Personeliniz dijital bilgilerinizi ufak bir USB bellek ile beraberinde götürebilir. Engel olabilir misiniz?
Yaşanan ekonomik kriz ile beraber işinden ayrılan beyaz yakalı çalışanların sayısında büyük bir artış yaşanmakta. Sebebi ne olursa olsun bu çalışanlar eski şirketlerine ait pek çok veriyi beraberlerinde götürmekteler ve şirketlerin bu tehlikeyi fark ederek önlem almaları gerekiyor.
Yapılan son araştırmalar, şirketlere ait kritik verilerde yaşanan kaçakların, veri güvenliğinde en büyük tehdit olduğunu göstermekte. Uzmanlar bu tehdidin boyutunu virüslerden, zararlı yazılımlardan ve dışarıdan gelen saldırılardan çok daha büyük olduğuna dikkat çekiyorlar. Her geçen gün daha fazla personel, hiçbir denetim mekanizmasına tabi tutulmaksızın dijital verileri şirket dışına çıkartmaya devam ediyorlar.
Symantec sponsorluğu ile Ponemon Enstitüsü tarafından yapılan bir araştırmanın sonuçları işten ayrılan çalışanların yüzde 59’nun eski işyerlerindeki verileri beraberlerinde götürdüğünü gösteriyor, üstelik bu itirafta bulunanların yüzde 79’u, işverenlerinin verileri almalarına izin vermediği halde bunu gerçekleştirdiklerini ifade ediyorlar ki bu buzdağının sadece görünen tarafı.
Pek çok işletme çalınan verilerin farkında bile değil oysa bu bilgiler sadece müşterilerine ait basit adres kayıtlarının ötesinde şirketin finansal verilerini içeren kritik öneme sahip olabiliyor. Şirket dışına sızan verilerin tekrardan kullanılma oranı ise göz ardı edilemeyecek kadar yoğun. IDC’den Kıdemli Analist Mukesh Chulani, Milli Eğitim Bakanlığına ait veritabanından çalınan bilgilerin kolaylıkla Rapidshare gibi bir paylaşım ortamına yüklenmesine dikkat çekerek, durumun önemini vurguluyor.
Önlem Alınmıyor
Yapılan araştırma sonuçları şirketlerin yüzde 85’inin çalışanları tarafından çalınabilecek verileri için önlem almadığını göstermekte. Şirketlerin sadece yüzde 7’si gerekli önlemleri almış durumda.
Çalışanlar işlerinden ayrılırken kendilerine verilen masa üstü veya notebook gibi cihazları genellikle almıyorlar ancak aynı şeyi CD, DVD ve USB gibi ortamlar için söylemek mümkün değil. USB belleklerin hem taşınması çok kolay hem de taşıyabilecekleri yüksek kapasiteleri veri miktarı göz ardı edilemeyecek kadar yüksek.
Veri kaçaklarına neden olan bir diğer önemli araç da artık iş hayatında kritik öneme sahip hale gelen e-posta hesapları. Pek çok çalışan e-posta hesaplarına önemli şirket bilgilerini de içeren yazışmalarını saklamaları gerektiğini düşünmekte. Ayrıca e-posta hesabı üzerinden şirkete ait dokümanları farklı e-posta hesaplarına bilinçli olarak gönderen çalışanların oranı ise yüzde 40’a yakın.
İşten ayrılan çalışanların büyük çoğunluğu şirketlerindeki verilere sonradan erişebildiklerini ifade ederken bu süre herhangi bir amaç ile veri sızdırmak için fazlasıyla yeterli olabilmekte.
Bir süre önce işini kaybeden ve ismini vermek istemeyen bir finans sektörü çalışan; “Açıkçası işten çıkarılma sürecimiz biraz oldubittiye geldi, bizler neler olduğunu anlayana kadar kendimizi kapı önünde bulduk diyor.” ve ekliyor; “Ancak önlemler kesinlikle yetersizdi ve USB bellek kullanımı çok yaygındı. Önceden günün birinde lazım olur düşüncesini taşısaydık pek çok bilgiyi rahatlıkla dışarı çıkartabilirdik.”
CISCO ve the Lippis Report tarafından on farklı ülkede yapılan bağımsız veri güvenlik analizlerinde ise ortaya çıkan ortak sonuçlar, coğrafi ve kültürel farklılıkların çalışanların davranışlarında farklılık olmadığını ortaya koymakta. Çalışanlar genellikle şirketlerine ait verileri alıkoymaktan çekinmiyorlar.
Objektif sebepler çok
Konuya işini kaybeden çalışanların psikolojisi ile bakıldığında oldukça ilginç sonuçlar söz konusu. Çalışanların yarısından fazlası “Zaten bir başkası da rahatlıkla bu verileri kullanabilir.” Derken aynı grubun bu verilerden gelecekte faydalanabileceklerini düşünüyorlar. Pek çok çalışan bu verilerin oluşturulmasında kendi katkıları olduğu için beraberlerinde götürme hakkına sahip olduklarına inanırken bu verileri kullandıkları takdirde eski şirketlerinin kendilerine ulaşamayacağı görüşünde hemfikir. Bir kısım çalışanlar eski şirketlerinin bu veriler üzerinde hakkı olmadığını iddia ediyor ve çalışanların çoğundaki ortak görüş olarak eski işverenlerinin kendilerine yetercince adaletli ve açık sözlü davranmadığını iddia ediyor.
Neler çalınıyor?
Çalınan verilerin başında kolaylıkla tekrardan kullanılabilecek müşterilerin e-posta adreslerini içeren listeler bulunuyor. E-posta listelerini finansal veri içermeyen şirket bilgileri takip ediyor. Detaylı müşteri bilgileri ve çalışan kayıtları kaçırılan diğer veriler arasında yer alıyor. Finansal bilgiler içeren şirket verileri ise yüzde 16 gibi bir oranla az görünebilir ancak hiçbir işletmenin bu riski göz ardı etmek gibi lüksü bulunmuyor.
E-posta bilgileri, yazıcı çıktıları, ofis dosyaları, dijital fotoğraflar ve muhtelif yazılımlar ise şirket dışına en çok çıkartılan verileri oluşturmakta. Daha düşük çalınma oranına sahip veritabanı kayıtları ise içerdikleri bilgilerin hassasiyeti açısından büyük önem taşıyor.
Güvende misiniz?
Kısa bir gelecekte herhangi bir paylaşım sitesine yüklenecek verilerin çalıştığınız binlerce müşteriye ait kredi kartı bilgileri veya çok önemli bir pazarla çalışmanızın detayları olmadığından emin olabilir misiniz? Bu sorunun cevabını Symantec Türkiye Genel Müdürü Gökhan Say veriyor ve “Evet.” Diyor. Başlangıç noktası olarak pek çok işletmenin göz ardı ettiği risk yönetimine dikkat çeken Say; “Bir iş için yapılacak yatırımın karşılığını almak veya alamamak risk analizi ile istatistiksel olarak belirlenebilecek bir durum. İki bin dolarlık bir notebook fiziksel varlığı ile şirketler için yüksek bir risk oranı taşımayabilirler.” Diyor ve ekliyor; “Ancak içerdiği verilerin değeri iki yüz bin dolar ise yapılması gereken risk yatırımını da buna göre belirlemek gerekir.” Say’ın vurguladığı bir diğer nokta ise hiçbir zaman yüzde yüz güvenliğin sağlanamayacağı ama yüzde yüz güvenlik politikalarının uygulanabilir olduğu. Bu noktada Say ile ayı fikri paylaşan Chulani veri güvenliğinin sadece IT merkezli değil şirket genelinde uygulanması gerektiğine dikkat çekiyor.
Güvenlik politikaları çok geniş kapsamlı bir konu olmakla beraber, işten ayrılan çalışanların şirket bilgilerini çalması başlığı altında, işe alım sürecinden önce başlıyor ve işten ayrılmadan sonrasını kapsıyor. Trend Micro Türkiye Ülke Müdürü Erol Alptuna veri ihlallerinden yüzde 78 gibi bir oranın yetki sahibi çalışanlardan kaynaklandığını hatırlatarak; “Güvenlik politikalarının bir şirket stratejisi olmalıdır.” diyor.
Bilgilerimiz Güvende
Konuyla alakalı görüşlerini sorduğumuz Vodafone yetkilileri ise sahip oldukları verilerin gizliliğinin çok önemli olduğu sektörde, gizliliği muhafaza için bilgiye sınırlı erişim ve erişilen bilginin amacına uygun ve amaçla sınırlı kullanımını temin amacı ile geliştirilen politikalarının mevcut olduğunu belirtiyorlar ve ekliyorlar; “Bu politikalar sürekli olarak güncellenmektedir. Ayrıca mevzuat gereği ve Düzenleyici Kurum ile resmi merciler tarafından da bu politika ve uygulamalar sürekli olarak denetlenmektedir.”
Teknik Boyut
Birkaç on kişinin çalıştığı bir şirkette güvenlik politikalarını hukuki ve teknik anlamda uygulamak nispeten kolay olabilir ancak yüzlerce hatta binlerce çalışanın bulunduğu bir şirkette bu politikaları uygulamak kesinlikle uzun zaman isteyen bir süreç olacaktır. Gelişen teknoloji bu noktada devreye girerek şirketlerin yardımına koşuyor. On binlerce cihazın politikalara uyumluğunu tek tuş ile raporlayabilecek çözümler bulunmakta. Ayrıca artık sezgisel güvenlik programları da kullanılabiliyor. “Sadece bir dosyanın e-posta ile gönderilmesini engelleyen değil, içerisinde şirkete ait kritik bir verinin varlığını tespit edebilen ve kullanıcıyı uyarabilen teknolojilere sahibiz.” Diyor Say.
Sebepleri ve analizler neyi gösterirse göstersin çalışanlar iş değiştirmeye devam edecekler. Şirketler için her geçen gün daha önemli hale gelen dijital varlıkları korumak ise göz ardı edilmemesi gereken bir öneme sahip. Bunu göz ardı eden işletmelerin ilerleyen dönemlerde ekonomik krizlerden başka krizler ile de baş başa kalması kimseyi şaşırtmayacaktır.
Bu yazı Businessweek Türkiye Dergisinin 2-8 Ağustos 2009 tarihli 27. sayısında yayınlanmıştır.
(1 kişi değerlendirmiş, ortalama: 5 üzerinden 5,00)
Loading ...Etiketler: CISCO, dijital veriler, Erol Alptuna, Gökhan Say, güvenlik, IDC, Lippis Report, Ponemon, şirket güvenliği, Symantec, Trend Micro, veri çalınması, Vodafone Türkiye