BYOD (kendi cihazını getir) tehditleri halen işletmelerin gözünden kaçıyor. Kaspersky Lab’ın bir araştırmasına göre birçok küçük işletme sahibi BYOD uygulamasının şirketleri için bir tehdit oluşturmadığına inanıyor ve mobil cihaz güvenliği için çaba harcamakla ilgilenmezken; çalışanlar cihaz güvenliğinin işletmenin sorumluluğu olduğunu düşünüyor.
Çalışmada dünyanın her yerinden işletme sahiplerinin ve çalışanların üçte ikisinin (%62) artık iş için kişisel mobil cihazları kullandığı, BYOD uygulamasının artık gelişmekte olan bir trend değil geniş çapta kabul görmüş bir iş uygulaması olduğu ortaya kondu. En büyüklerden (5000’den fazla çalışan) en küçüklerine (25’ten az çalışan) kadar her ölçekten işletmeyi etkilemiş.
Bununla birlikte mobil cihazlar üzerinde verileri korumaya yönelik tutum ideal güvenlik yaklaşımının çok uzağında. Kaspersky Lab tarafından yapılan tüketici güvenlik riskleri anketinde on katılımcıdan altısının (katılımcıların %60’ı) mobil cihazlarda gözetleme ve bilgi hırsızlığı tehditleri hakkında endişeli olduğu ancak kendilerini etkili bir şekilde korumadıkları ve işverenlerinin korumasına bel bağladıkları görülmüş. Bir yandan da çalışanlar iş dosyalarını kişisel bilgisayarlar, tabletler ve akıllı telefonlarında depolamakta, işle ilgili e-posta mesajlarını ve hatta bazen işe ait e-posta hesaplarının, kurumsal ağların ve üzerlerindeki VPN’lerin şifrelerini saklamakta.
Çalışanlar ve küçük işletme sahiplerinin üçte biri (%32) personelin kişisel mobil cihazları iş için kullanmasında herhangi bir sakınca görmüyor. Bir çalışanın mobil cihazından veri çalınması riski kendilerini endişelendirmediğinden bu konuya fazla bir önem vermiyor. Ancak daha büyük işletmelerin temsilcileri, çalışanlarının mobil cihazlarını kaybetmeleri konusunda daha fazla endişe duymakta: %58’i bir cihazın çalınması veya kaybedilmesinin şirkete zarar vereceğini düşünüyor.
Hem cihaz sahibi hem de patronlar açısından bu tür bir tutum kurumsal ağ için ciddi tehlikelere kapı açıyor. Zayıf noktalar potansiyel olarak siber suçluların yanı sıra vicdansız rakipler tarafından ihlal edilebiliyor. Genel kanı kaybedilen bir mobil cihazın şirkete zarar veremeyecek olması olsa da her zaman finansal kayıp (örneğin bir müşteri tabanı kaybetmek) yaşama şansı var. Mobil ortamın korunması önemli bir güvenlik konusu olmaya başladı.
Kaspersky Lab Uç Nokta Ürün Yönetimi Başkanı Konstantin Voronkov şunları söyledi: “Kendi mobil cihazını iş için kullanmayan bir profesyonelle karşılaşmak git tikçe ender olmaya başladı. Bir dizüstü bilgisayar, tablet veya akıllı telefon işinizin büyük bir kısmını dünyanın herhangi bir yerinden uzaktan yapmanıza olanak tanır. Ancak kişisel cihazlardan önemli kurumsal verilerin kaybedilmesi sık meydana gelir ve mobil cihazlarda güvenliğin ihmal edilmesi bir şirketin işleri için ciddi bir risk teşkil eder. İşte bu yüzden tüm modern gereksinimleri ve pazar trendlerini ele alan güvenilir bir özel çözüm kullanmanın yanı sıra çalışanları olası tehditler ve bunlarla karşılaşmaları durumunda almaları gereken önlemler konusunda eğitmek önemlidir.”
Kurumların güvenli bir şekilde BYOD uygulamak için planlaması gereken ilk adımlar şunlar:
Kişisel cihazların iş için kullanımını değerlendirmek ve zararlı yazılım ve diğer siber tehditlerden verimli bir şekilde korumanın yanı sıra tek bir konsol üzerinden kolay yönetim olanağı sağlayan Kaspersky Security for Mobile çözümü veya Kaspersky Small Office Security gibi bir siber güvenlik çözümü seçmek. Kaspersky Small Office Security, özellikle BT yönetimi için çok fazla zaman ve kaynağa sahip olmayan küçük işletmelere yönelik olarak mobil cihazlar için güçlü bir güvenlik içeren kapsamlı bir koruma sağlar.
Bir diğer önemli adım da çalışanları, örneğin sosyal mühendislik numaralarına kanmamak (sözde bir bankadan gelen sahte telefonlar veya polisin aldığınız bir mesajdaki rakamları, mesela bir banka hesabının tek kullanımlık şifresi, Apple veya Google Kimliğini sorması), QR kodlarını kontrol etmek (örneğin gerçek bir QR kodunun üzerine yapıştırılmış sahte bir görüntü kimlik avcılığı web sayfalarına yönlendirebilir), mobil cihaz kaybını mümkün olduğunca çabuk rapor etmek gibi konular üzerinde eğitmektir. Kurum, çalındığı veya kaybedildiğinde veya bir çalışan şirketten ayrıldığında kişisel cihazların şirket ağından temizlenmesine yönelik kapsamlı senaryolar üretmelidir. Bu durumlarda bu cihazlardaki gizli kurumsal verilerin silinmesi ve kurumsal ağ erişiminin söz konusu cihazlara kapatılması için önceden geliştirilmiş bir prosedür uygulamaya koyulabilir.