Teknolojinin sürekli gelişmesi sayesinde artık çalışanların şirket verilerini indirmesi ve bir sonraki işlerine yönelmesi çok kolay. Peki, bu koşullarda veri hırsızlığı riskini nasıl önlersiniz? İşte, bu süreçte izlenecek 5 adım.
COVID-19 virüs salgının sebep olduğu uzak iş gücüne geçişin hızlandırılması, kurumsal verileri koruma zorunluğunu da artırdı. Çalışanların ise işverenlerinin sistemlerinden taviz vermesi, şimdilerde daha kolay. Uzak iş güçlerine yönelik tasarlanmış protokoller olmadığı için birçok şirket mülklerinin ve IP adreslerinin nerede olduğu konusunda bilgilerini tutmak için çaba gösteriyor.
Genel olarak yürürlükte olan çerez kesici korumalar, veri hırsızlığına karşı işletmelerin düşündüğü kadar tam koruma sağlamıyor. Yani, çalışanlar entelektüel sermaye ve ticari sırlarla bir işverenden diğerine geçebiliyor ve fark edilmiyor.
Ayrıca, ücretsiz ve açık kaynaklı ağ dosya aktarım uygulamaları da deneyimli mühendislerin işverenlerinin sistemlerini tehlikeye atmasını kolaylaştırıyor. Örneğin; bütün içeriği herhangi bir cihaza aktarabilen bir iş bilgisayarından şifreli bir güvenli kabuk tüneli (SSH) oluşturan bir program olan PuTTY’nin yaygın kullanımını ele alalım. Bu bütün bilgilere rahatça ulaşımı sağlayabilir ve çok risklidir. Çünkü bütün işlemler geleneksel bir adli iz bırakmadan yapılır.
Bütün bunlara ek olarak şunu da söylemeliyiz ki, işletmeleri alarma geçirmesi gereken durum sadece potansiyel IP hırsızlığı değil. Fikri mülkiyet haklarını da beraberlerinde getirebilecek yeni çalışanları işe alırken önemli yasal risk bulunuyor. Demek istediğimiz bir yandan da şudur; yeni bir işveren bir ihlalin farkına varmasa bile, bu maliyetli olabilir. Ticari sır davalarının jürileri genellikle akla gelebilecek en yüksek karar ödüllerinin bazılarını veriyor.
Peki, bütün bunların ışığında sizlere şu soruyu soruyoruz: İşletme olarak kendinizi nasıl daha iyi koruyabilirsiniz? İşte size bu yazımızda, bunu yapmanıza yardımcı olabilecek 5 adımdan bahsedeceğiz.
- İşe alım sürecinin incelenmesi
Bir işletme öncelikle çalışanlarını çok iyi tanımalı. Aynı zamanda işletmenin gizli bilgileri ciddiye alma beklentisi de en başından belirtilmeli. Özellikle rakiplerinizden yetenekler işe alıyorsanız davaya karşı koruma sağlayabilmek için atılan makul adım sürecini uygulayabilmelisiniz. Bu durum, iş görüşmesi aşamasında başlar. Etkileşimlerin herhangi bir üçüncü taraf gizli bilgisinin istenmesinin veya ifşa edilmesinin engellenmesini sağlıyor. İşe alım süreci esnasında, yeni çalışanlar bütün üçüncü taraf verilerini aradıklarını ve bu bilgileri kişisel hesaplarda, cep telefonlarında ya da diğer elektronik cihazlarda saklamadıklarını onaylamalı. Bunun yapılmasındaki asıl amaç ise, üçüncü şahıs verilerinin istemeden ya da kasıtlı olarak kendi sunucularına taşınmamasını sağlamak ve aynı zamanda aksi yöndeki iddiaları da çürütmek.
- Kabul edilebilir kullanım politikasının güncellenmesi
Evden çalışma durumuyla, işletmeler bulut ve USB kullanımıyla ilgili olarak açık ve uygulanabilir politikalar oluşturuyor. Bunlara ek olarak kişisel cihazlar ve donanımlar için de ayrıca kullanım politikalarına ihtiyaç duyuluyor. Çalışan sertifikaları, sunucu dışı veri depolama ve iletiminin ifşası standart bir uygulama haline gelmeli. Ortak kullanım politikaları aynı anda ev ortamından yapılan bir çalışmanın orijinallerini ve gerçeklerini ele almalı, beklentilerini de tanımlamalı. Gizli verilere erişimi yasaklamak, ortak hesaplara yazdırmak için göndermek ve basılı kopya belgeleri işlemek gibi işlemler açıkça ifade edilmeli.
- Bütün aygıtlar için tam günlük kaydının oluşturulması
Unutulmamalı ki ne kadar teknolojik bir dönemde olursak olalım izleyemediğimiz ve göremediğimiz bilgileri koruyamayız. COVID-19 salgınından dolayı oluşan uzaktan çalışma ortamı için bu veriler oldukça önemli ve bu yüzden de küçük görülmemeli. Tam günlük kayıtları çok fazla depolama alanına ihtiyaç duysa da VPN günlükleri, belge depoları gibi veri tabanlarını açmak, işletmenin mülkünde neler olduğunu tam olarak izleyebilmenin tek yolu. Baz işletmeler veri kaybı önleme (DLP) uyguluyor ve bu gibi bulut çözümleri depolama yükünün bir kısmını hafifletiyor.
- Ev güvenlik politikalarının uygulanması
Veri hırsızlığı riskine karşı izlenmesi gereken adımlardan birisi de ev ortamlarının güvenliğinin sağlanması. Kötü aktörler yani siber suçlular, genellikle güvensiz ev ortamlarını hedefliyor çünkü insanların genellikle kişisel cihazları konusunda çok fazla bilgisi bulunmuyor. Örneğin bilgisayarları 24 saat boyunca açık bırakmak, bir bilgisayar korsanı için açık bir davet ya da şifrelemesi zayıf olan ev Wi-Fi ağları da aynı şekilde erişim için kolay giriş noktaları sunuyor. Böylesi durumlarla karşılaşmamak için işletmelerin açık talimatlar vermesi ve çalışanlardan uzak çalışma ortamlarını güçlendirmek için gerekli adımları atmasını talep etmesi gerekiyor. Bu adımlar, bilgisayarların mutlaka her akşam kapatılması, Wi-Fi şifrelerinin WPA2 ve daha güçlü şifreleme yöntemleriyle etkinleştirilmesi ve güncellenmesi gibi önemli önlemleri içeriyor. Ayrıca çalışanların, hackleme veya veri hırsızlığı erişimini gösterebilecek, hırsızlığa yönelik tehlikeleri tanıyıp rapor etmelerini sağlayacak oldukça donanımlı bir eğitime de ihtiyaçları var. Bu eğitim düzgün bir şekilde çalışanlara sunulursa o zaman veri hırsızlığını tanırlar ve önlemlerini zamanında alıp, bunu durdurabilirler.
- Yüksek riskli çıkış programlarının oluşturulması
Veri hırsızlığını önlemek için gerekli olan son adım oldukça önemli. İşletmelerin, çalışanların yüksek riskli bir şekilde ekipten ayrılıp rakip için gitmesi kaçınılmazlığına karşı iyi hazırlanmış olmaları gerekir. Bu da tam olarak İK, BT ve hukukun çıkış süreci için gerekli ve uygun protokolleri geliştirmesi gerektiği anlamına geliyor. Çıkış protokolleri, otomatik donanım kapatmaları, çalışanları ücretli izne çıkarma, sabit diskleri koruma ve veri hırsızlığına yönelik kanıtlar için adli düzenlemenin dahil olduğu birçok prosedür içeriyor. Ayrıca şunu da söyleyebiliriz ki; adli koruma son derece önemli olduğu için, bir sorun ortaya çıktığı zaman daha sonraki tarihlerde analiz edilebileceğinden, işletmeler bu donanımı yeniden yayınlayabilmek için acele etmemeli. Önemli bir diğer nokta da şudur: Çıkış sertifikası, çıkmakta olan çalışanın uygunluk ifadesinin kayda alınması için de bir zorunluluk. Bir çalışanın gittikten sonra da çıktığı işletmeye karşı devam eden sorumlulukları hakkında çok net bilgi sahibi olması için çok iyi bir fırsat.
Kısaca söylemek gerekirse; bütün bu risklerden kaçınmak tek bir kişiyle veya sadece birkaç kişiyle olmaz. Veri hırsızlığı riskinin azalması için bir ekibin çabası gerekir. Herkes birlikte, bir ekip olarak çalışmalı. Bütün çalışanlar; BT güvenliği, İK, verileri dahili işleme protokolleri ve izinsiz girişlere karşı korumayı da gerektiren çok yönlü bir yaklaşıma sahip olmalı. Her şey, bu olağanüstü ve zor zamanlarda bir işletmenin mevcut savunmasızlık durumunun ölçülü olarak değerlendirilmesi ile başlar ve güzel bir çalışmayla devam eder. Eğer işletmenizi veri hırsızlığı gibi birçok riskten korumak istiyorsanız öncelikle bu yazıyı okumalısınız ve ekibinizle de tam güç ve birbirine destek şekilde çalışmalısınız. Çünkü ancak bu şekilde riskleri azaltabilirsiniz.