Kaspersky tarafından gerçekleştirilen “İş Yerinde Siber Güvenlik: Çalışan Bilgi ve Davranışları” başlıklı şimdiki araştırma, Türkiye’deki profesyonellerin %52’sinin şirketlerindeki siber güvenlik kurallarını ya çok kısıtlayıcı ya da tam olarak uygun olmayan kurallar olarak gördüğünü ortaya koydu. İştirakçilerin %6’sı ise kurumlarında rastgele bir siber güvenlik kuralı bulunmadığını yahut mevcut kurallardan haberdar olmadıklarını belirtti. Bu sonuçlar, kurumsal siber güvenlik siyasetleri ile çalışanların bu kurallara olan bağlılığı ortasındaki kopukluğu gözler önüne seriyor. Ayını vakitte Shadow IT ve yönetilmeyen aygıt kullanımından kaynaklanan risklerin altını çiziyor.
BT departmanının kontrolü dışında kullanılan yetkisiz yazılım, aygıt yahut hizmetler olarak tanımlanan Shadow IT, günümüzde kritik bir iş riski haline gelmiş durumda. Birden fazla vakit çalışanların verimlilik arayışıyla ortaya çıkan bu durum, BT üniteleri için önemli kör noktalar yaratıyor. Hibrit çalışma modellerinin yükselişi, bulut tabanlı araçlara olan bağımlılığın artması ve yapay zeka araçlarının yaygınlaşması bu eğilimi daha da hızlandırdı. Güçlü bir siber güvenlik idaresi ve kontrolü olmaksızın kurumlar; fidye yazılımı (ransomware) taarruzları, bilgi sızıntıları ve yasal yaptırımlar üzere tehditlerle karşı karşıya kalıyor.
Türkiye’de araştırmaya katılanların %17’si, şirketlerinde kurumsal olmayan aygıtların kullanımına yönelik rastgele bir siyaset bulunmadığını söz etti. Çalışanların %35,5’i, kişisel seviyede (tüketici tipi yazılımlar dahil) bir siber güvenlik müdafaasına sahip olmak kaydıyla işle ilgili bilgilere erişmek için kendi aygıtlarını kullanabildiklerini belirtti. Olumlu bir tablo çizen %16’lık kesim, kendi aygıtlarını lakin sıkı kurumsal BT güvenlik kontrollerinden geçtikten sonra kullanabildiklerini söylerken; iştirakçilerin %31,5’i iş hedefli olarak sadece BT ünitesi tarafından tahsis edilen aygıtların kullanımına müsaade verildiğini bildirdi.
Kurumsal aygıtlara BT onayı olmaksızın yazılım yükleme yetkileri konusunda ise durumun daha denetimli olduğu görülüyor. İştirakçilerin %48’i yazılım yükleme yetkisinin sadece BT uzmanlarında olduğunu, %37’si ise bu yetkinin yalnızca üst idare yahut yetkilendirilmiş kullanıcılarda bulunduğunu bildirdi. Çalışanların %11’i sadece BT grubu tarafından onaylanmış yazılımları yükleyebilirken, %4’lük bir kesim rastgele bir onay almadan rastgele bir yazılımı yükleyebildiklerini tabir etti.
Öte yandan, profesyonellerin %13’ü geçtiğimiz yıl içinde iş aygıtlarına BT kontrolü olmaksızın yazılım yüklediklerini belirtti. Bu durum, kurumları güvenlik açıklarına, uyumluluk risklerine ve bilgi ihlallerine maruz bırakan Shadow IT probleminin devam ettiğini gösteriyor.
Kaspersky META Bölgesi Genel Müdürü Toufic Derbass konuyla ilgili şu değerlendirmede bulundu: “Shadow IT artık operasyonel risklerin ana ögelerinden biri haline geldi. Her beş çalışanların kıymetli bir kısmının BT kontrolü olmadan yazılım yüklemesi, siyaset tarafında değerli bir boşluk olduğuna işaret ediyor. Pek çok kuruluşun aslında güvenlik siyasetleri mevcut; lakin çalışanların bu siyasetleri nasıl algıladığı da en az uygulama kadar değerli. Kurumların sırf kısıtlayıcı denetimlerle ilerlemek yerine, teknoloji ile çalışan farkındalığını ve sorumlu kullanım alışkanlıklarını bir ortaya getiren, kullanıcı odaklı ve akıllı siber güvenlik stratejilerine yönelmesi gerekiyor.”
Kaspersky, kurumların savunmalarını güçlendirmeleri için şunları öneriyor:
- Kurumsal bilgilere erişen tüm yetkisiz yazılımları, bulut hizmetlerini ve şahsî aygıtları belirlemek için bir Shadow IT kontrolü gerçekleştirin.
- Onaylanmamış uygulama kullanımını ve aygıt davranışlarını izleyebilmek için Kaspersky Next eser ailesinin EDR ve XDR katmanları üzere güçlü izleme ve siber güvenlik tahlillerini devreye alın.
- Kişisel aygıt kullanımına (BYOD) müsaade veriliyorsa, en az güvenlik ihtiyaçlarını net bir biçimde tanımlayın ve bunları Taşınabilir Aygıt İdaresi (MDM) yahut uç nokta idare araçlarıyla denetleyin.
- Kullanıcı dostu siber güvenlik siyasetlerinizi, gerçek hayattaki riskleri ve bunlardan kaçınma yollarını gösteren eğitimlerle destekleyin. Bu noktada Kaspersky Automated Security Awareness Platform üzere tahlillerden faydalanabilirsiniz.
Kaspersky uzmanları çalışanlar için şu tavsiyelerde bulunuyor:
- Şirketinizin siber güvenlik siyasetlerini tam olarak anladığınızdan emin olun; net olmayan noktaları BT biriminize danışın.
- Yalnızca BT departmanı tarafından onaylanmış uygulamaları kullanın ve özel bir kaynağa muhtaçlık duyduğunuzda resmi talepte bulunun.
- İş için yalnızca yetkilendirilmiş aygıtları kullanın. Şahsî aygıt kullanımına müsaade veriliyorsa, aygıtın tüm güvenlik standartlarını karşıladığından ve gerekli müdafaa yazılımlarına sahip olduğundan emin olun.
- İş belgelerini sırf kurum tarafından onaylanmış platformlar üzerinden paylaşın ve depolayın.
Kaynak: (BYZHA) Beyaz Haber Ajansı
