Ferdî aygıtlar kurum güvenliğini tehdit ediyor

Kendi Aygıtını Getir (BYOD) trendi, bir siyaset olmaktan çıkıp standart bir uygulamaya dönüştü. BYOD ve Kurumsal Mobilite için global pazarın 2024 yılında 129,2 milyar dolar pahasında olduğu ve 2030 yılına kadar 331,6 milyar dolara ulaşacağı öngörülüyor. Fakat şahsî aygıtlar, bilhassa yönetilmedikleri yahut berbat yönetildikleri vakit, siber güvenlik zincirindeki en zayıf halkalardan biri oluyor. Siber güvenlik şirketi ESET, ferdî aygıt kullanımının kurumsal bir riske dönüşmemesi için  nelere dikkat edilmesi gerektiğinin altını çizdi.

BYOD ile ilgili esas güvenlik tasalarından biri, şahsî aygıtlarda standartlaştırılmış muhafazanın olmamasıdır. Ferdî aygıtlar çoklukla uç nokta muhafazası, şifrelenmiş depolama ve hatta parola hijyeni üzere temel muhafazalardan mahrumdur. Bu “eksiklik” bir işletmenin ve savunucularının müdafaası gereken hücum yüzeyini genişletir. Bu siber güvenlik özelliklerinden ve kurumsal kısıtlamalardan mahrum olan şahsî aygıtlar, bilhassa de kullanıcılar siber güvenlik eğitimi almamışsa berbat emelli uygulamalar yahut kimlik avı temasları yoluyla siber tehditlere maruz kalabilir. Ayrıyeten bu aygıtlar işçi olmayan bireyler tarafından kullanılıyor olabilir ve sıklıkla inançlı olmayan kamusal ağlara (kafeler, havaalanları ve ortak çalışma alanları) bağlanırlar; bu da onları fırsatçı taarruzlar için cazip amaçlar hâline getirir. Gölge BT bir öteki kıymetli faktördür. Çalışanlar üretkenliklerini sürdürmek için ekseriyetle yetkisiz uygulamalar yükler yahut işle ilgili hedefler için doğrulanmamış bulut hizmetlerini kullanır. Bu durum iş akışlarını hızlandırabilirken tıpkı vakitte iş ortamına denetimsiz data akışları ve potansiyel güvenlik açıkları da getirmektedir.

Her kurumun bir siyaseti olmalı

Etkili BYOD güvenliğinin temeli görünürlüktür. Şirketler öncelikle e-posta sunucuları, dâhili platformlar, paylaşılan şoförler ve bulut tabanlı uygulamalar üzere kurumsal kaynaklara erişen her şahsî aygıtın envanterini çıkarmalıdır.  Bir sonraki adım, asgarî güvenlik standartlarını ve en uygun yapılandırmayı uygulamaktır. Bunlar ortasında mecburî şifreleme, güçlü parola siyasetleri, iki faktörlü kimlik doğrulama ve uç nokta müdafaası sayılabilir. Bu ihtiyaçlar, çalışanların aygıtlarını kurumsal ağlara bağlamadan evvel kabul ettikleri resmî bir BYOD siyasetinde açıkça belirtilmelidir.

Kullanılan yazılımlar yeni olmalı

Gölge BT risklerini azaltmak için şirketler, riskli uygulamaları kara listeye almak yahut onaylı araçları beyaz listeye almak üzere uygulama denetim siyasetleri uygulamalıdır.  Bilinen güvenlik açıklarını yamalamak ve aygıtları derhal güncellemek, ihlalleri önlemenin en kolay ve tesirli yollarından biridir. Lakin BYOD ortamlarında, yazılımı şimdiki tutma sorumluluğu çoklukla çalışana düşer ve bu noktada boşluklar oluşabilir. Taşınabilir Aygıt İdaresi (MDM) tahlilleri burada çok pahalıdır. Bir MDM kullanmak mümkün değilse en azından BT yöneticileri kullanıcılara güncellemeleri yüklemelerini nizamlı olarak hatırlatmalı, takip etmesi kolay rehberlik sağlamalı ve güvenlik açıklarının süratle kapatılmasını sağlamak için yama durumunu takip etmelidir. MDM ile kuruluşlar aygıtları uzaktan izleyebilir, güvenlik ayarlarını uygulayabilir, hırsızlık yahut kayıp durumunda dataları silebilir ve çalışanların şahsî dijital alanlarını gereğinden fazla işgal etmeden kurumsal siyasetlerle uyumluluğu sağlayabilir. 

VPN kullanmak önemli 

Çalışanlar ister konuttan ister bir kafeden çalışıyor olsun, halka açık yahut inançlı olmayan Wi-Fi ağlarının kullanılması değerli bir risk oluşturur. Düzgün yapılandırılmış bir Sanal Özel Ağ (VPN) kurmak kaidedir. VPN’ler, dataları transfer sırasında koruyan ve ortadaki adam hücumları mümkünlüğünü azaltan şifreli tüneller oluşturur.  Ayrıca kuruluşlar uzaktan erişimi korumak için Uzak Masaüstü Protokolü (RDP) erişiminin inançlı bir biçimde yapılandırıldığından emin olmalıdır. Yanlış yapılandırılmış RDP’ler siber hücumlarda sıklıkla kullanılan bir vektör  olduğundan şirketler bunların kurulumunu başka açık sistemlerle tıpkı titizlikle ele almalıdır.

Hassas kurumsal bilgilerin şahsî aygıtlarda saklanması, bilhassa aygıtın kaybolması, çalınması yahut konuttaki öbür biri tarafından erişilmesi durumunda maruz kalma riskini artırır. Bunu ele almak için kuruluşlar parola muhafazası, otomatik kilitleme ve aygıt şifrelemesini mecburî kılan kurallar oluşturmalıdır. Ayrıyeten kapalı yahut iş açısından kritik olarak sınıflandırılan bilgiler hem dinlenme hem de transfer sırasında şifrelenmelidir. Hassas dataları barındıran sistemlere her türlü erişim için çok faktörlü kimlik doğrulama (MFA) gerekli olmalıdır. 

Şirketler en zayıf kullanıcı kadar güçlü

En âlâ teknik tedbirler alınsa bile bir BYOD siyaseti fakat en zayıf kullanıcısı kadar güçlüdür. Kuruluşlar çalışanlarını, gelişmiş berbat hedefli yazılımdan muhafaza ve şifrelemenin yanı sıra uzaktan silme özelliklerini de içermesi gereken çok katmanlı aygıta özel güvenlik yazılımlarıyla donatmalıdır. Sistemli yedeklemeler ve sık sık güvenlik farkındalığı eğitimi kritik ehemmiyet taşır. Çalışanlar, iş için ferdî aygıt kullanmanın yüksek risklerini ve hem kendi bilgilerini hem de şirketin bilgilerini korumak için atabilecekleri adımları anlamalıdır.

Şeffaflık çok önemli

Çalışanlar, patronlarının ferdî dijital hayatlarının ne kadarını görebilecekleri konusunda anlaşılır bir halde tasa duymaktadır. İşletmeler, hangi bilgilere erişecekleri (ve erişmeyecekleri) ve çalışanların kapalılığına nasıl hürmet gösterileceği konusunda açık olmalıdır. İş datalarını şahsî datalardan ayırmak üzere saklılık öncelikli mimarileri destekleyen MDM tahlilleri bu boşluğu doldurmaya yardımcı olabilir. 

Kaynak: (BYZHA) Beyaz Haber Ajansı