Kolide ve Dimensional Research tarafından yakın zamanda yayınlanan bir rapor, 4 çalışandan 3’ünün iş için kişisel (ve genellikle yönetilmeyen) telefon ve dizüstü bilgisayarlar kullandığını ve şirketlerin neredeyse yarısının yönetilmeyen cihazların korunan kaynaklara erişmesine izin verdiğini ortaya çıkardı.
Ankete katılan 334 BT, güvenlik ve iş profesyoneli, şirket işlerini yapmak için neden kişisel cihazlar kullandıkları sorulduğunda çeşitli nedenler sundu; bunlardan üçü, birçok çalışanın kuruluşlarının güvenlik politikalarını aşmak için bunları kullandığını gösteriyor.
Gölge BT’nin tehlikeleri
Kurumsal ortamlarda gölge BT’nin yaygınlığı kanıtlanmış bir gerçektir.
Kuruluşun BT departmanı ihtiyaç duyulan bir çözüme imza atmayı reddettiğinde veya onaylamaları istendiğinde ayak sürüdüğünde, diğer departmanlardaki çalışanlar BT çalışanlarının bilgisi olmadan bu çözümü dağıtma eğiliminde olur.
Kişisel/yönetilmeyen cihazların yaygın kullanımı, BT departmanının bu cihazlarda neler olduğunu, düzenli olarak yama yapılıp yapılmadığını/yükseltilip güncellenmediğini veya güvenliklerinin ihlal edilip edilmediğini bilmesinin hiçbir yolu olmadığından sorun daha da artıyor.
“Mühendisler kişisel cihazlar üzerinde üretim düzeyinde çalışma yaptığında, kuruluşun ihlal riski hızla artıyor. Kötü bir aktör, LastPass ihlalinde olduğu gibi, yönetilmeyen bir cihazdaki güvenlik kusurunu kullanarak üretim ortamına girebilir. Kolide araştırmacıları, dizüstü bilgisayarın PII ile dolu olması ve BT’nin bunu uzaktan silmenin mümkün olmaması durumunda, bir dizüstü bilgisayarın basit bir parçalanıp kapılması bile bir kabusa dönüşebilir” dedi.
Kusurlu güvenlik politikaları nedeniyle çalışanlar suçlanmamalıdır
Çalışanlar kişisel cihazlarını, diğer şeylerin yanı sıra, BT departmanı tarafından kısıtlanan web sitelerine ve uygulamalara erişmek için ve güvenlik önlemlerini aşmanın sinir bozucu olması nedeniyle iş için kullanıyor.
Bu ve ankete katılanların yalnızca %47’sinin her zaman tüm siber güvenlik politikalarına uyduklarını söylemesi, yürürlükteki güvenlik politikalarının herkes için işe yaramadığını gösteriyor.
“Maalesef, yanıt verenlerin hangi belirli politikalardan vazgeçmeyi haklı bulduklarına dair elimizde veri yok, ancak bu yanıttan iki çıkarım yapabiliriz: İşçilerin kendi isteğiyle göz ardı edebileceği herhangi bir güvenlik politikasının etrafında yeterli güvenlik önlemleri yoktur ve eğer işçiler Araştırmacılar, genellikle kurallara uymaya çalışan kişilerin bir güvenlik politikasını göz ardı ettiğini, ya belirli bir davranışla ilişkili riskleri anlamadıklarını ya da politikanın kendisinin kusurlu olduğunu belirtti.
İşverenler ve işçilerin güvenlik konusunda daha açık ve dürüst diyaloğa ihtiyaçları olduğuna dikkat çektiler. Güvenlik ve BT profesyonelleri, çalışanların neden politikaların dışına çıkmak zorunda olduklarını hissettiklerini anlamak için çaba göstermelidir.
Son olarak, anketin sonuçları aynı zamanda güvenlik eğitiminin faydasız olduğu ve küçümsenen bir baş belası olduğu yönündeki mitleri de çürütüyor.
“Anketimizin en güçlü veri noktasında, çalışanların %96’sı (ekipler ve kıdemler genelinde) eğitimin ya faydalı olduğunu ya da daha iyi tasarlanırsa faydalı olabileceğini bildirdi. Buradaki mesaj, insanların güvenli bir şekilde nasıl davranacakları konusunda eğitilmek istedikleridir” diye tamamladı araştırmacılar.