Yüzde 100 güvenlik beklemeyin
Şirketler çalışanlarının verimliliğine ek olarak, kurumsal BT güvenlikleri konusunda da endişeli. E-Güven İş Geliştirme ve Pazarlama Müdürü Ayşegül Tüzün, sosyal medya yapılarının, doğru kullanılmadığı takdirde, şirketlerde bilişim güvenliğini risk altına alabildiğine dikkat çekerek, sosyal medyanın şirket çalışanları tarafından kullanımı konusunu tam bir bıçak sırtı olarak tanımladı. IBM Türk Güvenlik Ürünleri Kıdemli Satış Danışmanı Hakan Turgut da şu bilgileri verdi:
“Şirketlerin Facebook, Twitter gibi sosyal paylaşım sitelerinin kendileri için yaratabileceği pozitif katkıların yanı sıra negatif yansımalarının olacağını kabullenmeleri gerek. Dolayısıyla, sosyal paylaşım sitelerinin iş ortamından farkı kalmadığının bilinmesi ve şirket için hassas kabul edilen bilgilerin bu ortamlar için de geçerli olduğunun farkına varılması gerek. İnsanlar bu tür ortamların yüzde 100 güvenli olmadığının farkına varmalı.”
Önce çalışan tehditleri tanısın
ESET Türkiye Genel Müdür Yardımcısı Alev Akkoyunlu’ya göre, Firewall, Proxy gibi araçlarla engelleme işlemi doğru yapılandırıldığında önemli derecede etkili, ancak tek başına yeterli değil. Akkoyunlu, “Bunları doğru kullanmayı kolaylaştıracak politikalar, eğitimler ile şirket çalışanlarına kabul ettirilip, kurum kültürü haline getirilmesi çok daha etkili sonuçlar getir” dedi. Ayşegül Tüzün’e göre de eğer çalışanlar bilgi güvenliği konusunda bilgilendirilmediyse, şirket bilgisayarlarında güvenlik duvarı tarzı uygulamalarla sosyal medya kullanımını yasaklamak çözüm olmaz. Ponemon Institute araştırması da bilgi güvenliği konusunda bilinçlendirilmeyen çalışanların yapabilecekleri yanlışları ortaya koyuyor. Bu davranışlar; şirketin gizli bilgilerini USB belleğe kopyalamak, web tabanlı e-posta adresine işyerindeki bilgisayardan ulaşmak, taşınabilir veri depolama cihazını kaybetmek, şirket bilgisayarına kişisel program yüklemek, iş ile ilgili dokümanları e-postada ek olarak göndermek, bilgisayarın güvenlik ayarlarını devre dışı bırakmak ve çalışma arkadaşlarıyla şifre paylaşmak şeklinde sıralanıyor.
Yasaklamaların doğru ve güvenilir metotlar olmadığına işaret eden Hakan Turgut’a göre, veri kaçaklarını önleme çözümleri ile kurumsal ortamlardan yapılan girişlerde bir ölçüde başarı sağlanabilir. Ayrıca, bu korumaya mobil cihazların da dahil edilmesi önemli. Turgut, ‘olmazsa olmaz’ koşulun çalışanları bilinçlendirme çalışmaları olacağına dikkat çekerken, Akkoyunlu da, şirketlerin yazılı, kesin hatları olan ve tüm kuruma duyurulmuş politikaya sahip olmasının önemine işaret etti. Bu politika çerçevesinde gerek kullanıcı cihazlarında, gerekse ağ geçidi tarafında çözümler, kuruma uyum sağlayıp kullanılarak konuya teknik çözüm sağlanabilir. Akkoyunlu, kurumun sosyal medya güvenlik ve erişim politikasını temel alan, sosyal medya riskleri konusunda kullanıcı farkındalığını arttıran eğitimlerin verilmesi gerektiğini belirtti. Ayşegül Tüzün de şu yorumu ekledi: “Şirketler, çalışanlarını sosyal medya kullanımının risklerinden haberdar ederken, şirket içinde veya müşterilerle güvenli bilgi paylaşımını ve verilerin güvenle saklanmasını sağlayan sistemlere yatırım yapmalı.”
İletişimde strateji belirlemeli
Gazi Üniversitesi Mühendislik Fakültesi Bilgisayar Mühendisliği Bölümü öğretim üyesi ve Bilgi Güvenliği Derneği (BGD) Yönetim Kurulu Üyesi Prof.Dr. Şeref Sağıroğlu, sosyal medya kullanımı karşısında şirketlerin izlemesi gereken politikayı şöyle anlattı:
“Sosyal ağlarda kişisel bilgilerin korunması için kullanıcıların bilgi güvenliği farkındalığının artırılması, korumaya dayalı sosyal ağ modelleri geliştirilmesi, sosyal paylaşım sitelerinin uygulama katmanı güvenliğinin standartların ötesinde yeniden ele alınarak gerekli düzenlemelerin yapılması güvenliği artıracak yaklaşımlar. Şirketlerin ve çalışanlarının bu alandaki bilgi birikimlerini artırmaları da önemli. Tehdit ve tehlikeleri dikkate alarak öncelikle kısa, orta ve uzun vadeli stratejilerini belirlemeleri ve bu ortamları ona göre kullanmaları veya bilgilerini ona göre paylaşmaları şart. Bu ortamda bulundurdukları veya bulunduracakları bilgileri gözden geçirdikten sonra bu ortamlarda yayımlamalarının daha faydalı olacağı, konu hakkında bilgisi olmayan kurumların ise bu konuda danışmanlık almalarının daha faydalı olacağı değerlendirilmekte.”
