Bilinçsiz ve dirençli çalışan güvenliği zayıflatıyor

Günün büyük bölümünü ofis içerisinde geçiren veya çeşitli mobil cihazlar sayesinde iş sürecine her yerden her an dahil olan çalışan, kurumun geneli açısından her zaman potansiyel bir tehdit. Bu sebeple kurum ağınızdaki herhangi bir bilgisayara takılan basit bir depolama aracını dahi şüpheli varsaymak zorundasınız. Bu noktada güvenlik ve takip yazılımları başta olmak üzere çalışanı takip etmeye yönelik sistemlerin iş süreciyle bütünleştirilmesi ve kullanımı esnasında ortaya çıkan birtakım sorunlar da var.
CA Technologies Çözüm Müdürü Mahir Ünal, güvenlik sistemlerinin iş süreçleriyle bütünleştirilmesinde çeşitli sorunlara yol açabilecek iki ana başlıktan söz ediyor. Bunlardan biri söz konusu süreçlerin kurum içinde oluşturulmasıyla ilgili. Ünal, “Güvenlik sistemlerinin hayata geçirilmesinden sorumlu olan BT uzmanlığıyla, bu sistemlerin operasyonel akışla etkileşimini sağlamaktan sorumlu iş uzmanlığının birlikte kullanılması ve süreçler geliştirirken aynı dille konuşulmasının sağlanması sorunsalı. Bu, doğru yönetilmediği takdirde kurumsal bilgi güvenliği için seçilen çözümlerin uygulanabilirliğini sınırlayabiliyor” dedi.
Mahir Ünal ikinci başlığı ise, çalışanların yeni süreçlere uyumu, kurum için kabullenme ve sahip çıkma kültürünün oluşturulması şeklinde tanımlıyor.
Ünal’a göre tüm bunlarla başa çıkmak için yönetim sponsorluğunun sağlanması; eğitim, bilinçlendirme ile ‘farkındalık sağlama’ etkinliklerinin bütçelendirilmesi gerekiyor. Ünal ayrıca, kullanılan teknolojiyle ilgili teknik eğitimlerin tamamlanmasının, gerekiyorsa uzman danışmanlardan hizmet alınmasının ve tüm bunlar tamamlandıktan sonra teknoloji seçiminin yapılmasının en doğru strateji olacağını vurguluyor.

“Psikolojik direnç var”
Soruna çalışan açısından bakan Lostar Teknik Ekip Lideri Erdem Mengeş, güvenlik sistemlerinin iş süreçleriyle bütünleştirilmesi ve kullanımı konusunda ortaya çıkan en önemli sorunun, çalışanların yeni sistemlere karşı gösterdiği psikolojik direnç olduğunu söyledi. Lostar, “Birçok kuruluşta çalışanlar güvenlik sistemlerinin ‘aslında onlar için olan ve hayatı kolaylaştıran’ araçlar olduğunun farkında değildir. Güvenlik sistemlerinin kurumsal olarak yeterince desteklenmemesinin ve ilgili eğitimlerin çalışanlara gerektiği seviyede verilmemesinin sonucu olarak çalışanlar güvenlik sistemlerini hayatı zorlaştıran, insanları robotlaştıran ve kısıtlayan öğeler olarak görür” dedi ve güvenlik sistemlerinin iş süreçleriyle sağlıklı biçimde bütünleşmesinde en yüksek faydanın elde edilebilmesi için çalışanların sistemleri ‘iş yapmanın doğal öğeleri’ olarak kabul etmeleri ve benimsemeleri gerektiğini vurguladı.
IBM Türk Kıdemli Satış Danışmanı Hakan Turgut, çalışanların bilinç eksikliğinin önemli bir sorun olduğunu belirterek, çalışanların içerden gelebilecek tehlikelerin farkında olmadıklarını vurguladı. Bilgi ve sistem sınıflandırılması konusunda da eksiklikler olduğunu belirten Turgut, şirketlerin çoğu zaman sahip oldukları verilerin; hangisinin hassas, hangisinin şirkete açık, hangisinin genele açık olduğu konusunda gerekli çalışmaları yapmadan güvenlik çözümlerini kullanmaya çalıştıklarını söyledi.

Güçler ayrılığı şart
Hakan Turgut’a göre bir başka sorun da tüm bu sistemlerin sorumluluğu ve yönetiminin bilgi işlem personeli tarafında götürülmesi. Yönetenle denetleyen kişilerin aynı olmasının kuvvetler ayrılığı prensibine aykırı bir durum oluşturduğunu söyleyen Turgut bunun hem birçok noktanın gözden kaçmasını, hem de amaçları iyi olmayan kişilerin işlerini kolaylaştırdığını belirtti. Sistemlerin birçok açığının bulunduğunu ve bazı açıkların uzun yıllar geçmesine rağmen hala çözülemediğini hatırlatan Turgut, söz konusu açıkları mümkünse otomatik ve sürekli olarak bulacak ve yamayacak bütünleşik çözümleri kullanmanın büyük önem taşıdığının altını çizdi.
Hakan Turgut “Bizim gözlemlediğimiz bir diğer sorun da piyasada hakim olan söz konusu takip yazılımlarının raporlama ve korelasyon yeteneklerinin zayıf olması. Çoğu zaman bu çözümler yasal zorunlulukları veya regülasyon zorunluluklarını yerine getirmek amaçlı kullanılıyor, yani gerçek amaçları göz ardı ediliyor” dedi.

Güvenlik kurum dışına çıkıyor
Checkpoint Türkiye Teknik Danışmanı Serhat Candan ise çalışan açısından güvenlik konusuna, taşınabilirliğin iş hayatını etkilemesi açısından bakıyor. İnternet uygulamaları ve taşınabilirliğin mevcut güvenlik yaklaşımı ile ters düşmeye başladığını, kullanıcıların artık kendilerine ait akıllı telefon veya tablet bilgisayarlardan kurum kaynaklarına erişmek istediklerini söyledikten sonra, “Bu durum kurum sınırları içindeki güvenlik sistemlerinin kurum dışındaki cihazlara doğru genişlemesine yol açıyor. Güvenlik yönetimi açısından dışarıdaki cihazların kontrolü yaşanan en büyük sorunlardan biri” dedi. Candan, özellikle çalınma ya da kaybolma durumunda kuruma ait bilgilerin başkalarının eline geçmemesi için şifreleme ve güvenli uzak erişim teknolojilerini bir arada kullanmak gerektiğini vurguladı.

“Kullanıcı sistemi doğru kullanamıyor”

Sorunların genelde çözümlerin kullanıcılar tarafından doğru anlaşılmaması ve bundan dolayı yanlış bir şekilde kullanılmasından ortaya çıkabildiğini söyleyen Eset Türkiye Genel Müdür Yardımcısı Alev Akkoyunlu, “Bir kurumda kullanıcı kolaylıkla hatırlayamayacağı karmaşık şifreler belirlemek zorunda kaldığında, bu şifreleri masasında tuttuğu bir kâğıda yazarak bu bilginin kolaylıkla başkasının eline geçmesine sebep olabiliyor” dedi.
Ayrıca kullanıcıyı ilgilendiren güvenlik sistemleri kurulurken sistemin veya uygulamanın doğuracağı hukuki sonuçların ciddi bir şekilde düşünülmesi gerektiğini hatırlatan Akkoyunlu, “Takip yazılımı kurulacağı zaman kullanıcılar mutlaka bilgilendirilmeli hatta bir sözleşme ile bilgilendirildiği onaylatılmalı. Ancak bu şekilde etkin ve sonuçları kullanılabilir bir güvenlik sistemi oluşturulabilir” dedi.

“Çalışanlar güvenlik tedbirlerinden rahatsız olmamalı”

Bordotek Genel Müdürü Öner Gültekin güvenliğin; uygulamanın bir eklentisi olmadığının, sürecin başından beri sağlam bir şekilde tasarlanması gereken bir unsur olduğunun altını çizdi. Sonradan eklenen her katman gibi güvenlik bütünleştirmesinin de birtakım sorunlarla gelmek zorunda olduğunu söyleyen Gültekin, ancak ağ teknolojileri gibi çok katmanlı yapıya uygun sistemlerde yapboz parçaları gibi ekleyerek büyümenin daha kolay ve sorunsuz olabildiğini vurguladı. Gültekin, “Bu sistemlerdeki en büyük sorunsa kullanıcının güvenlik tedbirlerinden duyduğu kullanım rahatsızlığı. Örneğin emniyet kemeri hareketlerinizi kısıtlıyor ancak sizi koruyor, güvenlik sistemleri de böyle.  Belirli bir alışma evresi gerekiyor, kullanıcı buna alıştığında çok büyük bir sorun kalmıyor” dedi.