Hibrit Çalışma ve Siber Güvenlik

İş akışlarının devamlılığının haftada 1 gün ofis/4 gün ev, 3 gün ofis/2 gün ev gibi mekânsal/zamansal ayrım noktaları üzerinden sağlandığı hibrit çalışma, özellikle 2021’de daha önce hiç olmadığı kadar trend bir model. Koronavirüs salgınının ilk yılı ile beraber ilk adımları atılmaya başlanan hibrit çalışmada temel hedef çalışanların haftanın belli günlerinde bir arada olması. İş akışının yüz yüze dinamiklerin katkısı ile güçlendirilmesi.

Diğer amaç ise fiziksel ortamdan yalıtılmış şekilde gerçekleşen ‘evde çalışma’ zamanları ile ofiste geçirilen süre arasında bir denge unsuru meydana getirmek. Aslında buradaki denge, birçok nedene de bağlı.

Uzmanlara göre hibrit çalışma modeli kalıcı olacak… Eve kapanmayla birlikte çalışanların iş-gündelik yaşam dengesinden genel itibarıyla memnun olduğu biliniyor. Yöneticiler de üretkenliğin azalmadığını fark etmiş durumdalar. İş akışında gerekli koşulların sağlanması halinde mekânın kısıtlayıcı bir etken olarak algılanmadığını gösteren çok sayıda görüş var. Yeni bir Microsoft araştırmasına göre şirket liderlerinin üçte ikisi ofis alanını yeniden tasarlamayı düşünürken, çalışanların yüzde 73’ü çalışma seçenekleri konusunda esnek kalmak, yüzde 67’si ise daha fazla yüz yüze iş birliği istiyor.

En nihayetinde hangi nedenle olursa olsun birçok işletmenin hibrit çalışmayı belirli oranlarda uygulamaya çalıştığı günümüzde yeni şartların siber güvenlik koşullarını etkilediği kaydediliyor.

Şirketler bir yandan sürekli değişen ofis ve ofis dışı çalışanlar karmaşasını idare ederken, diğer yandan siber saldırı riskini nasıl en aza indirebileceğini planlamaya çalışıyor.

Birçok işletme, bu çalışma konseptine geçiş yaparken siber saldırılarda görülen artış çarpıcı boyutlardaydı. Bu sonucu doğuran temel etmen, iş ile gündelik kullanımın aynı bilgisayarlar, tabletler ve akıllı telefonlarda gerçekleştirilmesiydi. Çalışanlar bilgisayarları ile iş toplantılarına katılıyor, e-mail yanıtlıyor, diğer yandan da internette sörf yapıyordu. Gündelik kullanıma yönelik saldırılar, işe dair dinamiklere de yansırken kaydedilen zararlar hiç olmadığı kadar büyük oldu.

İlginç veriler…

Yönetim danışmanlık firması McKinsey’e göre ise küresel organizasyonların yüzde 90’ı, pandemi sonrasında uzaktan ve şirket içi çalışmayı kalıcı olarak birlikte kullanacak ama yüzde 68’inin henüz dile getirilen ya da uygulamaya konulan detaylı bir planı bulunmuyor.

Bir siber güvenlik şirketi tarafından yürütülen araştırma, küresel şirketlerin yüzde 80’inin evden çalışan personellerinin siber tehditleri ele almak için gerekli bilgi birikimine ve teknolojiye sahip olduklarından emin olduklarını saptadı. Aynı çalışmada, katılımcıların dörtte üçü bir siber güvenlik olayından etkilenmelerinin olası olduğunu itiraf etti ve yarısı geçmişte bir ihlal olayı yaşadıklarını söyledi. Bu veriler sayısız farklı araştırmayla desteklendi.

Hibrit çalışmanın beraberinde getirdiği zorlukların başında insan unsuru geliyor. Uzmanların uzun yıllardır vurguladığı gibi kurumsal güvenlik zincirindeki en zayıf halka her ne kadar büyük kısmı tamamen iyi niyetli olsa da çalışanlar. Aniden yakalandıkları bir tuzakla sahte e-postaları açabiliyor, kendilerine sormaları gereken çok temel soruları bazen es geçerek zararlı linkleri tıklayabiliyorlar. Bu yöndeki tuzakların koronavirüse büyük bir hızla uyum sağlaması da etkiyi artırdı. Örneğin Google Nisan 2020’de, her gün 240 milyon Covid-19 temalı istenmeyen mesaj ile 18 milyon kötü amaçlı yazılım ve kimlik avı e-postası engellediğini iddia etti.

Evde çalışma tehditlere daha fazla maruz kalınması beraberinde getirdi. Çünkü ev arkadaşları ile aile bireyleri dikkatleri dağıtabiliyor ve yanlışlıkla kötü amaçlı bağlantılara tıklama oranları artıyor.

Ayrıca şüpheli bir e-postaya tutarlılık kontrolü yaptırmak için BT (Bilişim Teknolojileri) desteğine başvurmak ya da bir iş arkadaşına ricada bulunmak, uzaktan çalışırken çok daha zor oluyor.

Kişisel dizüstü bilgisayarlar ve ev ağları da kötü amaçlı yazılımlara karşı daha az koruma sunuyor.

Üstelik çalışanlar ofislere geri dönerken beraberlerinde son aylarda edindikleri kötü alışkanlıkları getiriyor olabileceklerine dair anlaşılabilir kaygılar söz konusu.

Tehditlere maruz kalan bir diğer şey de uzaktan çalışma altyapısı oldu. Bu kapsamda adından bolca söz ettiren RDP (uzak masaüstü protokolü) saldırılarında rekor seviyelerde artış yaşandı. Bulutun yoğun şekilde benimsenmesi, ancak gerekli tedbirlerin alınmaması etkiyi yükseltti. Hatalı kullanıcı yapılandırmaları, SaaS (Software as a Service/Hizmet Olarak Yazılım) konusundaki zayıflıklar ve çalınan şifreleri de unutmamak gerek. Cloud Industry Forum tarafından yapılan ankete katılan işletmelerin yüzde 41’inin, ofisin buluttan daha güvenli bir ortam olduğuna inandıkları söyleniyor. Ayrıca hibrit bir iş yeri, hiç şüphe yok ki, verilerin uzaktan çalışanlar, bulut sunucuları ve ofis çalışanları arasında daha da fazla mekik dokumasını da gerektirecek. Bu karmaşa dikkatli yönetimi zorunlu kılacak.

Peki daha güvenli bir hibrit ortam nasıl sağlanır?

Yeni hibrit iş yerlerinin güvenliğini sağlamak kimine göre bir hayli zor. Buna karşın güvenlik, koşullarla birlikte uyarlanabilir özellik taşır ve işte bu yönde yol gösterici birçok iyi uygulama mevcut. Örneğin Zero-Trust / Sıfır Güven modeli, şirketlerde içerde ve uzaktan çalışanlar, bulut tabanlı çalışanlar ve sistemlerin neden olabileceği karmaşayı yönetmede etkili olabilir. Google, Microsoft gibi şirketlerin benimsediği bu model, kurumsal ağdaki cihazlar ve kullanıcılara körü körüne inanılmamasını esas alıyor.

Çok faktörlü kimlik doğrulaması (MFA) ve uçtan uca şifrelemeden, ağ algılaması ve tepkisi, mikro bölümlendirme ve daha fazlasına kadar, birden fazla teknolojinin etkili bir şekilde çalışması gerek. Kuruluşların yeni hibrit iş yeri ilkelerini yeniden kaleme almaları gerekiyor. Her bir çalışanın erişim hakları, uzaktan bağlantı süreçleri, şirket dışı veri kullanımı ve kullanıcıların siber güvenlik sorumlulukları yeniden planlanmalı.

Tüm çalışanlara kısacık dersler halinde sunulan düzenli eğitim ve farkındalık oturumları tüm işletmelerin siber güvenlik duruşunun geliştirilmelerini sağlayan önemli bir bileşendir. Çalışanlar en zayıf halka olabilir ama onların aynı zamanda ilk savunma hattını oluşturduğu unutulmamalıdır.

İlginizi Çekebilir: Koronavirüs Sürecinde Gizlilik Politikasını Dijital Dönüşüm ile Aynı Eksende Tutmak