Uzaktan çalışmanın tetiklediği sıfır güven yaklaşımına olan ilgi, uygulamadaki yanlışlıklar yüzünden şirketlerin siber güvenliğini zedeleyebiliyor.
Pandemi nedeniyle uzaktan çalışmaya hızlı ve hazırlıksız geçiş yeni riskler doğurmakla kalmıyor, şirketlerin siber güvenlik uygulamalarına da zarar verebiliyor. İş dünyası liderlerinin yüzde 51’inin sıfır güven yaklaşımını benimsediğine dikkat çeken WatchGuard Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, sağlam temelli siber güvenlik yapısı oluşturmak isteyen şirketlerin sıfır güven yaklaşımına dair kaçınması gereken beş noktaya dikkat çekiyor.
Sıfır güven yaklaşımının doğru algılanması durumunda herkesin kullanabileceği bir metodoloji olduğuna dikkat çeken Evmez, uygulanabilecek beş referans noktasını koruma yüzeyini tanımlama, işlem akışlarının haritasını çıkarma, sıfır güven mimarisini oluşturma, sıfır güven ilkesini oluşturma ile izleme ve koruma olarak sıralıyor.
Yusuf Evmez, şirketlerin düştüğü beş yanılgıyı ise şu şekilde sıralıyor:
1. Ağın içindeyim, bu yüzden %100 güvenlik önlemlerine gerek yok. Çoğu şirketin sıfır güvenlik yaklaşımına yönelmesindeki ana neden, güvenlik duvarlarını kendilerinin koruyabileceğini düşünmesidir ancak hacker’lar tek bir kişinin bilgilerini değil tüm ağdaki kişilerin bilgilerini hedefledikleri için güçlü tedbirler her zaman önemlidir.
2. Tüm hizmetlerimi buluta taşımam, yerel ağ, uzaktan erişim veya VPN ihtiyacını ortadan kaldırmam gerekiyor. Şirketler hala VPN üzerinden erişilebilen ve paylaşılabilen dosya sunucuları hakkında verilere sahiptir. VPN’i tamamen ortadan kaldırmak yerine, ağa doğru kullanıcıların eriştiğinden emin olmak gerekmektedir.
3. Kullanıcılarım için güçlü bir kimlik doğrulama yöntemi uygulamak, riski azaltmak için yeterli olacaktır. Sıfır güven yaklaşımından bahsedildiğinde, kullanıcıların ve cihazların kimliklerinin doğrulanması hakkında birçok bilgi duyulmaktadır. Kimlik doğrulamaları, uygulamanın çok önemli bir ayağı olsa da tek koruma yöntemi değildir.
4. Kafe gibi halka açık bir yerde olmadığımız için evden çalışanlarım güvende. Sıfır güven yaklaşımını düşünen şirketlerin bu fikri tamamen reddetmesi gerekiyor. Bir ev ağının güvenli olduğundan emin olmak göründüğünden daha karmaşıktır ve çalışanların güvenli bir ortamda çalıştığını garanti etmek zordur. Bu nedenle çalışanlar için güçlü önlemler alınmalıdır.
5. Bulut hizmetlerine geçiyorum bu yüzden otomatik girişler sorun değil. Bazı bulut uygulamaları, kullanıcıların bir sosyal medya hesabı aracılığıyla kimlik doğrulaması yapmasını sağlamaktadır. Bu durum, kullanıcı açısından kolay olsa da siber güvenliğe yönelik tehditler oluşturmaktadır.
