Kaspersky’nin Türkiye Araştırması: Siber Güvenlik Politikalarında Uyum ve Riskler
Kaspersky, “İş Yerinde Siber Güvenlik: Çalışan Bilgi ve Davranışları” başlıklı son araştırmasının Türkiye bulgularını paylaştı. Araştırma, yerli profesyonellerin yarısından fazlasının siber güvenlik kurallarını ya aşırı kısıtlayıcı ya da yetersiz bulduğunu ortaya koydu. Katılımcıların %6’sı ise kurumlarında herhangi bir siber güvenlik politikası olmadığını veya mevcut kurallardan habersiz olduklarını belirtti.
Kurumsal Politikalar ve Çalışan Bağlılığı
Sonuçlar, kurumsal siber güvenlik politikaları ile çalışanların uygulamalara bağlılığı arasında ciddi bir kopukluk olduğunu gösteriyor. Özellikle Shadow IT olarak adlandırılan, BT denetimi dışında kullanılan yazılım ve cihazlar, önemli bir operasyonel risk oluşturuyor. Hibrit çalışma modellerinin yaygınlaşması, bulut tabanlı ve yapay zeka destekli araçların artan kullanımı, bu riski daha da büyütüyor.
Çalışanların Cihaz Kullanım Alışkanlıkları ve Riskler
Türkiye’deki katılımcıların %17’si, şirketlerinde kurumsal olmayan cihazların kullanımına dair herhangi bir politika bulunmadığını aktardı. %35,5’lik bir kesim, kendi cihazlarını bireysel siber güvenlik önlemleriyle iş için kullanabildiklerini ifade etti. Sadece %16’lık bir grup, kişisel cihazlarını BT güvenlik denetiminden geçtikten sonra kullanabildiğini, %31,5 ise yalnızca BT birimi tarafından tahsis edilen cihazların kullanılabildiğini belirtti.
Yazılım Yükleme Yetkileri ve Shadow IT Etkisi
Yazılım yükleme yetkilerinde ise katılımcıların %48’i bu hakkın yalnızca BT uzmanlarına ait olduğunu, %37’si ise sadece üst yönetim veya yetkilendirilmiş kullanıcıların yetkili olduğunu bildirdi. %13’lük bir kesim ise geçtiğimiz yıl BT denetimi olmaksızın iş cihazlarına yazılım yüklediğini açıkladı. Bu durum, kurumları hem güvenlik açıkları hem de veri ihlali riskleriyle karşı karşıya bırakıyor.
Kaspersky’den Kurumlara ve Çalışanlara Tavsiyeler
Kaspersky uzmanları, şirketlerin savunmalarını güçlendirmek için Shadow IT denetimleri yapılmasını, güçlü izleme ve siber güvenlik çözümlerinin devreye alınmasını öneriyor. Ayrıca kişisel cihaz kullanımına izin veriliyorsa, minimum güvenlik gereksinimlerinin açıkça tanımlanması ve Mobil Cihaz Yönetimi (MDM) gibi araçlarla denetim sağlanması gerektiğine dikkat çekiliyor.
Çalışanlar için ise, yalnızca BT onaylı uygulama ve cihazların kullanılmasının ve iş verilerinin kurum tarafından onaylanmış platformlarda paylaşılmasının önemi vurgulanıyor.
Sektörel Etki ve Sonuçlar
Kaspersky META Bölgesi Genel Müdürü Toufic Derbass, Shadow IT’nin artık büyük bir operasyonel risk unsuru olduğunu, çalışanların BT denetimi dışında yazılım yüklemesinin kurumsal politikalar arasında boşluk yarattığını belirtti. Derbass, “Kurumların sadece kısıtlayıcı kontrollerle değil, teknolojiyle çalışan farkındalığını ve sorumlu kullanım alışkanlıklarını bütünleştiren kullanıcı odaklı siber güvenlik stratejilerine yönelmesi gerekiyor” dedi.
Türkiye’deki kurumların siber güvenlik politikalarının güncellenmesi, veri güvenliği ve kurumsal uyumluluk açısından önümüzdeki dönemde sektörel rekabeti ve risk yönetimini doğrudan etkileyecek.
