Gölge BT tehdidi

Ne BT’nizin ne de güvenliğinizin farkında olmadığı çeşitli hizmet ve programların kullanılması sorun yaratabilir. Bu hizmet ve programlardan nasıl kaçınacağınızı açıklıyoruz.

Herkesin sevdiği bir yazılım aracını bulmak neredeyse imkansızdır. Bir çalışan, şirketinin seçtiği programdan çok daha iyi ve faydalı olan ücretsiz bir hizmeti biliyor olabilir. Eğer bu kişi sevdiği diğer programı kullanmaya ve çalışma arkadaşlarına tavsiye etmeye başlarsa, Gölge BT durumu meydana gelir. Bu durum bazen şirketin iş ihtiyaçlarına daha uygun bir çözüm bulmasına yardımcı olurken bazen şirketin başına çok büyük problemler açar.

İnsanlar olacakların farkında olsaydı, önce güvenliği düşünerek hareket ederlerdi. Ancak her şeyin olması gerektiği gibi ilerlediği bir dünyada yaşamıyoruz. Çalışanlar genellikle tereddüt etmeden dosya paylaşım hizmetlerini, Web e-posta uygulamalarını, sosyal ağ istemcilerini veya mesajlaşma uygulamalarını kullanıyorlar ve bu uygulamaları kullandıktan sonra eylemlerinin sonuçlarını düşünüyorlar.

Sorun, aracın detaylıca düşünülmeden yapılmış yeni bir ücretsiz anlık mesajlaşma aracı olması değildir. Üstüne düşünülmüş ve güzelce kurulmuş bir hizmet olabilir. Sorun, şirketinizde varsa güvenlik uzmanlarının veya BT’nin neler olduğunun farkında olmamasıdır. Bu da onaylanmamış uygulamanın altyapı tehdit modellerinin, veri akış diyagramlarının ve temel planlama kararlarının dışında kaldığı anlamına gelir ve bu durum sorunun tam da kendisidir.

Sızıntı olasılığı

Üçüncü parti araçları kullanırken hangi tuzakların bizi beklediğini kim bilebilir? Bulut tabanlı veya şirket içindeki bir sunucuda yer alan herhangi bir uygulama gizliliği kontrol eden birçok ince ayarı içeriyor olabilir. Tüm çalışanlar eşit derecede yazılım bilgisine sahip değildir. Bir örnek vermek gerekirse bir çalışanın, kişisel veriler içeren tabloları güvenli olmayan biçimde Google Documents’ta açık bırakıp gittiği örnek çoktur.

Başka bir örnek olarak, hizmetlerin üçüncü taraflar aracılığıyla verilerinize erişebileceği güvenlik açıkları olabilir. Servislerin yazarları bu açıkları derhal kapatabilir, ancak çalışanların istemcideki uygulamalar için gerekli tüm güncellemelerin yüklenmesi kim sağlayacak? BT olmadan, güncelleme hakkında bir not bile alacaklarından asla emin olamazsınız. Ayrıca, böyle bir özellik bile mevcutsa, yetkisiz uygulamalarda ve hizmetlerde erişim haklarını yönetme sorumluluğunu üstlenen nadir kişidir. Bu sorumluluklara işten çıkarılma sonrasında ayrıcalıkları iptal etme örnek verilebilir. Kısacası, hiç kimse BT veya güvenlik tarafından onaylanmamış hizmetler kullanılarak iletilen veya işlenen verilerin güvenliğinden sorumlu değildir.

Yasal gerekliliklerin ihlali

Bugünlerde, dünyanın dört bir yanındaki ülkelerde işletmelerin kişisel verileri nasıl ele almaları gerektiğini belirleyen kendi yasaları var. Bu yasalara aynı konuda yer alan birçok endüstri standardını da ekleyin. Şirketler çeşitli düzenleyicilerin gereksinimlerini karşılamak için periyodik denetimlerden geçmek zorundadır. Bir denetimde müşterilerin ve çalışanların kişisel verilerinin güvenilir olmayan hizmetler kullanılarak gönderildiğini anlaşıldı ve BT’nin bu durumdan bir haberi yoktu. Böyle bir durumda şirket önemli bir para cezasıyla karşı karşıya kalabilir. Başka bir deyişle, bir şirketin başını belaya sokmak için gerçek bir veri ihlaline ihtiyacı yoktur.

Bütçeyi ziyan etmek

Tavsiye edilen aracın yerine alternatif bir araç kullanmak kulağa büyük bir olay gibi gelmeyebilir, ancak şirket açısından bu durum para israfının en büyük örneğidir. Sonuçta, BT iş akışında onaylanan her katılımcı için lisans satın alırsa ve kimse aslında kendi programını kullanmazsa lisanslara ödenen para boşuna harcanmış demektir.

Gölge BT hakkında ne yapmalı

Gölge BT’yle savaşılması değil Gölge BT’nin yönetilmesi gerekiyor. Kontrol altında tutabiliyorsanız, Gölge BT şirketinizdeki veri güvenliğini artırmakla kalmaz, aynı zamanda şirket çapında kullanılabilecek popüler ve kullanışlı araçlar da keşfetmiş olursunuz.

Şu anda, evden çalışma ve pandemi sürecinin ortasında, desteklenmeyen uygulama ve hizmetlerin kullanımıyla ilişkili riskler artıyor. Çalışanlar yeni koşullara uyum sağlamak zorunda kalıyorlar ve genellikle uzaktan çalışmalarına daha uygun olduklarına inandıkları yeni araçlar bulmaya çalışıyorlar. Bu nedenle, onaylanmamış bulut hizmetlerinin ve uygulamalarının kullanımını tespit etmek için Kaspersky Endpoint Security Cloud’un güncellenmiş sürümüne bazı ekstra özellikler ekledik.

Dahası, Kaspersky Endpoint Security Cloud Plus bu tür hizmet ve uygulamaların kullanımını engelleyebilir. Çözümün bu sürümü, şirkete Exchange Online, OneDrive, SharePoint Online ve Microsoft Teams için ek bir koruma katmanı sağlayan Kaspersky Security for Microsoft Office 365’e de erişim sağlar.

Çözümümüz hakkında daha fazla bilgi edinebilir ve Kaspersky Endpoint Security Cloud resmi sayfasından satın alabilirsiniz.

İpuçları