Daha önceki yazımızda uzaktan çalışma ile ilgili yasal düzenleme (https://www.resmigazete.gov.tr/eskiler/2021/03/20210310-2.htm) hakkında kısaca bilgi vermiştik.

Bu yazımızda, ISO27001 BGYS denetimleri sırasında uzaktan çalışmaya yönelik tespit ettiğimiz risklerden bahsedeceğiz.

 1.  Kişisel Cihaz Kullanımı:

Denetimler sırasında sıklıkla karşılaştığımız ve şaşırdığımız bir durumdu. Kullanıcılara bunu sorduğumuzda,

-Kurumsal cihazların, yaptıkları işin ihtiyaçlarını karşılamaktan çok uzak olduğunu, işlerini daha hızlı yapabilmek için kişisel cihazlarını kullanmak zorunda kaldıklarını söylediler.

Kişisel cihazların kullanılması, kurumlar açısından ekonomik olarak avantaj sağlamakla birlikte, bu cihazların kurum politikalarına göre kontrol edilemiyor olması ciddi zaafiyet problemleri yaratabilir.

 2.  Yedekleme:

Kullanıcıların, cihazları üzerinde yaptığı özel çalışmalar (ör: excel raporları, sözleşmeler), POP3 mailler (Ör: *.pst dosyaları) desktop ve/veya belgelerim klasörlerinde tutulur. Şirket içinde bile yedeklemesi zahmetli olan bu işi şimdi uzaktan yapmak daha da zor olmakta. Kullanıcının insiyatifine bırakmak da iyi bir yöntem değil. Yedekleme problemleriyle de bir zafiyete kapı aralanmıştır.

 3.  Kontrolsüz Bağlantı:

Uzaktan çalışanların (özellikle destek personeli), hata, arıza gibi kısa sürede cevap verilmesi gereken durumlarda, işleri hızlı yapmak uğruna kendilerine ayrıcalıklı bir bağlantı şekli tanımlayabiliyorlar. Buna benzer bir durum da uzaktan çalışma yapmayan ama ihtiyaç durumunda bağlantı talep eden çalışanlara da geçici ve kural dışı bağlantı hakkı verilebiliyor.

Her iki durumda uzakta erişim kontrolsüz ve güvensiz şekilde sağlanıyor. İşi hızlı yapmak mı? Yoksa işi güvenli ve bir miktar geç mi yapmak? İşi hızlı yapalım diye bir zafiyet kapısı daha aralanmış oluyor.

 4.  Çoklu Kimlik Doğrulama:

Yalnızca uzaktan çalışma sırasında yapılan bağlantılarda değil, kullanıcı adı/parola ile kullanılan tüm sistemler için çoklu kimlik doğrulamasını tasarlamak gerekiyor. Bir bilgisayarın açılışı, bir web uygulaması veya masaüstü uygulaması. Hepsi için çoklu kimlik doğrulaması gerekli. Ama uzaktan bağlantı için zorunlu olmalı.

Çalışmanın yapıldığı ortamda yetkisiz kişilerin olması (Ör: evde çocuk ve eş gibi) cihazların başına geçtiklerinde kuruma ait verilere de ulaşma ihtimali olabilmektedir. Çoklu kimlik doğrulama yapmayarak/yapamayarak bir zaafiyete daha kapı aralamış oluyoruz.

 5.   Güncel Olma:

Uzaktan çalışma sırasında kullandığımız tüm donanım ve yazılımların, hali hazırda üreticileri tarafından satılan ve/veya desteklenen ürünler olmasına dikkat edilmesi gerekiyor. Desteği, üreticisi tarafından verilmeyen tüm donanım ve yazılımlar siber saldırılardan daha fazla etkileniyor. Ömrü bitmiş (end of life) ürünler ve/veya güncellenmeyen ürünler ile kurumlarımıza bir zafiyet kapısı daha açıyoruz.

6.   Her yerden Çalışma İsteği:

Uzaktan çalışmanın en avantajlı (kimileri içinde tam tersi) tarafı her yerin/mekanın iş yeri olabilme ihtimali. Evet mobil bağlantımız sayesinde bu mümkün. Toplu taşıma, park, cafe vb. her yer işyeri olabilir.

Peki, toplu taşımada bankacılık işlemi yapmak, dostlarımızla olduğumuz bir mekanda ürün geliştirmeye yönelik telefon görüşmesi yapmak... Örnekleri çoğaltabiliriz. Bunlar ne derece doğru?

Uzaktan çalışma, zaman ve mekan esnekliği vermekle birlikte, zafiyetlere de kapı aralayabilmekte.

SONUÇ: Uzaktan çalışmanın, kurumlar açısından iyi bir fırsat olduğunu, fırsatın yanında yüksek riskler barındırdığını da rahatlıkla söyleyebiliriz.

Eğer bir takım önlemler alınmaz ise, uzaktan çalışmaya başlanmaması daha uygun bir yöntem olacaktır.