Dzisiaj, bez wątpienia, każda firma jest organizacją programistyczną, posiadającą cyfrowy mandat – niezależnie od branży czy wielkości. Aplikacje są motorem napędowym współczesnego biznesu. To za ich pośrednictwem firmy opracowują oraz dostarczają towary i usługi. Najlepszymi przykładami „cyfrowych tubylców” są oczywiście firmy jak LinkedIn, WhatsApp czy Uber – tu znaczenie „kapitału aplikacji” widać w największym wymiarze. Niemniej, konieczność budowania świadomości i strategii aplikacji dotyczy każdej organizacji. – przekonuje Kara Sprague, Executive Vice President and General Manager, Application Services w F5 Networks.
Witamy w erze “Kapitału aplikacji”
Portfolia aplikacji firm osiągają dzisiaj wartości liczone w miliardach dolarów. Można je znaleźć wszędzie, gdzie wykonywana jest praca: od oczywistych i powszechnych rozwiązań aż po sprzęt konferencyjny, termostaty czy… akwaria. Jednak większość organizacji ma jedynie przybliżone wyczucie, ile aplikacji posiada, używa, gdzie one działają i jakie niosą ze sobą zagrożenia. Biznes nieustannie wprowadza innowacje, uzupełniając i budując „kapitał aplikacji”. Zapomina przy tym jednak o stworzeniu spójnej strategii organizacyjnej do zarządzania tym kapitałem.
Złożoność tego kapitału jest w dużej mierze wyzwaniem. W najnowszych badaniach ekspertów F5 90% respondentów zgłosiło, że używa wielu chmur – średnio 2,5 chmury na organizację. Ponad połowa ankietowanych stwierdziła, że decyzje o hostowaniu aplikacji podejmuje dla każdego rozwiązania oddzielnie. Większe firmy mogą mieć setki, jeśli nie tysiące permutacji aplikacji, chmur i serwerów, przy czym wsparcie otrzymywane przez te aplikacje często znacznie się różni.
Hakerzy są też tam, gdzie zupełnie się nie spodziewasz
W przypadku większości firm portfolio aplikacji jest w najlepszym przypadku niewystarczająco nadzorowane, a w najgorszym – poważnie zagrożone. Przy wielu aplikacjach w rozproszonych lokalizacjach, zagrożenia mogą pochodzić z dowolnego miejsca, a skutki naruszeń mogą być dla organizacji katastrofalne.
Jako przykład, można przywołać głośne przypadki np. firmę Target czy kasyno w Londynie, w których hakerzy zdobyli ogromne ilości danych za pośrednictwem systemu klimatyzacji czy poprzez termometr w akwarium w lobby kasyna. Obie firmy straciły na tym miliony, a w przypadku Targetu dymisję złożył też Prezes Zarządu. Te dwa niepozorne punkty wejścia dla hakerów świetnie obrazują, jak poważne niebezpieczeństwo niosą za sobą aplikacje z otwartym dostępem. Jednocześnie, powtórzmy, praktycznie żadna duża organizacja nie może z całą pewnością potwierdzić, ile aplikacji ma w swoim portfolio.
Aplikacje jako zasoby firmy
W kontraście do zarządzania aplikacjami, można przywołać sposób, w jaki organizacje zarządzają kapitałem fizycznym i ludzkim. Firmy takie jak Airbus polegają na sieci tysięcy dostawców i precyzyjnym harmonogramie w łańcuchu dostaw, aby stworzyć jeden samolot. Airbus jest również w stanie śledzić i monitorować w czasie rzeczywistym wydajność, użycie, lokalizację i stan każdego z silników odrzutowych. UPS ma podobny poziom zaawansowania, jeśli chodzi o zarządzanie ludźmi. Firma nadzoruje ogromną globalną sieć dostaw, która zatrudnia setki tysięcy pracowników, z tak szczegółowym wglądem w ich działania, że może określić, w jaki sposób kierowcy powinni wsiadać i wysiadać z pojazdów, aby zwiększać wydajność i zmniejszać ryzyko potencjalnych obrażeń.
Jeśli firmy chcą zminimalizować zagrożenia biznesu i maksymalizować wartość ekosystemu aplikacji, muszą zacząć inwestować tę samą energię oraz środki w „kapitał aplikacji”, jak w przypadku zasobów fizycznych czy talentów. Stosowanie takiego samego rygoru i dyscypliny do czegoś, co wydaje się znacznie mniej namacalne jest wyzwaniem.
Budowanie strategii aplikacji
Aby efektywnie zarządzać tym kapitałem, firmy muszą zacząć od ustanowienia strategii aplikacji obejmującej całą organizację. Strategia ta powinna uwzględniać wszystkie aspekty tworzenia, kupowania i wdrażania aplikacji, a następnie zarządzania nimi. Powinna także definiować zabezpieczenia i zasady potencjalnego wycofania aplikacji z organizacji.
Eksperci F5 polecają oparcie tej strategii na sześciu najważniejszych krokach:
- Przygotowanie spisu aplikacji, który zawiera funkcje i pochodzenie każdej aplikacji (komponenty open source, pochodzące od stron trzecich…), wraz z danymi, których używa, usługami, z którymi się komunikuje oraz informacjami kto ma do aplikacji dostęp, tworzy je i nimi zarządza.
- Ocena cyberryzyka dla każdej aplikacji powinna być oszacowana pod względem możliwego kosztu lub potencjalnych skutków w przypadku wyłomu dla samej aplikacji i jej danych.
- Skategoryzowanie aplikacji pod względem ryzyka: aplikacje powinny zostać przypisane do zdefiniowanych kategorii wraz z określeniem minimalnych usług, których wymagają do bezpiecznego i prawidłowego działania.
- Zidentyfikowanie usług koniecznych do obsługi każdej aplikacji, które uwzględniają m.in. konieczne zapory sieciowe aplikacji, usługi anty-DDoS, anty-bot, usługi zapewniające globalną dostępność i równoważenie obciążenia.
- Zidentyfikowanie parametrów wdrażania i zarządzania aplikacjami (w odniesieniu do określonych wcześniej kategorii) zawierających architektury wdrażania oraz informacje, czy dla danej kategorii aplikacji możliwe jest korzystanie z chmury publicznej i usług podmiotów zewnętrznych.
- Określenie ról i obowiązków osób związanych z wdrażaniem, bezpieczeństwem, dostępem użytkowników, monitorowaniem stron trzecich i rozliczaniem aplikacji dodawanych i usuwanych w firmie.
Podstawowym celem strategii aplikacji powinno być ulepszenie i zabezpieczenie wszystkich możliwości cyfrowych – nawet gdy firma ciągle je rozwija i rozszerza. Pomaga to upewnić się, że wszyscy postępują właściwie, uwzględniają i chronią aplikacje w organizacji, a jednocześnie wciąż mają możliwości wspierania innowacji. Istnieje jedna główna różnica pomiędzy tradycyjnymi zasobami fizycznymi i wciąż rosnącymi – cyfrowymi. To właśnie dane w aplikacjach, które dotyczą nie tylko firmy, ale także jej klientów i partnerów, są narażone na ryzyko. Skuteczne zarządzanie kapitałem aplikacji jest więc koniecznością biznesową.
Wraz z postępującą cyfryzacją, proces budowania strategii aplikacji będzie stawał się coraz bardziej złożony i trudny – to właśnie teraz jest więc najlepszy moment na rozpoczęcie działań w tym kierunku.
