Uzaktan ve hibrit çalışma modelleri şirketlerin kurallarını çalışanların da alışkanlıklarını değiştirdi. Çalışanlar şirket verilerine her yerden, istedikleri saatte ve ellerinin altındaki herhangi bir cihazdan erişmek istiyor. Kurumsal ağlardaki kişisel cihazlar potansiyel olarak bir tehdit oluşturuyor.
Dijital güvenlik şirketi ESET, çalışanlara ait cihazlarla ilişkili siber risklerin nasıl azaltabileceğini; kurumsal verilerin ve müşteri verilerinin tehlikeye atılmasını nasıl önlenebileceğini inceledi.
Kişisel cihazların iş için kullanımı, sağlam güvenlik uygulamaları ve önlemlerle desteklenmediği takdirde giderek artan siber güvenlik risklerini beraberinde getiriyor. Kendi cihazını getir (BYOD) düzenlemelerine ilişkin endişeler yeni olmasa da iş için kişisel cihazlara artan bağımlılık, kurumsal verilerin güvenliğini sağlamanın zorluğunu daha da artırdı. Değişen çalışma ortamına uyum sağlamak için mevcut güvenlik politikaların yeniden değerlendirilmesi gerekiyor.
Kurumsal saldırı yüzeyini azaltın
Çalışanların, bilişim teknolojileri biriminin (BT) yetki alanı dışındaki cihazları kullanması, özellikle kontrol edilmediği takdirde, kurumsal veriler için büyük bir tehdit haline geldi. Kuruluşların ağlarına erişen her cihazın envanterini çıkarması ve temel bir koruma düzeyi sağlamak için çalışan cihazlarının karşılaması gereken güvenlik standartlarını ve yapılandırmalarını belirlemesi gerekiyor. Çalışanların sahip olduğu cihazlardaki onaylanmamış uygulamalar veya diğer yazılımlar, bir bütün olarak BT'nin kurumsal veri ve sistemlerin bütünlüğü, kullanılabilirliği ve gizliliği için yaygın bir risk kaynağıdır.
BYOD cihazlar için de yazılım ve işletim sistemlerini güncelleyin
Çalışanların, şirket tarafından verilen dizüstü bilgisayarları ve akıllı telefonları kullanırken ve yazılım güncellemeleri yayımlandıktan hemen sonra makinelerine yüklemek için BT departmanının desteğini yanlarında bulmaları önemlidir. Bugünlerde pek çok işletme, yalnızca çalışanların cihazlarına güncellemeleri yüklemeye değil aynı zamanda güvenliklerini genel olarak sıkılaştırmaya da yardımcı olmak için cihaz yönetimi yazılımından yararlanıyor. Cihazlarındaki yazılımları güncel tutma görevi çalışanların kendilerine düşüyorsa, kuruluşlar en azından çalışanlarına yamaların mevcut olduğunu hatırlatmak, güncellemeleri uygulamak için onlara nasıl yapılır kılavuzları sağlamak ve ilerlemeyi izlemek konusunda destek olabilirler.
Güvenli bir bağlantı kurun
Uzaktaki bir çalışanın kuruluşun ağına erişmesi gerekiyorsa, kuruluşun bunun farkında olması gerekir. Uzaktan çalışanlar sadece evlerindeki Wi-Fi ağlarını değil, halka açık Wi-Fi ağlarını da kullanabilirler. Her iki senaryoda da uzaktan çalışanların kurumsal kaynaklara sanki ofiste oturuyorlarmış gibi erişmelerini sağlayan doğru yapılandırılmış bir sanal özel ağ (VPN), kurumun siber suçlular tarafından istismar edilebilecek zayıflıklara maruz kalmasını azaltmanın kolay bir yoludur. Bir kuruluşun BT ortamına uzaktan bağlantı sağlamanın bir başka yolu da Uzak Masaüstü Protokolü'dür (RDP). Dünya nüfusunun büyük bir kısmı evden çalışmaya geçtiğinde, RDP bağlantılarının sayısı hızla arttı ve RDP uç noktalarına yönelik saldırılar da arttı. Siber suçlu bulduğu açıkları kullanarak fikri mülkiyete sahip verileri ele geçirebilir, kurumsal dosyaları şifreleyip fidye için elinde tutabilir, muhasebe departmanını kandırarak kendi kontrolleri altındaki hesaplara para aktarmalarını sağlayabilir ya da şirketin veri yedeklemelerine zarar verebilir. RDP erişiminin, internete bakan RDP'nin devre dışı bırakılması ve RDP aracılığıyla oturum açılabilen tüm hesaplar için güçlü ve karmaşık parolalar gerektirmesi de dahil olmak üzere düzgün bir şekilde yapılandırılması gerekir.
Verilerinizi Koruyun
Güçlü parola koruması, otomatik kilitleme, cihazın başkaları tarafından kullanmasını engelleme şirketin verilerini zarardan korumak için önemli adımlardır. Gizli bilgilere yetkisiz kişiler tarafından erişilmesi riskini sınırlamak için kuruluşlar hassas verileri hem aktarım sırasında hem de beklemede şifrelemelidir. Çok faktörlü kimlik doğrulama uygulanmalı, ağ bağlantılarını güvenli hale getirmelidir.
Güvenli video konferans
Pandemi sayesinde video konferans hizmetlerinde bir patlama yaşandı ve başlangıçta yüz yüze olan tüm toplantılar sanal dünyaya taşındı. Kuruluşlar, video konferans hizmetlerini kullanmak için hangi yazılımın kullanılacağı ve bağlantının nasıl güvence altına alınacağı gibi yönergeler oluşturmalıdır.
Gizli verileri uçtan uca şifreleme ve aramalar için parola koruması dahil olmak üzere sağlam güvenlik özellikleriyle birlikte gelen yazılımların kullanılması tavsiye edilir. Video konferans yazılımının en son güvenlik güncellemeleriyle güncel tutulması gerekir.
BYOD: Yazılım ve insanlar
Kurumsal sistemlere erişimi olan cihazlarda saygın çok katmanlı güvenlik yazılımları kullanılmalıdır. Bu yazılım en yeni kötü amaçlı yazılım tehditlerine karşı koruma sağlayabilir, kurumsal verileri güvence altına alabilir. Sistem yöneticilerinin cihazları şirketin güvenlik politikalarıyla uyumlu tutmasına yardımcı olabilir.
Cihazların ve verilerin düzenli olarak yedeklenmesini sağlamak, personele güvenlik bilinci eğitimi vermek diğer önemli hususlardır.
Detarylı bilgi;
https://www.welivesecurity.com/en/business-security/left-own-devices-security-employees-personal-devices-work/