Kişisel cihazlar kurum güvenliğini tehdit ediyor

Kendi Cihazını Getir (BYOD) trendi, bir politika olmaktan çıkıp standart bir uygulamaya dönüştü. BYOD ve Kurumsal Mobilite için küresel pazarın 2024 yılında 129,2 milyar dolar değerinde olduğu ve 2030 yılına kadar 331,6 milyar dolara ulaşacağı öngörülüyor. Ancak kişisel cihazlar, özellikle yönetilmedikleri veya kötü yönetildikleri zaman, siber güvenlik zincirindeki en zayıf halkalardan biri oluyor. Siber güvenlik şirketi ESET, kişisel cihaz kullanımının kurumsal bir riske dönüşmemesi için  nelere dikkat edilmesi gerektiğinin altını çizdi.

BYOD ile ilgili başlıca güvenlik endişelerinden biri, kişisel cihazlarda standartlaştırılmış korumanın olmamasıdır. Kişisel cihazlar genellikle uç nokta koruması, şifrelenmiş depolama ve hatta parola hijyeni gibi temel korumalardan yoksundur. Bu "eksiklik" bir işletmenin ve savunucularının koruması gereken saldırı yüzeyini genişletir. Bu siber güvenlik özelliklerinden ve kurumsal kısıtlamalardan yoksun olan kişisel cihazlar, özellikle de kullanıcılar siber güvenlik eğitimi almamışsa kötü amaçlı uygulamalar veya kimlik avı bağlantıları yoluyla siber tehditlere maruz kalabilir. Ayrıca bu cihazlar personel olmayan kişiler tarafından kullanılıyor olabilir ve sıklıkla güvenli olmayan kamusal ağlara (kafeler, havaalanları ve ortak çalışma alanları) bağlanırlar; bu da onları fırsatçı saldırılar için cazip hedefler hâline getirir. Gölge BT bir diğer önemli faktördür. Çalışanlar üretkenliklerini sürdürmek için genellikle yetkisiz uygulamalar yükler veya işle ilgili amaçlar için doğrulanmamış bulut hizmetlerini kullanır. Bu durum iş akışlarını hızlandırabilirken aynı zamanda iş ortamına kontrolsüz veri akışları ve potansiyel güvenlik açıkları da getirmektedir.

Her kurumun bir politikası olmalı

Etkili BYOD güvenliğinin temeli görünürlüktür. Şirketler öncelikle e-posta sunucuları, dâhili platformlar, paylaşılan sürücüler ve bulut tabanlı uygulamalar gibi kurumsal kaynaklara erişen her kişisel cihazın envanterini çıkarmalıdır.  Bir sonraki adım, minimum güvenlik standartlarını ve en uygun yapılandırmayı uygulamaktır. Bunlar arasında zorunlu şifreleme, güçlü parola politikaları, iki faktörlü kimlik doğrulama ve uç nokta koruması sayılabilir. Bu gereksinimler, çalışanların cihazlarını kurumsal ağlara bağlamadan önce kabul ettikleri resmî bir BYOD politikasında açıkça belirtilmelidir.

Kullanılan yazılımlar güncel olmalı

Gölge BT risklerini azaltmak için şirketler, riskli uygulamaları kara listeye almak veya onaylı araçları beyaz listeye almak gibi uygulama kontrol politikaları uygulamalıdır.  Bilinen güvenlik açıklarını yamalamak ve cihazları derhal güncellemek, ihlalleri önlemenin en basit ve etkili yollarından biridir. Ancak BYOD ortamlarında, yazılımı güncel tutma sorumluluğu genellikle çalışana düşer ve bu noktada boşluklar oluşabilir. Mobil Cihaz Yönetimi (MDM) çözümleri burada çok değerlidir. Bir MDM kullanmak mümkün değilse en azından BT yöneticileri kullanıcılara güncellemeleri yüklemelerini düzenli olarak hatırlatmalı, takip etmesi kolay rehberlik sağlamalı ve güvenlik açıklarının hızla kapatılmasını sağlamak için yama durumunu takip etmelidir. MDM ile kuruluşlar cihazları uzaktan izleyebilir, güvenlik ayarlarını uygulayabilir, hırsızlık veya kayıp durumunda verileri silebilir ve çalışanların kişisel dijital alanlarını gereğinden fazla işgal etmeden kurumsal politikalarla uyumluluğu sağlayabilir. 

VPN kullanmak önemli 

Çalışanlar ister evden ister bir kafeden çalışıyor olsun, halka açık veya güvenli olmayan Wi-Fi ağlarının kullanılması önemli bir risk oluşturur. Düzgün yapılandırılmış bir Sanal Özel Ağ (VPN) kurmak şarttır. VPN'ler, verileri aktarım sırasında koruyan ve ortadaki adam saldırıları olasılığını azaltan şifreli tüneller oluşturur.  Ayrıca kuruluşlar uzaktan erişimi korumak için Uzak Masaüstü Protokolü (RDP) erişiminin güvenli bir şekilde yapılandırıldığından emin olmalıdır. Yanlış yapılandırılmış RDP'ler siber saldırılarda sıklıkla kullanılan bir vektör  olduğundan şirketler bunların kurulumunu diğer açık sistemlerle aynı titizlikle ele almalıdır.

Hassas kurumsal verilerin kişisel cihazlarda saklanması, özellikle cihazın kaybolması, çalınması veya evdeki başka biri tarafından erişilmesi durumunda maruz kalma riskini artırır. Bunu ele almak için kuruluşlar parola koruması, otomatik kilitleme ve cihaz şifrelemesini zorunlu kılan kurallar oluşturmalıdır. Ayrıca gizli veya iş açısından kritik olarak sınıflandırılan veriler hem dinlenme hem de aktarım sırasında şifrelenmelidir. Hassas verileri barındıran sistemlere her türlü erişim için çok faktörlü kimlik doğrulama (MFA) gerekli olmalıdır. 

Şirketler en zayıf kullanıcı kadar güçlü

En iyi teknik önlemler alınsa bile bir BYOD politikası ancak en zayıf kullanıcısı kadar güçlüdür. Kuruluşlar çalışanlarını, gelişmiş kötü amaçlı yazılımdan koruma ve şifrelemenin yanı sıra uzaktan silme özelliklerini de içermesi gereken çok katmanlı cihaza özel güvenlik yazılımlarıyla donatmalıdır. Düzenli yedeklemeler ve sık sık güvenlik farkındalığı eğitimi kritik önem taşır. Çalışanlar, iş için kişisel cihaz kullanmanın yüksek risklerini ve hem kendi bilgilerini hem de şirketin bilgilerini korumak için atabilecekleri adımları anlamalıdır.

Şeffaflık çok önemli

Çalışanlar, işverenlerinin kişisel dijital yaşamlarının ne kadarını görebilecekleri konusunda anlaşılır bir şekilde endişe duymaktadır. İşletmeler, hangi verilere erişecekleri (ve erişmeyecekleri) ve çalışanların gizliliğine nasıl saygı gösterileceği konusunda açık olmalıdır. İş verilerini kişisel verilerden ayırmak gibi gizlilik öncelikli mimarileri destekleyen MDM çözümleri bu boşluğu doldurmaya yardımcı olabilir. 

Kaynak: (BYZHA) Beyaz Haber Ajansı

Haber Kaynağı : BEYAZ