Kaspersky raporu: çalışanlar ile siber güvenlik politikaları arasında ciddi uyumsuzluk

Kaspersky tarafından yayımlanan “İş Yerinde Siber Güvenlik: Çalışan Bilgi ve Davranışları” başlıklı araştırma, Türkiye’deki kurumlarda siber güvenlik politikaları ile çalışan davranışları arasında dikkat çeken bir uyumsuzluk olduğunu ortaya koydu.

Araştırmaya göre çalışanların yüzde 52’si şirketlerindeki siber güvenlik kurallarını ya fazla katı ya da işleyişe uygun olmayan kurallar olarak değerlendirirken, yüzde 6’lık bir kesim ise kurumlarında herhangi bir siber güvenlik kuralı bulunmadığını ya da mevcut kurallardan haberdar olmadığını belirtti.

Bu Habere de Bak

Kaspersky raporu: Çevrimiçi dolandırıcılıkta “özgüven tuzağı” büyüyor

Shadow IT riski büyüyor

Araştırma, özellikle “Shadow IT” olarak adlandırılan ve BT birimlerinin kontrolü dışında kullanılan yazılım, cihaz ve hizmetlerin oluşturduğu risklere dikkat çekti. Çalışanların verimlilik amacıyla tercih ettiği bu yöntemler, kurumlar için ciddi güvenlik açıkları oluşturuyor.

Hibrit çalışma modelinin yaygınlaşması, bulut sistemlerine bağımlılığın artması ve yapay zekâ araçlarının kullanımının yaygınlaşmasıyla birlikte bu riskin daha da büyüdüğü vurgulandı. Uzmanlara göre yeterli denetim sağlanmadığında kurumlar fidye yazılımı saldırıları, veri sızıntıları ve hukuki yaptırımlarla karşı karşıya kalabiliyor.

Cihaz kullanımı ve yetkilendirme farklılık gösteriyor

Türkiye’de ankete katılanların yüzde 17’si, iş yerlerinde kurumsal olmayan cihaz kullanımına yönelik herhangi bir politika bulunmadığını ifade etti. Katılımcıların yüzde 35,5’i kendi cihazlarını kullanabildiklerini belirtirken, yüzde 16’sı bu kullanımın sıkı denetimlere bağlı olduğunu aktardı. Yüzde 31,5’lik kesim ise yalnızca kurum tarafından sağlanan cihazların kullanılabildiğini bildirdi.

Yazılım yükleme yetkilerine bakıldığında ise daha kontrollü bir tablo dikkat çekti. Katılımcıların yüzde 48’i bu yetkinin yalnızca BT uzmanlarında olduğunu belirtirken, yüzde 37’si yetkinin üst yönetim veya belirli kullanıcılarla sınırlı olduğunu ifade etti. Ancak yüzde 4’lük bir kesimin herhangi bir onay almadan yazılım yükleyebilmesi dikkat çekti.

Öte yandan çalışanların yüzde 13’ü son bir yıl içerisinde BT denetimi olmaksızın iş cihazlarına yazılım yüklediğini açıkladı. Bu durum, kurumlar açısından güvenlik açıklarının sürdüğüne işaret etti.

Kaspersky META Bölgesi Genel Müdürü Toufic Derbass, konuyla ilgili yaptığı açıklamada, “Shadow IT artık operasyonel risklerin ana unsurlarından biri haline geldi. Her beş çalışanların önemli bir kısmının BT denetimi olmadan yazılım yüklemesi, politika tarafında önemli bir boşluk olduğuna işaret ediyor. Pek çok kuruluşun zaten güvenlik politikaları mevcut; ancak çalışanların bu politikaları nasıl algıladığı da en az uygulama kadar önemli. Kurumların yalnızca kısıtlayıcı kontrollerle ilerlemek yerine, teknoloji ile çalışan farkındalığını ve sorumlu kullanım alışkanlıklarını bir araya getiren, kullanıcı odaklı ve akıllı siber güvenlik stratejilerine yönelmesi gerekiyor.” ifadelerini kullandı.

Araştırmada, kurumların güvenlik açıklarını azaltmak için Shadow IT denetimleri yapması, izleme ve koruma çözümlerini güçlendirmesi ve çalışanlara yönelik farkındalık eğitimlerini artırması gerektiği vurgulandı.

Ayrıca çalışanlara, yalnızca onaylı yazılımları kullanmaları, kurumsal politikalara uygun hareket etmeleri ve iş verilerini güvenli platformlarda saklamaları yönünde uyarılarda bulunuldu.

Rapora göre, siber güvenlikte kalıcı başarı için sadece teknik önlemler değil, çalışan davranışlarını kapsayan bütüncül bir yaklaşım gerekiyor.