Az árnyék-táblázat születése és veszélyei
A legtöbb vállalatnál továbbra is az ERP-rendszerek és egyéb céges platformok csak a munka 90%-át fedik le. Az utolsó simításokat – grafikonok igazítása, PDF-mentés – már exportált táblázatban végzik, majd a táblázat ott marad, linkként vagy csatolmányként terjed tovább. Ettől függetlenül minden benne lévő információ hozzáférhető azok számára, akikhez eljut, anélkül, hogy a szervezet ezt ellenőrizné vagy nyomon követhetné.
Az árnyék-táblázatok két tipikus kockázata: a túlmegosztás és a „több verzióban létezés”. A túlmegosztás akkor történik, amikor valaki egy közös, mindenki által szerkeszthető táblázatot oszt meg – például egy Slack-csatornában. Így a vállalat összes munkatársa, akár akarja, akár nem, hozzáférhet érzékeny adatokhoz, a fizetési információktól az üzleti tervekig. A másik véglet, amikor minden csapat vagy vezető saját verziót hoz létre: külön példány a pénzügynek, külön a vezetőségnek, külön a külsős tanácsadónak. Ebből következik, hogy már senki nem tudja pontosan, melyik verzió a hivatalos, és ki mit javított benne – a nyomkövethetőség elveszik.
A biztonsági vezetők rémálma
Egy ártatlan e-mail egy tanácsadónak: Bob küldi az elemző táblázatot, amelyben a szükséges harmadik lapon túl, a hetedik lapon ott az összes ügyfélszerződés, hosszabbítási dátum, árképzési adat. A tanácsadó nem feltétlenül rosszindulatú, de biztosan nem köti a szervezeti adatvédelmi szabályzat, így az érzékeny bérek, szerződések könnyen irányíthatatlanul terjedhetnek tovább. A fő gond továbbra is az, hogy senki sem tudja, hány példány van forgalomban, kinek a gépén vagy milyen Google-fiókban landoltak, hol töltötték le és mikor. Így az árnyék-táblázatok térképezhetetlen támadási felületet hoznak létre. Adatvesztés esetén sem lehet visszakeresni, hogy pontosan ki mit látott, módosított vagy exportált.
Miért nem működnek a szokványos megoldások?
A szervezet képzése vagy szigorúbb irányelvek nem oldják meg a problémát, ha maga az alapvető szoftver korlátolt. Hiába tiltanak le a megosztást, vagy figyelik a csatolmányokat, az emberek úgyis kitérő megoldásokat keresnek – USB-kulcsok, privát felhőfiókok –, hiszen a munkát el kell végezniük. Szoftverfejlesztés cégen belül nemcsak lassú (legalább fél év), hanem költséges is: egy egyszerű belső alkalmazás fejlesztése legalább 74 millió forintba is kerülhet, miközben a valódi igények állandóan változnak. Az adatkezelés rugalmatlansága esetén mindenki a maga útját járja, és a szervezet elveszíti kontrollját az adatok felett.
Az egyetlen járható út: a védett táblázat
Az árnyék-táblázatok elleni harc kudarcra van ítélve, hiszen a táblázat egyszerű, ismerős, mindenki használni tudja – sok jelenlegi felhőalapú platform valójában nem több egy elegánsabb kinézetű táblázatnál. Ha a tiltás nem megy, a védelem viszont működhet: az újszerű megközelítés szerint az adatok nem is hagyják el a belső környezetet, míg a hozzáférés minden sorra és oszlopra finomhangolható. Nincs több megosztott másolat, a verziókövetés és az auditálás nyomon követhető – mindenki csak azt látja, amit tényleg kell látnia. Az integráció a céges VPN-be vagy SSO-ba garantálja, hogy még egy tanácsadó is csak a szükséges adatokhoz férjen hozzá. Így a klasszikus táblázatos élmény és rugalmasság megmarad, de a céges adatok végre biztonságban vannak – kilépnek az árnyékból.
