Satış müdürü toplantıdan çıkarken ceketini sandalyede unutuyor. Cebindeki telefonda son altı ayın müşteri görüşme notları, teklif dosyaları ve birkaç yönetici arasındaki yazışmalar var. Telefon bir daha geri gelmiyor. Bu senaryo, bugün Türkiye’deki onlarca şirkette yaşanıyor; ancak çoğu işletme bu kaybın yalnızca bir cihazın değil, kurumsal verinin kaybı olduğunu fark ettiğinde iş işten geçmiş oluyor.
Kurumsal veri güvenliği denilince akla ilk gelen genellikle sunucu odası, güvenlik duvarı ve ağ altyapısıdır. Oysa iş hayatında taşınabilir cihazların kullanımı hızla artıyor; dizüstü bilgisayarlar, PDA’lar ve akıllı telefonlar artık yalnızca iletişim aracı değil, gerçek anlamda bir veri deposu işlevi görüyor. Bu cihazların kurumsal ağın dışında, çantada ya da cepte dolaştığı düşünüldüğünde, geleneksel güvenlik yaklaşımlarının bu noktada yetersiz kaldığı görülüyor.
Mobil veri güvenliğinin temelinde üç yönetim ilkesi yatıyor: şifreleme, erişim kontrolü ve uzaktan müdahale. Şifreleme, cihaz fiziksel olarak ele geçirilse bile içindeki verinin okunamamasını sağlıyor. Bugün piyasada yaygın olarak kullanılan dizüstü bilgisayar güvenlik yazılımları, sabit disk içeriğini AES gibi güçlü algoritmalarla şifreleyebiliyor; bu sayede bir hırsız diski başka bir bilgisayara taksada karşısında yalnızca anlamsız bir veri yığını buluyor. Akıllı telefon ve PDA tarafında ise şifreleme desteği cihazdan cihaza değişiyor ve bu henüz standart bir uygulama değil; bu nedenle hangi cihazların şifreleme desteklediğini bilmek ve buna göre satın alma kararı vermek, BT sorumlusunun değil doğrudan yönetimin işi olmalı.
Erişim kontrolü ise çoğu şirketin hâlâ gözden kaçırdığı bir alan. Kurumsal e-posta hesabına veya dahili sisteme bağlanan her cihaz için ayrı bir kimlik doğrulama politikası oluşturmak gerekiyor. Yalnızca kullanıcı adı ve parola yetmiyor; parola uzunluğu ve yenileme sıklığı gibi politikaların cihaz düzeyinde de zorlanması şart. Bunun yanı sıra hangi kullanıcının hangi veriye erişebildiği sorusu, masaüstü sistemlerde çözülmüş olsa bile mobil tarafta çoğunlukla yanıtsız kalıyor. Satış temsilcisinin tüm müşteri veritabanına erişmesi gerekmiyorsa, bu kısıt mobil erişimde de uygulanmalı.
Uzaktan silme, kaybolan veya çalınan bir cihazın içeriğini ağ üzerinden temizleme imkânı sunuyor. Bu özellik, kurumsal e-posta altyapısıyla entegre çalışan bazı sunucu yazılımlarında mevcut; ancak bunun işe yaraması için cihazın en azından bir kez ağa bağlanması gerekiyor. Cihaz kapatılmışsa ya da SIM kartı değiştirildiyse uzaktan silme komutu ulaşmayabiliyor. Dolayısıyla bu önlem, tek başına yeterli değil; şifrelemeyle birlikte uygulandığında anlamlı bir güvenlik katmanı oluşturuyor. Kurumsal düzeyde bu sistemi kurmak için BT altyapısına ek yatırım gerekiyor, ancak bir satış yöneticisinin taşıdığı müşteri verisi ya da bir finans uzmanının dizüstü bilgisayarındaki bilanço dosyaları düşünüldüğünde bu yatırımın karşılığı açık.
Tüm bu teknik önlemlerin yanı sıra, uygulamada karşılaşılan en büyük zorluk insan faktörü. Çalışanlar cihazlarını kişisel eşya gibi görüyor ve şifre koyma ya da ekran kilidi gibi basit önlemleri bile zahmetli buluyor. Öte yandan BT departmanı, şirketin kendi cihazları üzerinde tam kontrol sahibiyken çalışanların kişisel telefonlarını iş amaçlı kullandığı durumlarda yetki alanını kaybediyor. Bu gri alan, politika olmadan çözülemiyor; hangi cihazların kurumsal veriye erişebileceği, hangi koşullarda bu erişimin kaldırılacağı ve çalışanın ayrılması durumunda ne yapılacağı yazılı bir prosedüre bağlanmadan teknik önlemler havada kalıyor.
Bir KOBİ yöneticisi olarak bu konuya yaklaşırken şu soruyu sormak iyi bir başlangıç noktası: ‘Bugün en kritik verimiz hangi cihazda, kimin elinde ve o cihaz yarın kaybolsa ne olur?’ Bu sorunun yanıtı belirsizse, önce bir envanter çıkarmak ve ardından erişim politikasını yazılı hale getirmek gerekiyor. Şifreleme ve uzaktan silme araçları mevcut; ancak bunlar bir politikaya dayanmadan kurulmadıkça, güvenlik açığı teknik değil yönetimsel olmaya devam ediyor. Mobil cihaz güvenliği, BT’nin sorunu değil; kurumsal veriyi korumanın yönetim sorumluluğu.