Dosya Ağ Yönetimi ve Güvenlik 24 ŞUBAT 2014 / 08:26

Cihazını getir ama tehdidini getirme

Kendi cihazını getir akımı kurumların kendi ağları üzerinde daha önce karşılaşmadıkları bir güvenlik ve yönetim riski oluşturdu. Bunun önüne geçmek için farklı uygulamalar görünse de yapılması gerekenleri sektör temsilcilerine sorduk.

Kaspersky Lab analistlerinin yaptığı çalışmalarla B2B’nin araştırmalarına göre de mobil olmak ve cihazların gün geçtikçe küçülmesi, kurumsal hayatın son 10 yıllık en önemli eğilimleri arasında. Giderek küçülen cihazlar ile kurumsal çalışanlar artık dünyanın her noktasından internete erişebildiği için, artık ofisler terk ediliyor ve esnek çalışma yöntemleri yerleşiyor. Kurumlar bilgilerini sadece bilgisayarlarda bulundurmuyor, çalışanlarının her an kaybolmaya ya da çalınmaya müsait akıllı telefonlarında da çok önemli kurum bilgileri tutuyorlar. Bu nedenle kurumlar için mobil güvenlik de en az bilgisayar güvenliği kadar önem taşıyor. Tüm bunlar kurumsal bilgi ve verilere gözünü diken siber suçluların da dikkatini çekiyor.
“Çalışanların kendi cihazlarıyla işyerlerine gelmesi ve kurumsal kaynaklara ve uygulamalara erişme istekleri yadsınamaz bir gerçek. Geçmiş yıllarda, BT sistem yöneticileri buna izin veremeyiz diyerek kestirip atma lüksüne sahipti” diyerek sözlerine başlayan Avaya Sistem Mühendisi Nail Yavuz, şu şekilde devam etti:
“Çalışma hayatına katılan genç kuşaklar, ki bu kişiler çok ufak yaşlarda teknoloji ile tanıştılar, teknoloji alışkanlıkları ile kurumsal kültürlerin değişmesine ve bir anlamda liberalleşmesine yol açtılar. Artık CEO’lar bile yönetim kurulu toplantılarına tablet bilgisayarları ile katılmaktalar. Kurumlar ve BT yöneticileri kişisel cihazların ağlara katılmasına izin vermek zorundalar; güvenliği sağlamak şartıyla tabii ki. Aynı zamanda yine güvenliği de göz önüne alarak kurumsal uygulamaları, çalışanların kişisel akıllı telefon veya tabletleri ile ulaşmasını sağlayacak şekilde mobil ortamlar üzerinden genişletmek durumundalar.”
Kuruluşların yeni eğilimlere tamamen uyum sağlamak için yeterli zamanları olmadığı, işyerlerinde kendi cihazlarını kullanma alışkanlıklarının (BYOD) ve sosyal medya eğilimlerinin artmasının profesyonel ve kişisel arasındaki çizgiyi bulanıklaştırdığından söz eden IBM Türk Güvenlik Ürünleri Satış Müdürü Pelin Konakçı, “Kullanımı kolay mobil cihazların günlük hayattaki yeri yaygınlaştıkça ve bütünleştikçe örneğin; satın alma işlemleri, banka hesaplarının yönetimi ve sosyal ağlardaki güncellemeler gibi sık kullanılan, mobil tabanlı faaliyetlere dayalı yeni tehditler beliriyor. Taşınabilirlik özelliğinden dolayı, hem işletmelerin, hem de tüketicilerin akıllı telefonların güvenliklerini sağlamaları ve bu güvenlik mekanizmasının cihazı, ağı ve cihazdaki uygulamaları kapsadığından emin olmaları gerekiyor. Ancak bu şekilde işlemlerinin güvenli bir ortamda yürütüldüğünü garanti altına alabiliyorlar” şeklinde konuştu.
Güvenlik standardı oluşturulmalı
“Kablosuz bağlantı teknolojisinin büyümesiyle birlikte kullanılan cihaz sayısı ve tipi de değişkenlik göstermiştir. Eskiden iş yerlerinde sabit bilgisayarlar ve kablolu yapılar yer alırken, bugün kablosuz bağlantı teknolojisindeki gelişmeler ile birlikte cihazlar farklılaşmış ve kurumları BYOD modeline doğru kaydırmıştır” diyen Prolink Sistem Mühendisi Ali Eskiocak’a göre, bu durumun çalışan için kullanım rahatlığı ve esnekliği anlamına gelirken kurum için yönetilemeyen cihazlar anlamına gelmesi. Eskiocak sözlerini şu şekilde sürdürdü:

“Yönetilemeyen cihazlar kurum ağı için bir tehdit öğesidir. Bu yüzden kurumlar kişiyi doğrulayıp, doğruladıktan sonra haklarını atayıp, hareketlerini takip etmelidir. Bu işlemi yaparken de NAC (network access control) gibi teknolojiler kullanarak kullanıcı cihazlarının antiviruslerinin, yamalarının güncel olması gibi belirli bir güvenlik standardında olması da sağlanabilir. Böylece hem kurumlar güvenliklerini sağlarken kullanıcılar da kullanım rahatlığı ve esnekliğinden faydalanabilir.”
Mobil Cihaz Yönetim programları artacak
Eset Türkiye Teknik Müdürü Erkan Tuğral ise şu şekilde görüşlerini bildirdi:
“Pek çok çalışanın aynı zamanda iş amacıyla da kullanabileceği bir veya birden fazla cihaza sahip olması ve bu cihazlarla kurum kaynaklarına erişmeye çalışması, bir kontrol ve güvenlik sorununu da beraberinde getiriyor. Bu tür kullanıma karşı kurum içi politikaların oluşturulması, bazı cihazların kullanımına izin verilmemesi gibi önlemler alınabilir. Ancak bu aşamada çözüm olarak MDM denilen Mobil Cihaz Yönetimi programlarının kullanımı neredeyse zorunlu hale gelmiştir diyebilirim. Bu tür yazılımların ve çözümlerin oluşturduğu pazarın da büyüyeceğini tahmin ediyorum.”
Kendi tehlikeni getirme
Analistler, 2014 yılına kadar kurumsal ağlarda 1,9 milyar cihazın Wi-Fi ile internete bağlı olacağını öngörüyorlar. ZyXEL Kurumsal Çözümler Ürün ve İş Geliştirme Müdürü Ömer Faruk Erünsal’a göre, iyi bir BYOD politikası, çalışan verimliliğini önemli ölçüde artırdığı gibi, mobilitenin sağladığı avantajlarla işyerinin verimliliğini de yükseltiyor. Aksi durumda ise işletmeler BT ekipmanı üzerindeki kontrolünü kaybetme tehlikesiyle karşı karşıya kalabiliyor ve bu durum, hassas veri ve şirket kaynaklarının güvenliğini tehlikeye atma sorununu beraberinde getirebiliyor.
Erünsal, “Uygun politikalar belirlenmediği takdirde BYOD (Bring Your Own Device) kavramı BYOD (Bring Your Own Danger - Kendi Tehlikeni Getir) kavramına dönüşebiliyor. Şirketin BT politikaları çerçevesi dışına çıkan çalışanlar, istenmeyen, illegal ve kopya yazılımları kendi cihazlarında çalıştırabilirler ve bağlı bulunduğu şirketi sıkıntıya sokabilirler” dedi. Erünsal önerilerini ise şu şekilde sıraladı:
• İşletmeler, ölçeklerine ve ihtiyaçlarına uygun BYOD kuralları geliştirmelidir.
• BYOD politikalarını uygulamak için güçlü, çok yönlü WLAN (kablosuz yerel alan ağı) kurmaları gerekir.
• WLAN, olası artan bant genişliği talebini karşılayabilmeli ve fazla sayıdaki kullanıcı ve cihazı yönetmek için gerekli ortamı sunmalıdır. Bu uygulama, BT yönetiminin istikrarlı, güvenli ve kolay bir şekilde gerçekleştirilmesi üzerine inşa edilmelidir.
• Çalışanların akıllı telefonlarını kullanarak şirket ağlarına bağlanmaları, tedbir alınmadığında, bilgi güvenliğini tehdit etmektedir. Bu nedenle mobil cihazlara virüsler ya da kötü yazılımlara dikkat edilmelidir.
• Şirket içinde belirli periyotlarda gerçekleştirilen eğitimler ile de personelin olası saldırılardaki hareket tarzları belirlenmeli ve bu konuda belirli bir seviyede yeterlilik oluşturulmalı.

Çalışanlar eğitilmeli

Bring Your Own Device (Kendi Cihazını Getir-BYOD) veya Choose Your Own Device (Kendi Cihazını Seç-CYOD) olarak adlandırılan iki farklı uygulama da çalışanların kullanımına alışkın oldukları, verimliliklerini artıran cihazlarla çalışma isteklerinden dolayı oluşmuş ve yaygınlaşmaya da devam ettiğine işaret eden Atos Türkiye İnsan Kaynakları Direktörü Selim Utku, “Her iki uygulamanın şirketler açısından çeşitli avantajlar sağladığını görmek gerekiyor. Ancak özellikle güvenlik konusunda iyi bir yönetim sergilemek şart” dedi. Utku’ya göre, ister şirketin sağladığı cihazlar kullanılsın, isterse çalışanlar kendi cihazlarını kullansınlar, güvenlik endişeleri ile başa çıkmanın yolu, kullanıcıların bilinçli olması ve sorumlu hareket etmesinden geçiyor. Şirketler güvenlik tehditleri konusunda çalışanlarını bilgilendirmeleri, onlara eğitimler vermeli.

Kişisel ve kurumsal profiller oluşturulmalı

Çalışan verimliliği ve erişiminin artması, iletişim kurmanın kolaylaştırılması gibi faydaları bulunan BYOD kavramı ilgili yorumlarını aktaran Websense CEMEA Müdürü Satış Mühendisi Ferdinando Mancini, şunları söyledi:
“Tüm bu faydaların yanı sıra hassas veriler ve fikri hakların savunmasız cihazlara aktarılması siber suçlularla aradaki sınırı belirliyor. Geleneksel güvenlik modellerinin taşınabilir cihazlara uygulanması konusunda bulut, bir seçenek oluşturarak, web ve e-posta politikaları oluşturulması ile veri güvenliği sağlanmasına fırsat tanıyabilir. Yeni nesil mobil güvenlik; aynı kullanıcının kişisel mobil cihazını dahi kullanırken de güvende kalacağını garanti etmek için kişisel ve kurumsal cihazlara yönelik bazen sıkı bazense daha özgürlükçü profiller oluşturulmasına ihtiyaç duyuyor.”

BYOD avantaja dönüştürülmeli

Kaspersky Lab ve B2B International’ın ortak çalışmasıyla gerçekleştirilen araştırmalar, günümüzün iş dünyasında yükselen bu trendi göz ardı etmenin imkansızlığını da kanıtlıyor. Bu araştırmalardan çıkan Türkiye sonuçlarına göre, katılanların yaklaşık yüzde 47’si BYOD uygulamasının önümüzdeki yıllarda kurumsal güvenlik için bir tehdit oluşturabileceği konusunda hemfikir. Yine katılanların yüzde 42’si mobil güvenliğin yükselen bir problem olduğunu düşünüyor. Buna karşılık Türk şirketlerin yüzde 52’si gelecekte çalışanların kendi cihazlarını ofise getirmelerini destekleyeceğini açıklıyor.
Kaspersky Lab Türkiye Genel Müdürü Sertan Selçuk, “Büyük kurumsal işletmeler başta olmak üzere farklı ölçekteki işletmeler, bugün artık personellerinin iş amaçlı kullandığı ve ağa bağlanan, sayıları da gün geçtikçe artan internet erişimli cihazlar ile ilgilenmek durumunda” dedi.

Veri kaybına yönelik önlem alınmalı

Çalışanlara şirkette özgürlük anlamına gelen bu durumun bilgi güvenliğine yönelik riskler oluşturmaması için kurumlar tarafından birtakım önlemler alınması gerektiğini vurgulayan KoçSistem İletişim Teknolojileri ve BT Güvenlik Yönetilen Hizmetler Grup Yöneticisi Fatma Hacıoğlu Doğar, “Öncelikle cihaz kimlik doğrulaması yapılmalı ki gerçekten şirket çalışanı mı ya da yetki verilmiş kişilerden biri mi olduğu anlaşılabilsin. Ondan sonraki aşamada ise yetkilendirme yapılması gerekir” dedi. Fatma Hacıoğlu Doğar sözlerini şu şekilde tamamladı:
“Yetkilendirme; sadece önceden belirlenmiş alanlara erişim sağlanması, belli başlı şirket uygulamaları üzerinden işlemlerin yapılabilmesi ya da sadece internete erişim sağlanması şeklinde yapılabilir. Bu yöntemlerin yanı sıra kişisel cihaza veri kaydedilememesi ya da paylaşılamaması, fotoğraf, GPS gibi servislerin kapatılması gibi bilgi kaybına yönelik geliştirilmesi gereken birçok önlem de alınmalıdır.”

BYOD konusunda önlemler alınmalı

Kurumların BYOD kullanımı ile beraber personelinin evinde veya mobil olarak çalıştığı yerdeki güvenlik açıklarını da kurumsal sistemlerine taşıma ihtimalinin yüksek olduğuna dikkat çeken Dell Türkiye Çözüm Grubu Direktörü Didem Duru, “Bu risklerin bertaraf edilmesi için kurumların kendi politikalarına uygun olan birtakım önlemleri uygulamak zorunda olması kaçınılmazdır. Merkezi yönetim, uç nokta erişim kontrol gibi olmazsa olmaz tedbirlerin yanı sıra uzak nokta sistemlerinin şifrelenmesi, masaüstü sanallaştırma çözümlerini kullanarak erişim sağlamak gibi seçenekler sunmak da değerlendirilebilir” şeklinde konuştu. Duru önerilerini şu şekilde sıraladı:
• Örneğin satış temsilcisi, çağrı merkezi operatörü, yazılım geliştirici gibi kullanıcı görevlerini tanımlı görevlerle eşleştirin. Ardından her görevin erişim seviyesini ve her görevi desteklemek için hangi uygulamaların gerekli olduğunu belirleyin.
• Hangi çalışanların ağı kullandığını ve ne yapmaya çalıştığını size ileten politikalar oluşturun.
• Akıllı telefonları, tabletler, dizüstü ve masaüstü bilgisayarları destekleyen merkezi yönetim çözümleri seçin.
• Yönetimi basitleştirmek ve maliyetleri azaltmak için bilgisayar sanallaştırma, hizmet olarak sağlanan yazılım ve bulut teknolojilerini göz önüne alın.
• İş ve çalışan verilerini en başından ayrı tutun. Bölümlendirilmiş bir yaklaşımı göz önünde bulundurun.
• Uç noktalarda, disklerde ve diğer ortamlarda verileri şifreleyin.
• Mobil portföyünüzü modernleştirmeye başlamak üzere uygulamalarınızı stoklayın.
• İstemci ortamınızın uyum düzenlemelerine uyup uymadığını belirleyin.
• Aygıt, ağ ve veri merkezini kapsayacak şekilde verilerinizi çok katmanlı bir yaklaşımla güvenlik altına alın.
• Çalışanlarınızın ihtiyaç duyduğu bant genişliği ile BT ağına sahip olmalarını sağlayın.
• Self-servis portalların yanında danışmanlık ve destek hizmetleri alın.

Ek güvenlik politikaları gerekiyor

Yapılan araştırmalarda BYOD’nin maliyetleri azalttığı, çalışan memnuniyetini dolayısıyla üretkenliğini artırdığını belirten Surgate Labs CTO’su İsmail Yenigül, “Kontrol edilemeyen ve güvenilmeyen uygulamalar kurulması sonucu bilgi kaybı ve güvenlik zafiyetleri yaşanabilir. Çözüm olarak klasik web filtreleme yazılımları yerine mobil cihazları tehdit eden zararlı yazılım saldırılarına karşı koruma yapabilen çözümler konumlandırılmalıdır. Finansal düzenlemelere tabii kurumların BYOD için de ek güvenlik politikaları geliştirmeleri gerekecektir” dedi.
ETİKETLER : Sayı:960