Bilgi güvenliğini düşünürken genellikle dış saldırganları ve kurum ağına girerek bilgi çalmayı deneyen siber suçluları göz önün alırız. Clearswift güvenlik konularında bilgi sahibi olmak için bir dizi anket düzenledi. Bu anketlere katılan firmaların %83’ü son 12 ay içinde bir güvenlik ihlali yaşadığını belirtti. Ancak bu güvenlik ihlallerinin %58’inin bilinmeyen dış saldırganlar yerine (bilinçsiz kullanıcılar, eski çalışanlar ve güvenilir iş ortakları gibi) şirket içinden noktalardan geldikleri görüldü.
Araştırma ayrıca kurumların %72’sinin günümüz iş dünyasındaki insanlarla iletişim ve iş yapma şekillerine uygun olarak güvenlik sistemleri ve politikalarını düzenleme konusunda sıkıntı çektiğini ortayan çıkardı. İş yapma şeklinde ve iş riskleri açısından ortaya çıkan en büyük değişiklik ise BYOD denilen ve hızla popülerliği artan “Kendi Cihazını Getir” sisteminden kaynaklanıyor.
BYOD tehditlerinin en önemli 3 tanesi:
1) Çalışanların kullandığu USB ve depolama cihazları
2) Kasıtlı olmayan insan hataları
3) Çalışanların kendi cihazları üzerinden iş ile ilgili epostalar göndermeleri
Ancak bu tür güvenlik risklerinin tamamını BYOD için yönlendirilmiş (veya en azından engellenmemiş) kullanıcılara atmak doğru olmaz. Ankete katılan firmaların %31’i BYOD destekler ve yönetirken %11’i bunu desteklemiyor. BYOD desteklemeyen firmalar %37 oranında güvenlik tehdidi ile karşılaşırken BYOD destekleyen ve yöneten firmalarda ise bu oran %18 olarak gerçekleşiyor. Ankete katılan firmaların %53’ünde kurum tarafından desteklense de desteklenmese de çalışanlar cihazlarının kurum ağında kullanıyor.
Peki daha sonra? Kurumlar bu iç tehditlerin de en az dış tehditler kadar önemli olduğunu farkederek güvenlik ayarlarını buna göre planlamalı. Konu BYOD olduğunda kapsamlı bir kuralları seti mümkün olduğunca devreye alınmalıdır. Tüm kullanıcılar ve çalışanlar için bir eğitim veya farkındalık programı oluşturularak çalışanların kişisel cihazlarını güvenle kullanması sağlanmalı ve risk azaltılmalıdır.
Eğer kurum BYOD kuralları yayınlamıyorsa, bir çalışan olarak kendiniz bu önerilerimizi uygulayabilirsiniz:
1. Sistem yöneticisi veya bilgi güvenliği sorumlusunun danışmanlığını almadan kişisel cihazlarınızı hatta USB depolama aygıtlarını kullanmayın
2. Eğer USB depolama aygıtı kullanacaksanız en azından kriptolu bir cihaz kullanın. Kriptosuz olanlardan çok daha uygun fiyata kriptolu cihazlar da satılmaktadır. 50 TL için şirketinizin saygınlığını riske sokmayın.
3. Aynı şey kişisel eposta hesapları için de geçerlidir. Eğer kişisel eposta kullanmak zorunda kalırsanız iş için özel bir hesap oluşturun (iki katmanlı güvenlik kullanan Gmail hesabı gibi)
4. Dökümanları kriptolu olarak gönderin. Bunu yapmanın pek çok yolu mevcut. Örneğin MS Office dökümanlarını şifreli ZIP dosyası ile göndermek gibi. Ayrıca şifreleri döküman ile aynı mesaj ile birlikte göndermeyin.
5. Sistem yöneticinize danışmadan iş eposta adresinizi kendi cihazınızda kullanmayın. Bu iş için özelleştirilmiş güvenli istemciler mevcuttur.