Kaspersky’nin yeni araştırmasına göre, Türkiye’deki profesyonellerin %52’si şirketlerinin siber güvenlik politikalarını ya çok katı ya da işleyişe uygun bulmuyor. Bu durum, kurumsal güvenlik önlemleri ile çalışan davranışları arasındaki uçurumun derinleştiğini ortaya koyuyor. Katılımcıların %6’sı ise kurumlarında hiçbir siber güvenlik kuralı bulunmadığını veya mevcut kurallardan haberdar olmadığını belirtti. Bu sonuçlar, özellikle Shadow IT ve yönetilmeyen cihaz kullanımının yarattığı riskleri gözler önüne seriyor.
Shadow IT: Görünmeyen Tehdit Büyüyor
BT departmanının denetimi dışında kullanılan yetkisiz yazılım, cihaz ve hizmetler olarak tanımlanan Shadow IT, günümüz iş dünyasında kritik bir risk haline geldi. Çalışanların verimlilik arayışıyla başvurduğu bu uygulamalar, BT birimleri için önemli kör noktalar oluşturuyor. Hibrit çalışma modellerinin yaygınlaşması, bulut tabanlı araçlara bağımlılığın artması ve yapay zeka araçlarının hızlı benimsenmesi bu eğilimi daha da hızlandırdı. Güçlü bir siber güvenlik yönetimi olmadan kurumlar, fidye yazılımı saldırıları, veri sızıntıları ve yasal yaptırımlar gibi ciddi tehditlerle karşı karşıya kalıyor.
Araştırmaya katılanların %17’si, şirketlerinde kişisel cihaz kullanımına ilişkin herhangi bir politika bulunmadığını ifade etti. Çalışanların %35,5’i, bireysel düzeyde siber güvenlik korumasına sahip olmaları koşuluyla iş verilerine kendi cihazlarından erişebildiklerini belirtti. Olumlu bir örnek olarak, %16’lık bir kesim, kişisel cihazlarını ancak sıkı kurumsal BT denetimlerinden geçtikten sonra kullanabildiklerini söyledi. Buna karşılık, katılımcıların %31,5’i yalnızca BT tarafından tahsis edilen cihazları kullanabildiklerini bildirdi.
Yazılım Yükleme Yetkileri ve Güvenlik Açıkları
Kurumsal cihazlara yazılım yükleme yetkileri konusunda daha kontrollü bir tablo ortaya çıkıyor. Katılımcıların %48’i yazılım yükleme yetkisinin yalnızca BT uzmanlarında olduğunu, %37’si ise bu yetkinin üst yönetim veya yetkilendirilmiş kullanıcılarda bulunduğunu belirtti. Çalışanların %11’i yalnızca BT tarafından onaylanmış yazılımları yükleyebilirken, %4’lük bir kesim herhangi bir onay almadan herhangi bir yazılımı yükleyebildiklerini ifade etti. Ancak, profesyonellerin %13’ü geçtiğimiz yıl içinde iş cihazlarına BT denetimi olmaksızın yazılım yüklediklerini itiraf etti. Bu oran, Shadow IT sorununun devam ettiğini ve kurumları güvenlik açıklarına, uyumluluk risklerine ve veri ihlallerine maruz bıraktığını gösteriyor.
Uzman Görüşü: Kullanıcı Odaklı Stratejiler Şart
Kaspersky META Bölgesi Genel Müdürü Toufic Derbass, konuyla ilgili şu değerlendirmeyi yaptı:
“Shadow IT artık operasyonel risklerin ana unsurlarından biri haline geldi. Her beş çalışandan birinin BT denetimi olmadan yazılım yüklemesi, politika tarafında önemli bir boşluk olduğuna işaret ediyor. Pek çok kuruluşun zaten güvenlik politikaları mevcut; ancak çalışanların bu politikaları nasıl algıladığı da en az uygulama kadar önemli. Kurumların yalnızca kısıtlayıcı kontrollerle ilerlemek yerine, teknoloji ile çalışan farkındalığını ve sorumlu kullanım alışkanlıklarını bir araya getiren, kullanıcı odaklı ve akıllı siber güvenlik stratejilerine yönelmesi gerekiyor.”
Kurumlar İçin Öneriler: Denetim ve Eğitim
Kaspersky, kurumların savunmalarını güçlendirmek için şu adımları öneriyor:
- Kurumsal verilere erişen tüm yetkisiz yazılımları, bulut hizmetlerini ve kişisel cihazları belirlemek için bir Shadow IT denetimi gerçekleştirin.
- Onaylanmamış uygulama kullanımını ve cihaz davranışlarını izlemek için Kaspersky Next ürün ailesinin EDR ve XDR katmanları gibi güçlü izleme çözümlerini devreye alın.
- Kişisel cihaz kullanımına (BYOD) izin veriliyorsa, minimum güvenlik gereksinimlerini net bir şekilde tanımlayın ve bunları Mobil Cihaz Yönetimi (MDM) veya uç nokta yönetim araçlarıyla denetleyin.
- Kullanıcı dostu siber güvenlik politikalarınızı, gerçek hayattaki riskleri ve bunlardan kaçınma yollarını gösteren eğitimlerle destekleyin. Bu noktada Kaspersky Automated Security Awareness Platform gibi çözümlerden faydalanabilirsiniz.
Çalışanlar İçin Tavsiyeler: Bilinçli Kullanım
Kaspersky uzmanları, çalışanlara şu tavsiyelerde bulunuyor:
- Şirketinizin siber güvenlik politikalarını tam olarak anladığınızdan emin olun; net olmayan noktaları BT biriminize danışın.
- Yalnızca BT departmanı tarafından onaylanmış uygulamaları kullanın ve özel bir kaynağa ihtiyaç duyduğunuzda resmi talepte bulunun.
- İş için sadece yetkilendirilmiş cihazları kullanın. Kişisel cihaz kullanımına izin veriliyorsa, cihazın tüm güvenlik standartlarını karşıladığından ve gerekli koruma yazılımlarına sahip olduğundan emin olun.
- İş dosyalarını yalnızca kurum tarafından onaylanmış platformlar üzerinden paylaşın ve depolayın.
Bu önlemler, hem kurumsal güvenliği artıracak hem de çalışanların siber tehditlere karşı daha bilinçli hareket etmesini sağlayacak. Shadow IT’nin yarattığı risklerin azaltılması, ancak teknoloji, politika ve eğitimin bir arada uygulanmasıyla mümkün olacak.
Kaynak: Beyaz Haber Ajansı