Pandeminin birçok çalışanı evden çalışmaya zorladığı günlerde, kuruluşunuz verimli ve güvende kalmaya devam edebiliyor mu?
Koronavirüs (COVID-19) salgını Dünya Sağlık Örgütü (WHO) tarafından resmen pandemi olarak sınıflandırıldı ve bu da, aynı anda birden fazla ülkede enfeksiyon hızının arttığı anlamına geliyor. Amerika Birleşik Devletleri 28 Avrupa ülkesine seyahat yasağı ilan etti, birçok ülke okulları ve üniversiteleri kapattı ve insanların kalabalıklar halinde bir araya geldiği toplantılar durduruldu.
Google ve Microsoft gibi kamuoyunda iyi tanınan şirketler, çalışanlarını evden çalışma ilkesini benimsemeye teşvik ediyor ya da bunu zorunlu kılıyor. Modern teknoloji şirketlerinin uzaktan çalışmak için gerekli altyapısı ve politikası hiç şüphe yok ki halihazırda mevcut ve personelin çok büyük bir kısmı büyük olasılıkla zaten dizüstü bilgisayar kullanıcısı.
Ancak, birçok küçük şirket ve kuruluş için bu durum oldukça farklı seyrediyor. Uzaktan çalışma büyük olasılıkla az sayıda şirketle sınırlı ve gerçekçi olmak gerekirse esasen e-posta ve diğer operasyonel olmayan sistemlerle yürütülüyor. Eğitim sektörü bunun iyi bir örneği olarak verilebilir: üniversiteler bir süredir uzaktan eğitim hizmeti verirken, liseler ve diğer kurumlar çoğunlukla öğrenmek için personelin ve öğrencilerin kurumda bulunmalarına bağlıdır. Mobil çalışan olma ihtimalleri düşük olduğundan ve dizüstü bilgisayardan ziyade masaüstü cihazlar kullandıkları için, okulun faaliyetlerinin ve idari ekiplerin de dikkate alınması gerekir.
Organizasyonu sadece her biri farklı gereksinimlere sahip birkaç gruba ayırmak ve toplu göçü etkilemek için her birinin gereksinimleri ile ilgilenmek basit bir yaklaşım gibi görünebilir, ancak bazı durumlarda yaşanan aciliyet durumu düşünüldüğünde zorunludur. Örnek olarak eğitimi ele alacak olursak, öğrenciler (müşteriler), eğitim personeli, yönetim ve faaliyetler vardır. Okullar anlamlı sayıda öğrenci katılımı olmadan işleyemez, öğretmenlerin en azından sanal konferans olanaklarına, yönetici ekiplerinin ise ağ erişimine ihtiyaçları vardır ve bunlar minimum gereksinimlerdir.
Verimli olabilmeleri için tüm uzaktan çalışanların ortak gereksinimleri söz konusudur. İş hayatının büyük bölümünü uzaktan çalışarak geçiren biri olarak, son ikisini kanıtlayabilirim:
- Bilgisayar
- İyi internet bağlantısı
- Sohbet ve konferans uygulamaları
- Özel çalışma alanı (tercihen)
- İsteğe bağlı olarak telefon
- Öz motivasyon ve disiplin
- Sıkı bir program
Telefon neden isteğe bağlıdır? Günümüz ortamında, özellikle birçok uygulama doğrudan aramaya izin verdiğinden telefon gerekli olmayabilir. Telefon ihtiyacı temel bir cihazdan çok, bir iş gereksinimi olabilir.
Daha da önemlisi, şirketlerin ve organizasyonların kendilerini ve çalışanlarını uzaktan çalışma ile ilgili artan siber güvenlik risklerine karşı hazırlamaları da gerekiyor. Ele alınması gerekebilecek zorluklardan bazıları nelerdir?
Şirket cihazlarının fiziksel güvenliği
İş yerinin güvenli ve emniyetli ortamının dışına çıkacakları için çalışanlar şirket cihazlarının daha büyük risklere maruz kalmasına neden olacaktır. Uzaktan çalışan biri olarak, çalışmak için sık sık halk kütüphanesine giderim. Orada ortak ve bireysel çalışma alanları vardır ve bu bir tür sosyalleşmedir. Kaybolmaya ve çalınmaya karşı cihazlar şu gibi seçeneklerle korunmalıdır:
- Tam disk şifrelemesi, cihaz yanlış ellere düşse bile şirket verilerinin erişilemez olduğundan emin olunmasını sağlar.
- Evde ya da halka açık yerlerde, kullanmadığınızda oturumu kapatın. Meraklı bir çocuğun patrona ya da bir müşteriye kazara bir e-posta göndermesi kolayca önlenir ve yerel kahve dükkanında arkanız dönükken, başkasının makineye erişme olanağı sınırlandırılır.
- Güçlü parola ilkesi - açılışta parola isteyin, uyku modunu ayarlayın ve üzerinde parolaların yazılı olduğu yapışkanlı not kullanımını yasaklayın: insanlar hala bunu yapıyor!
- Cihazı asla gözetimsiz ya da herkesin göreceği şekilde bırakmayın. Cihaz arabada bırakılıyorsa bagaja koyulmalıdır.
Ev teknoloji ortamında neler var?
Çalışanlardan iş cihazlarını bağlamadan önce kendi ev ortamlarını güvenlik açıklarına karşı denetlemelerini isteyin. Savunmasız Nesnelerin İnterneti (IoT) cihazları ile ilgili sürekli açıklamalar yapılıyor ve bu, çalışanların bu cihazları güçlü parolalarla korumak ve ürün bilgilerini/yazılımlarını en son sürümlerle güncellemek üzere harekete geçmeleri için harika bir zaman dilimi.
İş cihazlarının ev ağlarına bağlanmadan önce, bağlantılı ev izleme uygulaması kullanılmasını teşvik etmeyi ve hatta zorunlu kılmayı düşünün. Tarama ya da izleme bilinen güvenlik açıklarını, eski yazılım ya da ürün yazılımı barındıran cihazları ve değiştirilmesi gereken varsayılan parolaları gösterir.
Şirket ağına ve sistemlerine erişme
Çalışanın organizasyonun dahili ağına mı, yoksa sadece bulut tabanlı hizmetler ve e-posta hizmetine mi erişmeye ihtiyacı olduğunu belirleyin. Ve çalışan tesis dışındayken, kendisine tesis içerisinde sahip olduğu düzeyde hassas verilere erişim olanağı verilmesi gerekip gerekmediğini de düşünün.
- Kuruluşun dahili ağına erişim gerekliyse:
- Bağlanan cihazın kontrolünün tamamen teknoloji yönetimi ve BT ekibinde olması için bunun kuruluşun mülkiyetinde bulunan bir cihazdan yapılmasını öneriyorum.
- Uzaktan çalışanları kuruluşun dahili ağına bağlamak için her zaman VPN kullanın. Bu, uzak konumlardan yapılacak ortadaki adam saldırılarını önler: artık evden çalıştığınıza göre, trafiğin şu anda genel ağlar üzerinden aktığını unutmayın.
- USB depolama ve çevre aygıtları gibi harici cihazların kullanımını denetleyin.
- Çalışanın kendi cihazından e-posta ve bulut hizmetlerine erişime izin verme:
- Kuruluşun yönettiği bir cihazda uygulanan kötü amaçlı yazılım, güvenlik duvarı ve benzerleri ile ilgili uç nokta güvenlik ilkesinin aynısını uygulayın. Gerekirse, çalışana kuruluşun mülkiyetinde bulunan cihazlarda kullanılan çözümlere erişmeleri için bir lisans verin. Ekstra lisansa ihtiyacınız olursa sağlayıcı ile bağlantı kurun. Sizi bu benzersiz olayda destekleyecek çözümleri olabilir.
- Veri depolama, indirme ya da kopyalama olanaklarını sınırlandırın. İçerisinde hassas şirket verileri içeren tüm cihazlarda veri ihlali meydana gelebilir.
- Erişim sağlamak için sanal makineler kullanmayı düşünün: bu çalışanın kontrollü bir ortamda kalmasını sağlar ve ev ağının şirket ağı üzerindeki etkisini sınırlandırır. Bunun kurulumu daha karmaşık olabilir ancak uzun vadede daha iyi bir çözüm olabilir.
- Çok Faktörlü Kimlik Doğrulaması (MFA), ister bulut tabanlı hizmetler, ister tam ağ erişimi olsun, sadece doğrulanmış kullanıcılara erişim izni verildiğinden emin olunmasını sağlar. Mümkün olması halinde, doğrulanmış erişim izni vermek için tek kullanımlık kodlar üreten uygulama tabanlı bir sistem ya da fiziksel bir şifrematik kullanın. Bir çözümü hayata geçirmek için zaman baskısı olabileceğinden, uygulama tabanlı bir çözüm donanım satın alma ve dağıtma ihtiyacını ortadan kaldırır. Uygulama tabanlı sistemler SMS mesajlarından daha fazla güvenlik sağlar ve bu, özellikle kodları almak için kullanılan cihaz kuruluş tarafından yönetilen bir cihaz değilse ve SIM değişim saldırısına uğramışsa geçerlidir.
İşbirliği araçları ve kimlik doğrulama süreçleri
Bu ikisini aynı başlık altında toplamak garip gelebilir ancak biri, diğerinin sorunları önlemesine yardımcı olabilir.
- Çalışanların birbirleri ile iletişim kurabilmesi için sohbet, video ve konferans sistemlerine erişim sağlayın. Bu gerekli üretkenlik araçlarını sağlar ve çalışanların meslektaşlarıyla iletişim halinde kalmasına yardımcı olur.
- Yetkisiz talimat ya da işlemlere karşı koruma sağlamak için işbirliği araçlarını kullanın. Siber suçlular büyük olasılıkla Kurumsal E-Postaların Gizliliğini İhlal Etme (BEC) saldırıları başlatmak için uzaktan çalışanlardan yararlanma fırsatını kullanacaktır. Kötü aktör tarafından söz konusu kişiden onay alma imkanı olmadan, fonların acil bir şekilde aktarılmasını isteyen, sahte acil bir talebin gönderdiği nokta işte burasıdır. Uzakta olunsa bile doğrulamanın “şahsen” yapılması için resmi onay sisteminin bir parçası olarak video konferansı/sohbet sistemlerini kullandığınızdan emin olun.
Eğitim
Son dönemdeki diğer blog yazılarımda da belirttiğim gibi, yüz maskeleri ve aşılarla ilgili yalanlar ve kasıtlı yanlış haberlerle dolu sayısız COVID-19 sahtekarlığı dolaşımdadır. Çalışanlar iş yerinden alınıp daha gündelik bir çalışma atmosferi olan eve yerleştirildiğinde, kendilerine o eğlenceli videoyu izlerken ya da web sayfasını ziyaret ederken görebilecek meslektaşları olmayacağı için bağlantıları tıklamayı düşünebilirler.
Siber güvenlik farkındalığı eğitimi, genellikle çalışanların her yıl alması gereken bir eğitimdir. Siber suçluların suistimal etmeye çalıştıkları insan unsurundan kaçınılmasına yardımcı olacak bir bilgi tazeleme kursu verilmesi sağduyulu bir hareket olacaktır. Çalışan uzaktan çalışmaya başlamadan önce ya da başladıktan sonra en kısa sürede bir kampanya ve zorunlu eğitim düzenlemeyi düşünün.
Destek ve kriz yönetimi
Uzaktan erişim sağlama telaşında, siber güvenlikten ya da sistemleri ve cihazları yönetme becerisinden ödün vermeyin. Özellikle kullanıcılar sağlıkla ilgili kaygılara bağlı olarak karantina altına alınırsa, kullanıcıları uzaktan destekleyebilme, faaliyetlerin sorunsuz sürdürülebilmesi açısından zorunlu olacaktır. Bir ihlalle sonuçlanabilecek olağan dışı ya da şüpheli sorunlarla karşılaşırsa uzaktan çalışanların BT desteği ve kriz yönetimi için net iletişim protokolleri olması gerekir.
Teknoloji açısından bakıldığında, elbette başka kaygılar da söz konusudur; örneğin, kısa bir süre önce meslektaşım Aryeh Goretsky tarafından kaleme alınan blog yazısında ayrıntılı bir şekilde ele alınan, RDP kullanımını kaldırma ya da sınırlama.
Teknolojinin ve işlevsel süreçlerin ötesinde, uzaktan çalışmanın etkili olabilmesi için başka önemli etkenler de söz konusudur:
- İletişim – Günde bir kez ekip görüşmeleri yapmayı düşünün, insanları durum hakkında bilgilendirin ve herkese deneyimlerini ve sorunlarını paylaşma fırsatı verin.
- Cevap Verebilirlik – Uzaktan çalışma ve ofis ortamında çalışma aynı şey değildir. İletişim türüne göre (e-posta, Slack, takvim davetiyeleri vb.), uzaktan çalışan bir kişinin bir talebe ne kadar kısa sürede yanıt vermesinin beklendiğine yönelik net kurallar belirleyin.
- Raporlar – Bölüm yöneticilerinin uzaktan çalışanların işlerini yapıp yapmadıklarından emin olmalarını sağlayacak prosedürleri hayata geçirmeleri gerekir: zorunlu grup toplantıları, ekip işbirliği, günlük/haftalık/aylık raporlar.
- Çalışma programı – Bu ekip üyelerinin güne başlarken birbirlerine günaydın dedikleri bir grup sohbeti kadar basit bir şey olsa dahi, işe başlama ve bitirme yöntemi üzerinde anlaşma sağlayın.
- Sağlık ve güvenlik – Çalışanlara alışık oldukları konforu sunmak için ofisteki ergonomik klavyelerin eve götürülmesi gerekiyor mu? Evden çalışma iyi bir çalışma ortamı sağlama sorumluluğunu ortadan kaldırmaz.
- Sorumluluk – Çalışanın mülkiyetindeyken, şirket varlıklarının korunduğundan emin olun.
- Teknoloji desteği – İletişim bilgilerini dağıtın: tüm uzaktan çalışanlar ihtiyaçları olduğunda nasıl yardım alacaklarını bilmelidir.
- Sosyalleşme – Uzaktan çalışanları, özellikle sanal olarak bir araya getirin. Sosyal etkileşim motivasyonun önemli bir bölümüdür ve üretkenliği artırır. Herkesin kendisine bir eş bulabileceği, sorunları çözebileceği, soluk alabileceği, paylaşabileceği ya da sanal olarak sosyalleşebileceği bir kanka ya da akıl hocası programı oluşturmayı düşünün.
- Erişebilirlik – Tıpkı ofiste olduğu gibi, sanal bir açık kapı yönetim ilkesi oluşturun. İnsanların erişilebilir ve kolayca bağlantı kurulabilir olduklarından emin olun.
Tüm çalışanların çok az yardım ya da rehberlikle uzaktan verimli bir şekilde çalışmaya başlayabileceklerini düşünmeyin. Ev ofis değildir ve uyum sağlamak için bolca desteğe ihtiyaçları olabilir.
Felsefi açıdan, bu toplu uzaktan çalışma zorunluluğunu, sadece birkaç şirketin böylesi bir ölçekte hayata geçirdiği sosyal/çalışma deneyi olduğu anlaşılırsa dünya bir daha asla eskisi gibi olmayabilir. Bir daha aynı şekilde ofisimize geri dönecek miyiz?
Güvende ve sağlıklı kalın!
ESET 30 yılı aşkın süredir sizin için burada.Bu belirsiz zamanlarda online hayatınızı korumak için burada olacağımızı bilmenizi isteriz.
90 günlük ücretsiz sürümümüzü hemen indirin ve online güvenliğinize yönelik tehditlerden kendinizi korumaya başlayın.