Kurumsal ağlardaki kişisel cihazlar potansiyel olarak bir tehdit oluşturuyorlar. Çalışanların BYOD (kendi cihazını getir) güvenliği için bazı noktalara dikkat etmesi gerekiyor.
Kuruluşların pandeminin yol açtığı kesintileri atlatmasına yardımcı olduğundan beri, uzaktan çalışma (daha sonra genellikle hibrit çalışmaya dönüştü) kalıcılığını sağlamlaştırdı. İş ve ev arasındaki sınırların her zamankinden daha bulanık hale gelmesiyle birlikte, birçok kişi iş kaynaklarına yalnızca herhangi bir yerden ve herhangi bir saatte değil, aynı zamanda herhangi bir cihazdan da erişmek istiyor veya buna ihtiyaç duyuyor. İşlerini tamamlamak ve kurumsal verilere erişmek için kişisel cihazların kullanımına göz atalım.
Diğer taraftan, kişisel cihazların iş için kullanımı, sadece işveren tarafından verilen cihazlarla da olsa, sağlam güvenlik uygulamaları ve önlemleri ile desteklenmediği takdirde giderek artan siber güvenlik risklerini beraberinde getirmektedir. Kendi cihazını getir (BYOD) düzenlemelerine ilişkin endişeler hiçbir şekilde yeni olmasa da iş için kişisel cihazlara artan bağımlılık, kurumsal verilerin güvenliğini sağlamanın potansiyel olarak göz korkutucu zorluklarına yeni bir soluk getirdi ve mevcut politikaların değişen çalışma ortamına uyum sağlamak için yeniden değerlendirilmesini ve ayarlanmasını gerektirdi.
Peki çalışanlar ve kuruluşlar, çalışanlara ait cihazlarla ilişkili siber riskleri nasıl azaltabilir ve kurumsal verilerin ve müşterilerinin verilerinin tehlikeye atılmasını nasıl önleyebilir? ‘Herkese uyan tek bir çözüm’ olmasa da birkaç önlem şirketleri zarardan korumak için uzun bir yol kat edecektir.
Kurumsal saldırı yüzeyini azaltın
Çalışanların BT’nin yetki alanı dışındaki cihazları kullanması, özellikle kontrol edilmediği takdirde, kurumsal veriler için büyük bir tehdit haline gelmektedir. Kötü aktörlerin sürekli olarak şirketlerin zırhlarında açıklar aradığı bir çağda, bu tür potansiyel giriş noktalarının sayısını sınırlamak hiç de zor değil. Daha da önemlisi, kuruluşların ağlarına erişen her cihazın envanterini çıkarması ve temel bir koruma düzeyi sağlamak için çalışan cihazlarının karşılaması gereken güvenlik standartlarını ve yapılandırmalarını belirlemesi gerekir.
Çalışanların sahip olduğu cihazlardaki onaylanmamış uygulamalar veya diğer yazılımlar, bir bütün olarak BT‘nin kurumsal veri ve sistemlerin bütünlüğü, kullanılabilirliği ve gizliliği için yaygın bir risk kaynağıdır. Hassas verilere düzensiz üçüncü taraf erişimini engellemek için kuruluşlar, cihazlardaki kişisel ve işle ilgili bilgiler arasında bir “bariyer” oluşturmaktan ve “uygulamaları kara listeye alma (veya beyaz listeye alma)” kontrollerini uygulamaktan faydalanabilir. Çalışanların sahip olduğu cihazları özel mobil cihaz yönetimi yazılımı yardımıyla kontrol altında tutmanın başka yolları da vardır, bu da bizi bir sonraki noktaya getiriyor.
BYOD cihazlar için de yazılım ve işletim sistemlerini güncelleyin
Yaygın olarak kullanılan yazılımlarda yeni güvenlik açıklarının keşfedildiği haberlerinin gelmediği neredeyse bir gün bile olmadığından, bilinen güvenlik açıklarını zamanında yamamak için güvenlik güncellemelerini yüklemenin önemi yadsınamaz.
Çalışanların şirket tarafından verilen dizüstü bilgisayarları ve akıllı telefonları kullanırken ve yazılım güncellemeleri yayımlandıktan hemen sonra makinelerine yüklemek için BT departmanının desteğini yanlarında bulmaları önemlidir. Bugünlerde pek çok işletme, yalnızca çalışanların cihazlarına güncellemeleri yüklemeye değil aynı zamanda güvenliklerini genel olarak sıkılaştırmaya da yardımcı olmak için cihaz yönetimi yazılımından yararlanıyor.
Cihazlarındaki yazılımları güncel tutma görevi çalışanların kendilerine düşüyorsa, kuruluşlar en azından çalışanlarına yamaların mevcut olduğunu hatırlatmak, güncellemeleri uygulamak için onlara nasıl yapılır kılavuzları sağlamak ve ilerlemeyi izlemek konusunda destek olabilirler.
Güvenli bir bağlantı kurun
Uzaktaki bir çalışanın kuruluşun ağına erişmesi gerekiyorsa, kuruluşun bunun farkında olması gerekir. Uzaktan çalışanlar sadece evlerindeki Wi-Fi ağlarını değil, halka açık Wi-Fi ağlarını da kullanabilirler. Her iki senaryoda da uzaktan çalışanların kurumsal kaynaklara sanki ofiste oturuyorlarmış gibi erişmelerini sağlayan doğru yapılandırılmış bir sanal özel ağ (VPN), kurumun siber suçlular tarafından istismar edilebilecek zayıflıklara maruz kalmasını azaltmanın kolay bir yoludur.
Bir kuruluşun BT ortamına uzaktan bağlantı sağlamanın bir başka yolu da Uzak Masaüstü Protokolü’dür (RDP). Dünya nüfusunun büyük bir kısmı evden çalışmaya geçtiğinde, RDP bağlantılarının sayısı hızla arttı ve RDP uç noktalarına yönelik saldırılar da arttı. Saldırganların şirket ağlarına erişim sağlamak için kötü yapılandırılmış RDP ayarlarından veya zayıf parolalardan yararlanmanın yollarını bulduğu pek çok örnek vardır. Başarılı bir siber suçlu bu açıklıkları kullanarak fikri mülkiyeti hortumlayabilir, tüm kurumsal dosyaları şifreleyip fidye için elinde tutabilir, muhasebe departmanını kandırarak kendi kontrolleri altındaki hesaplara para aktarmalarını sağlayabilir ya da şirketin veri yedeklemelerine zarar verebilir.
İyi haber şu ki, RDP kaynaklı saldırılara karşı korunmanın birçok yolu vardır. RDP erişiminin, internete bakan RDP’nin devre dışı bırakılması ve RDP aracılığıyla oturum açılabilen tüm hesaplar için güçlü ve karmaşık parolalar gerektirmesi de dahil olmak üzere düzgün bir şekilde yapılandırılması gerekir. Doğru RDP yapılandırması ve daha fazlası için son makalemize göz atabilirsiniz:
İNDİR: Uzak Masaüstü Protokolü: Güvenli bir iş gücü için uzaktan erişimi yapılandırma
Verilerinizi Koruyun
Gizli kurumsal verilerin kişisel bir cihazda saklanması, özellikle de cihaz kaybolur veya çalınırsa, parola korumalı değilse ve sabit sürücüsü şifrelenmemişse açıkça bir risk oluşturur. Aynı şey cihazı başka birinin kullanmasına izin vermek için de geçerlidir. “Sadece” bir aile üyesi olsa bile bu uygulama, verilerin yerel olarak veya her yerden çalışma çağında yaygın olduğu gibi bulutta depolanmasından bağımsız olarak, şirketin en değerli verilerinin tehlikeye atılmasına neden olabilir.
Güçlü parola koruması ve otomatik kilitlemeyi bir gereklilik haline getirmek ve çalışanlara cihazı başkalarının kullanmasını engelleme ihtiyacını öğretmek gibi birkaç basit önlem şirketin verilerini zarardan korumak için uzun bir yol kat edecektir.
Gizli bilgilere yetkisiz kişiler tarafından erişilmesi riskini sınırlamak için kuruluşlar hassas verileri hem aktarım sırasında hem de beklemede şifrelemeli, çok faktörlü kimlik doğrulama uygulamalı ve ağ bağlantılarını güvenli hale getirmelidir.
Güvenli video konferans
Pandemi sayesinde video konferans hizmetlerinde bir patlama yaşandı ve başlangıçta yüz yüze olan tüm toplantılar sanal dünyaya taşındı. Kuruluşlar, video konferans hizmetlerini kullanmak için hangi yazılımın kullanılacağı ve bağlantının nasıl güvence altına alınacağı gibi yönergeler oluşturmalıdır.
Daha spesifik olarak, gizli verileri meraklı gözlerden koruyacak uçtan uca şifreleme ve aramalar için parola koruması dahil olmak üzere sağlam güvenlik özellikleriyle birlikte gelen yazılımların kullanılması tavsiye edilir. Söylemeye gerek yok, video konferans yazılımının en son güvenlik güncellemeleriyle güncel tutulması gerekir, böylece herhangi bir yazılım boşluğunun en kısa sürede kapatılması sağlanır.
BYOD: Yazılım ve insanlar
Kurumsal sistemlere erişimi olan cihazlarda saygın çok katmanlı güvenlik yazılımlarından vazgeçmenin felakete davetiye çıkarmak olduğunu belirtmezsek hata yapmış oluruz. Bu tür yazılımlar (özellikle de şirketin güvenlik veya BT ekibi tarafından yönetiliyorsa) herkesi birçok baş ağrısından ve nihayetinde zaman ve paradan kurtarabilir. Diğer şeylerin yanı sıra, bu yazılım en yeni kötü amaçlı yazılım tehditlerine karşı koruma sağlayabilir, cihaz yanlış yere yerleştirilse bile kurumsal verileri güvence altına alabilir ve nihayetinde sistem yöneticilerinin cihazları şirketin güvenlik politikalarıyla uyumlu tutmasına yardımcı olabilir.
Cihazların ve verilerin düzenli olarak yedeklenmesini sağlamak (ve yedekleri test etmek) ve personele güvenlik bilinci eğitimi vermek de diğer önemli hususlardır. Çalışanlar, iş için kişisel cihazların kullanımıyla gelen yüksek riskleri anlamazsa teknik kontroller eksik kalır.
Siber Operasyonlar: Ticaretin İsviçre Çakısı
