创造安全团队深刻的风险。
是什么在推动公民发展,是企业应用的需求庞大。据Gartner称,市场对应用开发的需求将快于IT部门通过2021年交付的应用程序的能力增长五倍。
据来自低代码开发平台提供商OutSystems研究,企业62%的受访它深深报告应用程序开发的积压,具有超过10个应用程序等待被开发了许多。此外,接受调查的IT专业人士的76%的人认为它需要的三个月以上的平均开发自定义的应用程序。有关11的受访者百分比,即时间延长到一年。
With backlogs like that, it’s no surprise that business managers and staff at many enterprises are not happy with how long it takes for the apps they need to be delivered, so they are taking app development into their own hands by turning to platforms such as Appian, Kony, OutSystems, Mendix, Salesforce.com, and others to build the apps that they need. These platforms make it relatively easy for nearly anyone, especially non-professional developers, to build and deploy functioning enterprise apps.
“有市民开发商的想法,一般来讲,是一件好事,”迈克·汤普森,高级主管,在移动跨平台开发提供商科尼移动应用开发中间件说。“当人们非常接近企业的业务是通过移动应用有权创新,他们的行动可能是数字化改造的重要组成部分。”
这是毫无疑问的。然而,企业必须学会如何管理公民开发人员的努力,否则他们不仅有失去对员工使用的应用程序安全的控制的风险,而且有监管的数据最终会出现在不该出现的应用程序和地方。VMware的安全主管约翰•布里顿(John Britton)表示:“如果业务部门在没有IT支持的情况下开发应用程序,他们不太可能开发出专注于安全的应用程序——这对企业安全(团队)来说非常可怕。”
的Britton共享的例子。前段时间他的团队被要求已被部署在企业清理影子IT应用。虽然公民开发商曾尝试以包括用户名和密码在数据库中正确地散列的形式的安全问题:它们未能建立一个忘记密码功能。“开发商最终放弃了重置密码并删除了密码散列函数,并以明文存储的密码。任何人都可以访问这个数据库可能已经获得了员工的企业密码,因为很多人都没有养成良好的密码卫生,到处重复使用相同的密码。这是怎样一个影子IT的应用程序可能会严重风险企业安全,”布里顿说只是一个例子。
这就造成明显的风险,差距在安全性和潜在的合规性风险。而作为公民开发商企业内部成长,企业必须学会如何避免出现像布里顿上面提到。“通过IT市民开发人员和安全部门妥善和彻底的培训是组织应该要帮助公民开发商开发他们需要的应用程序,正确思维的另一个重要因素。这也将改善的应用程序和构建安全性和一致性的质量意识,”布里顿说。
Kony的Thompson表示,任何维护企业安全和遵从性的计划,一个关键的方面都是尽可能简单地为普通开发者整合必要的控制。“这意味着在开发平台本身中加入健壮的安全措施,开发通过简单的api访问的关键安全服务,或者引入可以在开发过程中或之后与普通开发人员一起工作的开发人员,”Thompson说。
对于没有到位的正式公民开发商计划的企业 - 这是,事实上,如今大多数组织 - 第一步是当有人已经部署IT的范围之外的应用程序来识别。第二个步骤是,以确定是否该应用程序会造成危险,或把手调节数据。这里的挑战,当然是不得不看到,当未经批准的应用程序产生的能力。
“你不能保证你不知道的东西,这样的生活刚刚得到了企业的安全团队更有趣。安全团队需要主动与企业员工的行来识别这些新的应用程序,如果有必须保护的专利信息,并确保新的攻击向量不会被不经意地介绍,”在NSS实验室的首席执行官维克拉姆Phatak说。
汤普森说,一个简单的策略是仔细管理对网络、云企业应用程序和所有其他企业数据来源的访问。通过保持对数据的控制——这样公民应用程序开发者就必须与企业IT团队合作才能访问企业数据——他们就有机会安装一些与移动安全需求相关的制度控制,”他说。
他说,企业应用程序商店也值得考虑。他说:“在企业应用程序商店中,可以检查移动应用程序的安全缺陷,并应用某种程度的外部安全措施。”安全团队可以让会计人员搜索采购订单、发票和员工费用报告,查找已知的“低代码”平台的名称。然后和员工交谈,了解他们是如何工作的,只要问问他们使用什么工具就行了。”
VMware的Britton提供了额外的指导。“建立这些战略来管理公民开发者的第一步是要认识到它不能是No的部门。第二,为他们能做什么,以及他们需要豁免哪些事情制定指导方针。
布里顿建议的指导方针包括:
- 定义编程语言,这些公民开发人员可以开发。我的建议是内存管理语言(Java,JavaScript等)。我会怀疑,大多数的这些公民开发商正在构建基于Web的应用程序或可能的移动应用程序。
- 定义公民开发人员将如何连接到这些应用程序。HTTPS或HTTP吗?确保保护传输中的数据。
- 提供关于如何加密静止数据的指导。
- 提供他们可以使用,以确保企业能够正确地管理应用程序移动SDK。销售需要一个软件生命周期管理 - 我们如何部署,我们如何撤销访问,当有人离开了该组,我们怎么擦从应用程序数据,如果设备丢失或被盗?
- 创建顾问团,帮助指导普通开发人员构建更好的应用程序。
重要的是,IT领导和安全团队意识到,就像在计算如BYOD和云的云计算所带来的消费早期变化,即他们不会把刹车公民开发商的崛起。他们将需要寻找其内部的公民开发商和工作与各业务部门的支持和指导开发新波是安全的方式,但也使企业能够开发出的应用程序每个人都需要。
根据Gartner的研究,这将是大多数企业的战略。该研究公司预测,到2020年,70%或更多的大型企业将制定公民发展政策。
这个故事,“公民开发者的安全风险上升”最初是由CSO 。