Bir satış müdürü, müşteri toplantısından çıkar çıkmaz kendi cep telefonundan şirket e-postasına bakmak istiyor. BT departmanı ise bu talebin önünde duruyor: şirket verisi, kişisel bir cihazda ne kadar güvende? Bu gerilim, Türkiye’deki orta ve büyük ölçekli işletmelerde giderek daha sık yaşanıyor. Akıllı telefon kullanımının hızla yaygınlaştığı bu dönemde, çalışanların kendi cihazlarını iş süreçlerine dahil etme talebini görmezden gelmek mümkün değil. Ama bu talebi yönetimsiz kabul etmek de ciddi riskler taşıyor.
BYOD — kendi cihazını getir (Bring Your Own Device) — kavramı, özünde bir politika tercihini değil, kaçınılmaz bir gerçeği tanımlar. Çalışanlar zaten kendi cihazlarını kullanıyor; soru, şirketin bunu resmi bir çerçeveye oturtup oturtmayacağı. Politika olmadığında da cihazlar şirket ağına bağlanıyor, şirket verileri kişisel telefonlara indiriliyor. Fark şu: politika olmadan bu tablo denetimsiz kalıyor. Yöneticilerin önünde iki seçenek var — şirket standart cihaz dağıtır ya da çalışanların kendi cihazlarını belirli kurallar çerçevesinde kullanmasına izin verir. Her iki yolun da kendine özgü maliyet yapısı, güvenlik profili ve çalışan deneyimi üzerindeki etkisi farklı.
Şirket cihazı modelinde kontrol açıktır: BT, cihazı yapılandırır, yazılımları yönetir, güvenlik politikalarını zorla uygular. Çalışan işten ayrıldığında cihaz geri alınır, veriler silinir. Ancak bu modelin toplam sahip olma maliyeti (TCO) yüksektir. Donanım alımı, lisans yönetimi, bakım ve teknik destek maliyetleri birikir. Üstelik şirket cihazı standart bir model üzerinden dağıtıldığında, çalışanlar çoğunlukla bu cihazı yük olarak görür — ikinci bir telefon taşımak istemez, iki cihaz arasında gidip gelmekten yorulur. Kullanım alışkanlığı kişisel cihaza kayar; şirket cihazı çantada bekler.
BYOD modelinde ise maliyet yapısı tersine döner. Donanım yatırımı sıfıra yaklaşır; çalışan zaten kendi cihazını kullanıyor ve bakımını kendisi üstleniyor. Verimlilik açısından da avantaj var: kişi kendi seçtiği, alıştığı cihazla çalışır. Ancak güvenlik tarafı karmaşıklaşır. Şirket verisi ile kişisel veri aynı cihazda bulunur. Çalışan cihazını kaybederse ya da işten ayrılırsa şirket verisine erişim nasıl kesilecek? Bu soruların yanıtı, teknik bir çözüm değil, önce bir politika kararı gerektirir. MDM — mobil cihaz yönetimi (Mobile Device Management) — yazılımları bu noktada devreye girer; cihazı değil, üzerindeki kurumsal bölümü yönetir. Ancak MDM kurulumu da BT kapasitesi ve bütçe gerektirir.
Pratikte en kritik üç karar noktası şunlar: hangi uygulamalara ve verilere mobil erişim açılacak, cihaz kaybı ya da çalışan ayrılığında veri silme prosedürü nasıl işleyecek ve çalışanın kişisel verisi ile kurumsal veri arasındaki sınır nasıl çizilecek. Bu üç soruyu yanıtlamadan BYOD politikasını hayata geçirmek, güvenlik açığını fırsata çevirmek yerine fırsatı güvenlik açığına dönüştürür. Öte yandan şirket cihazı modelini tercih eden işletmeler de bu soruları yanıtlamak zorunda — çünkü çalışan o cihazda kişisel uygulamalar kullanmaya devam edecek ve veri sızıntısı riski ortadan kalkmayacak.
Türkiye’deki KOBİ ve orta ölçekli işletmelerin büyük çoğunluğu bu tartışmayı henüz resmi bir politika düzeyine taşımış değil. Yaygın tablo şu: BT yöneticisi gayri resmi kurallarla durumu idare ediyor, üst yönetim konuyu gündemine almıyor, çalışanlar ise kendi inisiyatifleriyle hareket ediyor. Bu belirsizlik ortamı, hem güvenlik açısından hem de çalışan beklentileri açısından yönetilemez bir alan yaratıyor. Cihaz politikasının yazılı hale gelmemesi, sorunun çözüldüğü anlamına gelmiyor — sadece sorumluluğun belirsizleştiği anlamına geliyor.
Karar vericiler için somut kriter şu: şirketin mobil erişime açacağı veri ve uygulamaların hassasiyeti ne kadar yüksekse, merkezi kontrol ihtiyacı o kadar güçlü. Müşteri veritabanına, fiyat listelerine ya da sözleşme belgelerine mobil erişim açılacaksa şirket cihazı ya da sıkı MDM politikasıyla desteklenmiş BYOD şart. Yalnızca e-posta ve takvim erişimi söz konusuysa BYOD daha az riskli ve daha düşük maliyetli bir seçenek. Her iki durumda da politikanın yazılı, çalışanlara tebliğ edilmiş ve BT tarafından teknik araçlarla desteklenmiş olması gerekiyor. Politikasız özgürlük değil, politikasız kaos var.