Temmuz 2021’de Computer Weekly için benim gibi güvenlik ekiplerinin ofise dönen çalışanlarla ilgili neleri dikkate alması gerektiğine dair bir yazı yazmıştım. O zamanlar hepimiz çeşitli zorluklarla karşılaştık. Bunlardan biri çalışanlarımızın çalışabileceği yerdi. Temel olarak üç kategoriye ayrıldı:
- Ofise zorunlu dönüş;
- Kalıcı olarak evden çalışın;
- Bu ikisinin hibrit karışımı, ister esnek olsun ister ofiste minimum gün sayısı olsun.
Evden çalışmanın ofisten mi daha verimli olduğu, yoksa tam tersi mi olduğu tartışmasını yeniden başlatmadan, çalışanların nerede çalışacaklarına dair zihniyetlerinde bir değişiklik olduğu açık. Çalışanlarını ofise geri dönmeye zorlayan şirketler, bazılarının geri dönmediğini ve daha fazla esneklik sunan şirketlere yöneldiğini gördü. Bazı meslektaşlarımla konuşurken, bazıları başkalarıyla işbirliği yaparken ofiste olmayı tercih ediyor. Bazıları, bir dereceye kadar konsantrasyon gerektiren konulara odaklanmak ve ofisin rahatsız edici doğasından kaçınmak için evde olmayı tercih ediyor.
Güvenlik ve veri koruma söz konusu olduğunda, bir çalışanın nerede çalıştığı ve hangi ekipmanı kullandığı önemli riskleri beraberinde getirebilir. Örneğin:
- Kafe veya ortak çalışma alanı gibi halka açık bir alanda çalışmak;
- İşe gidip gelirken çalışmak;
- Yurt dışında çalışmak;
- Uzaktayken ekibiyle iletişim halinde kalmak için kişisel bir telefon kullanmak.
Peki bizim gibi güvenlik profesyonellerinin bu konularla ilgilenirken neleri dikkate alması gerekiyor?
İlk olarak, politikalarımızın ve prosedürlerimizin güncel olduğundan emin olmalı ve hem çalışanların nerede ve nasıl çalıştığı açısından neyin kabul edilebilir olup olmadığını, uyumsuzluğun açık sonuçlarıyla birlikte açıkça özetlemeliyiz. ISO 27001, SSAE 18 veya ISACA’nın COBIT çerçevesine bağlı kaldıklarını söyleyen şirketlerin bunlara uymayan çalışanlarına sahip olması iyi bir şey değil. Bunların hiçbirinde uzaktan çalışmaya yönelik özel gereksinimler belirtilmese de, aşağıdakilerin mevcut olması herhangi bir güvenlik veya veri koruma olayının önlenmesine yardımcı olabilir:
- Uzaktan çalışma politikasını belgeleyin. Bu, evden çalışma politikasından ayrı olmalıdır, böylece topluluk ve evden uzakta veya yurtdışındayken çalışma gibi konuları kapsayabilir;
- Aynı şekilde, neye izin verilip verilmediğini belirten bir kişisel cihaz politikasını belgeleyin;
- Karışıklık olmaması için tüm politika ve prosedürlerin çalışanlara açık bir şekilde iletildiğinden emin olun ve çalışanların ilgili talepleri nasıl yapması gerektiği konusunda net bir sürece sahip olun;
- Bölüm yöneticileri, güvenlik, BT ve hukuk gibi kilit paydaşların dahil olması ve talepleri onaylayabilmesi için bir yetkilendirme sürecinizin olması önemle tavsiye edilir.
- Yurt dışında çalışan çalışanları belgelemek ve takip etmek için gerekli araçlara sahip olun. Bu, uzakta oldukları/kaldıkları tarihlerin ayrıntılarını veren bir elektronik tablo kadar basit olabilir;
- Henüz yapmadıysanız, çalışanların tipik olarak çalıştıkları ülke dışında veya yüksek riskli ülkelerde görülmesi durumunda sizi bilgilendirecek güvenlik uyarılarını etkinleştirin; böylece gerekirse hesaplarını askıya alabilirsiniz;
- Sözleşmeye uygunluğu sağlamak için hukuk ekibinizle birlikte çalışın veya bağımsız hukuki tavsiye alın. Bir müşteri sözleşmesi belirli yargı bölgelerinde çalışmayı veya verilerini görüntülemeyi yasaklıyorsa, bu alanlara giden herhangi bir çalışanın, geri dönene kadar söz konusu müşteriye erişiminin iptal edilmesi gerekecektir;
- Risk listenizi gözden geçirin ve henüz listelenmemişse bu faktörleri listeye ekleyin. Kabul etmeye hazır olduğunuz kalan riski tanımlamak, gelecekteki kararlarınıza yardımcı olacaktır. Riskler sürekli olarak ortaya çıkıyor ve artıyor, dolayısıyla bu kaydı ve ilgili riskleri düzenli olarak gözden geçirmeniz hayati önem taşıyor.
Ayrıca temellerin yerinde olduğundan da emin olmalıyız. Eminim trene binip çalışan birinin yanına oturan tek kişi ben değilim. Bir keresinde yanımda oturan kişinin ayağa kalktığını ve e-postaları ekranda olacak şekilde bilgisayarının kilidini açık bıraktığını gördüm. Hızlı bir bakış bana İK’da çalıştıklarını ve yazdıkları e-postanın bir çalışanın işten çıkarılmasıyla ilgili olduğunu söyledi. Artık kötü niyetli olsaydım bu bilgiyi ilgili kişilere veya şirkete karşı kullanabilirdim. Çalışanlarınız işe gidip gelirken çalışıyorsa, eşyalarını gözetimsiz bırakmamalarını, güvenli olmayan Wi-Fi erişim noktalarına bağlanmamalarını ve ekranda veya işitme mesafesindeki diğer kişilerle yapılan tartışmalarda hassas hiçbir şeyi açığa çıkarmamalarını bildiklerinden emin olun.
Gelecekte ne bekleyebiliriz? Başka yerlerden çalışma gereklilikleri devam edecek, dolayısıyla bu talepleri karşılayacak her şey hazırsa sorun olmaz. Ancak bu, savaşın yalnızca yarısıdır. Çalışanlarınızın bu prosedürleri neden uyguladığınızı ve bu tür talepleri neden reddedebileceğinizi anladığından emin olmanız gerekir. Ayrıca iki dizüstü bilgisayar ya da iki telefona sahip olmak istemedikleri için işlerinde kendi cihazlarını kullanmak isteyen çalışanların sayısında da artış olacağını düşünüyorum. Tekrar ediyorum, neye izin verdiğiniz ve neyi yasakladığınız konusunda net olmak çok önemlidir. Kurumsal ağa erişimi olmayan kişisel bir telefona yalnızca e-posta erişimi için izin verebilir ve kişisel dizüstü bilgisayar kullanımını yasaklayabilirsiniz. Birleşik Krallık’taki Kovid soruşturmasından şu ana kadar gördüğümüz gibi, iş ve kişisel konuların tek bir cihazda bulanıklaşması ciddi güvenlik ve yasal zorluklara yol açabilir; bu nedenle net bir ayrım sadece şirketinizi değil bireysel çalışanları da korur.
Umarız bu, bazı değerlendirme alanlarını sağlamıştır; bazıları zaten düşünmüş olabilirsiniz, bazıları ise düşünmemişsinizdir. Bu konuların artık daha sık tartışılan konular haline gelmeye başladığı durumlarda, sizi, çalışanlarınızı veya şirketinizi güvenlik veya veri koruma olaylarına maruz bırakmamaları için bunları erken ele aldığınızdan emin olun. Bu hiçbir şekilde kapsamlı değildir, bu nedenle bu yolculukta size yardımcı olacak belirtilen çerçevelere bakın.
Simon Backwell, CISM, Benefex’te bilgi güvenliği yöneticisidir ve ISACA’nın Yükselen Trendler Çalışma Grubunun bir üyesidir