Fujitsu’nun kazara veri ihlali bu yılın başlarında ortaya çıktığında, tüm kuruluşlara gölge BT’nin tehlikeleri konusunda bir uyarı olmalıydı. Hatta bunun sadece anlık bir hata olması bile söz konusu değildi; AWS anahtarları, müşteri bilgileri ve parolalar bir yıldan uzun süredir ifşa edilmişti.
Gölge BT genellikle çalışanların yetkisiz BT araçları, yazılımları, uygulamaları veya hizmetleri kullanmasıyla karakterize edilir ve bugün mevcut olan geniş yelpazedeki seçenekleri düşündüğünüzde, işletmelerin bu tür olayların gerçekleşmesini önlemesi son derece zor olabilir. Görünüşte sağlam siber savunmalara sahip olmalarına rağmen, olay gölge BT’nin özellikle dağınık kuruluşlar için ne kadar büyük bir tehdit olduğunu gösterdi.
Verilerin daha fazla parçalanması, kullanıcıların farklı lokasyonlara dağılması ve çok sayıda uzaktan çalışan ve üçüncü tarafların da izlenmesiyle verilerin takibi ve nerede saklandığının takibi daha da zorlaşır.
Bu tür sızıntılar, siber suçlular önce ulaşırsa onlar için altın madeni olabilir, ancak aynı zamanda önemli para cezaları, itibar kaybı, iş kaybı ve hatta davalarla birlikte düzenleyici soruşturmalara da yol açabilir. Ancak, gölge BT’yi ortadan kaldırmasa bile en aza indirmek, koordineli ve sürekli bir çaba gerektirir. Çatlaklardan düşen bu durumlar için tespitte yardımcı olacak araçlar ve hizmetler vardır. Ancak her şeyden daha fazla yardımcı olan şey, çalışanların farkında olduğu, benimsediği ve harfiyen uyguladığı net kullanım politikaları ve süreçlerinin olduğundan emin olmaktır; herkesin önerilerini ve tercihlerini destekleyemeyecek olsanız da, işi yapanlar arasında geniş bir fikir birliğine sahip olmak asla kötü bir şey değildir – bu katılımın olması, insanların onaylanmamış kaynaklara ulaşmasını engellemede genellikle fark yaratır.
Geliştiriciler ve Yüklenicilerle İşbirliğini Geliştirin
Geliştiriciler genellikle kullanmaya alışkın oldukları tercih ettikleri araçlara ve satıcılara sahiptir. Dahası, bunları kendi mevcut güvenlik prosedürlerinizle uyuşmayan belirli (bazen güvenli olmayan) bir şekilde kullanmaya alışmış olabilirler. Birinin sebepsiz yere şirket politikasına aykırı davranmak için kasıtlı olarak elinden geleni yapması nadirdir ve bu sebep iş akışıyla ilgili hayal kırıklığı, verimsiz araçların neden olduğu gecikmeler veya BT veya yönetimden alternatifleri kullanmalarına yol açan algılanan destek eksikliği olabilir.
Sonuç olarak, öncelikle politikaların tüm çalışanlara (geçici veya kalıcı) etkili bir şekilde iletilmesini ve kısıtlamalarla ilgili tüm şikayetlerin uygun ve saygılı bir şekilde ele alınmasını sağlamak gerekir; sonuçta bir şeyi yapmanın daha iyi bir yolu olabilir! Politikayı uygulayan sizseniz, önce işi yapanlarla konuşun – onları karara dahil etmek mücadelenin yarısını ortadan kaldıracaktır. Beni yanlış anlamayın – yeni hizmetleri tanımlarken her zaman ekibimle konuşurum ve abartmayalım, bazı fikirler gerçekten korkunçtur. Ancak ara sıra altın bulursunuz.
Amaç üretkenliği engellemek değildir. Geliştirme ve işbirliği için kod depoları, onaylanıp düzgün bir şekilde dağıtılırsa değerli araçlardır. Örneğin GitHub, iki faktörlü kimlik doğrulama, ayrıntılı erişim yönetimi ve şifreleme gibi kendi sağlam güvenlik özelliklerine ve ayrıca kodlama projelerinde güvenlik açıklarını tespit etmek için tarama yeteneklerine sahiptir. Sadece doğru bir şekilde kurulması ve kullanılması gerekir.
Bununla birlikte, gizlilik her zaman varsayılan konum olmalıdır. Kodun paylaşılması ve erişilebilir hale getirilmesi kontrol edilmeli ve sıkı prosedürler izlenmelidir. Tüm gerekli özen kontrolleri yapılmadığı sürece asla kamuya açık hale getirilmemelidir – ayrıca kamusal alanda dolaşan ve kesinlikle gerekmeyen çok fazla proje de vardır. Bunları gizli tutun!
Tüm departmanlarda Gölge BT
Bakın, sizinle dürüst olacağım. Geliştiriciler genellikle bunun için çok fazla eleştiri alırlar, ancak gerçek şu ki gölge BT sorunu çok daha yaygındır. Departmanlar genelindeki diğer iş kullanıcıları da BT’yi dahil etmeden verimliliği artırmak veya sorunları çözmek için geçici çözümler bulurlar. Bu, iş dosyaları için kişisel bulut depolama kullanmaktan, onaylanmamış uygulamalarla finansal raporlar veya pazarlama elektronik tabloları oluşturmaya kadar uzanabilir ve 101 AI yardımcısı varken, birinin kurumsal verilerinin siber uzayda dağılması gerçeği fazlasıyla gerçektir.
Ek olarak, kıdemli yöneticiler, belirli iş ihtiyaçlarını hızlı bir şekilde ele almak için BT’nin bilgisi olmadan yazılım veya bulut hizmetleri satın alımlarını yetkilendirebilir. Sonra, tek seferlik proje gereksinimleri için yetkisiz araçlar ve sistemler sunabilecek üçüncü taraflar, danışmanlar ve tedarikçiler vardır. Bunların hepsi kontrol edilmezse risk oluşturur.
Geliştirme projeleri etrafındaki yönetişimi ele almak ve tüm departmanlara gölge BT’nin tehlikeleri hakkında kapsamlı eğitim sağlamak bir zorunluluktur. Ancak kuruluşların, ağdan kaçınılmaz olarak sızacak olan bu durumlarla başa çıkmak için yine de diğer güvenlik önlemlerini benimsemeleri gerekecektir.
Sızıntıları takip etmek
Ağ araçları (güvenlik duvarları/proxy’ler) kısmen, kuruluş sınırları dışında büyük veya alışılmadık veri aktarım ve sızdırma girişimlerini vurgulamak için yararlı olabilir, ancak kullanımı tam olarak kimin izlediğine dair asırlardır süregelen soru dikkate alınmalıdır. Bir kuruluş tarafından yaygın olarak kullanılan genel konumları izlemek için tehdit istihbaratı ve tarama hizmetlerini kullanmak, yeni depolar başlatıldığında uygun güvenlik protokollerinin sürdürülmesini sağlamaya da yardımcı olabilir.
Ancak, harici güvenlik araştırmacılarının ve etik hackerların da sizin tarafınızda olabileceğini ve gizli sorunları keşfetmenize yardımcı olabileceğini unutmayın. İzlenen bir gelen kutusu veya web formu kurmak gibi basit çözümler, hem dahili personelin hem de üçüncü tarafların buldukları herhangi bir örneği doğrudan güvenlik ekibine bildirmelerini sağlayabilir. Daha da iyisi, finansal ödüller sağlayan bir hata ödül programı, etik hacker topluluğunu güvenlik açıklarını ve veri sızıntılarını proaktif bir şekilde bulup bildirmeye teşvik edecektir. Bildirilmesi kolay değilse ve teşvik yoksa, basitçe söylemek gerekirse, bu gerçekleşmeyecektir.
Çalışanların farkındalığı ve hem iç hem de dış izleme yoluyla, kuruluşlar gölge BT’nin etkisini azaltmak için adımlar atabilir. Ancak bunun için sürekli dikkat ve yaygın bir sorun olduğunun kabul edilmesi gerekir. Aksi takdirde, bugün onaylanmamış bir araç kullanmanın sonucu gelecekte kolayca ortaya çıkabilir. Ve gölge alışkanlığını engellemek için çok yönlü bir yaklaşım olmadan, hassas verilerin, kodların veya müşteri bilgilerinin yanlışlıkla yanlış ellere geçme olasılığı giderek daha olası hale gelir.
Reklam