Pandemiden önce iş dünyası, bilgi çalışanlarının büyük çoğunluğunun çoğu zaman şirket ofislerinde çalışacağını kabul ediyordu. Ancak post-pandemi dünyasında, birçok çalışan internet bağlantısı olan herhangi bir yerden, herhangi bir zamanda ve herhangi bir cihazda çalışabilir.
2020’nin başlarında COVID-19 evden çalışma zorunlulukları dünya çapında yürürlüğe girdiğinde, kuruluşlar çevrimiçi işbirliği araçlarını benimsemek için acele etti. Sesli ve görüntülü konferanstan belgeyi birlikte yazmaya ve proje izlemeye kadar değişen yeteneklere sahip bu araçlar, ekiplerin evden veya başka herhangi bir yerden iletişim kurmasına, birlikte çalışmasına ve çeşitli projeler ve girişimler hakkında güncellemeler paylaşmasına yardımcı oldu.
Bazı şirketler artık birçok çalışan için ofis içi çalışmaya dönüşü teşvik ediyor ve hatta zorunlu kılıyor olsa da, işbirliği araçları ticari operasyonlar için çok önemli olmaya devam ediyor. Teknoloji araştırma ve danışmanlık firması ISG’de siber güvenlik direktörü Doug Glair, hem şirket içinde hem de şirket dışında müşteriler, tedarikçiler ve diğer üçüncü taraflarla birden fazla yerde çalışan insanlarla iş yapmanın temel bir parçası haline geldiklerini söyledi. Glair, bu nedenle şirketlerin, iş için kritik değerleri göz önüne alındığında, işbirliği araçlarının dayanıklı, kullanımı kolay ve güvenli olmasını sağlamaları gerektiğini söyledi.
Ancak uzmanlara göre kuruluşlar, birkaç yıldır işbirliği araçlarını kullanıyor olsalar da, hâlâ pandeminin ilk günlerindeki güvenlik hatalarını yapıyorlar.
Bir siber güvenlik değerlendirme firması olan Schellman’ın CEO’su Avani Desai’ye göre, ana nedenlerden biri, işbirliği araçlarının şirket çapında değil, genellikle iş birimleri içinde kullanılmasıdır. “Belki Asana’yı kullanmak istiyorum ve başka biri SharePoint’i kullanmak istiyor ve başka biri Jira’yı kullanmak istiyor ve yönetici ekip başka bir araç kullanmak istiyor – bu nedenle kurumsal düzeyde kullanıcı erişimine izin verilmiyor” dedi. “Kullanıcı erişimi yıllardır bir sorun oldu ve sorun olmaya devam ediyor.”
Gartner analisti Patrick Hevesi, Desai’nin değerlendirmesine katıldı. “Diyelim ki kurumsal standartınız Microsoft 365 veya G Suite ya da her neyse, ama şirkette başka biri Slack kullanmak istiyor,” dedi. “İnsanlar, BT güvenlik kuruluşunun yetkisi olmadan daha fazla işbirliği aracı ekliyor.”
Dahası, Microsoft Teams, Slack, Box, Dropbox, GitHub, Jira, Asana ve diğerleri gibi işbirliği platformlarını benimseyen kuruluşlar genellikle üretkenlik avantajlarına odaklanır. Yönetilen hizmetler şirketi GreenPages Technology Solutions’ın güvenlik uygulama lideri Jay Martin, bu platformları, iletişimleri ve paylaştıkları verileri güvence altına almanın genellikle sonradan akla gelen bir şey olduğunu söylüyor.
“Onları daha güvenli hale getirmek, kuruluşu özel bilgilere, finansal verilere, fikri mülkiyete ve daha fazlasına giriş noktası arayan tehdit aktörlerinden korumak için çok önemlidir” dedi.
Computerworld, teknoloji endüstrisi analistlerine, BT hizmet sağlayıcılarına ve güvenlik danışmanlarına, kuruluşların bugün hala yaptığını gördükleri en büyük işbirliği güvenlik hatalarını ve bunlar hakkında ne yapmaları gerektiğini sordu. İşte onların tavsiyesi.
1 numaralı işbirliği güvenliği hatası: İşbirliği araçları için merkezi yönetişim sağlamamak
Güvenlik danışmanlığı şirketi NCC Group’ta teknik direktör, risk yönetimi ve yönetişim olan Sourya Biswas, kuruluşların incelenmiş işbirliği araçlarına erişim sağlamaması durumunda, çalışanların muhtemelen kendi çözümlerini bulacak ve güvenli olmayan çözümleri kullanacaklarını söyledi. “Bu nedenle, kuruluşların dijital işbirliğini benimsemesi önemli olmakla birlikte, aynı zamanda sınırlı yerel yönetici erişimi ve yönetilen tarayıcı çözümleri gibi mekanizmalar aracılığıyla onaylanmamış araçların yüklenmesini ve kullanılmasını önlemelidir.”
Kıdemli direktör Michael McCracken, işbirliği araçları incelenip onaylandığında bile, hassas verilerin dışarı sızmasını önlemek ve kötü kişiler için yeni saldırı vektörleri sağlamaktan kaçınmak için kuruluşların her çalışanın erişmesine izin verilen farklı işbirliği platformlarının farkında olması gerektiğini söyledi. teknoloji ürünleri ve hizmetleri satıcısı olan SHI International’da son kullanıcı çözümleri.
Ayrıca, bağımsız bir muhasebe ve iş danışmanlığı firması olan Armanino’nun risk güvence danışmanlığı ortağı AJ Yawn, BT’nin bu araçlar üzerinde merkezi kontrolü sürdürmesi gerektiğini söyledi. “Birisi işine son verilirse, işten çıkarma işlemini yapan kişiler bu araçlara erişimi kaldırmayı biliyor mu, yoksa bunları [former employees] hala erişimi var [sensitive company data]?”
İşbirliği güvenlik hatası # 2: Güvenli olmayan dosya paylaşım yöntemlerini kullanma
Schellman’dan Desai, birçok kuruluşun dosya paylaşımı için güvenli olmayan yöntemler kullandığını söyledi. İki örnek, şifrelenmemiş e-posta ekleri ve yerleşik şifrelemeye sahip olmayan işbirliği araçlarıyla gerçekleşen genel dosya paylaşımıdır.
“Güvenli olmayan dosya paylaşım yöntemlerini kullanmak, veri sızıntılarına yol açabileceği için bir güvenlik sorunudur” dedi. Şirketlere yalnızca şifrelemeli güvenli dosya paylaşım platformlarını kullanmalarını tavsiye etti.
Desai, kuruluşların ayrıca güvenli dosya aktarım protokolleri uygulaması gerektiğini söyledi. “Öyleyse e-posta, TLS dediğimiz şeye sahip olmalıdır. [transport layer security]bu da aktarım içindeki şifreleme gibidir.
İşbirliği güvenliği hatası #3: Danışmanlar ve hizmet sağlayıcılar için gerekli özeni göstermemek
Önde gelen işbirliği satıcıları sağlam güvenlik özellikleri sunarken, maksimum güvenlik için yapılandırıldığından emin olmak genellikle yazılımı dağıtan ve yönetenlere bağlıdır. Pek çok durumda, özellikle küçük işletmelerde, kuruluşlar bu hizmetler için BT danışmanlarına veya hizmet sağlayıcılara yönelir. Bir BT hizmetleri ve danışmanlık şirketi olan Tech Mahindra’nın dijital hizmetler başkanı Kunal Purohit, işbirliği güvenliği konusunda artan farkındalığa rağmen, danışmanlar ve hizmet sağlayıcıların müşterilerinin verilerini riske atan hatalar yapmaya devam ettiğini söyledi.
Bu hatalar, parola paylaşımına izin vermek veya aşırı ayrıcalıklar vermek gibi yetersiz erişim kontrollerini içerir; iki faktörlü kimlik doğrulama gibi güçlü kimlik doğrulama önlemlerini uygulamayı ihmal etmek; ve yazılım ve sistemleri düzenli olarak güncelleyememenin güvenlik açıkları açabileceğini söyledi. Danışmanların ve hizmet sağlayıcıların yaptığı diğer bir hata da hassas bilgileri iletim ve/veya depolama sırasında şifrelememektir. Purohit, “Ayrıca, düzenli güvenlik denetimlerinin ve değerlendirmelerinin yapılmaması, kuruluşları daha fazla riske maruz bırakır” dedi.
Purohit, kuruluşların herhangi bir danışman veya hizmet sağlayıcıyla çalışmadan önce kapsamlı bir durum tespiti yapması gerektiğini tavsiye etti. Buna, bu üçüncü tarafların sağlam güvenlik önlemleri uygulama konusunda kanıtlanmış geçmişleri olduğunun doğrulanması da dahildir.
“Kuruluşlar, güvenlik gereksinimlerini ve beklentilerini açıkça tanımlamalı ve bunları danışmanlar veya hizmet sağlayıcılarla yapılan sözleşme anlaşmalarına dahil etmelidir” dedi. “Ayrıca şirketler, güvenlik açıklarını veya uygunsuzlukları belirlemek için düzenli güvenlik denetimleri ve değerlendirmeleri yapmalıdır.”
Purohit’e göre ayrıca kuruluşlar, danışmanlara ve hizmet sağlayıcılara özel ihtiyaçlarına göre sınırlı ayrıcalıklar sağlayarak katı erişim kontrolleri uygulamalıdır. Ve hepsinden önemlisi, kuruluşlar herhangi bir güvenlik olayını veya ihlalini derhal bildirmek için onlarla net iletişim kanalları oluşturmalıdır.
İşbirliği güvenliği hatası #4: Çalışanların güvenli internet bağlantıları kullandığından emin olmamak
NCC’den Biswas, dünyanın herhangi bir yerinden internet bağlantısıyla işbirliği yapma yeteneğinin, çalışanların kafeler ve havaalanları gibi halka açık yerlerdeki güvenli olmayan kablosuz erişim noktalarına bağlanma olasılığını ortaya çıkardığını ve böylece bağlantı üzerinden akan herhangi bir veriyi tehlikeye attığını söyledi. Sanal özel ağlar, güvenli erişim hizmeti kenarıVe sıfır güven ağ erişimi araçların bu riski ele aldığını söyledi.
EisnerAmper’in dış kaynaklı BT hizmetleri ekibinin genel müdürü Rahul Mahna da aynı fikirde. “Artık herkes seyahat etmeye geri döndüğüne göre, insanlar işbirliği araçlarına yeniden bağlanmak için Acela’da, otel odalarında ve konferans merkezlerinde bulunan ücretsiz Wi-Fi’yi kullanıyor” dedi. “Ve bunlar sadece güvenlik sorunları ile dolu. İnsanlara her zaman en güvenli bağlantının telefonunuza bağlanmak olduğunu söylüyorum, çünkü operatörünüzün güvenliği ücretsiz Wi-Fi’den alabileceğiniz herhangi bir güvenlikten çok daha iyi.”
Kaybedecek zaman yok
Bir BT altyapı hizmetleri sağlayıcısı olan Kyndryl’de küresel uygulama lideri, güvenlik ve dirençlilik, Kris Lovejoy, işbirliğinin bugün işyerini yönlendiren para birimi olduğunu söyledi. Artan dijitalleşme, küresel ticaretin ilerlemesine yardımcı olduğundan, pandemi şirketlerin çalışma şeklini değiştirdi. Ancak potansiyel siber saldırıların gerçekleştirilebileceği yüzey alanını da genişletti.
“Bugün, kötü aktörlerin gelip gelmeyeceği değil, ne zaman ortaya çıkacağı önemli” dedi. “Güvenlik açısından, işbirliği araçları tehdit ortamını artırıyor. Bu büyüyen zorluk, işletmelere tehditler hakkında yeni bir düşünme biçimini benimseme fırsatı sunuyor. Bu nedenle, siber dirençli bir geleceğe yeniden uyum sağlamak çok önemlidir.”
Telif hakkı © 2023 IDG Communications, Inc.