CIO’lar “Kendi Cihazını Getir” (BYOD)’un kurumsal veri güvenliği hakkında dokuz doğuruyor. Peki ama çalışanlar umursuyor mu?
Kimlik yönetim yazılımı sağlayıcısı Centrify’ın yakın zamandaki bir anketine göre onların kayda değer bir kısmı (yüzde 15) kişisel cihazları üzerinde saklanan verileri koruma konusunda asgari sorumluluğa sahip olduklarına inanıyor.
“Mobil güvenliğin tehlike ve riskleri üzerinde organizasyonların çalışanları eğitmeyi sürdürmesi gereksinimi aşikar ama bu çalışanların eriştiği cihaz ve uygulamaların güvenliğini sağlayan çözümlere de bakmaları gerekiyor,” şeklinde konuşuyor Osterman Research baş analisti Michael Osterman.
Centrify orta ve büyük ölçekli firmalardan 500’ü aşkın çalışanla anket düzenledi ve BYOD riski ile gerçekliği arasındaki algının kopmaya başladığını ortaya çıkardı. Ankete katılanların yarıya yakını BYOD ürünleri üzerinde altıdan fazla üçüncü parti yazılıma sahipti ve yüzde 15’ten fazlası kişisel hesap veya parolasını kaptırmıştı, diyor Centrify.
Katılımcıların yüzde 43’ü ise güvenilir olmayan halka açık bir ağ üzerinde hassas kurumsal verilere erişim sağladı. Ve elbette birçok çalışan çalınan veya kayıp BYOD’’ları bildirmiyor ki bu da kurumsal verileri ifşa ediyor.
Bir CIO ne yapmalı?
Anketin ortaya çıkardığı asıl soru şu ki bu konuda firmalar neler yapmalı? BYOD riskleri hakkında çalışan eğitimi genellikle çabucak verilen kolay yanıt ancak güvenlik hususundaki çalışan eğitimi hiçbir zaman etkili bir yaklaşım olmadı. Çoğu çalışan çabucak güvenlik politikasının sonuna bakıyor ve üzerinde pek düşünmeden onay veriyor. Gerçek şu ki güvenlik uygulamaları çalışanların en önemli önceliği değil, bilhassa günlük bazda. Bazı firmalar BYOD güvenlik uyumluluğunu çalışan performansı, tazminat ve nadir durumlarda işten çıkarmayla ilişkilendiriyor. Belki bu ölçütler çalışanların dikkati çekebilir düşüncesi hakim.
“Geçtiğimiz yıl bir grup CIO’nun BYOD’a geçişteki güçlükler ve ilkeleri nasıl oluşturdukları hakkında konuştuğu bir masada oturuyordum. Onlardan birkaçı telefonunuzu kaybettiğiniz ve 24 saat içinde bunu rapor etmediğiniz takdirde işinizi kaybedeceğinizi açıkça belirten ilkelere sahip olduklarını söyledi” şeklinde konuşuyor Verizon Enterprise Solutions’ın mobil çözümleri direktörü Bill Versen. “Bir finansal hizmetler firması bu ilke yüzünden üç kişiyi kaybettiklerini söyledi.”
Kovuldunuz!
Bir güvenlik ilkesine uyulmaması yüzünden işten atılmak biraz aşırı gibi geliyor. Bu ölçütler kapının gösterildiği iş arkadaşını izleyen ve kendi işlerini de kaybetme korkusunu yaşayan diğer çalışanları yabancılaştırma riski taşıyor. Bir işten çıkarma ilkesi en büyük kurumsal güvenlik tehdidini ortaya çıkartabilir: kızgın çalışan.
Performans incelemesi üzerinde kötü bir işaret, yanında ayrıcalık kaybı daha uygun bir uzlaşı olabilir. “Bir performans incelemesi bir kimsenin artık belirli veri ve/veya uygulamalara erişiminin iptal edilmesini tetikleyebilir ve işten çıkarma tüm kurumsal verilerin kişisel cihazdan çıkarılmasıyla sonuçlanmalıdır” diyor Centrify CEO’su Tom Kemp. Kemp’in kendisi de bu seviyeden bir kontrol sağlayan teknolojiye gereksinim duyuyor.