Bir satış temsilcisi sabah ofise geliyor, çantasından Nokia E71’ini çıkarıyor ve şirket e-postasını kişisel cihazından kontrol ediyor. IT birimi bundan habersiz. İnsan kaynakları böyle bir durumun ne anlama geldiğini henüz tartışmamış. Yönetici ise ‘iş halloluyor, sorun ne?’ diye düşünüyor. İşte tam bu noktada, farkında olmadan bir güvenlik açığı doğuyor ve şirketin kurumsal verisi, hiçbir politika çerçevesi olmaksızın kişisel bir cihazın içinde gezinmeye başlıyor.
Akıllı telefonlar artık sadece Nokia’nın tuş takımlarından ibaret değil. Geçen yıl piyasaya giren iPhone ve ardından gelen Windows Mobile tabanlı cihazlar, e-posta senkronizasyonu, takvim yönetimi ve hatta basit belge görüntüleme gibi özellikleri çalışanların eline verdi. Türkiye’de 3G hizmetleri yeni yeni hayata geçiyor; bu da mobil internet erişimini gerçek anlamda iş aracına dönüştürüyor. Çalışanlar bu imkânı kullanmak istiyor ve çoğu zaman şirket politikası buna hazır olmadan kullanmaya başlıyor.
Kurumsal açıdan bakıldığında, bu durumun iki farklı boyutu var. Birinci boyut verimlilik: ofis dışındayken de e-postaya erişebilen, takvim güncellemelerini anlık gören bir çalışan gerçekten daha hızlı hareket edebiliyor. Özellikle saha satış ekipleri, servis teknisyenleri ve üst düzey yöneticiler için bu avantaj somut. İkinci boyut ise risk: şirket verisi artık IT’nin kontrol etmediği bir cihazda duruyor. Cihaz çalınırsa, kaybolursa ya da çalışan işten ayrılırsa ne olacak? Bu soruların yanıtı önceden hazırlanmamışsa, şirket ciddi bir veri güvenliği sorunuyla karşı karşıya kalabilir.
Pratik adım olarak ilk yapılması gereken, hangi çalışanların mobil e-posta erişimine ihtiyaç duyduğunu belirlemek. Her çalışanın akıllı telefon üzerinden kurumsal sisteme bağlanması ne gerekli ne de güvenli. Saha ekibi, üst yönetim ve müşteri ilişkileri sorumluları için bu erişim anlamlı; muhasebe veya üretim hattındaki bir çalışan için büyük olasılıkla gerekmiyor. Erişim listesini dar tutmak, yönetim yükünü de azaltıyor.
İkinci adım, hangi cihazların kabul edileceğini tanımlamak. Şirket kendi cihazını sağlıyorsa bu daha kolay; ancak çalışanın kendi cihazını kullanmasına izin veriliyorsa minimum teknik gereksinimler belirlenmeli. Cihazda PIN kilidi zorunlu olmalı, belirli bir süre hareketsizlik sonrası ekran kilitlenmeli ve şirket e-postası için kullanılan uygulamanın hangi veriye eriştiği bilinmeli. Microsoft Exchange ActiveSync gibi kurumsal e-posta altyapıları, uzaktan cihaz silme komutunu destekliyor; cihaz kaybolduğunda IT bu komutu vererek kurumsal veriyi uzaktan temizleyebiliyor. Bu özelliği aktif tutmak, küçük bir teknik adım ama büyük bir güvence sağlıyor.
Asıl zorluklardan biri, çalışanların bu kurallara neden uymak zorunda olduğunu anlamasını sağlamak. ‘Benim telefonum, ben ne yaparsam yaparım’ tutumu yaygın ve anlaşılabilir. Burada İK ve IT’nin birlikte hareket etmesi gerekiyor: kural koymak yetmiyor, kuralın arkasındaki gerekçeyi de açıklamak gerekiyor. Şirket verisinin kişisel bir cihazda bulunmasının hukuki ve operasyonel sonuçları olduğunu çalışanlar bilmeli. Bunun yanı sıra, IT’nin bu cihazlara destek verip vermeyeceği de baştan netleştirilmeli; aksi hâlde her teknik sorun IT’nin kapısına dayanıyor ve bu da ayrı bir yük oluşturuyor.
KOBİ yöneticileri için şu kriter belirleyici olabilir: şirketinizde kurumsal e-posta erişimi için kişisel cihaz kullanan çalışan sayısı ikinin üzerine çıktıysa, yazılı bir cihaz politikası artık ertelenecek bir konu değil. Bu politika karmaşık olmak zorunda değil; hangi cihazlar kabul edilir, hangi veriye erişilebilir, cihaz kaybolursa ne yapılır ve çalışan işten ayrılırsa kurumsal veriler nasıl silinir gibi dört temel sorunun yanıtını içeren iki sayfalık bir belge bile önemli bir başlangıç noktası. Akıllı telefonların iş ortamına girişini durdurmak mümkün değil ve bunu durdurmaya çalışmak da doğru değil; ama bu geçişi kurallara bağlamak hem şirketi hem de çalışanı koruyor.