Her şirket geleneksel MDM çözümlerini uygulamak için yeterince büyük değil, fakat daha küçük olanlar hala kendi kurumsal verilerini yönetmek için yollar arıyor.
Büyük ölçekli kuruluşlarda, mobil cihaz yönetimi (MDM) sıklıkla uygulanır. Nihayetinde hassas bilgileri saklayan veya onlara erişim sağlayan mobil cihazlara sahip çok sayıda çalışan bulunduğundan her şeyi kontrol altında tutmanın gereksinimi vardır. Peki ama bir MDM uygulamasını karşılayacak kadar büyük olmayan ve onu eksiksiz yönetecek bir IT departmanına sahip olmayan firmalar ne olacak? Mobil cihazların merkezi bir kontrolü olmaksızın küçük firmalar verilerini nasıl koruma altına alacak?
Bazı KOBI’ler geleneksel MDM olmadan riski azaltmaya yardımcı olan yolları keşfetti ama bu her zaman kolay olan bir şey değil. Küçük firmalar çalışanlarına cihaz temin etme gücüne sahip olmadığından sıklıkla BYOD’u tercih ediyor ki bu da işleri daha en başından çetrefilli hale sokuyor. “Bazı açılardan durumu bir miktar değiştiriyor çünkü kullanıcılar cihazları üzerinde kurumsal kontrole izin verme hususunda isteksiz davranabiliyor” şeklinde konuşuyor Forrester mobil analisti Tyler Shields. “Ama onlara ‘eğer hassas verilere erişmek istiyorsanız, MDM’e sahip olmak zorundasınız’ derseniz, kullanıcı kullanışlılık için hemen hemen her zaman MDM’i kabul edecektir.” BYOD yerli yerindeyken KOBI’ler ya son uç güvenliğine yöneliyor ya da çalışanlardan “cihazları üzerinde bir tür güvenlik” talebinde bulunuyorlar, diye ekliyor Shields.
Fiberlink’in enformasyon güvenliği yöneticisi David Lingenfelter, BYOD’un KOBI’ler için standart olduğu konusunda hem fikir ve bununla ilgili şöyle diyor Lingenfelter, “Onlar cihaz satın alıp çalışanlara teslim etmiyor. Belirli türden cihazların ya da belirli işletim sistemi sürümlerinin kullanımına izin vererek çalışanların cihazları üzerinde bir kontrol seviyesine sahip olmak istiyorlar.”
Bununla birlikte Lingerfelter ne tür ilkeler kullandıklarından bağımsız olarak KOBI’lerin sıklıkla çalışanların yeni bir tane edinmek istediklerinde BYOD cihazlarına ne olduğu hakkında düşünmediklerini ekliyor. “Kurumsal verilerin eski cihaz üzerinde bulunmadığından emin olmaları şart. Genellikle bu cihazlarla işim bittiğinde, ben onları çocuklarıma veriyorum. Bunu yapmadan evvel verileri silecek kadar sağduyuya sahibim. Çalışanlarınızın da bunu yaptığından emin misiniz?”
Kumar oynamak
Mobil cihazları üzerinde merkezi bir kontrole sahip olmadıklarını bildiklerinden (ve onların çalışan cihazları tipik olarak aynı zamanda kişisel cihazları olduğundan) KOBI’ler için ne gibi seçenekler mevcut? Bazı durumlarda küçük işletmeler MDM’i tümden terk etmeye yöneliyor ve bu açık bir biçimde hatırı sayılır bir saldırı yüzeyi yaratıyor. Bu tür küçük firmaların saldırganların radarlarında olup olmadığı dahi şüpheli olsa da, onlar riski nasıl üstlenebiliyor? Onların çoğu küçük bir firma olarak (dolayısıyla nispeten daha az değerli olan ve fazlaca değerli veriye sahip olmayan bir firma) bir saldırı ihtimalinin o kadar yüksek olmadığını varsayıyor ve kumar oynuyorlar.
“Kesinlikle ‘düşük risk bizim için bugün yatırıma değmez’ diyenler var” şeklinde konuşuyor Shields. Bu ne olursa olsun türünden yaklaşım küçük işletmelerin önemli bir kısmının günümüzde yaptığı şey ve çoğu durumda firma ya cihazı veriyor ya da BYOD’a izin veriyor, faturayı ödüyor ve kullanıcıların istediğini yapmasına müsaade ediyor, diye konuşuyor Shields.
Diğer yandan bazı durumlarda tamamen bir MDM çözümüne geçme yaklaşımı her zaman firmanın partner’leri için kabul edilebilir değildir. Lingenfelter aynı zamanda hiçbir çözüm olmadan devam etmeye yönelen küçük firmalar duyduğunu belirtiyor. Söz konusu firmaların bundaki nedenleri genellikle firma içinde IT’ye sahip olmamaları ve bununla bağlantılı olarak herhangi bir altyapı ya da merkezi e-posta sistemlerine sahip olmamaları. Bu durumlarda çok küçük firmalar tipik olarak çalışanlarına eşit derecede güveniyor ve onlardan “doğru şeyi yapmalarını” bekliyor ama bazen bu onların çalıştığı firmalar için yeterli değil.
“Bazı firmalar bize geldi ve herhangi bir şey uygulamama yolundan gittiklerini söyledi” diye konuşuyor Lingenfelter. “Ama onların partner’leri yüzünden, özellikle ilaç firmaları, bir şeyler kullanmaları istendi çünkü işin doğası bunu gerektiriyordu.” Dışarıdaki o partner’lerin söz konusu duyarlılığı (hiçbir çözümün kullanılmaması kabul edilebilir değil) Lingenfelter’ın da hemfikir olduğu bir şey.
“Eğer herhangi bir yönetim gerçekleştirmiyorsanız, açıktasınız demektir; bu bir saldırı noktası da, bilgi sızıntı noktası da olabilir. İkincisi hakkında endişe duyanlar, onlar bir hedef olmayacak. Ama son kullanıcının kurup dışarı veri sızıntısına neden olabileceği yeteri kadar yazılım mevcut.” diyor Lingenfelter. Ayrıca kayıp cihazlar gibi başka endişelerin olduğunu da ekliyor Lingenfelter.
“Cihaz üzerinde eğer herhangi bir kontrole sahip olmazsanız, onu nasıl temizleyebileceksiniz?” diye soruyor Lingenfelter. “Uzaktan temizlik gerçekleştirmek için Apple ve Google’da seçenekler mevcut ama kullanıcı onu kurdu mu? Eğer yapmadılarsa hiç şansınız yok” diye de belirtiyor. Herhangi türden bir yönetim olmadan aynı zamanda kurumsal ve kişisel verilerin karışması riski mevcut. Eğer bir cihaz kullanıcının hem kişisel hem de iş e-posta hesaplarına sahipse, bunların karışması ve bir iş ekinin kişisel bir e-posta adresine gönderilmesi gibi bir şey yapmak tamamen olası. Bu senaryodan bağımsız olarak Lingenfelter herhangi bir tür çözüm olmadan risklerin çok olduğunda ısrarcı.
Diğer yandan Shields MDM’siz bir senaryonun o kadar felaket olduğuna inanmıyor. Kendisi bir takım risklerin kesin kez var olduğunu kabul etse de, sıklıkla küçük yatırımlar için bu yatırımı yapmaya değer olmadığını ifade ediyor. “MDM başlangıç için çok fazla güvenlik sağlamıyor. O bir yönetim aracı” diye konuşuyor. “O size verileri temizleme ve cihazı bulma özellikleri sağlıyor ama temelde o bir güvenlik teknolojisi değil.” diye ekliyor Shields.
Lingenfelter gibi Shields da malware ve kayıpların bir endişe olabileceğini kabul ediyor. Aynı şekilde e-posta gibi hassas alanların bir yönetim çözümü olmadan tehlike altında olduğunu belirtiyor. Diğer yandan bu daha küçük firmaların bir şey uygulaması gerekliliğini işaret etmiyor. “Küçük firmaların çoğu işlerini tamamlamalarına karşın o riskleri tartmak zorunda. Çoğu durum için buna değmez.” diyor Shields.
Alternatif çözümlere yönelmek
Aslında küçük firmaların bir tür çözüme ihtiyaç duyduklarına karar verdikleri ama geleneksel bir MDM takımını uygulama imkanları bulunmadığı durumda onların yönelebileceği bazı alternatif çözümler mevcut. Lingenfelter hatırı sayılır miktarda küçük firmanın bu çözümlerden bazılarını uyguladığını ama her zaman tatmin olmadıklarını konuşuyor. “Bizim gördüğümüz iki tür müşteri tipi var” diyor Ligenfelter. “Gerçek bir yönetilen çözüm olmadan kendi başlarına onu denemiş olanlar (mail sistemleri üzerinden ActiveSync veya ücretsiz uygulamalar gibi) ve diğeri bu mobil alanı gerçekten kalkışa geçiyor ve ne yaptığım konusunda herhangi bir fikrim yok. Bütçem yok, IT ekibim yok.’ diyenler var.”
“Fakat mevcut durumlarından bağımsız olarak ortak gereksinim bir kontrol seviyesine sahip olmak istemeleri ve kullanıcıların aynı büyük organizasyonlarda olduğu gibi firma verilerini sorumlu bir biçimde yönetmelerini sağlamak, ama çok daha küçük bir ölçekte” açıklamasını yapıyor Lingenfelter. “Bu kolaylıkla ayarlayabilmek, cihazları ekleyip çıkartabilmek, log geçmişini kontrol edebilmek vs. istedikleri bir şey. Bu, ‘Hadi onu ayarlayalım ve yönetmek zorunda kalmak veya çok fazla kurcalamak istemiyoruz’” diye konuşuyor Lingenfelter. “Söz konusu firmalar bunu ya kendi başlarına denediler ya da teknolojiyi anlayacak zaman ve kaynağa sahip değiller.”
Peki alternatif çözümlerden bazıları neler? Shields’ın işaret ettiği üzere, bir dizi MDM tedarikçisi çözümlerinin bulut versiyonlarını destekliyor ve 20 cihaza kadar destek sunan KOBI paketlerine sahip. “Bu çok sayıda KOBI’nin yaptığını gördüğüm şey; kendi bünyelerine ağır sıkletleri getirmek yerine bulut versiyonlarına yönelmek” şeklinde konuşuyor. Aslında diğer durumlarda organizasyonlar MDM konseptini tümden başından savarak Symantec veya Norton gibi firmalardan son uç güvenlik paketleri kullanımına yöneliyor. Shields’a göre güvenli ağ geçitleri ve uygulama tekrarlama sistemlerini kullanma eğilimi, tipik olarak daha büyük, orta ölçekli firmalarda görülüyor. Ancak bu seçenekteki problem, onların güçlü bir kullanıcı deneyimine sahip olmaması. “Bu yüzden kullanıcılar bunları pek fazla sevme eğiliminde değil ve onlar sistemi daha fazla çıkmaza götürüyor. Onlar güvenliği bunun yerine kendi cihazları üstünde isteyebilir.” diyor Shields.
Lingenfelter tekrar yönetimlerini Active Sync veya Office 365 gibi bir e-posta çözümüne bağlayan ve bu yazılım içindeki MDM’i kullanan küçük organizasyon düşüncesini hatırlattı. Ama bu çözümler ideal değil, şeklinde konuşuyor. ActiveSync’i kullanarak cihazlar yönetmek ve kısıtlamak oldukça karışık olabilir. Lingenfelter ücretsiz MDM çözümleri veya çalışanlara sadece Apple cihazlarını kullanma izni gibi diğer alternatif eksik çözümlerden bahsediyor. Bir firma sorun yaşadığında veya daha çok cihaz ekleme ihtiyacı duyduğunda ücretsiz yazılım kısıtlı kalıyor çünkü tamamen self servis olduğundan destek alamıyor. Bunun gibi kullanıcılar meseleleri kendileri çözmeye çalışıyor ve bu da daha fazla zaman alıyor. Kurum içinde tek bir cihazda ısrarcı olmak bazı KOBI’ler için tercih edilebilir değil çünkü firma çalışanlarına herhangi bir şeyde zorlama yapmak istemiyor, diye konuşuyor Lingenfelter.
“Apple daha güçlü güvenliğe sahip olduğu için homojen ve tek olmak isteseler dahi, çalışanlarını bununla sınırlayabileceklerini düşünmüyorlar” şeklinde sürdürüyor konuşmasını. “Bu bir seçenek ama yönetim tarafıyla bağlantılı maliyetler söz konusu. Firma istediği takdirde çalışanları yönetmek için bir Apple sunucusu alabilir ama bunun da bir maliyeti mevcut.” Yaklaşımları her ne olursa olsun, Lingenfelter ne kadar küçük olursa olsun tüm firmaların bir tür çözüme sahip olması gerektiğinde ısrarcı. “MDM alanında herhangi bir şey yapmıyorsanız, o zaman güvende değilsiniz” şeklinde konuşuyor Lingerfelter.