Kaspersky, "İş Yerinde Siber Güvenlik: Çalışan Bilgi ve Davranışları" başlıklı araştırmasının sonuçlarını yayımladı.
Şirketten yapılan açıklamada paylaşılan araştırmaya göre, Türkiye'deki profesyonellerin yüzde 52'si şirketlerindeki siber güvenlik kurallarını ya aşırı kısıtlayıcı ya da tam olarak uygun olmayan kurallar olarak görüyor.
Katılımcıların yüzde 6'sı ise kurumlarında herhangi bir siber güvenlik kuralı bulunmadığını veya mevcut kurallardan haberdar olmadıklarını belirtiyor. Bu sonuçlar, kurumsal siber güvenlik politikaları ile çalışanların bu kurallara olan bağlılığı arasındaki kopukluğu ortaya koyarken, aynı zamanda "Shadow IT" ve yönetilmeyen cihaz kullanımından kaynaklanan riskleri gözler önüne seriyor.
Bilgi teknolojileri (BT) departmanının denetimi dışında kullanılan yetkisiz yazılım, cihaz veya hizmetler olarak tanımlanan Shadow IT, kritik bir iş riski olarak öne çıkıyor.
Çoğu zaman çalışanların verimlilik arayışıyla ortaya çıkan bu durum, BT birimleri için ciddi kör noktalar yaratıyor. Hibrit çalışma modellerinin yükselişi, bulut tabanlı araçlara olan bağımlılığın artması ve yapay zeka araçlarının yaygınlaşması bu eğilimi daha da hızlandırıyor. Güçlü bir siber güvenlik yönetimi ve denetimi olmaksızın kurumlar, fidye yazılımı (ransomware) saldırıları, veri sızıntıları ve yasal yaptırımlar gibi tehditlerle karşı karşıya kalıyor.
- Çalışanların şahsi cihaz kullanımı yaygınlaşıyor
Türkiye'de araştırmaya katılanların yüzde 17'si, şirketlerinde kurumsal olmayan cihazların kullanımına yönelik herhangi bir politika bulunmadığını belirtiyor. Çalışanların yüzde 35,5'i, bireysel düzeyde bir siber güvenlik korumasına sahip olmak kaydıyla işle ilgili verilere erişmek için kendi cihazlarını kullanabildiklerini yönünde görüş belirtiyor.
Olumlu bir tablo çizen yüzde 16'lık kesim ise kendi cihazlarını ancak sıkı kurumsal BT güvenlik denetimlerinden geçtikten sonra kullanabildiklerini, katılımcıların yüzde 31,5'i ise iş amaçlı olarak yalnızca BT birimi tarafından tahsis edilen cihazların kullanımına izin verildiğini bildiriyor.
Kurumsal cihazlara BT onayı olmaksızın yazılım yükleme yetkileri konusunda ise durumun daha kontrollü ilerliyor. Katılımcıların yüzde 48'i yazılım yükleme yetkisinin yalnızca BT uzmanlarında olduğunu, yüzde 37'si ise bu yetkinin sadece üst yönetim veya yetkilendirilmiş kullanıcılarda bulunduğunu bildirdi. Çalışanların yüzde 11'i yalnızca BT ekibi tarafından onaylanmış yazılımları yükleyebilirken, yüzde 4'lük bir kesim herhangi bir onay almadan herhangi bir yazılımı yükleyebildiklerini ifade etti.
Profesyonellerin yüzde 13'ü geçen yıl içinde iş cihazlarına BT denetimi olmaksızın yazılım yüklediklerini kaydederken, bu durum, kurumları güvenlik açıklarına, uyumluluk risklerine ve veri ihlallerine maruz bırakan Shadow IT sorununun devam ettiğini gösterdi.
Kaspersky uzmanları, kurumların savunmalarını güçlendirmeleri için şu önerilerde bulundu:
"Kurumsal verilere erişen tüm yetkisiz yazılımları, bulut hizmetlerini ve kişisel cihazları belirlemek için bir Shadow IT denetimi gerçekleştirin. Onaylanmamış uygulama kullanımını ve cihaz davranışlarını izleyebilmek için Kaspersky Next ürün ailesinin EDR ve XDR katmanları gibi güçlü izleme ve siber güvenlik çözümlerini devreye alın. Kişisel cihaz kullanımına (BYOD) izin veriliyorsa, minimum güvenlik gereksinimlerini net bir şekilde tanımlayın ve bunları Mobil Cihaz Yönetimi (MDM) veya uç nokta yönetim araçlarıyla denetleyin. Kullanıcı dostu siber güvenlik politikalarınızı, gerçek hayattaki riskleri ve bunlardan kaçınma yollarını gösteren eğitimlerle destekleyin. Bu noktada Kaspersky Automated Security Awareness Platform gibi çözümlerden faydalanabilirsiniz."
Uzmanlar, çalışanlar için ise, "Net olmayan noktaları BT biriminize danışın. Yalnızca BT departmanı tarafından onaylanmış uygulamaları kullanın ve özel bir kaynağa ihtiyaç duyduğunuzda resmi talepte bulunun. İş için sadece yetkilendirilmiş cihazları kullanın. İş dosyalarını yalnızca kurum tarafından onaylanmış platformlar üzerinden paylaşın ve depolayın." tavsiyelerinde bulundu.
- Çalışan kaynaklı yazılımlar güvenlik açığı oluşturuyor
Açıklamada görüşlerine yer verilen Kaspersky META Bölgesi Genel Müdürü Toufic Derbass, Shadow IT'nin operasyonel risklerin ana unsurlarından biri haline geldiğini belirtti.
Derbass, çalışanların önemli bir kısmının BT denetimi olmadan yazılım yüklemesinin politika tarafında önemli bir boşluk yarattığını kaydetti.
Pek çok kuruluşun zaten güvenlik politikasına sahip olduğunu anlatan Derbass, "Ancak çalışanların bu politikaları nasıl algıladığı da en az uygulama kadar önemli. Kurumların yalnızca kısıtlayıcı kontrollerle ilerlemek yerine, teknoloji ile çalışan farkındalığını ve sorumlu kullanım alışkanlıklarını bir araya getiren, kullanıcı odaklı ve akıllı siber güvenlik stratejilerine yönelmesi gerekiyor." ifadelerini kullandı.