Superare le principali sfide alla sicurezza dello sviluppo low-code/no code basato sull'intelligenza artificiale

Piattaforme di sviluppo low-code hanno cambiato il modo in cui le persone creano soluzioni aziendali personalizzate, incluse app, flussi di lavoro e copiloti. Questi strumenti danno potere agli sviluppatori cittadini e creano un ambiente più agile per lo sviluppo di app. L'aggiunta dell'intelligenza artificiale al mix non ha fatto altro che migliorare questa capacità. Il fatto che all'interno di un'organizzazione non ci siano abbastanza persone con le competenze (e il tempo) per creare il numero di app, automazioni e così via necessarie per portare avanti l'innovazione ha dato origine al low-code/no-code paradigma. Ora, senza bisogno di formazione tecnica formale, gli sviluppatori cittadini possono sfruttare piattaforme user-friendly e l’intelligenza artificiale generativa per creare, innovare e implementare soluzioni basate sull’intelligenza artificiale.

Ma quanto è sicura questa pratica? La realtà è che sta introducendo una serie di nuovi rischi. La buona notizia è che non è necessario scegliere tra la sicurezza e l'efficienza offerta dall'innovazione guidata dal business.

Uno spostamento oltre la visione tradizionale

I team IT e di sicurezza sono abituati a concentrare i propri sforzi su scansione e ricerca delle vulnerabilità scritte nel codice. Il loro obiettivo è assicurarsi che gli sviluppatori stiano creando software sicuro, assicurando che il software sia sicuro e poi, una volta in produzione, monitorandolo per eventuali deviazioni o qualsiasi cosa sospetta dopo il fatto.

Grazie alla aumento di codice basso e nessun codice, sempre più persone creano applicazioni e utilizzano l'automazione per creare applicazioni, al di fuori del tradizionale processo di sviluppo. Si tratta spesso di dipendenti con poca o nessuna esperienza nello sviluppo di software e queste app vengono create al di fuori dell'ambito della sicurezza.

Ciò crea una situazione in cui l’IT non costruisce più tutto per l’organizzazione e il team di sicurezza non ha visibilità. In una grande organizzazione, potresti creare qualche centinaio di app in un anno attraverso lo sviluppo professionale; con codice basso/nessun codice, potresti ottenere molto di più. Ci sono molte potenziali app che potrebbero passare inosservate o non monitorate dai team di sicurezza.

Una ricchezza di nuovi rischi

 Alcuni dei potenziali problemi di sicurezza associati allo sviluppo low-code/no-code includono:

1. Non rientra nelle competenze dell'IT: come appena accennato, gli sviluppatori cittadini lavorano al di fuori delle linee dei professionisti IT, creando una mancanza di visibilità e uno sviluppo di app ombra. Inoltre, questi strumenti consentono a un numero infinito di persone di creare rapidamente app e automazioni, con pochi clic. Ciò significa che c'è un numero indicibile di app create a un ritmo vertiginoso da un numero indicibile di persone, tutte senza che l'IT abbia il quadro completo.
2. Non ciclo di vita dello sviluppo software (SDLC) – Sviluppare software in questo modo significa che non esiste un SDLC in atto, il che può portare a incoerenza, confusione e mancanza di responsabilità oltre al rischio.
3. Sviluppatori alle prime armi: queste app vengono spesso create da persone con meno competenze tecniche ed esperienza, aprendo la porta a errori e minacce alla sicurezza. Non pensano necessariamente alla sicurezza o alle implicazioni dello sviluppo nel modo in cui farebbe uno sviluppatore professionista o qualcuno con più esperienza tecnica. E se viene rilevata una vulnerabilità in un componente specifico incorporato in un gran numero di app, ha il potenziale per essere sfruttata in più istanze
4. Cattive pratiche di identità: anche la gestione dell’identità può essere un problema. Se desideri consentire a un utente aziendale di creare un'applicazione, la cosa principale che potrebbe fermarlo è la mancanza di autorizzazioni. Spesso questo può essere aggirato e ciò che accade è che potresti avere un utente che utilizza l'identità di qualcun altro. In questo caso, non c'è modo di capire se hanno fatto qualcosa di sbagliato. Se accedi a qualcosa a cui non sei autorizzato o se provi a fare qualcosa di dannoso, la sicurezza cercherà l'identità dell'utente preso in prestito perché non c'è modo di distinguere tra i due.
5. Nessun codice da scansionare: ciò causa una mancanza di trasparenza che può ostacolare la risoluzione dei problemi, il debug e l'analisi della sicurezza, nonché possibili problemi di conformità e normative.

Tutti questi rischi possono contribuire alla potenziale fuga di dati. Non importa come viene creata un'applicazione, sia che venga creata con il trascinamento della selezione, un prompt basato su testo o con codice, ha un'identità, ha accesso ai dati, può eseguire operazioni e deve comunicare con gli utenti. I dati vengono spostati, spesso tra luoghi diversi dell'organizzazione; questo può facilmente rompere i confini o le barriere dei dati.

Sono in gioco anche la privacy e la conformità dei dati. I dati sensibili risiedono all'interno di queste applicazioni, ma vengono gestiti da utenti aziendali che non sanno (e nemmeno pensano di farlo) come archiviarli correttamente. Ciò può portare a una serie di problemi aggiuntivi, comprese le violazioni della conformità.

Riacquistare visibilità

Come accennato, uno dei le grandi sfide con codice basso/nessun sono che non sono di competenza dell'IT/sicurezza, il che significa che i dati attraversano le app. Non sempre c'è una chiara comprensione di chi sta realmente creando queste app e c'è una generale mancanza di visibilità su ciò che sta realmente accadendo. E non tutte le organizzazioni sono pienamente consapevoli di ciò che sta accadendo. Oppure pensano che lo sviluppo dei cittadini non avvenga nella loro organizzazione, ma quasi certamente è così.

Quindi, come possono i leader della sicurezza ottenere il controllo e mitigare i rischi? Il primo passo è esaminare le iniziative di sviluppo cittadino all'interno della tua organizzazione, scoprire chi (se c'è qualcuno) sta guidando questi sforzi e connettersi con loro. Non vuoi che queste squadre si sentano penalizzate o ostacolate; in qualità di leader della sicurezza, il tuo obiettivo dovrebbe essere quello di sostenere i loro sforzi ma fornire formazione e guida per rendere il processo più sicuro.

La sicurezza deve iniziare dalla visibilità. La chiave a questo scopo è creare un inventario delle applicazioni e sviluppare una comprensione di chi sta creando cosa. Avere queste informazioni ti aiuterà a garantire che, se si verifica qualche tipo di violazione, sarai in grado di tracciare i passaggi e capire cosa è successo.

Stabilire un quadro di riferimento per lo sviluppo sicuro. Ciò include le politiche e i controlli tecnici necessari che garantiranno agli utenti di fare le scelte giuste. Anche gli sviluppatori professionisti commettono errori quando si tratta di dati sensibili; è ancora più difficile controllarlo con gli utenti aziendali. Ma con i giusti controlli in atto, puoi rendere difficile commettere un errore.

Verso un low-code/no-code più sicuro

Il tradizionale processo di codifica manuale ha ostacolato l’innovazione, soprattutto negli scenari competitivi di time-to-market. Con le attuali piattaforme low-code e no-code, anche le persone senza esperienza di sviluppo possono creare soluzioni basate sull'intelligenza artificiale. Sebbene ciò abbia semplificato lo sviluppo delle app, può anche mettere a repentaglio la sicurezza e la protezione delle organizzazioni. Tuttavia, non deve trattarsi di una scelta tra lo sviluppo dei cittadini e la sicurezza; i leader della sicurezza possono collaborare con gli utenti aziendali per trovare un equilibrio per entrambi.