Uzaktan Çalışma Güvenlik Konuları ve Yöntemleri
Koronavirüs salgını (KOVİD-19) 2019 yılı itibarıyla tüm dünyayı cinsiyet, ırk, kültür, yaş, din, ekonomik durum sosyal statü ayırt etmeden etkiledi. Dünya Sağlık Örgütü (DSÖ) tarafından Mart 2020’den itibaren pandemi olarak kabul edildi. Pandemi, dünya genelinde yaşayan insanların sağlığını tehdit eden bulaşıcı hastalıklara verilen bir addır
Çoğu ülkede insanların hayatlarını ve yaşam tarzlarını değiştiren Corona virüsü iş hayatındaki alışkanlıklarıda etkelidi. Birçok şirket uzaktan çalışma yöntemine yönelerek çalışanlarının sağlığını korumaya çalışıyor.
Evlerrinden çalışan çalışanlar, şirket kaynaklarına uzaktan bağlanıyor, ancak bu bağlantının ne kadar güvenli olduğu tartışılır. Kişisel bilgisayarlarını kullan personel için bu risk daha da büyük. Bir uzman tarafından sık aralıklarla denetlenmeyen bilgisayarlar her zaman risk taşır. Covid 19 fırsat bilen bilgisayar korsanlarınında iş başında olduğunu düşünürsek uzak bağlantının getirmiş olduğu riskler gözardı edilmemelidir.
Lakin tehlikede olan kişisel bilgilerden ziyade şirket bilgileridir. Şirket bilgilerini kapsamında müsşteri ya da üçünçü şahıslarında kişisel bilgileri olduğunu düşünürsek birçok insanın veri güvenliği tehlikede demektir.
Ofis dışından uzak erişimle yapılan bağlantılarda dikkat edilmesi gereken konular ve alınması gereken önlemleri özetleyecek olursak;
- VPN üzerinden şirket netwok’üne erişim. Sanal özel ağlar her daim güvenli ve şifreli IP protokolü üzerinden erişim sağlamaya imkan tanırken, veri erişimi konusunda da ciddi bir güvenlik sağlayacaktır.
- Çalışanların mail güvenliği. Yapılan saldırıların büyük bir yüzdesi e-postalar üzerinden gelmektedir. Dolayısı ile bu kapsamda mail güvenliği ve mail gateway çözümleri ciddi anlamda güvenlik sağlayacaktır.
- Dosya şifreleme çözümleri. Dosyaların sadece iç kullanıcıların bilebileceği şifreli dosyalar halinde şirket network’ü içinden transfer edilmesi ve dosyalar veya ilgili bilgi bilgi taşıyan e-posta’nın zararlı erişim ve saldırılar neticesinde ele geçirilmesi söz konusu olsa bile dosyanın içindeki verilere ulaşılamamasını sağlıyor olacaktır.
- KVKK (Kişisel Verilerin Korunması Kanunu) ‘yı da ilgilendirecek en temel çözüm ve korumalardan biri de en temel anlamda verilerin zararlı ve istenmeyen destinasyonlara ulaşmasını engelleme ve kısıtlama çözümü olan DLP (Data Loss Prevention) çözümlerinin uygulama altına alınması. Bu sayede şirketiniz için önem arz eden bilgilerin dışarıya sızması, ele geçirilmesi gibi hususları önlemiş ve bu tarz veri sızdırma süreçlerini minimize etmiş olursunuz. Aynı zamanda USB üzerinden data hırsızlığı yapılması da bu kapsama dahil.
- Kullanıcı bilgisayarların anti virüs ve end point korumalarının güncel ve aktif olmasına dikkat edilmesi, BYOD kullanıcılarda ise mevcut bir anti-virüs yazılımı mevcut değil ise şirket üzerinden kullanılan yazılımın aktif edilmesi son derece önem arz etmektedir.
- Uzak kullanıcıların şirket üzerinden verilen veya ( BYOD ) kendi şahsi bilgisayarları üzerinde şirketi ilgilendiren dosya ve verilerin tutulmasına engel olunması ve düzenli olarak şirket merkezi üzerinden önemli verilerin yedeklerinin alınması ve kontrol edilmesi gerekmektedir.
- Uzak cihazların hem tek bir noktadan kontrollerinin yapılması hem de güvenli bir platformda çalışıp çalışmadıklarının denetlenmesi gerekmektedir. Özellikle şirket network’üne bağlı akıllı telefonlar, tablet PC’lerde bu kapsam altında toplanmaktadır. Dolayısı bu cihazların uzaktan yönetilebilmesi, üzerlerine şirketin izin vermediği uygulama, mail vd yazılımların yüklenmesine engel olunması gerekmektedir. Bunun içinde Mobile Device Management, Mobile Device Security çözümlerinin kullanılmasında fayda olacaktır.
- Yapılacak uzak video konferans görüşmelerinin farklı farklı güvenli olmayan platformlar üzerinden değil, kurumsal bir video konferans çözümü veya lisanslı yazılımı üzerinden yapılması sağlanmalıdır.
Çalışanların Evden Çalşması Prensipleri, Dikkat Edilecek Hususlar Ve Gözetim;
Evden çalışma prensipleri ile ilgili bazı tavsiye ve önerilerimiz olacaktır. Elbette bu süreçler şirketlerin kendi temel çalışma prensiplerine ve kurum kültürüne göre de kendi içlerinde şekilleniyor olacaktır. Kısaca maddeler isek;
- İşi yapmak için gerekli ekipmanların listesini yapılması ve çalışanlarınızın bunlara erişimi olup olmadığının kontrol edilmesi.
- Buna laptop ve masa üstü bilgisayarlar, monitörler, telefonlar, şarj aletleri, ofis malzemeleri ve diğer malzemeler dâhil.
- Kritik operasyonlarınız için yukarıdan aşağı iletişim zinciri kurulması.
- Çalışanlarınızın telefon numaralarının listelenip dağıtılması.
- Hangi malzemelerin eve götürülebileceği konusunda çalışanlarınızın bilgilendirilmesi. Takvimler, akıllı tahtalar ve bazı malzemeler eve götürülebilir. Bazı malzemeler ise götürülemez gibi. Bu konuda net bilgilendirme yapılması gerekir.
- BT, İK, PR ve Hukuk ekiplerinizle birlikte uzaktan çalışma politikalarının hazırlanması ve kati suretle buna uyulması. Örneğin sosyal medyada ve müşterilerle iletişimde öne çıkaracağınız mesajlar bu politikada yer alabilir.
- İş sürekliliğinizin aksamayacağınızdan emin olduktan sonra müşterilerinize güvenli çalışma ortamının korunacağını anlatan bir bilgilendirme e postası gönderilmesi.
- İçeride kullanılan ortak platform / DB üzerinde; örneğin Microsoft Office 365, SAP, ERP, CRM vb. kullanıcıların kendi kullanıcı adları ve şifreleri ile belirlenen kurum çalışma saatleri içinde online aktif halde sisteme girişlerinin sağlanması ve belli saat aralıklarında şayet herhangi bir aktivasyon veya çalışma gözlemlenmiyor ise online durumdan offline duruma düşürerek kullanıcının aktif olup olmadığı tespit edilebilir. Bunula ilgili ilgili departman müdürüne veya İK’ya bilgilendirme yapılabilir. Elbette sisteme bağlı çalışmayan sadece mail ve telefon üzerinden işlerini gören ( örneğin satış grupları ) çalışanların mesai saatler içinde takip edilmesi tam anlamı ile mümkün olmayacaktır. Bunu haftalık, aylık performans değerlendirme kriterleri ile yönetmeniz daha sağlıklı olacaktır.
Leave a Reply
Want to join the discussion?Feel free to contribute!