Citizen Developer – những người không chuyên lập trình nhưng vẫn có thể tự xây dựng ứng dụng nhờ các nền tảng low-code/no-code (LCNC) – đang trở thành xu hướng mạnh mẽ trong các tổ chức hiện đại. Họ giúp tăng tốc đổi mới, giảm áp lực cho bộ phận IT và tận dụng tri thức nghiệp vụ ngay từ người dùng cuối.
Tuy nhiên, bên cạnh những lợi ích vượt trội, phong trào Citizen Developer cũng mang theo không ít rủi ro bảo mật và quản lý, nếu doanh nghiệp không có chiến lược kiểm soát phù hợp.

Rủi ro về dữ liệu và bảo mật

  • Truy cập trái phép hoặc quá quyền
  • Citizen Developer có thể truy cập vào các nguồn dữ liệu nhạy cảm mà không có cơ chế kiểm soát rõ ràng. Khi tạo ứng dụng, họ có thể chia sẻ nhầm dữ liệu nội bộ ra bên ngoài hoặc phân quyền sai cho người dùng khác.
    Ví dụ: Một ứng dụng theo dõi khách hàng được chia sẻ công khai trên SharePoint chứa cả dữ liệu cá nhân (email, SĐT, doanh thu) mà không mã hóa hay giới hạn truy cập.

Ứng dụng "Shadow IT"

Khi các ứng dụng được phát triển ngoài tầm kiểm soát của bộ phận CNTT (IT department), chúng trở thành “Shadow IT” – các hệ thống không được giám sát và tiềm ẩn nhiều lỗ hổng bảo mật, thiếu bản vá hoặc không có kế hoạch backup.
Một khảo sát của Gartner chỉ ra rằng đến năm 2027, 75% các tổ chức lớn sẽ có một nhóm Citizen Developer chính thức, nhưng đồng thời hơn 30% ứng dụng nội bộ có thể thuộc dạng Shadow IT nếu không kiểm soát tốt.

Thiếu kiến thức bảo mật cơ bản

Citizen Developer thường là người nghiệp vụ, ít hiểu biết chuyên sâu về các nguyên tắc bảo mật như:
  • Xác thực người dùng (Authentication)
  • Bảo mật API
  • Mã hóa dữ liệu
  • Tuân thủ các quy định như GDPR, HIPAA...
Việc tạo ứng dụng nhanh nhưng thiếu đánh giá rủi ro có thể khiến tổ chức vi phạm pháp luật về bảo mật dữ liệu.

Rủi ro tự động hóa sai lệch

Các nền tảng LCNC như Power Automate, Zapier, Make... cho phép người dùng tự động hóa quy trình, nhưng nếu sai logic hoặc bị lợi dụng, có thể gây ra:
  • Xóa nhầm dữ liệu
  • Gửi nhầm email hàng loạt
  • Rò rỉ thông tin cho hệ thống bên thứ ba

Doanh nghiệp nên làm gì?

Để tận dụng sức mạnh của Citizen Developer mà vẫn đảm bảo an toàn, tổ chức cần:
  • Thiết lập chính sách quản trị Citizen Developer: Rõ ràng về quyền và phạm vi được phép tạo ứng dụng
  • Kiểm soát quyền truy cập dữ liệu
  • Tích hợp nền tảng LCNC với hệ thống bảo mật tập trung (SSO, MFA...)
  • Đào tạo cơ bản về bảo mật cho Citizen Developer
  • Tạo quy trình kiểm duyệt ứng dụng: Có thể áp dụng cơ chế review, test và phê duyệt ứng dụng trước khi triển khai diện rộng.
  • Sử dụng công cụ giám sát và audit:
Ví dụ như Microsoft Power Platform Admin Center, Google AppSheet audit log, hay các công cụ SIEM để theo dõi hoạt động ngầm.

Kết luận

Phong trào Citizen Developer mang lại cơ hội vàng để tổ chức tăng tốc chuyển đổi số, đổi mới linh hoạt. Tuy nhiên, không kiểm soát – tức là tự sát. Việc xác định rủi ro, xây dựng khung quản trị, và đào tạo đúng cách sẽ là chìa khóa để tận dụng nguồn lực Citizen Developer mà không đánh đổi bằng bảo mật.