Uzaktan Çalışanlarla Veri Sızıntılarını Önleme

Yayınlanan: 2024-07-25

Uzaktan çalışanları işe almanın birçok faydasına rağmen, uzaktan çalışmayla bağlantılı olarak içeriden gelen tehditler ve veri sızıntısı riskinde önemli bir artış var. Bu, bırakın iş dünyasına atılma girişiminde bulunan startup sahiplerini, iş alanındaki uzmanlar için bile geçerli bir sorundur.

Titan Security Europe on yıldır tamamen uzaktan çalışıyor. Uzaktan çalışma alanının uzmanları olarak, uzaktan çalışanlarla çalışırken işletmenizi veri sızıntılarından koruma konusunda siber ve fiziksel güvenlik perspektifinden tavsiyeler sunacağız.

İstatistik

Uzak çalışanlarınızdan veri sızıntısını önlemek için neler yapabileceğinize geçmeden önce gerçekleri bilmek önemlidir.

Wifi Talents'a göre uzaktan çalışırken siber güvenlik tehditlerine ilişkin bazı istatistikler:

  • BT profesyonellerinin %75'i, işletmelerin artık uzaktan çalışmaya geçtikleri için siber tehditlere karşı daha savunmasız olduklarını söylüyor.
  • BT profesyonellerinin %55'inden fazlası uzaktan çalışanların şirket politikalarını ihlal etme olasılığının ofisteki çalışanlara göre daha yüksek olduğunu ve bunun da daha yüksek sızıntı riskine yol açtığını düşünüyor.
  • Siber güvenlik ihlallerinin yüzde 95'i insan hatasından kaynaklanıyor.
  • Uzaktan çalışanların %80'i yeterli siber güvenlik eğitimine sahip DEĞİLDİR.
  • İşletmeler, uzaktan çalışanlar nedeniyle haftada ortalama 22 güvenlik tehdidiyle karşılaşıyor.

Bu istatistikler uzaktan çalışanlarla ilgili büyük bir soruna işaret etse de, bunun sizi yeni kurulan şirketiniz için uzaktan çalışanları işe almaktan alıkoymasına izin vermeyin . Riskleri başarılı bir şekilde yönettiğiniz sürece, faydalar risklerden daha ağır basmaktadır.

Sorunlarla Nasıl Mücadele Edilir?

Uzaktan çalışanlar söz konusu olduğunda verilerle ilgili olarak ortaya çıkabilecek belirli bir dizi güvenlik endişesi vardır. Bu sorunlarla mücadele etmek için hem işletmenin hem de çalışanların atabileceği adımlar vardır.

Güvenli Olmayan, Savunmasız Donanım

Çalışanların kişisel ve güvenli olmayan cihazları kullanması veri sızıntılarına yol açabilir. Bu cihazlar genellikle bir şirket cihazının sahip olacağı güvenlik düzeyine sahip değildir ve iş dosyalarının kişisel dosyalarla karışması ihmalkar sızıntılara yol açabilir.

Ne yapabilirsin?

  • Çalışanlara aşağıdaki süreçlerin yüklü olduğu bir şirket cihazı sağlayın. Mümkün değilse çalışanların üzerinde çalışacakları cihazlara aşağıdakileri yüklediğinden emin olun:
    • Multi-Factor Authentication: Kullanıcıların yalnızca birden fazla adımı izleyerek bir cihaza veya sunucuya giriş yapmasına izin veren bir sistem. Örneğin, bir parolanın yanı sıra, başka bir cihaza gönderilmiş bir koda sahip olmaları, parmak izlerini kullanmaları, gizli bir soruyu yanıtlamaları vb. gerekir. MFA yazılımı örnekleri arasında JumpCloud, ManageEngine, Cisco Secure ve daha fazlası yer alır.
    • Uç Nokta Güvenliği: Bir ağa bağlı tüm cihazların korunması uygulaması olan Uç Nokta Koruma Platformları, tüm dosyaları ağa girerken inceleyerek kötü amaçlı yazılımların ve tehditlerin hızlı bir şekilde tespit edilmesine olanak tanır. Uç Nokta Güvenliği örnekleri arasında Cisco Secure, WatchGuard, Avast Business Security ve daha fazlası yer alır.
    • Şifreleme Yazılımı: İş amaçlı kullanılan cihazlara yüklenen dosya ve veri şifreleme yazılımları, tüm verilerin izinsiz değiştirilmesine, çalınmasına veya ele geçirilmesine karşı koruma sağlar. Şifreleme yazılımları Secure IT, Folder Lock ve Kruptos 2 Professional'ı içerir.
  • Yalnızca yukarıdaki programlarla kurulan cihazların iş için kullanılabileceğini belirten bir Uzaktan Çalışma Politikası oluşturun.

Çalışanlar ne yapabilir?

  • Belirlediğiniz politikayı takip edin ve yalnızca şirket tarafından sağlanan cihazlarda çalışın.
  • Mümkün olduğunda şirket cihazlarını kişisel kullanım için kullanmayın.

Güvenli Olmayan, Savunmasız Ağlar

Uzaktan çalışmanın en büyük güvenlik endişelerinden biri güvenli olmayan ve savunmasız ağlardır. Kişisel ev içi ağ normalde iyi olsa da, halka açık ve güvenli olmayan bir ağ, cihazları son derece savunmasız bırakır.

Ne yapabilirsin?

  • Verileri bir cihazın veritabanı yerine bir sunucuda (özellikle MFA veya şifrelenmiş verilere sahip bir sunucu) depolayarak, cihaz güvenli olmayan bir ağda oturum açsa bile hassas verilerin korunacağından emin olabilirsiniz.
  • Veriler cihazdan ayrı tutulur, böylece cihaz güvenli olmayan bir ağ üzerinden tehlikeye girse bile veriler yine de güvende tutulur.

Çalışanlar ne yapabilir?

  • Mümkün olduğunda halka açık ağlardan kaçının.
  • Kişisel erişim noktalarınızı kullanın veya herkese açıksa çevrimdışı çalışın.
  • Bağlantıyı güvenli hale getirmek için VPN'leri kullanın.

Veri İşleme Konusunda Daha Az Gözetim

Çalışanların tamamı evden çalışırken güvenlik ekiplerinin verilerin işlenmesini izlemesi çok daha zor oluyor. Endişelenmeleri gereken daha fazla cihaz, sunucu ve ağ var. Ayrıca çalışanların dizüstü bilgisayarlarını halka açık tutması ve halkın hassas verileri görmesi riski de vardır.

Ne yapabilirsin?

  • Verilerinizin tamamı bir sunucuda tutuluyorsa ve indirilemiyor veya paylaşılamıyorsa, veri işleme riski çok daha az olacaktır.
  • Verilerin kullanılması için indirilmesi gerekiyorsa, politikanızda çalışanların kullandıkları verileri bitirdikten sonra buluta yeniden yüklemelerini ve cihazlarından silmelerini zorunlu kılın.
  • Uzak çalışanların kullanması için şirket tarafından verilen cihazlara izleme yazılımı uygulayın. Bu, güvenlik ekiplerinin bireysel cihazlardaki veri işlemeyi izlemesine olanak tanıyacak.
  • Sistemlerinize erişen her cihazın ayrıntılarının kilitli olduğundan emin olun; böylece güvenlik ekibiniz, kaybolduğu veya çalındığı rapor edildiği anda cihazları tüm şirket şifrelerini, verilerini veya belgelerini silmek için gerekli yazılımı kullanabilir.

Çalışanlar ne yapabilir?

  • Kayıp bir cihazı, meydana gelir gelmez bildirin.
  • Mümkün olduğunca halka açık alanlarda çalışmaktan kaçının. Aksi takdirde ekranlarını başka kimsenin göremediğinden emin olun.

E-posta Dolandırıcılığı ve Kimlik Avına Duyarlılık

Uzaktan çalışanlar, tüm çalışanlar gibi kimlik avı ve e-posta dolandırıcılığı riskiyle karşı karşıyadır. Kurumsal bir ortamın dışında olmak dikkatsizliğe ve algının değişmesine yol açarak uzaktaki çalışanları daha duyarlı hale getirebilir. Çalışanlar aynı odada olmadıklarında bir e-postanın iş arkadaşlarından gelip gelmediğini doğrulama konusunda da daha az zorlanıyorlar.

Ne yapabilirsin?

  • Konuşmayı dolaştırın. Potansiyel bir dolandırıcılığın nasıl tespit edileceği ve bir çalışanın dolandırıldığını düşünmesi durumunda ne yapması gerektiği konusunda seminerler düzenleyin.
  • Çalışanlarınızı kimlik avı dolandırıcılığı hikayelerinden haberdar edin.
  • Çalışan e-postalarını izleyin; olası dolandırıcılıkları tarayın.

Çalışanlar ne yapabilir?

  • Dolandırıcılık olduğunu düşündükleri herhangi bir e-postayı derhal bir amirinize gönderin.
  • Tanımadığınız kişilerden gelen bağlantıları açmaktan kaçının.
  • Bir e-posta incelenene kadar yalnızca meslektaşlarınızdan ve bilinen müşterilerden gelen e-postalara yanıt verin.
  • Tüm meslektaşlarınızın telefon numaraları gibi e-posta dışı iletişim bilgilerine sahip olun. Bir e-postanın bir iş arkadaşınız tarafından gönderilip gönderilmediğini doğrulamak için bunları kullanın.

Gözetimsiz Cihazlar

Tıpkı ofislerde olduğu gibi, gözetimsiz cihazlar da büyük bir güvenlik riski oluşturuyor; ancak uzaktan çalışma söz konusu olduğunda, yalnızca diğer çalışanlar bile dahil olmak üzere herkes cihazda tutulan verilere erişebildiğinden bu durum daha da artıyor.

Ne yapabilirsin?

  • Cihazdaki tüm verileri şifreyle koruyun.
    • Yukarıda bahsedildiği gibi MFA ek bir güvenlik katmanı sağlar.
    • Verilerin şifrelendiğinden emin olun. Bu, çok özel bir dijital anahtar kullanılmadığı sürece verileri okunamayacak bir formatta karıştırır. Bu özel dijital anahtar yalnızca bu verilere erişmesi gereken çalışanlar tarafından bilinecektir.
  • Söz konusu veriler yalnızca birkaç dakika önce kapatılmış olsa bile, verilere her erişildiğinde MFA ile oturum açmanın gerekli olduğundan emin olun.
  • Çalışanlara yalnızca ihtiyaç duydukları belirli verilere, yalnızca bu verilere ait şifrelere sahip olmaları durumunda erişim izni verilecek. Örneğin satış çalışanlarının insan kaynakları bilgilerine erişmesine gerek yoktur.

Çalışanlar ne yapabilir?

  • Parola koruması – McAfee, güçlü bir parola sağlamak için parolaların büyük ve küçük harfler, özel karakterler ve sayılar içermesi gerektiğini önerir. Tüm iş cihazlarının, çalışanların başka kimseye ifşa etmeyeceği benzersiz şifreleri olmalıdır.
    • MFA: Çalışanların, MFA kodlarını gönderebilecekleri güvenilir bir cihaza veya cevabını yalnızca kendilerinin bilecekleri kişisel bir güvenlik sorusuna sahip olması gerekir.
  • Cihazlarını asla halka açık yerlerde gözetimsiz bırakmayın.
  • Cihazların kullanılmadığı zamanlarda kilitli olduğundan emin olun.

Uyumluluk ve Veri Düzenlemeleri

Güvenlik ekiplerinin veri uygulamalarının GDPR düzenlemelerine uygun olmasını sağlaması gerekir.

  • Belirli bir politika olmadan çalışanlar, veri erişimi ve yönetimiyle GDPR düzenlemelerini kolayca ihlal edebilir.
  • Çalışanların erişebileceği verileri sınırlandırarak ve yukarıda özetlenen güvenlik önlemlerini uygulayarak, yasal güvenlik düzenlemelerine uymak çok daha kolay olacaktır.

Güvenlik ve Çalışan Güveni arasında Hokkabazlık Yapmak

Şirketinizin verilerinin ihmalden, hatta kötü niyetli sızıntılardan ve içeriden gelen saldırılara karşı korunduğundan emin olmanız zorunludur. Ancak çalışanlarınızın kendilerine güvenildiğini bilmelerini sağlamak da aynı derecede önemlidir.

Güvenliği çalışanların güveniyle dengelemek zor olabilir. İşte bunu yönetmek için bazı ipuçları ve püf noktaları:

  • İşçilerinizi bilgilendirin. Çalışanlarınıza tam olarak hangi güvenlik önlemlerini aldığınızı söyleyin ve onlara nedenini söyleyin ; bu bir güven sorunu değil, verileri korumak için bir güvenlik örtüsüdür.
  • Onlara gerçekleri verin. Çoğu veri sızıntısının masum hatalardan ve ihmallerden kaynaklandığını açıklayın.
  • BİRAZ gizliliğe izin verin . İzlemeniz gerekenleri (veritabanları, şirket siteleri, iş iletişimleri vb.) takip edin, ancak cihazda yapılan her hareketi takip etmeyin. Çalışanlar her hareketi izleniyormuş gibi hissetmemeyi hak ediyor.
  • Konuşmayı dolaştırın . Veri sızıntılarını, tehditleri ve daha fazlasını tartışacağınız sanal toplantılar düzenleyin. Vurgulanmak istenen noktayı kanıtlamak için veri sızıntısı hikayeleri gönderin. Çalışanların veri sızıntıları ve bunları önlemek için neler yapabilecekleri hakkında konuşmasını sağlayın.

Çözüm

Uzaktan çalışanlar söz konusu olduğunda hem faydaları hem de riskleri dikkate almak zorunludur.

Yeni kurulan şirketler için verimli ve uygun maliyetlidirler, çünkü ofis alanını kiralama endişesi olmadan işçileri işe almanıza olanak tanırlar. Uzaktan çalışanlar ayrıca daha motive olma eğilimindedir ve uzaktan çalışmanın iş/yaşam dengesinin tadını çıkarırlar.

Ancak olası güvenlik sızıntılarını dikkate almalı ve hazırlıklı olmalısınız. Sızıntıların büyük çoğunluğunun insan hatasından kaynaklandığı durumlarda bu, çalışanlarınıza güvenmeniz gereken bir durum değildir. Uzak çalışanlarınızın ihtiyaç duydukları verilere minimum sızıntı olasılığıyla erişebilmelerini sağlamak için mümkün olan tüm adımları atmakla ilgilidir.