Farklı Riske Maruz Kalma Türleri ve Verilerinizi Korumaya Yönelik En İyi Uygulamalar
Yazan Adam Gavish, CEO ve Kurucu Ortak, DoControl
Son birkaç ayda Twitch, Unity, Dataminr ve daha fazlasının da aralarında bulunduğu çok sayıda teknoloji kuruluşunda işten çıkarmalarda ani bir artış yaşandı. Duyguları bir kenara bırakırsak, bu işten çıkarmalar ve işten çıkarmalar, bu süreçte ilerlemek zorunda kalan kuruluşlar için çeşitli veri güvenliği endişeleri doğuruyor. Çalışanlar işten çıkarıldıklarında genellikle e-posta hesapları ve iletişim uygulamaları (örn. Google Drive ve Slack), bulut depolama alanı, özel yazılımlar ve daha fazlası gibi şirketin dijital varlıklarına erişimlerini korurlar. Erişim yetkileri ve izinleri, istihdam durumu değişikliğine (yani işten çıkarmalar veya işten çıkarmalar) uygun şekilde ele alınmazsa, hassas verilerin çalınması veya kötüye kullanılması riski yüksek olur. İşten çıkarmaların arttığı bu dönemde, iş dünyası liderleri, çalışanlar işten çıkarıldığında mümkün olan en güvenli konumda olmalarını sağlamak akıllıca olacaktır.
Farklı Riske Maruz Kalma Türleri
İşten çıkarma süreci sırasında BT alanında hassas verilere kimlerin erişebileceği konusunda yadsınamaz bir gözetim ve kontrol eksikliği var. Kötü aktörler, değerli verileri depoladıkları için SaaS uygulamalarını giderek daha fazla hedef alıyor. Bu nedenle, çalışanlar işten çıkarıldığında kuruluşların karşı karşıya kaldığı birçok farklı risk türü vardır.
Bulut öncelikli iş stratejilerinin kurumsal olarak yaygın şekilde benimsenmesi, kuruluşlar tarafından oluşturulan ve kullanılan SaaS uygulamalarının miktarını önemli ölçüde artırdı. İşletmeler iş arkadaşları veya müşterileriyle işbirliği yapmak, veri depolamak ve dosya paylaşmak için sıklıkla Google Drive veya Slack gibi birden fazla bulut tabanlı uygulamayı kullanır. Bu uygulamalar bazı açılardan faydalı olsa da, hassas veriler sıklıkla bu uygulamalarda depolandığından işbirlikçi doğa kuruluşlar için ciddi güvenlik riskleri oluşturabilir. Dosya sahipleri, tek tıklamayla erişimi kişisel e-postalarıyla veya harici taraflarla kolayca paylaşabilir. DoControl tarafından yakın zamanda yayınlanan bir raporda, çalışanların %61’inin daha önce şirkete ait varlıkları kendi e-postalarıyla paylaştığı ortaya çıktı. Bu dosya herkese açık olarak paylaşıldığında, içindeki verilere başka kimlerin erişebileceği bilinemez.
İş kullanıcıları iletişim kurmak ve bilgi alışverişinde bulunmak için Slack veya Microsoft Teams gibi SaaS mesajlaşma uygulamalarını kullanmaya devam ettikçe de sorunlar ortaya çıkıyor. Kişisel bilgiler, şifreler ve finansal bilgiler gibi özel veriler genellikle bu platformlarda iş arkadaşları arasında paylaşılır. Bu, hassas verileri iç ve dış tarafların yararlanmasına açık hale getirir. Üstelik çalışanlar işten çıkarıldığında, siber suçluların sosyal mühendislik saldırıları için öncelikli hedefleri haline geliyor. Kötü aktörler veya rakipler, eski çalışanlara şirkete ait özel verileri paylaşmaları için para teklif edebilir. İş dünyasının liderleri herhangi bir sebep veya kıdem tazminatı sunmadan aniden işten çıkarmalar yaparsa, işten çıkarılan çalışanlar da hayal kırıklığına uğrayabilir ve kendi kişisel çıkarları için veri sızdırma dürtüsüne sahip olabilirler.
Verilerinizi Korumaya Yönelik En İyi Uygulamalar
Özellikle toplu işten çıkarmaların yaşandığı bu dönemde işletmelerin gizli veya özel bilgileri korumak ve hassas şirket verilerinin sızmasını önlemek için proaktif bir yaklaşım benimsemesi gerekiyor. Daha fazla kuruluş bulut öncelikli SaaS operasyonlarını benimsedikçe, BT liderlerinin güvenlik duruşlarını yeniden değerlendirmeleri ve katı erişim izinleri uygulamaları gerekecek. Güvenlik ekipleri şüpheli etkinlikleri ve dosya paylaşımını sık sık izlemeli ve yalnızca gerekli personelin hassas verilere erişebildiğinden emin olmalıdır. İşletmelerin, istihdam durumu değiştiğinde paylaşılan dosyalara erişimi iptal etmesi de zorunludur.
Tehditlerin çoğu, Veri Kaybını Önleme (DLP), Bulut Erişimi Güvenlik Aracısı (CASB) ve İçeriden Risk Yönetimi (IRM) çözümleri gibi belirli kullanım örneklerine yönelik modern SaaS güvenlik araçlarıyla önlenebilir. Ek olarak, çalışanların veri güvenliğine yönelik en iyi uygulamalar konusunda eğitilmesi uzun bir yol kat edecektir. BT güvenlik ekipleri, işten çıkarmalar sırasında şirket politikalarını vurgulamalı ve çalışanlara veri güvenliğinin ortak bir sorumluluk olduğunu hatırlatmalıdır. Veri sızıntısına ilişkin siber güvenlik tehdidi muhtemelen işten çıkarmalarla birlikte artmaya devam edecek. Kuruluşlar bu süreci daha iyi bir empatiyle yönetmeli ve yaklaşımlarında daha proaktif olmalıdır.
yazar hakkında
Adam Gavish, DoControl’ün Kurucu Ortağı ve İcra Kurulu Başkanıdır. Adam, ürün yönetimi, yazılım mühendisliği ve ağ güvenliği alanlarında 15 yıllık deneyime sahiptir. Adam, DoControl’ü kurmadan önce Google Cloud’da Ürün Yöneticisi olarak görev yaptı ve burada Fortune 500 müşterilerine hizmet veren Güvenlik ve Gizlilik ürünlerinin fikir, uygulama ve stratejisine liderlik etti. Adam, Google’dan önce Amazon’da Kıdemli Teknik Ürün Müdürü olarak görev yaptı ve burada dünya çapında 300 milyon müşterinin ödeme deneyimini iyileştiren, müşteri odaklı ürünleri piyasaya sürdü. Adam, Amazon’dan önce başarıyla satın alınan iki startup’ta Yazılım Mühendisi olarak çalışıyordu: 200 milyon dolar karşılığında eXelate ve 60 milyon dolar karşılığında Skyfence. DoContorl hakkında daha fazla bilgi için https://www.docontrol.io/ adresini ziyaret edin.