‘Riskleri bilerek sosyalleşme’ devri

Sosyal medya kullanımının yaygınlığı, mobil cihazların şirket içinde kullanımının artmasıyla birleşerek, kurumsal BT yapılarını yeni risklerle karşı karşıya bırakıyor. Şirketlerde bilişim yapıları, artık çok daha yüksek sesle telaffuz edilen, kapsamlı bir tehditle karşı karşıya: Sosyal medya. Birçok farklı sektörden birçok şirket, son dönemde giderek daha yüksek sesle, ‘Kurumsal BT güvenliği için şirket içinde sosyal medya erişiminin engellenmesi en iyisi’ diyor. Herkesin en az bir hesabının olduğu sosyal ağlar, şirketlerin BT yapıları için en güncel güvenlik riski halini aldı. Kaspersky Lab uzmanlarına göre, bir şirket ne kadar büyürse, çalışanların iş saatlerinde ne yaptığını kontrol etmek de o kadar zor olur. Bu disiplin eksikliği de, türlü BT güvenlik sorunlarına yol açabilir. Bu yapıda sosyal iletişim ağları ise şirketlerin güvenliklerini ve gizliliklerini tehdit eden en büyük araç. Kaspersky Lab bu konuda B2B International ile yapılan ‘Küresel BT Güvenlik Riskleri’ araştırmasını gösterdi. Buna göre, şirketlerin yüzde 72’si, Türkiye’deki şirketlerin de yüzde 78’i çalışanların sosyal ağlara erişimini kısıtlıyor. Araştırmada sorulan ‘Çalışanların en tehlikeli faaliyeti nedir?’ sorusuna verilen yanıtlarda ise yüzde 35 ile sosyal ağlar en tehlikeli aktivite olarak görülüyor.

Yüzde 100 güvenlik beklemeyin
Şirketler çalışanlarının verimliliğine ek olarak, kurumsal BT güvenlikleri konusunda da endişeli. E-Güven İş Geliştirme ve Pazarlama Müdürü Ayşegül Tüzün, sosyal medya yapılarının, doğru kullanılmadığı takdirde, şirketlerde bilişim güvenliğini risk altına alabildiğine dikkat çekerek, sosyal medyanın şirket çalışanları tarafından kullanımı konusunu tam bir bıçak sırtı olarak tanımladı. IBM Türk Güvenlik Ürünleri Kıdemli Satış Danışmanı Hakan Turgut da şu bilgileri verdi:
“Şirketlerin Facebook, Twitter gibi sosyal paylaşım sitelerinin kendileri için yaratabileceği pozitif katkıların yanı sıra negatif yansımalarının olacağını kabullenmeleri gerek. Dolayısıyla, sosyal paylaşım sitelerinin iş ortamından farkı kalmadığının bilinmesi ve şirket için hassas kabul edilen bilgilerin bu ortamlar için de geçerli olduğunun farkına varılması gerek. İnsanlar bu tür ortamların yüzde 100 güvenli olmadığının farkına varmalı.”

Önce çalışan tehditleri tanısın
ESET Türkiye Genel Müdür Yardımcısı Alev Akkoyunlu’ya göre, Firewall, Proxy gibi araçlarla engelleme işlemi doğru yapılandırıldığında önemli derecede etkili, ancak tek başına yeterli değil. Akkoyunlu, “Bunları doğru kullanmayı kolaylaştıracak politikalar, eğitimler ile şirket çalışanlarına kabul ettirilip, kurum kültürü haline getirilmesi çok daha etkili sonuçlar getir” dedi. Ayşegül Tüzün’e göre de eğer çalışanlar bilgi güvenliği konusunda bilgilendirilmediyse, şirket bilgisayarlarında güvenlik duvarı tarzı uygulamalarla sosyal medya kullanımını yasaklamak çözüm olmaz. Ponemon Institute araştırması da bilgi güvenliği konusunda bilinçlendirilmeyen çalışanların yapabilecekleri yanlışları ortaya koyuyor. Bu davranışlar; şirketin gizli bilgilerini USB belleğe kopyalamak, web tabanlı e-posta adresine işyerindeki bilgisayardan ulaşmak, taşınabilir veri depolama cihazını kaybetmek, şirket bilgisayarına kişisel program yüklemek, iş ile ilgili dokümanları e-postada ek olarak göndermek, bilgisayarın güvenlik ayarlarını devre dışı bırakmak ve çalışma arkadaşlarıyla şifre paylaşmak şeklinde sıralanıyor.
Yasaklamaların doğru ve güvenilir metotlar olmadığına işaret eden Hakan Turgut’a göre, veri kaçaklarını önleme çözümleri ile kurumsal ortamlardan yapılan girişlerde bir ölçüde başarı sağlanabilir. Ayrıca, bu korumaya mobil cihazların da dahil edilmesi önemli. Turgut, ‘olmazsa olmaz’ koşulun çalışanları bilinçlendirme çalışmaları olacağına dikkat çekerken, Akkoyunlu da, şirketlerin yazılı, kesin hatları olan ve tüm kuruma duyurulmuş politikaya sahip olmasının önemine işaret etti. Bu politika çerçevesinde gerek kullanıcı cihazlarında, gerekse ağ geçidi tarafında çözümler, kuruma uyum sağlayıp kullanılarak konuya teknik çözüm sağlanabilir. Akkoyunlu, kurumun sosyal medya güvenlik ve erişim politikasını temel alan, sosyal medya riskleri konusunda kullanıcı farkındalığını arttıran eğitimlerin verilmesi gerektiğini belirtti. Ayşegül Tüzün de şu yorumu ekledi: “Şirketler, çalışanlarını sosyal medya kullanımının risklerinden haberdar ederken, şirket içinde veya müşterilerle güvenli bilgi paylaşımını ve verilerin güvenle saklanmasını sağlayan sistemlere yatırım yapmalı.”

İletişimde strateji belirlemeli

Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü öğretim üyesi ve Bilgi Güvenliği Derneği (BGD) Yönetim Kurulu Üyesi Prof.Dr. Şeref Sağıroğlu, sosyal medya kullanımı karşısında şirketlerin izlemesi gereken politikayı şöyle anlattı:
“Sosyal ağlarda kişisel bilgilerin korunması için kullanıcıların bilgi güvenliği farkındalığının artırılması, korumaya dayalı sosyal ağ modelleri geliştirilmesi, sosyal paylaşım sitelerinin uygulama katmanı güvenliğinin standartların ötesinde yeniden ele alınarak gerekli düzenlemelerin yapılması güvenliği artıracak yaklaşımlar. Şirketlerin ve çalışanlarının bu alandaki bilgi birikimlerini artırmaları da önemli. Tehdit ve tehlikeleri dikkate alarak öncelikle kısa, orta ve uzun vadeli stratejilerini belirlemeleri ve bu ortamları ona göre kullanmaları veya bilgilerini ona göre paylaşmaları şart. Bu ortamda bulundurdukları veya bulunduracakları bilgileri gözden geçirdikten sonra bu ortamlarda yayımlamalarının daha faydalı olacağı, konu hakkında bilgisi olmayan kurumların ise bu konuda danışmanlık almalarının daha faydalı olacağı değerlendirilmekte.”