BT güvenliğinin “ofise dönüş” planı

İşyerine geri dönüşün siber güvenlik kontrol listesi.

Er ya da geç çoğu işletme, pandemi sonrası çalışma düzeni üzerinde düşünmek zorunda kalacak. Pandeminin etkisiyle yaşanan şaşkınlığı henüz üzerinden atamamış olan birçok şirket, yeni çalışma ortamı gerçekleriyle başa çıkma konusunda henüz son kararlarını vermemiş olsa da, ofise kısmen dönüş bile BT ve BT güvenlik ekiplerinin bazı önlemler almasını gerektiriyor.

Evden çalışmaya geçiş zordu ancak ilginç bir şekilde ofise dönüş de bir o kadar zor olabilir. İşletmelerin yaptığı bazı değişiklikleri geri almaları gerekecek, ki bu da en az onları uygulamaya almak kadar iş yükünü beraberinde getirebilir. Ayrıca, şirket içi hizmet güvenliğini yeniden kontrol etmeleri ve çalışanların kapanma sırasında alıştıkları yazılımlar konusundaki ihtiyaçlarını karşılamaları gerekecek. Stres altındaki BT güvenliği yöneticilerinin öncelikleri belirlemesine yardımcı olmak için işletmelere yönelik bazı siber güvenlik eylemlerini listeledik.

1. Evden çalışma sırasındaki geçici siber güvenlik çözümlerini kullanmaya devam edin

Çalışanların evden çalışma sürecinde kurumsal uç noktaların güvenliğini sağlamak için birçok şirket, güvenlik kontrolleri ve uzak bilgisayarların merkezi yama yönetimi, VPN erişimine ek yapma veya genişletme ve özel farkındalık eğitimi sunma gibi ek koruma önlemlerini uygulamaya aldı. Uç noktalardaki tespit ve yanıt aracıları, ağ çevre boşluklarını belirleme ve kapatma konusunda önemli rol oynadı.

İş gücünüz ister evden ofise dönüyor, isterse sadece sık seyahat ediyor olsun, uç noktalarda VPN, EDR ve izinsiz giriş tespit sistemleri kullanmak, çalışanların güvenli bir şekilde ofise dönmelerini sağlar.

2. Uzaktan çalışanlar için devre dışı bıraktığınız tüm güvenlik denetimlerini tekrar uygulamaya alın

Uzaktan çalışanların, özellikle kişisel cihazlarından şirket ağına bağlanabilmesini sağlamak için bazı işletmeler Ağ Kabul Kontrolü (Network Admission Control – NAC) gibi siber güvenlik kontrollerini gevşetti veya devre dışı bıraktı. NAC, şirket ağına erişim izni vermeden önce bilgisayarların güncel kötü amaçlı yazılım koruması gibi kurumsal güvenlik gereksinimleriyle uyumlu olup olmadığının kontrolünü sağlar.

Çalışanlar ofise döndüklerinde ve şirket ağına bağlandığında makinelerinin herhangi bir risk oluşturması ihtimaline karşı iç sistemleri korumak amacıyla NAC açılmalıdır. Ancak bilgisayarlar yaklaşık 18 aydır şirket ağından uzak oldukları için bazı güncellemeleri kaçırmış olabilirler. Bu, NAC’ın güncellenmeyen onlarca hatta yüzlerce makine için etkinleştirilmesinin birçok hataya neden olabileceği anlamına gelir. Sonuç olarak, hizmeti etkinleştirmek, küçük personel grupları için adım adım ince ayar yapılması sürecine dönüşebilir.

İşletmelerin bu tür sorunları öngörmesi ve kaynakları, son teslim tarihlerini, hata düzeltmelerini ve hatta BT entegratörlerinin yardımını içeren bir plana sahip olması gerekir.

3. Şirket içi sistemleri güncelleyin

Şirket içi kritik hizmetleri kontrol etmeyi unutmayın. Ofiste yama uygulanmamış sunucular varsa, BT güvenlik ekibinin şirket içine almadan önce bunlar hakkında bilgi sahibi olması gerekir.

Herkes ofisteki masasından çalışırken bilgisayarlarımız sürekli şirket ağına bağlıydı ve 7/24 koruma ve politika kontrolü altındaydı. Dolayısıyla, bir bilgisayardaki açıktan faydalanarak ağa sızılması ve savunmasız bir sunucunun güvenliğinin ihlal edilmesi riski çok daha düşüktü.

Herkesin ofise dönüp dizüstü bilgisayarlarını şirket ağına aynı anda bağlamasıyla, yalnızca bir yama uygulanmamış etki alanı denetleyicisi bile, örneğin çalışanların hesap bilgilerine ve parolalarına geniş çaplı erişim elde edilmesini sağlayabilir. Dikkatli bir BT güvenlik ekibi, sorunu zamanında tespit etmeli ve ciddi sorunların üstesinden gelmelidir, ancak bunu yapmak bile, ağın tekrar organize edilmesi ve tüm parolaların değiştirilmesi gibi ek iş yükünü beraberinde getirir.

4. Tasarruf etmeye ama aynı zamanda harcama yapmaya da hazır olun

Çalışanları ofise çağırmak, işverenlerin bir miktar tasarruf etmesini sağlayacak. Örneğin Kaspersky olarak, personelimizin çoğunun evden çalışmasını sağlamak adına VPN tünellerinin sayısını 1.000’den 5.000’in üzerine çıkardık. Ekibimiz ofise döndüğünde büyük olasılıkla bu maliyeti azaltacağız.

Benzer şekilde şirketler, Slack veya Microsoft Teams gibi abonelik tabanlı bulut çözümlerinin kullanımını azaltabilir. Personelin ofisten çalışması ile şirketlerin çok fazla bulut lisansına ihtiyacı kalmayacak ve bazı hizmetleri yerel kaynak olarak geri getirebilecekler. Aynı strateji, karantina sırasında ihtiyaç duyulan ancak geleneksel belge imza süreçlerine dönüşle değiştirilebilecek (veya ölçeklenebilecek) olan elektronik imza uygulamaları için de geçerlidir.

Verilen bu bütçeleri, dijital iş istasyonlarını, çalışanların mesailerini ofis ve başka bir yerde geçirme arasında bölebilecekleri şekilde düzenlemeye harcamayı düşünün. Söz konusu konsept yeni değil, ancak Gartner’ın belirttiği üzere pandemi bunu daha yaygın hale getirdi. Sanal masaüstü altyapısından (VDI) bir hizmet olarak masaüstüne (DaaS) kadar, uzaktan çalışma teknolojileri aslında çalışma alanlarını buluta taşıyabilir, bu da onları bağlı herhangi bir cihazdan erişilebilir hale getirebilir. Sanal masaüstlerinin dağıtımı, yönetimi, düzeltilmesi ve korunması uzak bilgisayarlara kıyasla çok daha kolaydır.

5. Çalışanların uzaktan çalışırken kullandığı araçları ve ayarları koruyun

Uzaktan çalışanlar, sohbet, video konferans, planlama, CRM ve çok daha fazla ihtiyaca yönelik yeni iletişim ve iş birliği araçlarını kullanma konusunda uzmanlaştılar. Bu araçlar çalışanların ihtiyaçlarını karşıladıysa, bunları kullanmaya devam etmek isteyeceklerdir. Pandemi sürecinde yaşanan deneyimler sonucunda, ankete katılanların %74’ü daha esnek ve rahat çalışma koşulları istediklerini belirtti.

Bu tür yenilikleri yasaklamak pek de mantıklı bir tercih olmayabilir. Bir bakıma gölge BT’nin büyümesini, yani personelin BT onayı olmayan uygulamaları kullanmasını tetikleyebilir. Şirketler ya yeni hizmetleri onaylamaya ya da alternatif önerilerde bulunmaya ve bunları savunmaya hazır olmalıdır. Özel çözümler, bir güvenlik çözümündeki özel bulut keşif özelliklerini veya bulut erişim güvenliği aracılarını kullanarak, kuruluşların bulut hizmetlerine erişimi yönetmesine ve ilgili güvenlik ilkelerini uygulamasına yardımcı olabilir.

BT güvenliği işin yapılmasına engel olmamalı, imkan sağlamalıdır. Büyük çaplı bir davranış değişikliğini görmezden gelmek, çalışanın şirkete bakış açısına zarar verebilirken, esnek çalışma ve çalışanlara uygun hizmetlere izin vermek tam tersi yönde etki gösterebilir. Bu, gelecekteki adaylar ve çalışanlar için de geçerlidir. Bunun örneğini Apple’da gördük; bazı çalışanlar, Tim Cook ve yöneticilerden “bir ekibin, uzaktan çalışma ve çalışma ortamı konusundaki esneklik kararlarını, işe alma kararları kadar özerk olarak vermelerini” isteyen açık bir mektup yazdı.

Pandemi ve küresel olarak uzaktan çalışmaya geçişler, şirketler ve BT departmanları açısından kaçamayacakları bir mücadele anlamına geliyordu. Tüm zorluklara rağmen bu paha biçilmez bir deneyim ve gelecek için oldukça önemli bir ders çıkarılmasını sağlıyor.

Pandeminin en önemli çıkarımlarından biri, işletmelerin ne kadar hızlı değişebileceğinin görülmesi oldu. Bu deneyimden çok şey öğrenen BT güvenliği, seçenekler sunmalı ve devam eden esnekliği desteklemelidir. Hangi şekilde olursa olsun ofisten çalışmaya akıllı ve güvenli bir dönüş, şirketlerin bu trendin zirvesinde kalmasına ve iş süreçlerinden en iyi şekilde yararlanmasına yardımcı olabilir.

İpuçları