KOBİ’ler eski çalışanlarının şirketin dijital varlıklarına erişeceğinden endişeli

KOBİ’lerin kriz sırasındaki davranışları üzerine yakın zaman önce yapılan Kaspersky araştırması, şirketlerde personel eksiltmenin ek siber güvenlik risklerine neden olabileceğini gösteriyor. Araştırmaya göre Türkiye’deki KOBİ yöneticilerinin yalnızca %52’si eski çalışanlarının bulut hizmetlerinde depolanan verilere erişemeyeceğinden eminken, çalışanların eski kurumsal hesaplarına erişemeyeceğinden emin olma oranı %58’de kaldı.

Araştırmalara göre mevcut çalışanları elde tutma çabası pandemi boyunca kuruluşların neredeyse yarısının en büyük önceliği olsa da birçok işletme zor zamanlarda maliyetleri azaltmak için işten çıkarmalara başvurmak zorunda kalabiliyor. Kaspersky, işletmelerin işlerini ayakta tutmak için hangi taktiklere başvurduklarını ve krize karşı alınan önlemlerin beraberinde getirebileceği siber güvenlik risklerini öğrenmek için küçük ve orta ölçekli kuruluşların yönetiminde yer alan 1.300’den fazla liderle anket yaptı.

Ankete katılanların neredeyse yarısı, eski çalışanlarının “hiçbir şekilde şirketin dijital varlıklarına erişemeyeceğini” iddia edemiyor. Bu da işten çıkarmaların veri güvenliği ve şirketin konumu adına ek riskler oluşturabileceği anlamına geliyor. Eski çalışanların yeni işlerinde bu verileri kendileri için toplamaları veya kötüye kullanmaları riski, patronların en büyük endişeleri arasında yer alıyor. Anket sonuçları, çoğu yöneticinin eski çalışanların şirket verilerini yeni işverenleriyle paylaşacağından (%63) veya kendi işlerini kurmak için kullanacaklarından (%60) endişe ettiğini gösteriyor. Ankete katılanların %31’inin olası bir kriz durumunda maliyetleri azaltmak için istihdamdaki azalmayı olası bir önlem olarak görmesi, bu riski daha da belirgin hale getiriyor.

Diğer popüler maliyet düşürme adımları arasında reklam, promosyon (%36) ve vasıtalar (%34) için yapılan harcamaların kısılması yer alıyor. Siber güvenlik ise liderlerin bütçeden tasarruf etmeyi tercih edeceği bir alan olarak görünmüyor.

Kaspersky Bilgi Güvenliği Başkanı Alexey Vovk, şunları söylüyor: “Yetkisiz erişim her işletme için büyük bir sorun haline gelebilir. Kurumsal veriler rakibe aktarıldığında, satıldığında veya silindiğinde şirketin rekabet gücünü etkileyebilir. Çalışanlar, kurumsal BT departmanları tarafından dağıtılmayan veya kontrol edilmeyen ‘gölge BT’ hizmetlerini aktif olarak kullandıklarında bu sorun daha karmaşık hale geliyor. Çalışan işten çıkarıldıktan sonra bu hizmetlerin kullanımı iyi yönetilmediği sürece, eski çalışanın söz konusu uygulamalar aracılığıyla bilgi paylaşmasını engelleme şansınız oldukça az.”

Kontrolsüz erişimin ve gölge BT’nin şirketinizin verimliliğini ve güvenliğini etkilememesi için Kaspersky şunları öneriyor:

• Tüm çalışanların kullanımına açık olan veri miktarını azaltın ve önemli kurumsal verilere erişebilen kişilerin sayısını kontrol altında tutun. Satılabilecek veya bir şekilde kullanılabilecek değerli bilgilere çok sayıda çalışanın erişebildiği kuruluşlarda veri ihlallerinin meydana gelme olasılığı daha yüksektir.
• E-posta kutuları, paylaşılan klasörler ve çevrimiçi belgeler dahil olmak üzere kurumsal varlıklara erişim politikaları oluşturun, bu  politikaları güncel tutun ve çalışanın şirketten ayrılması durumunda erişimlerini kaldırın. Bulut hizmetleri içindeki çalışan etkinliğinin yönetilmesine ve izlenmesine yardımcı olan, bunun için güvenlik ilkeleri uygulayan bulut erişim güvenliği yazılımı kullanın.
• Acil durumlarda kurumsal bilgilerin güvende kalmasını sağlamak için temel verilerinizi düzenli olarak yedekleyin.
• Harici hizmetlerin ve kaynakların kullanımına ilişkin açık yönergeler sağlayın. Çalışanlar hangi araçları kullanmaları veya kullanmamaları gerektiğini ve bunların nedenlerini bilmelidir. İş için herhangi bir yeni yazılıma geçiş yaparken, BT ve diğer sorumlu rollere dair açık bir onay prosedürü olmalıdır.
• Çalışanlarınızı kullandıkları tüm dijital hizmetler için güçlü parolalar oluşturmaya ve parolalarını düzenli olarak değiştirmeye teşvik edin.
• Güvenli hesap ve parola yönetimi, e-posta güvenliği ve webde gezinmeyle ilgili temel siber güvenlik kurallarına uymanın önemini personelinize düzenli olarak hatırlatın. Bu konuda uygulanacak kapsamlı bir eğitim programı çalışanlarınızın gerekli bilgileri edinmelerini sağlarken, bunu pratik olarak uygulamalarına da olanak tanır.