Son dönemde siber güvenlik, iş dünyasının en önemli gündem maddelerinden biri haline geldi. Özellikle Türkiye’deki şirketler, çalışanlarının siber güvenlik politikalarına uyumunu sağlamakta zorlanıyor. Kaspersky tarafından gerçekleştirilen bir araştırma, bu konudaki sorunları gözler önüne seriyor. Çalışanların büyük bir kısmı, şirketlerindeki siber güvenlik kurallarının yetersiz ya da aşırı kısıtlayıcı olduğunu düşünüyor. Bu durum, aslında kurumların güvenlik stratejilerinin gözden geçirilmesi gerektiğini gösteriyor.
Çalışanların Siber Güvenlik Algısı
Türkiye’deki çalışanların %52’si, iş yerlerindeki siber güvenlik kurallarını yetersiz ya da işleyişe uygun bulmadıklarını ifade ediyor. Bu, çalışanların güvenlik politikalarını anlamakta zorluk yaşadığını ve bu kuralların etkisiz olduğunu gösteriyor. Ayrıca, %6’lık bir kesim, kurumlarında herhangi bir siber güvenlik kuralı olmadığını ya da mevcut kurallardan haberdar olmadığını belirtmiştir. Bu durum, çalışanların güvenlik politikalarına olan güvensizliğini artırıyor.
Hibrit çalışma modelinin yaygınlaşması, çalışanların BT dışı yazılım ve cihaz kullanımıyla birlikte, siber güvenlik açıklarını da artırıyor. Çalışanların kendi cihazlarını kullanmaları, kurumların güvenlik denetimlerini zorlaştırıyor. Çalışanlar, verimlilik sağlamak amacıyla kendi yazılımlarını kullanma eğiliminde, bu da siber saldırı risklerini artırıyor. Uzmanlar, bu durumun kurumlar için ciddi bir tehdit oluşturduğunu vurguluyor.
Shadow IT Riski ve Sonuçları
Araştırmada dikkat çeken bir diğer unsur, ‘Shadow IT’ olarak adlandırılan ve BT birimlerinin kontrolü dışında kullanılan yazılım ve cihazların oluşturduğu riskler. Çalışanlar, iş yapış şekillerini kolaylaştırmak için bu tür yazılımları tercih ederken, bu durum kurumlar için büyük güvenlik açıkları yaratıyor. Hibrit çalışma modelinin etkisiyle, bulut sistemlerine bağımlılığın artması ve yapay zeka araçlarının yaygınlaşması, bu riski daha da büyütüyor.
BT denetimi olmadan iş cihazlarına yazılım yükleyen çalışanların oranı %13 olarak belirlenmiş durumda. Bu durum, siber güvenlik ihlalleri ve veri sızıntıları için önemli bir zemin hazırlıyor. Kurumlar, bu tür eylemleri engellemek için daha sıkı güvenlik önlemleri almalıdır. Aksi takdirde, fidye yazılımı saldırıları ve veri kayıpları ile karşılaşma olasılıkları artacaktır.
Yetkilendirme ve Cihaz Kullanım Politikaları
Çalışanların iş yerlerinde kurumsal olmayan cihaz kullanımıyla ilgili bir dizi politika bulunmuyor. Araştırmaya katılanların %17’si, iş yerlerinde bu tür bir kullanım için herhangi bir kural olmadığını belirtmiştir. %35,5’lik bir kesim ise kendi cihazlarını kullanabildiğini, %16’sı ise bu kullanıma sıkı denetimlerin bağlı olduğunu ifade ediyor. Yalnızca kurum tarafından sağlanan cihazları kullanabilenlerin oranı ise %31,5’tir.
Yazılım yükleme yetkileri incelendiğinde ise daha net bir tablo ortaya çıkıyor. Katılımcıların %48’i, bu yetkinin yalnızca BT uzmanlarında olduğunu belirtirken, %37’si bu yetkinin üst yönetim veya belirli kullanıcılarla sınırlı olduğunu ifade ediyor. Ancak %4’lük bir kesim, herhangi bir onay almadan yazılım yükleyebiliyor ki bu durum, güvenlik açıklarına davetiye çıkarıyor. Çalışanların bu tür davranışları, kurumların güvenlik politikalarının etkinliğini sorgulamaya açıyor.
Çözüm Önerileri ve Farkındalık Eğitimi
Kaspersky META Bölgesi Genel Müdürü Toufic Derbass, konu ile ilgili olarak yaptığı açıklamada, ‘Shadow IT’nin operasyonel risklerin ana unsurlarından biri haline geldiğini belirtiyor. Kurumların güvenlik politikalarının, çalışanlar tarafından nasıl algılandığı ve uygulandığı da en az bu politikaların varlığı kadar önemlidir. Kurumların, kısıtlayıcı kontrollerle değil, kullanıcı odaklı ve akıllı siber güvenlik stratejileriyle ilerlemeleri gerektiğini vurguladı.
Ayrıca, araştırmada kurumların güvenlik açıklarını azaltmak için Shadow IT denetimleri yapmaları, izleme ve koruma çözümlerini güçlendirmeleri ve çalışanlara yönelik farkındalık eğitimlerini artırmaları gerektiği vurgulandı. Çalışanlara, yalnızca onaylı yazılımları kullanmaları, kurumsal politikalara uygun hareket etmeleri ve iş verilerini güvenli platformlarda saklamaları yönünde uyarılar yapılması önem taşımaktadır.
Sonuç olarak, siber güvenlikte kalıcı başarı için yalnızca teknik önlemler değil, çalışan davranışlarını kapsayan bütüncül bir yaklaşım gerekmektedir. Kurumlar, bu bağlamda siber güvenlik stratejilerini gözden geçirerek, çalışanlarının bilinçlenmesini sağlamalı ve güvenlik politikalarının etkinliğini artırmalıdır.
💬 Yorumlar (0)