Wing Security tarafından yakın zamanda yapılan bir araştırma, işletmelerin %63’ünün kurumsal verilere erişimi olan eski çalışanlarına sahip olabileceğini ve SaaS Güvenliğini otomatikleştirmenin işten ayrılma risklerini azaltmaya yardımcı olabileceğini buldu.
Çalışanların işten çıkarılması genellikle rutin bir idari görev olarak görülür, ancak doğru şekilde ele alınmazsa önemli güvenlik riskleri oluşturabilir. Ayrılan çalışanların erişiminin hızlı ve kapsamlı bir şekilde kaldırılmaması, içeriden ciddi tehditlere neden olur ve şirketi veri ihlalleri, fikri mülkiyet hırsızlığı ve mevzuata uyumsuzluk gibi çeşitli risklere karşı savunmasız bırakır.
SaaS uygulamalarının kolayca dahil edildiği ve kuruluş içindeki ve dışındaki kullanıcılar tarafından yaygın olarak kullanıldığı günümüzde, veri sızıntısı örneklerini ve diğer siber güvenlik sorunlarını önlemek için etkili ayrılma prosedürleri tartışılamaz. İçeriden risk yönetimini ve kullanıcıdan ayrılmayı daha ayrıntılı olarak inceleyelim, güvenlik risklerine bakalım ve güvenli bir organizasyon sağlamaya yönelik en iyi uygulamaları tartışalım.
Öncelikle Toplu İşten Çıkarmaların Güvenlik Riskleri
2024’ün ilk yarısında, 80.000’den fazla teknoloji çalışanını etkileyen toplu işten çıkarma dalgası devam etti. İşten çıkarmalar bu kadar hızlı ve geniş çapta gerçekleştiğinde, özellikle ortalama bir çalışanın 29 farklı SaaS uygulaması kullandığı göz önüne alındığında, işten çıkarma ve erişimi etkili bir şekilde kaldırmak daha da zor olabilir.
İşten çıkarma genellikle BT, İK ve diğer departman yöneticilerinin dahil olduğu bir ekip çalışmasıdır. Açık roller ve tutarlı süreçler olmadan hatalar gözden kaçabilir ve kuruluşların hassas bilgilerinin sızdırılmasına veya ele geçirilmesine açık kalmasına neden olabilir. Personel değişiminin hızı ve sıklığı göz önüne alındığında, riski ve uyumluluğu yöneten güvenlik ekipleri için işten çıkarma bir öncelik olmaya devam edecek.
Manuel Ayrılmayla Kaybedilen Zaman
Birden fazla platform ve uygulama genelinde erişimi manuel olarak iptal etmek zaman alıcı bir güçlük olabilir. Bu nedenle SaaS güvenliğini otomatikleştirmek çok önemli hale geldi. Yalnızca ilgili kullanıcıların uygun dosya ve veri erişimine sahip olmasını sağlamak ve kanıtlamak için erişim incelemeleri söz konusu olduğunda, bu sürecin manuel olarak yapılmasının gerektirdiği karmaşıklık ve zaman, kuruluşlara yük oluşturabilir. Kolaylaştırılmış sistemler veya otomatikleştirilmiş SaaS güvenlik yazılımı olmadan, kuruluşlar bir yandan içeriden kaynaklanan risklere maruz kalırken bir yandan da uyumluluk çabalarını kanıtlamakta zorlanırlar.
Dört Kötü Denizden Çıkarma Uygulamalarının Riskleri
Çalışanların yaşam döngüsünü yönetmek ve ister dikkatsizlik ister kötü niyetten kaynaklanan içeriden kaynaklanan riskleri azaltmak için uygun şekilde işten çıkarma çok önemlidir. Çalışanların şirketten ayrıldığında artık şirket varlıklarına erişimlerinin olmamasını sağlar. Kuruluştan ayrılan çalışanların uygun şekilde işten çıkarılmaması büyük risklere yol açabilir.
1 – Veri İhlalleri
Eski çalışanlar veya yükleniciler şirketin sistemlerinden, uygulamalarından ve ağlarından derhal çıkarılmazsa hassas verilere erişimleri devam edebilir. Bu durum söz konusu verilerin gizliliği, bütünlüğü ve kullanılabilirliği açısından ciddi riskler oluşturur. Hoşnutsuz eski çalışanlar veya yanlışlıkla erişime sahip olanlar, kritik iş verilerini, müşteri bilgilerini, mali kayıtları veya ticari sırları ifşa edebilir, değiştirebilir veya silebilir. Örneğin eski bir mobil ödeme şirketi çalışanı, ABD’li kullanıcıların kişisel bilgilerini içeren ve potansiyel olarak 8 milyon kişiyi etkileyen raporları indirdi. Bu tür olaylar şirket için önemli mali kayıplara, itibar kaybına ve hukuki sorunlara yol açabilir.
2 – Uyum İhlalleri
Zayıf veya manuel işten çıkarma süreçleri, özellikle sağlık, finans ve devlet gibi düzenlemeye tabi sektörlerde uyumluluk ihlallerine de yol açabilir. Bu endüstrilerin veri gizliliği, bilgi güvenliği ve erişim kontrolü konusunda katı kuralları vardır. Erişim ayrıcalıklarının ve eski çalışanların yetkili kullanıcı listelerinden kaldırılmaması, bu düzenlemelerin karşılanmamasına neden olabilir; bu da büyük para cezaları, cezalar, yasal sorunlar ve itibar ve güvenilirliğin zedelenmesiyle sonuçlanabilir.
New York tüketicileriyle iş yapan finans sektörü şirketleri, veri güvenliği konusunda katı düzenlemelere tabidir. Kamuya Açık Olmayan Bilgilerin (NPI) açığa çıkmasına neden olan bir veri ihlali durumunda, bu şirketler yalnızca sorunu tanımlamakla kalmamalı, aynı zamanda 72 saat içinde New York Finansal Hizmetler Departmanı’na (NY-DFS) bildirimde bulunmalıdır. NY-DFS Siber Güvenlik Gereksinimleri. ABD’deki büyük bir sigorta şirketinin, uygun erişim kontrollerini ve güvenlik önlemlerini uygulamayarak NY-DFS düzenlemelerini ihlal ettiği ortaya çıktı; bu, 1 milyon dolarlık bir cezaya ve tüketici verilerinin güvenliğine yönelik iyileştirici önlemlerin uygulanmasına yönelik bir anlaşmaya yol açtı.
3 – İçeriden Gelen Tehditler
Çalışanlar uygun şekilde işten çıkarılmadığında, ister kasıtlı ister kazara olsun, içeriden potansiyel tehditler oluştururlar. Hassas sistemlere ve verilere erişimi elinde bulunduran eski çalışanlar, 75.000 kullanıcıya ait verileri bir Alman medya kuruluşuna sızdıran iki eski Tesla çalışanı örneğinde olduğu gibi, operasyonları aksatmaya, bilgi çalmaya veya iş süreçlerini tehlikeye atmaya çalışabilir. İstenmeyen durumlarda bile, ayrıldıktan sonra erişimi sürdürmek, hassas bilgilerin yanlışlıkla açığa çıkmasına veya güvenlik açıkları oluşmasına neden olabilir. İçeriden gelen tehditleri tespit etmek ve ele almak zordur; bu da, kapsamlı işten çıkarma prosedürlerinin ve bir çalışanın işten ayrılmasıyla ilgili şüpheli davranışların dikkatli bir şekilde izlenmesinin önemini vurgulamaktadır.
4 – Fikri Mülkiyet Hırsızlığı
Wing Security araştırması, işletmelerin %43’ünün GitHub veya GitLab’daki kurumsal kod depolarına hâlâ erişebilen eski çalışanlarına sahip olabileceğini endişe verici bir şekilde ortaya koyuyor. Yetersiz ayrılma aynı zamanda kodun açığa çıkmasına ve fikri mülkiyet hırsızlığına da yol açabilir. Eski çalışanlar, özel bilgilere, ticari sırlara, kaynak kodlarına veya gizli araştırmalara ve diğer şirket verilerine erişime sahipken sistemlerden ve depolardan hızla çıkarılmazsa, yine de bu değerli fikri mülkiyete erişebilir ve bunları kötüye kullanabilirler. Bu, şirket için büyük mali kayıplara, rekabet dezavantajlarına ve yasal sorunlara yol açabilir.
Otomasyon İçin En İyi Uygulamalar
SaaS Güvenlik Duruşu Yönetiminde (SSPM) otomasyonun kullanılması, tutarlı ve kapsamlı bir ayrılma için basit ve etkili bir yöntemdir. Otomasyon, yalnızca birden fazla SaaS uygulamasında erişimin iptal edilmesini kolaylaştırmakla kalmaz, aynı zamanda çok fazla zaman tasarrufu sağlar, kaynakları serbest bırakır ve manuel hata ve gözden kaçma risklerini azaltır.
Otomasyon aynı zamanda izinlerin takibini ve veri paylaşımını kolaylaştırmaya da yardımcı olur; bu özellikle bir çalışan ayrılmadan önce verilen tüm erişimin hızlı bir şekilde belirlenmesinde özellikle zor olabilir. Hangi verinin kim tarafından ve hangi izinlerle paylaşıldığını bilmek, veriyi güvende tutmak açısından çok önemlidir.
Colorado’daki bir kritik erişim hastanesi, eski bir çalışanın işten çıkarıldıktan sonra bile 557 hastanın korunan sağlık bilgilerini içeren bir planlama takvimine erişimini sürdürmesinin ardından HIPAA ihlali nedeniyle 111.400 dolar ödedi. Ayrıldıktan sonra eski çalışanın erişimini derhal tespit etmek ve iptal etmek için otomatik süreçler mevcut olsaydı, bu uygunsuz erişim ve uyum cezası potansiyel olarak önlenebilirdi.
Otomasyon aynı zamanda düzenli denetimler ve uyumluluk raporlaması için sıklıkla ihtiyaç duyulan ağır yönetim yükünü de hafifletir. Birisi ayrıldıktan sonra bilinmeyen erişimin devam etmesi riski o kadar endişe verici bir tehdittir ki, politikaların bunu tespit edecek sistemlerin mevcut olması gerekir. Sürekli izleme ve birkaç basit otomasyon, en iyi uygulamaları hayata geçirmek için, çıkıştan sonra erişimi hızlı bir şekilde tanımlayıp kaldırabilir.
Güçlü işten çıkarma süreçlerine sahip olmayan şirketler, operasyonları, itibarları ve mali durumları açısından ciddi sonuçlar doğurabilecek bir dizi riske kendilerini açık bırakıyor. Bu riskleri azaltmak ve şirketin kritik varlıklarını ve bilgilerini korumak için uygun işten çıkarma protokolleri çok önemlidir.
Wing’in İçeriden Risk Yönetimini hızlandırmak ve kolaylaştırmak için otomasyonu nasıl kullandığı hakkında daha fazla bilgi edinmek için buradan daha fazlasını okuyun..