Bir saha satış temsilcisini düşünün: müşteri listesi, fiyat teklifleri ve son siparişler hepsi Nokia telefonuna kaydedilmiş durumda. Telefonu takside unuttuğunda ya da çantasından çalındığında, o verinin nereye gittiğini kimse bilmiyor. Şirket e-postasının cep telefonuna düşmesi, takvim girişlerinin senkronize edilmesi, hatta müşteri rehberinin cihazda tutulması artık sıradan bir iş alışkanlığı haline geliyor. Ama bu kolaylığın arkasında, kurumsal güvenlik açısından ciddi bir risk yüzeyi açılıyor.
Kurumsal verinin cep telefonuna taşınması, aslında şirketin güvenlik çevresini ofis duvarlarının çok ötesine genişletiyor. Masaüstü bilgisayar veya dizüstü için uygulanan güvenlik politikaları — parola zorunluluğu, ekran kilidi, antivirüs — cep telefonu söz konusu olduğunda çoğu zaman hiç düşünülmüyor. Oysa cihaz kaybı, yetkisiz erişim ve veri sızıntısı, mobil ortamda çok daha hızlı gerçekleşebiliyor. Bir dizüstünü kaybettiğinizde fark edersiniz; ama cep telefonunu takside bırakmak çok daha kolay ve çok daha sık yaşanıyor.
Bu noktada şirketlerin ele alması gereken ilk konu, cihaz üzerinde hangi verinin bulunduğunu netleştirmek. E-posta arşivleri, müşteri iletişim bilgileri, dahili belgeler, fiyat listeleri — bunların hepsi farklı hassasiyet düzeyleri taşıyor. Çalışanın kişisel rehberinde şirket müşterilerinin yer alması, ya da gelen kutusunda bir yıllık yazışmanın birikmesi, cihaz kaybolduğunda ne kadar verinin açığa çıktığını doğrudan belirliyor. Politika oluşturmanın ilk adımı bu envanteri çıkarmak: hangi veri türleri mobil cihazda bulunabilir, hangisi bulunmamalı?
Şifre politikası, bu konuda en temel ve en ucuz önlem. Cep telefonuna ekran kilidi uygulamak, PIN kodu zorunlu kılmak, belirli süre işlem yapılmadığında otomatik kilit devreye sokmak — bunlar teknik açıdan basit adımlar, ama kurumsal düzeyde tutarlı biçimde uygulanması çoğu zaman ihmal ediliyor. Çalışanlar kolaylık adına bu kilitleri devre dışı bırakıyor, yöneticiler ise bunu denetleme ihtiyacı duymadan geçiştiriyor. Oysa çalınan veya kaybolan bir telefonda ekran kilidi olmaması, içindeki tüm veriye anında erişim demek.
Uzaktan silme, yani cihaz kaybolduğunda veya çalındığında içeriğinin uzaktan temizlenmesi, bu dönemde kurumsal mobil güvenliğin en güçlü araçlarından biri olarak öne çıkıyor. Bazı kurumsal e-posta sistemleri ve mobil cihaz yönetim çözümleri bu özelliği sunuyor; cihaz bir sonraki ağ bağlantısında ya da SMS komutu alındığında fabrika ayarlarına dönüyor ve veri erişilemez hale geliyor. Bu özelliğin çalışabilmesi için cihazın kurumsal sisteme kayıtlı olması ve politikanın önceden tanımlanmış olması gerekiyor — bir kriz anında sistemi kurmaya çalışmak için zaman kalmıyor.
Uygulamada en büyük zorluk, çalışanların kişisel cihazlarıyla kurumsal verilere erişmesi. Şirketin satın aldığı ve yapılandırdığı bir cihaz üzerinde politika uygulamak görece kolay; ama çalışanın kendi Nokia’sından şirket e-postasına bağlanması, o cihaz üzerinde kurumsal kontrolün son derece sınırlı kalması anlamına geliyor. Bu durumda şirket, çalışanın kişisel cihazını uzaktan silme yetkisine sahip olup olmadığını ya da böyle bir yetkinin hukuki ve etik sınırlarını bile tartışmak zorunda kalıyor. Türkiye’deki pek çok KOBİ bu soruyu henüz sormamış; ama cihaz sayısı arttıkça bu belirsizlik daha somut bir sorun haline geliyor.
Bir KOBİ yöneticisi olarak bu konuya yaklaşırken şu soruyu sormak iyi bir başlangıç noktası: şu anda kaç çalışanın cep telefonunda kurumsal veri var ve bu cihazların hangisi şirkete ait, hangisi kişisel? Bu listeyi çıkarmak bile çoğu şirkette ciddi bir farkındalık yaratıyor. Sonraki adım, en azından şirkete ait cihazlar için ekran kilidi ve uzaktan silme politikası belirlemek ve bunu yazılı hale getirmek. Teknik altyapı karmaşık olmak zorunda değil; ama politikanın var olması ve çalışanların bunu bilmesi, cihaz kayıplarında verinin nereye gittiği sorusuna net bir yanıt verebilmek için şart.