Kurumlar için personelin çalıştığı bilgisayarların ve kurum içi ağın güvenliğinin sağlanması birinci derecede önemli bir konudur. Kurum ağının maruz kaldığı güvenlik tehditleri yüzünden kurum güvenlik için her yıl çok büyük paralar harcayarak hem güvenlik yazılımları satın alır hem de bu konuda bilgili ve donanımlı personele büyük yatırımlar yapar. Bütün bu yapılanlara rağmen kurumlarda oluşan güvenlik açıklarının temel sebeplerinden bir tanesi çalışanların kurum ağına getirdiği tehditlerdir.
Çalışanların Kurum Ağına Getirdiği Tehditler
Kurumlar zaten cihazların güvenliği ve veri hırsızlığına karşı gerekli önlemleri almaktadırlar. Fakat çalışan personelin farkında bile olmadan bilgisayarlarına yükledikleri kötü amaçlı yazılımlarla kurum ağında veri sızıntıları veya güvenlik açıkları oluşturabilirler. Burada çalışan personelin vurdum duymazlığından, dikkat dağınıklığından veya eğitim noksanlığından söz edebiliriz. Fakat sebep ne olursa olsun kurum ağında oluşan güvenlik açıkları için geçerli bir mazeret olamaz.
Dikkatsiz bir çalışanın bir anlık dalgınlığı bir bilgisayar korsanının uzun çabalar sonucunda şirket ağında açabileceği güvenlik açığından çok daha etkili güvenlik açıklarına yol açabilmektedir.
Çalışanların İşyerine Getirdikleri Cihazların Durumu
Aslında bir çalışanın kendi kişisel bilgisayarını kullanarak işlerini yapmak istemesi kurumun maliyetlerini azaltıcı etkisi olacağından ve çalışanın da alıştığı bilgisayarda çok daha hızlı ve randımanlı çalışacağı düşünüldüğünde iki taraf için de avantajlı görülebilir. Fakat kurumlar işe kendi cihazlarıyla gelen ve iş için kendi cihazlarını kullanan çalışanlarıyla ilgili ayrı bir güvenlik politikası uygulamak zorundadırlar. Çünkü çalışanların kullandıkları kendi cihazları olmasına karşın kurumun çalışanları veya müşterileriyle ilgili stratejik bilgiler bu cihazlarda bulunmaktadır ve bu cihazların kurum tarafından güvenliğinin kontrolü hem zordur hem de fazladan çaba gerektirmektedir.
Çalışanların bilgisayarlarında en sık oluşan güvenlik açığı yazılım güncellemelerinin yapılmamasıdır. Güncel olmayan yazılımları kullanan çalışanlar bu yazılımlardaki güvenlik açıklarını takip eden bilgisayar korsanlarının avı haline gelirler. Ele geçirilen bir çalışanın bilgisayarı da kurumun ağına sızabilmek için aralık bir kapı demektir.
Ayrıca seyahat ederken kendi cihazlarını çaldıran veya kaybeden çalışanlar da kurumlar için güvenlik tehditi oluşmasına yol açarlar.
Zayıf Şifre Kullanımı
Kurum çalışanlarının görevi ne olursa olsun Bilgi İşlem Müdürü veya Muhasebe Elemanı hiç fark etmez eğer kullandığı şifreleri çok zayıfsa bu şifreler çok kolay kırılabileceğinden kurum ağında bir açık oluşacaktır. O yüzden tüm kurum çalışanları genel geçer bir kural olarak şifrelerini güçlü tutmalı ve periyodik olarak değiştirmelidirler.
Güvenlik Eğitimi Riskleri Azaltır
Kurum çalışanlarına veri güvenliği hakkında eğitim verilmesi de çok hassas bir konudur. Çünkü kurum çalışan farkında bile olmadan kimlik avı ile ilgili bir e-postayı tıklayabilir, güvenli olmayan bir Wi-Fi kullanabilir, taktığı bir USB bellekten veya ziyaret ettiği zararlı bir siteden virüs bulaştırabilir. İşte eğitim bu güvenlik açıklarını ve kurum ağı için risk taşıyan hatalı olabilecek davranışları engellemek içindir.
Kurumlar çalışanlarına güvenlik açıklarının nasıl oluştuğuyla ilgili eğitimler vererek çalışanların da veri hırsızlığı hakkında bilgi sahibi olmasını sağlamalı ve üzerine düşen sorumlulukları anlatmalıdır. Eğitimler çalışanların yol açtığı güvenlik açıklarını en aza indirecektir.
Stratejik Verilere Sadece Yetkili Personel
Kumum içinde stratejik bilgilere sadece yetkili personelin erişim yetkisi olmalıdır. Güvenlik protokolleri oldukça sıkı olmalı ve kimlik doğrulama mekanizmalarıyla denetlenmelidir. Ulaşılan bilginin gizlilik seviyesi yükseldikçe bazı işlemleri gerçekleştirmek için iki ayrı kişinin birlikte kimlik doğrulama işlemi uygulamaya konulabilir.
USB Bellekler Büyük Risk Taşır
Masum gibi görünen USB bellekler bazen hiç umulmadık güvenlik açıklarına sebep olabilirler. Özellikle virüslü bir USB bellek ofis ağına bağlı bilgisayarlardan bir tanesine takıldığından ciddi güvenlik riskleri oluşturabilir.
