Har du sikret dig at Power platformen ikke ender som det vilde vesten?

1. nov 2021

af Michael Buades 

Governance til Microsoft Power-platformen, Power Apps & Power Automate (Flow)

 

Power Apps og Power Automate (Flows) er no-code/low-code brugerinterfaces, der gør appudvikling til allemandseje. Alle fra IT-professionals til kantinemedarbejderen, kan udvikle deres egne flows og apps. Det skaber kæmpe værdi og enorme muligheder, når udviklingen af brugerdefinerede apps, flyttes ud i forretningen. Processen fra idé til færdig app, er langt kortere end ved traditionel appudvikling og ejerskabet større, når det er forretningen selv, der har stået for appudviklingen. What’s not to like?

”Vi er vilde med Microsoft Power-platformen, Power Apps og Power Automate (Flows)”, men… Ja, der er desværre et stort MEN – for når noget bliver allemandes eje og samtidigt skaber stor værdi, har det en tendens til at få vokseværk”. At noget er populært og bliver brugt er et sundhedstegn, men Power platformen er fuldstændig åben, så uden governance, vil det ende som det Vilde Vesten.

”Manglende governance omkring Power platformen, Power Apps og Power Automate (Flows), er en tikkende bombe i mange organisationer”

I det efterfølgende gennemgår vi nogle af de risici som vi sædvanligvis møder, hos virksomheder der har taget Power-platformen, Power Apps og Power Automate (Flows) i brug.

 

Datasikkerhed

Power Apps og Power Automate (Flows) giver mulighed for at installere gateways, og trække data ind i Power platformen, fra stort set alle datakilder. Det kan udgøre en stor sikkerhedsrisiko, når helt almindelige interne brugere har adgang til virksomhedens dataplatform (Common Data Service), eller til virksomhedens forskellige online datakilder (SharePoint, Excel, Microsoft 365, Dynamics 365, SQL Server mf.).

Vigtige spørgsmål i forbindelse med sikring af datasikkerheden:

Har din organisation overblik over hvilke medarbejdere og apps, der har adgang til hvilke data? Har I overblik over adgangen til fortrolige data og om data anvendes så de overholder virksomhedens datapolitik?

 

Connectors

Microsoft Power platformen kan forbindes til stort set hvad som helst. Problemet er, at mange brugere ikke ved hvad de forbinder til og hvilke konsekvenser det har for forretningen. Det er i sig selv et problem, at brugerne uforvarende kan skabe apps og forbindelse, der kompromitterer datasikkerheden internt i organisation. Men det udgør en endnu større sikkerhedsrisiko, når der forbindes til tredjeparts produkter og udveksles data og dokumenter med disse. Som eksempel kan nævnes at brugeren uden problemer, kan oprette et Flow der forbinder SharePoint-biblioteket med Dropbox og derigennem kan flytte fortrolige dokumenter fra en forretningslokation, til sin personlige Dropbox?

Vigtige spørgsmål i forbindelse med anvendelse at connectors:

Har din organisation overblik over hvilke eksterne systemer, jeres Power Apps forbinder til og hvilke informationer der udveksles? Har I udarbejdet politikker, der har til formål at beskytte jeres datakilder?

Ejerskab

Hvis brugeren har licens til Power platformen, kan brugeren umiddelbart anvende Power Apps, Power Automate (Flows) og connectors. Det rejser spørgsmålet om ejerskab over de Power Apps og Flows, brugerne har oprettet, og om de lever op til virksomhedens governance politikker.

Vigtige spørgsmål i forbindelse med sikring af ejerskab:

Har I overblik over hvem der har ejerskabet for de enkelte flows og app’s i jeres organisation? Hvad sker der med ejerskabet over apps eller flows, når en medarbejder forlader virksomheden? Hvordan sikres det, at der ikke udvikles Power App- og Flow dubletter?

Overvågning og Support

Power Apps og Flows kan frit oprettes af den enkelte bruger, og det vil være en kæmpe opgave, at skabe overblik over Power Apps og Flows, på tværs af alle virksomhedens brugere. Omfanget af Power Apps og Flows vil være i en konstant forandring, så der vil være behov for overvågning af disse. Når vi taler om overvågning, er det vigtigt at sondre imellem hobbyapplikationer og forretningskritiske applikationer.

Vigtige spørgsmål i forbindelse med overvågning af Power platformen:

Hvem har ansvaret for at overvåge om flows og apps går ned? Hvem overvåger om flows og apps overholder virksomhedens politikker?  Hvem identificerer og klassificerer forretningskritiske apps og hvem overvåger disse? Hvem handler på sikkerhedstrusler og nedbrud?

 

Vil du vide mere om hvordan vi hjælper virksomheder til, at få governance i Power platformen, så læs her

Deltag i vores gratis Power governance webinar og tilmeld dig her

Har du lyst til at tage en uforpligtende snak med os ?