İşbirliğine dayalı yazılım, iletişim ve üretkenlik için önemli bir kaldıraçtır. Salgının başlangıcından bu yana, Slack, Skype Kurumsal ve hatta Teams gibi işbirliğine dayalı iletişim teknolojileri şirketlerde büyük ölçüde benimsendi. Çalışanlar bunu görüntülü aramalar yapmak, belge paylaşmak ve ayrıca birbirlerine anlık mesajlar ve komik memler göndermek için kullanıyor. Market Research’ün yakın tarihli bir raporuna göre, işbirliği araçları pazarının 2025 yılına kadar 45 milyar dolara ulaşması bekleniyor.
Bununla birlikte, bu artan kullanımla birlikte artan bir risk ortaya çıkar. Bu nedenle, anlık mesajlaşmayla ilgili birkaç güvenlik açığı vardır; aynı zamanda kuruluşlarının hassas verilerinin yanlış ellere geçmesini önlemek için sistem yöneticilerinin uygulayabileceği önleyici tedbirler.
Dahili veri paylaşımı
Anında mesajlaşma platformları, iş arkadaşlarının rekor sürede dosya alışverişi yapmasına olanak tanır; bu kesinlikle pratiktir, ancak her zaman güvenli değildir. Bazı kullanıcılar kaçınılmaz olarak hassas bilgileri bu bilgilere erişmemesi gereken kişilerle paylaşır.
Bu riski sınırlamak için belirli çalışanlar veya belirli ekipler arasındaki iletişimi engellemek gerekir. Diğer bir çözüm ise iletişime izin vermek, ancak dosya paylaşım özelliğini devre dışı bırakmaktır. Ancak, çalışanlar hassas bilgileri bir belgeden kopyalayıp bir sohbet penceresine yapıştırdığında bu yöntem etkisizdir.
Diğer bir seçenek de Veri Kaybını Önleme (DLP) ayarlarını, bir mesajda belirli hassas içerik bulunduğunda paylaşımı algılayacak ve engelleyecek şekilde yapılandırmaktır; örneğin bir sosyal güvenlik veya kredi kartı numarası.
Verileri misafirlerle paylaşma
Bu yazılım aynı zamanda çalışanlara tedarikçiler ve müşteriler gibi şirket dışındaki aktörlerle bilgi paylaşma imkanı da sunmaktadır. Amaç, belge alışverişi yapmak, sohbetlere katılmak olabileceği gibi, organizasyon dışından misafirlerle görüşme yapmak ve aranmak da olabilir. Bu özellik işbirliğini kolaylaştırırken, hassas verilerin uygunsuz şekilde paylaşıldığını görme riskini artırır.
Burada yine DLP araçları önemlidir. Örneğin Microsoft Teams, yalnızca belirli ortak çalışanların şifresini çözüp açabilmesi için belgelerin şifrelenecek şekilde işaretlenmesini mümkün kılar. Çalışanlar daha sonra belgeleri, yanlış kişilerin bunlara erişme riski olmadan dışarıda özgürce paylaşabilir. Ayrıca, bu platformlar aracılığıyla paylaşılan verilerin hassasiyeti nedeniyle, bu kimliklerin tehlikeye atılmadığından emin olmak için her borsada muhatapların kimliklerinin doğrulanması önemlidir.
Bunu başarmanın en kolay yolu, çok faktörlü kimlik doğrulamayı (MFA) devreye almaktır. Azure AD ve Active Directory dahil olmak üzere kimlik doğrulama sistemleri için saldırı algılama çözümleri uygulamak da mümkündür. Bu, arayanların meşru olduğunu doğrulamaya yardımcı olacaktır. Gerçekten de, pandeminin başlangıcından bu yana bu programların yoğun bir şekilde konuşlandırılması nedeniyle, birçok kullanıcı ortak bir iletişim aracında sohbet ederken artık (fazlasıyla) kendine güveniyor.
E-dolandırıcılık
Anlık mesajlaşma platformları, kanıtlanmış pazarlama tekniklerine dayanır: çoğu, belirli bir süre işlem yapılmadığında, kullanıcılara henüz yanıtlamadıkları mesajlar olduğunu hatırlatan bir e-posta gönderir. Bu e-postalar ayrıca yazılıma bir bağlantı içerir.
Ancak, bazı siber suçlular bu e-postaları ele geçirmeyi başarır. Bu nedenle BT ekibi, şirket çalışanlarını bu riskin varlığı konusunda düzenli olarak bilgilendirmeli ve onları bu kötü niyetli faaliyetleri belirlemeleri için eğitmelidir. Bununla birlikte, kuruluşun çevrimiçi güvenliğinin iyileştirilmesi ve bilgisayar sisteminin iyi yönetilmesi buna bağlıyken, bu genellikle ihmal edilir.
Diğer koruyucu önlemler
Yalnızca anlık mesajlaşma programlarının sunduğu özelliklerin kullanılması değil, platformdaki etkinliklerin takibi için de kullanılması önerilir. Bu amaçla, izleme aracı, BT ekosisteminde meydana gelen diğer etkinlikleri yönetmek için kullanılanla aynı olmalıdır. BT ekipleri nihai olarak verileri tutarlı bir şekilde kategorize ederken tehdit tespitini ve müdahalesini iyileştirebilecek. Son olarak, denetime yönelik bir çözüm, dış aktörlerin faaliyetlerini tespit etmelerine, olası veri ihlallerini önlemek için şüpheli faaliyetleri tespit etmelerine, olay olması durumunda soruşturma yürütmelerine ve denetçilere uygulanabilir mevzuat.
Son olarak, işbirliği çözümlerini barındıran platformun güvenli olmasını sağlamak önemlidir. Satıcılar, olası güvenlik açıkları ve mevcut yamalar hakkında oldukça iyi iletişim kurar. Ancak bu bültenlerin yayınlanmasına dikkat edilmeli ve söz konusu güvenlik açıklarının hızlı bir şekilde düzeltilmesi sağlanmalı ki siber suçlular bu bültenlerden faydalanmaya vakit kalmasın.
BT ekipleri güvenlik kontrollerini uygularken, çalışanların diğer kişilerle kolayca iletişim kurmak için anlık mesajlaşma kullandığını akılda tutmalıdır. Ancak mevcut güvenlik araçları üretkenliklerini etkiliyorsa, kullanıcılar şirketin BT ortamı dışındaki yazılımlara yönelebilir ve bu da riskleri önemli ölçüde artırır. Bu nedenle, makul kurallar tanımlayarak güvenlik ve üretkenlik arasında bir denge sağlamaya çalışmak tercih edilir; yani hem IT ekipleri hem de kurumsal çalışanlar için uygundur.
