Kaspersky Araştırması: Siber Güvenlik Politikaları ile Çalışan Davranışları Arasındaki Uçurum Derinleşiyor
Kaspersky tarafından gerçekleştirilen “İş Yerinde Siber Güvenlik: Çalışan Bilgi ve Davranışları” başlıklı güncel araştırma, Türkiye’deki profesyonellerin %52’sinin şirketlerindeki siber güvenlik kurallarını ya aşırı kısıtlayıcı ya da tam olarak uygun olmayan kurallar olarak gördüğünü ortaya koydu. Katılımcıların %6’sı ise kurumlarında herhangi bir siber güvenlik kuralı bulunmadığını veya mevcut kurallardan haberdar olmadıklarını belirtti. Bu sonuçlar, kurumsal siber güvenlik politikaları ile çalışanların bu kurallara olan bağlılığı arasındaki kopukluğu gözler önüne seriyor. Ayını zamanda Shadow IT ve yönetilmeyen cihaz kullanımından kaynaklanan risklerin altını çiziyor.BT departmanının denetimi dışında kullanılan yetkisiz yazılım, cihaz veya hizmetler olarak tanımlanan Shadow IT, günümüzde kritik bir iş riski haline gelmiş durumda. Çoğu zaman çalışanların verimlilik arayışıyla ortaya çıkan bu durum, BT birimleri için ciddi kör noktalar yaratıyor. Hibrit çalışma modellerinin yükselişi, bulut tabanlı araçlara olan bağımlılığın artması ve yapay zeka araçlarının yaygınlaşması bu eğilimi daha da hızlandırdı. Güçlü bir siber güvenlik yönetimi ve denetimi olmaksızın kurumlar; fidye yazılımı (ransomware) saldırıları, veri sızıntıları ve yasal yaptırımlar gibi tehditlerle karşı karşıya kalıyor.Türkiye’de araştırmaya katılanların %17’si, şirketlerinde kurumsal olmayan cihazların kullanımına yönelik herhangi bir politika bulunmadığını ifade etti. Çalışanların %35,5’i, bireysel düzeyde (tüketici tipi yazılımlar dahil) bir siber güvenlik korumasına sahip olmak kaydıyla işle ilgili verilere erişmek için kendi cihazlarını kullanabildiklerini belirtti. Olumlu bir tablo çizen %16’lık kesim, kendi cihazlarını ancak sıkı kurumsal BT güvenlik denetimlerinden geçtikten sonra kullanabildiklerini söylerken; katılımcıların %31,5’i iş amaçlı olarak yalnızca BT birimi tarafından tahsis edilen cihazların kullanımına izin verildiğini bildirdi.Kurumsal cihazlara BT onayı olmaksızın yazılım yükleme yetkileri konusunda ise durumun daha kontrollü olduğu görülüyor. Katılımcıların %48’i yazılım yükleme yetkisinin yalnızca BT uzmanlarında olduğunu, %37’si ise bu yetkinin sadece üst yönetim veya yetkilendirilmiş kullanıcılarda bulunduğunu bildirdi. Çalışanların %11’i yalnızca BT ekibi tarafından onaylanmış yazılımları yükleyebilirken, %4’lük bir kesim herhangi bir onay almadan herhangi bir yazılımı yükleyebildiklerini ifade etti. Öte yandan, profesyonellerin %13’ü geçtiğimiz yıl içinde iş cihazlarına BT denetimi olmaksızın yazılım yüklediklerini belirtti. Bu durum, kurumları güvenlik açıklarına, uyumluluk risklerine ve veri ihlallerine maruz bırakan Shadow IT sorununun devam ettiğini gösteriyor.Kaspersky META Bölgesi Genel Müdürü Toufic Derbass konuyla ilgili şu değerlendirmede bulundu: “Shadow IT artık operasyonel risklerin ana unsurlarından biri haline geldi. Her beş çalışanların önemli bir kısmının BT denetimi olmadan yazılım yüklemesi, politika tarafında önemli bir boşluk olduğuna işaret ediyor. Pek çok kuruluşun zaten güvenlik politikaları mevcut; ancak çalışanların bu politikaları nasıl algıladığı da en az uygulama kadar önemli. Kurumların yalnızca kısıtlayıcı kontrollerle ilerlemek yerine, teknoloji ile çalışan farkındalığını ve sorumlu kullanım alışkanlıklarını bir araya getiren, kullanıcı odaklı ve akıllı siber güvenlik stratejilerine yönelmesi gerekiyor.”Kaspersky, kurumların savunmalarını güçlendirmeleri için şunları öneriyor:
- Kurumsal verilere erişen tüm yetkisiz yazılımları, bulut hizmetlerini ve kişisel cihazları belirlemek için bir Shadow IT denetimi gerçekleştirin.
- Onaylanmamış uygulama kullanımını ve cihaz davranışlarını izleyebilmek için Kaspersky Next ürün ailesinin EDR ve XDR katmanları gibi güçlü izleme ve siber güvenlik çözümlerini devreye alın.
- Kişisel cihaz kullanımına (BYOD) izin veriliyorsa, minimum güvenlik gereksinimlerini net bir şekilde tanımlayın ve bunları Mobil Cihaz Yönetimi (MDM) veya uç nokta yönetim araçlarıyla denetleyin.
- Kullanıcı dostu siber güvenlik politikalarınızı, gerçek hayattaki riskleri ve bunlardan kaçınma yollarını gösteren eğitimlerle destekleyin. Bu noktada Kaspersky Automated Security Awareness Platform gibi çözümlerden faydalanabilirsiniz.
- Şirketinizin siber güvenlik politikalarını tam olarak anladığınızdan emin olun; net olmayan noktaları BT biriminize danışın.
- Yalnızca BT departmanı tarafından onaylanmış uygulamaları kullanın ve özel bir kaynağa ihtiyaç duyduğunuzda resmi talepte bulunun.
- İş için sadece yetkilendirilmiş cihazları kullanın. Kişisel cihaz kullanımına izin veriliyorsa, cihazın tüm güvenlik standartlarını karşıladığından ve gerekli koruma yazılımlarına sahip olduğundan emin olun.
- İş dosyalarını yalnızca kurum tarafından onaylanmış platformlar üzerinden paylaşın ve depolayın.