Mobil güvenlik, kurumsal güvenliğin bir parçası olarak değerlendirilmeli

Mobil güvenlik konusunda bireysel farkındalık olması gerekenin çok altında. Kullanıcıların genellikle ya hiç önlem almadıklarını ya da en fazla cihazlarına bir şey olması durumunda, bilgilerini geri alabilmek amacı ile bir bulut servisine yedeklediklerini görüyoruz. Oysa asıl tehlike, cihazınızdaki bilgilerin başkaları tarafından ele geçirilmesi. Bunu engellemek için ise çok az önlem alınıyor.
 
Bir kullanıcı kendi cihazından kurumsal bilgilere eriştiği andan itibaren, artık o cihaz kurum için potansiyel bir risk kaynağı. Kurumların bu riskin farkında olmaları ve buna karşı güvenlik önlemleri almaları, mobil cihazları da mutlaka kurumun güvenlik yapılandırmasının bir parçası olarak değerlendirmeleri gerekiyor. Kurumsal güvenliğin bir bütün olarak değerlendirilmesi gerektiğini vurgulayan Destek Bilgisayar Genel Müdürü Oğuz Tamer Tunçel, sözlerine şunları ekliyor:
 
“Mobil cihazlar, güvenliğin önemli bir parçası olmalı. Eğer kurumun mobil cihazlar için bir güvenlik politikası ve önlemi yoksa, o zaman kurumsal güvenlikten bahsetmek pek mümkün değil. Gelişmelere baktığımızda, mobilitenin öneminin her gün daha da artacağı belli iken, bu konuya gereken önemi vermemek de büyük bir hata olur.”
 
Kurumların mobil cihazlar için belirlenmiş bir politikaları ve bu politikaları uygulayacakları araçları olmalı. Politikalar kurumlar tarafından belirlendikten sonra uygulanması aşamasında, MDM (Mobile Device Management) çözümlerinden faydalanmalılar. Mobil cihaz yönetimi üç temel bileşeni mutlaka adreslemeli: Cihazdaki bilgilerin ve cihazın kontrolü, cihaz ile kurum arasındaki veri iletişiminin güvenliği ve son olarak kurum kaynaklarına erişimin kontrolü.
 
Kurum çalışanlarının bireysel cihazlarından kurum kaynaklarına erişimine izin veriliyorsa, cihaz üzerinde ayrılmış farklı bir bölüm oluşturulması, kuruma ait bilgilerin bu bölümde kriptolu olarak tutulması gerekli. Cihazın uzaktan yönetilebilmesi de burada önem taşıyor.
 
Cihaz ile kurum arasındaki veri iletişimi, kurumun kontrolünde olmayan kablolu veya kablosuz ağlar üzerinden yapılıyor. Bu yüzden iletişimin VPN kullanılarak yapılması, kullanılacak çözünün mobil VPN kullanımını desteklemesi de gerek. Kurum tarafında, mobil cihazların hangi kaynaklara erişebileceklerinin belirlenmesi gerektiğine dikkat çeken Oğuz Tamer Tunçel, şu detaylara dikkat çekiyor:
“Cihazların donanım ve yazılım envanterleri çıkarılabilmeli, cihazlardan alarmlar alınabilmeli. Kuruma ait bir uygulama mağazası oluşturulmalı, kontrol edilmiş, kullanımına kurum tarafından izin verilmiş yazılımlar bu mağaza aracılığı ile kullanıcılara sağlanmalı.”