İşyerine Dönen İşletmeler İçin Siber Güvenlik Kontrol Listesi

Er ya da geç kuruluşlar, çalışanları için pandemi sonrası çalışma rutinleri hakkında düşünmeye başlayacak. Apple, Haziran ayında çalışanlarının Eylül ayından itibaren haftada en az birkaç gün ofise geleceğini duyurdu. Birçok şirketin yeni çalışma gerçekleri hakkında nihai bir kararı olmasa da ofise kısmi dönüş bile BT ve BT güvenlik ekiplerinin belirli önlemleri almasını gerektiriyor.

Yazan: Kaspersky Orta Doğu, Türkiye ve Afrika Genel Müdürü Amir Kanaan

Er ya da geç kuruluşlar, çalışanları için pandemi sonrası çalışma rutinleri hakkında düşünmeye başlayacak. Apple, Haziran ayında çalışanlarının Eylül ayından itibaren haftada en az birkaç gün ofise geleceğini duyurdu. Birçok şirketin yeni çalışma gerçekleri hakkında nihai bir kararı olmasa da, ofise kısmi dönüş bile BT ve BT güvenlik ekiplerinin belirli önlemleri almasını gerektiriyor.

Evden çalışmaya geçmek zordu, ama tuhaf bir şekilde ofise dönmek de bir o kadar zor olabilir. Kuruluşlar ilk dağıtıldıkları zamanki kadar karmaşık olabilecek bazı değişiklikleri geri almak zorunda kalacaklar. Ayrıca dahili hizmetlerin güvenliğini yeniden sağlamaları ve çalışanların karantina sırasında alıştıkları yazılım ihtiyaçlarını karşılamaları gerekecek. Bu noktada göz önünde bulundurulması gereken pek çok şey var. Bu nedenle kurumların önceliklendirmelerine yardımcı olmak için işletmelere yönelik bazı siber güvenlik uyarılarını bir araya getirdik.

1. Evden çalışırken uyguladığınız siber güvenlik çözümlerini uygulamaya devam edin

Şirketler, çalışanlar evden çalışırken kurumsal uç noktaların güvenliğini korumak için büyük olasılıkla güvenlik kontrolleri ve uzak bilgisayarların merkezi yama yönetimi gibi ek koruma önlemleri uygulamaya koydu. VPN kurmak veya genişletmek, özel farkındalık eğitimleri gibi. Uç noktalara kurulan tehdit algılama ve müdahale araçları, ağ ve çevre savunmalarındaki boşlukları doldurmak açısından önemliydi.

Bu uygulamalar hibrit çalışma modelleri için de aynı olmalıdır. İşgücü evden ofise aktığında veya iş seyahatleri söz konusu olduğunda bu büyük avantaj sağlar. Uç noktalardaki VPN, EDR ve izinsiz giriş tespit sistemleri, çalışanların görevlerini yapmak istedikleri her yerde güvenle çalışmasını sağlayacaktır.

2. Uzaktan çalışma için devre dışı bırakılan güvenlik kontrollerini etkinleştirirken kaynakları ve zamanı dikkatlice planlayın

Kurumlar, çalışanların özellikle kişisel cihazlarından şirket ağına uzaktan bağlanmasına izin vermek için Ağ Erişim Kontrolü (NAC) gibi bazı siber güvenlik kontrollerini zayıflatmaya veya devre dışı bırakmaya karar verebilir. NAC, şirket ağına erişim izni vermeden önce bilgisayarların kurumsal güvenlik gereksinimleriyle uyumlu olup olmadığını kontrol eder. Bilgisayarın giriş için yetkisi yoksa, kötü amaçlı saldırılardan koruma yazılımı güncel değilse veya başka bir tutarsızlık varsa, NAC bu sorunlar çözülene kadar erişim izni vermez.

Çalışanlar ofise döndüklerinde ve şirket ağına bağlandığında, makinelerin herhangi bir risk oluşturması durumunda iç sistemleri korumak için NAC özelliğini açılmalıdır. Ancak bilgisayarlar ana sistemlerden yaklaşık 18 aydır uzak oldukları için bazı güncellemeleri kaçırmış olabilirler. Bu düzinelerce, hatta bazen yüzlerce cihazda NAC’ı etkinleştirmenin hataya neden olabileceği anlamına gelir. Sonuç olarak bu hizmeti etkin hale getirmek, küçük personel grupları için adım adım ilerleyen bir ince ayar sürecine dönüşebilir.

Kuruluşların bu tür sorunları önceden tahmin etmesi, kaynakları, son teslim tarihlerini, hata düzeltmelerini ve hatta BT entegratörlerinin yardımını içeren bir planı ortaya koyması gerekir.

3. Dahili sistemlerin güncellemelerini yapın

Dahili kritik hizmetleri kontrol etmeyi unutmayın. Yama uygulanmamış sunucular varsa, binanın kapılarını açmadan önce BT güvenlik ekibinin bunlar hakkında bilgi sahibi olduğundan emin olun.

Hepimiz ofis bilgisayarlarımızın karşısında otururken bilgisayarlarımız sürekli şirket ağına bağlıydı ve 7×24 koruma altındaydı. İçerdeki bir bilgisayardan ağa nüfuz eden ve savunmasız sunucuları tehlikeye atan istismarların ortaya çıkma riski daha düşüktü.

Şimdi herkesin birlikte ofise döndüğünü, dizüstü bilgisayarlarını şirket ağına bağladığını ve tüm kullanıcıların hesaplarını yöneten yama uygulanmamış bir etki alanı denetleyicisi olduğunu hayal edin. Yüzlerce cihaz arasında güvenliği ihlal edilmiş olanlar varsa ve siber suçlular savunmasız denetleyiciyi ortaya çıkarırsa, çalışan hesap verilerine ve şifrelerine kolayca erişebilirler. Umarım böyle bir durumda BT güvenlik ekibiniz sorunu çabucak algılayabilir. Ancak bu yine de sonrasında ağı yeniden düzenlemek ve tüm parolaları değiştirmek için çok fazla ek mesai anlamına gelir.

4. Hem tasarrufa hem maliyetlere hazır olun

Çalışanları ofise geri getirmek, işverenlere bir miktar tasarruf sağlar. Örneğin Kaspersky’de personelimizin çoğunun evden çalışmasını sağlamak için VPN tünellerinin sayısını 1.000’den 5.000-8.000’e çıkardık. Ekibimiz ofise döndüğünde çok fazla VPN lisansına ihtiyacımız olmayacağından bu maliyeti düşürmemiz muhtemel.

Benzer şekilde şirketler, Slack veya Microsoft Teams gibi abonelik tabanlı bulut çözümlerinin sayısını azaltabilir. Çünkü bu kadar çok bulut lisansına gerek kalmayacak ve bazı hizmetler şirket içinde sağlanabilecek. Aynı strateji elektronik imza uygulamaları için de geçerli olabilir. Bunlar kısıtlamalar sırasında bir zorunluluktu, ancak hareket kısıtlamaları kaldırıldığında ölçeklendirilebilir ve geleneksel bir belge imza süreciyle birleştirilebilirler.

Bununla birlikte serbest bırakılan bütçeler dijital iş istasyonlarının düzenlenmesi için harcanabilir. Böylece çalışanlar zamanını ofisten ve başka herhangi bir yerden çalışarak geçirebilirler. Sanal masaüstü altyapısından (VDI) hizmet olarak masaüstüne (DaaS) kadar bu konsept yeni değil, ancak Gartner’ın belirttiği gibi pandemi bunu daha yaygın hale getirdi. Tüm çalışma alanları bulutta olduğunda ve personel bunlara herhangi bir cihazdan erişebildiğinde, uzak bilgisayarlar yerine sanal masaüstlerini dağıtmak, yönetmek, düzeltmek ve korumak çok daha kolaydır.

5. Çalışanların birlikte çalıştığı araçları ve ayarları kaydedin

Uzaktan çalışanlar sohbet, video konferans, planlama araçları, CRM gibi yeni iletişim ve işbirliği araçlarında uzmanlaştı. Artık tanıdık ve kullanışlı hale geldikleri için uygulamaları kullanmaya devam etmek isteyeceklerdir. Çalışmalarımızdan birinin gösterdiği üzere, pandemi deneyimi sayesinde insanların yüzde 74’ü daha esnek ve rahat çalışma koşulları istiyor.

Çalışanların bu yenilikleri kullanmasını yasaklamak akıllıca olmayabilir. Personel, uygulamaları kendi inisiyatifleriyle ve BT onayı olmadan kullandığında gölge BT’nin büyümesine neden olabilir. Şirketler, yeni hizmetleri onaylamaya, alternatifler önermeye ve personele daha güvenli seçenekleri tercih etmenin neden önemli olduğunu açıklamaya hazırlıklı olmalıdır. Kuruluşların bulut hizmetlerine erişimlerini yönetmelerine yardımcı olan özel çözümler vardır ve bunlar buluta özgü güvenlik ilkelerini uygular.

BT güvenliği işe engel değil, işi kolaylaştırıcı olmalıdır. Bu davranış değişikliğini görmezden gelmek, bir çalışanın şirkete bakışını etkileyebilir. Esnek çalışma ve çalışanlar için uygun hizmetlere izin vermek, şirketi çalışanların gözünde ve gelecekteki potansiyel adaylar açısından daha çekici hale getirebilir. Tam tersi davranışlar da personelin ve müşterilerin değişiklikleri onaylanmamasına yol açabilir. Bunun örneğini Apple’da gördük. Bazı çalışanlar Tim Cook ve yöneticilere uzaktan ve esnek çalışma kararlarının, ekibin işe alma kararları kadar özer olması gerektiğini talep eden bir açık mektup yazdı.

Pandemi ve uzaktan çalışmaya geçiş, mücbir sebep tarafından ortaya konan bir zorunluluktu. Böyle şeylerle sık karşılaşmıyoruz. Yaşadığımız zorluklara rağmen, paha biçilmez ve gelecek açısından çok önemli bir deneyimden geçiyoruz.

Pandeminin en önemli çıkarımlardan biri, iş dönüşümünün hızı ve BT’nin esnekliği oldu. BT güvenliği bu esnekliği kısıtlamamalı, seçenekler sunmalı ve desteklemelidir. Herhangi bir biçimde akıllı ve güvenli bir şekilde ofise dönmek, şirketlerin iş süreçlerinden en iyi şekilde yararlanarak trendin zirvesinde kalmalarına yardımcı olabilir.