Salgın nedeniyle yaygınlaşan uzaktan çalışma ortamları, sıfır güven yaklaşımına olan ivmeyi hızlandırıyor. Yapılan araştırmalara göre, iş liderlerinin yüzde 51’i bu süreçte sıfır güven yaklaşımını benimserken, yaklaşımın uygulanmasına yön veren yanlış bilgiler şirketlerin siber güvenliğini zedeliyor.
Birçok şirketin uzaktan çalışma ortamlarını benimsemesine neden olan salgın, güçlü siber güvenlik çözümlerine olan ihtiyacı da beraberinde getiriyor. Microsoft tarafından yapılan araştırmalar, iş liderlerinin yüzde 51’inin bu süreçte sıfır güven yaklaşımına yöneldiğini gösterirken, yaklaşıma dair bilinen yanlış kanılar siber güvenlik çabalarını boşa çıkarıyor. Sıfır güven uygulamalarına dair hızlı referans noktalarının olduğuna dikkat çeken WatchGuard Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, yaklaşımı karmaşık bulan ve uygulayacak kaynağa sahip olmadığını düşünen şirketlerin, doğru bilgilerle temellendirilmiş sıfır güven yaklaşımı ile siber güvenliklerini güçlendirebileceğini aktarıyor.
Stratejik Sıfır Güvenlik Yaklaşımı için Hızlı Referans Noktaları
Etkili ve güvenli bir ağ kurmanın yolu, siber güvenlik sistemlerinin nasıl çalıştığını anlamaktan geçiyor. Sıfır güven yaklaşımının temelinde ise diğer iş ortaklarında görülen güven anlayışı farklılıkları bulunuyor. Bu yaklaşımın, doğru anlaşıldığı takdirde herkesin kullanabileceği bir metodoloji olduğuna dikkat çeken Yusuf Evmez’e göre şirketlerin uygulayabileceği 5 hızlı referans noktası bulunuyor.
1. Koruma yüzeyini tanımlayın.
2. İşlem akışlarının haritasını çıkarın.
3. Sıfır güven mimarisi oluşturun.
4. Sıfır güven ilkesi oluşturun.
5. İzleyin ve koruyun.
Sıfır Güven Yaklaşımına Dair Bilinen 5 Yanlış Kanı
Yusuf Evmez, sıfır güven yaklaşımına dair yanılgı yaratan 5 yanlış bilgiyi sıralıyor.
1. Ağın içindeyim, bu yüzden yüzde 100 güvenlik önlemlerine gerek yok. Çoğu şirketin sıfır güvenlik yaklaşımına yönelmesindeki ana neden, güvenlik duvarlarını kendilerinin koruyabileceğini düşünmesidir ancak hackerler tek bir kişinin bilgilerini değil tüm ağdaki kişilerin bilgilerini hedefledikleri için güçlü tedbirler her zaman önemlidir.
2. Tüm hizmetlerimi buluta taşımam, yerel ağ, uzaktan erişim veya VPN ihtiyacını ortadan kaldırmam gerekiyor. Şirketler hala VPN üzerinden erişilebilen ve paylaşılabilen dosya sunucuları hakkında verilere sahiptir. VPN’i tamamen ortadan kaldırmak yerine, ağa doğru kullanıcıların eriştiğinden emin olmak gerekmektedir.
3. Kullanıcılarım için güçlü bir kimlik doğrulama yöntemi uygulamak, riski azaltmak için yeterli olacaktır. Sıfır güven yaklaşımından bahsedildiğinde, kullanıcıların ve cihazların kimliklerinin doğrulanması hakkında birçok bilgi duyulmaktadır. Kimlik doğrulamaları, uygulamanın çok önemli bir ayağı olsa da tek koruma yöntemi değildir.
4. Kafe gibi halka açık bir yerde olmadığımız için evden çalışanlarım güvende. Sıfır güven yaklaşımını düşünen şirketlerin bu fikri tamamen reddetmesi gerekiyor. Bir ev ağının güvenli olduğundan emin olmak göründüğünden daha karmaşıktır ve çalışanların güvenli bir ortamda çalıştığını garanti etmek zordur. Bu nedenle çalışanlar için güçlü önlemler alınmalıdır.
5. Bulut hizmetlerine geçiyorum bu yüzden otomatik girişler sorun değil. Bazı bulut uygulamaları, kullanıcıların bir sosyal medya hesabı aracılığıyla kimlik doğrulaması yapmasını sağlamaktadır. Bu durum, kullanıcı açısından kolay olsa da siber güvenliğe yönelik tehditler oluşturmaktadır.