Kişisel cihazların giderek daha güçlü ve her zaman el altında olmasıyla birlikte, daha fazla işyeri Kendi Cihazını Getir (BYOD) trendini benimsemeye başladı. Bu trend, çalışanların kişisel kullanım ve iş kullanımı için ayrı cihazlar kullanmak zorunda kalmak yerine tercih ettikleri cihazları kullanma isteğine bir yanıt olarak ortaya çıktı.
Peki BYOD tam olarak nedir?
Kendi Cihazını Getir Sistemine (BYOD) Nedir?
Kendi cihazını getir yani bring-your-own-device (BYOD) politikası, çalışanların ve diğer personelin kişisel dizüstü bilgisayarlarını ve akıllı telefonlarını işe getirmelerine ve bunları şirket ağına bağlamalarına olanak tanır. BYOD birçok şirkette yaygındır ve çalışanlar kendi cihazlarını kullanırken kendilerini daha rahat hissedebildikleri için bundan hoşlanırlar. Ancak kişisel cihazların kullanımı, kurumun ağ ortamının güvenliğini sağlama becerisi açısından bir zorluk teşkil etmektedir. Bu nedenle, kurumsal verileri hırsızlığa karşı korumak için bir BYOD politikası tanımlanmalıdır.
BYOD İstatistikleri
İş yerinde bir BYOD politikası ile çalışanlar iş verilerinizi riske atabilir. Yukarıda belirtilen risklere rağmen, BYOD işletmelere parasal değer sunar, temel olarak bütçeleri iyileştirir ve operasyonel maliyetleri düşürür.
Aşağıdaki listede BYOD ile ilgili önemli istatistikleri bulabilirsiniz:
- Mobil cihazlar, çalışanları görevlerini yerine getirmeleri için daha fazla teşvik eder, bu nedenle yılda fazladan 240 saat çalışırlar.
- E-posta, takvim ve kişi yönetimi BYOD’nin çalışanlar için en faydalı özellikleridir.
- İş yerinde akıllı telefon kullanımı üretkenliği %34 oranında artırmaktadır.
- Geliştirilmiş mobilite ve ek çalışma saatleri, işverenler için iki temel faydadır.
- Uzaktan çalışma imkanına sahip çalışanlar iş günlerinde daha fazla ilerleme kaydediyor.
- İşletmelerin %80’inden fazlası BYOD trendini teşvik etmektedir.
- İşletmeler, ek üretkenlik sayesinde çalışan başına yılda 350 dolar değer yaratmaktadır.
- İşletmelerin %61’i, cep telefonu sağlamasalar bile çalışanların uzaktan erişilebilir olmasını beklemektedir.
Kendi Cihazını Getir Sistemi (BYOD) Nasıl Çalışır?
BYOD, çalışanların iş için kişisel cihazlarını kullanmalarına izin verirken, söz konusu cihazların kullanımıyla ilgili politikaları kabul ederek çalışır. Bir güven sistemi üzerine inşa edilmiştir. İşletmeler, çalışanlarının şirket verilerini, uygulamalarını, kullanıcı adlarını ve şifrelerini kötüye kullanmayacağına güvenir. BYOD ile şirketler ayrıca çalışanlarının kişisel cihazlarını sorumlu bir şekilde kullanmalarını bekler.
BYOD Güvenlik Türleri
BYOD ile ilişkili riskleri azaltmak için işletmeler çeşitli güvenlik önlemleri uygulayabilir. Aşağıdaki listede bazı yaygın güvenlik türlerini bulabilirsiniz:
- Mobil Cihaz Yönetimi (MDM): MDM çözümleri, işletmelerin politikaları uygulayarak, erişimi kontrol ederek ve gerekirse verileri uzaktan silerek mobil cihazları yönetmesine ve güvence altına almasına olanak tanır. Merkezi kontrol ve izleme yetenekleri sunar.
- Konteynerleştirme: Şirketler güvenli sanal ortamlar kullanarak cihazlardaki kişisel ve iş verilerini ayırabilir. Bu, işle ilgili verilerin şifrelenmesini sağlar.
- Sanal Özel Ağ (VPN): VPN’ler, kullanıcının cihazı ile şirketin ağı arasındaki bağlantıları güvence altına alır. Verileri aktarım sırasında şifreler ve yetkisiz erişime karşı korur.
- Mobil Uygulama Yönetimi (MAM): MAM çözümleri, işletmelerin uygulamaları kara listeye alma veya beyaz listeye alma yeteneği de dahil olmak üzere mobil uygulama güvenliğini yönetmesine olanak tanır. Veri şifrelemesini güçlendirir ve erişim izinlerini kontrol eder.
- Güçlü parolalar: Çalışanların cihaz erişimi ve veri koruması için güçlü parolalar kullanmasını zorunlu kılmak, cihazların ve hassas bilgilerin güvenliğini sağlar.
- Yazılımı düzenli olarak güncelleme: Kişisel cihazlardaki yazılımları düzenli olarak güncellemek, güvenlik risklerini azaltabilir.
- Uzaktan silme: Veri hırsızlığını önlemek için şirketin kayıp veya çalıntı bir cihazdaki verileri uzaktan silmesini sağlar.
BYOD’un Avantajları Nelerdir?
Aşağıdaki listede BYOD’un bazı avantajlarını bulabilirsiniz:
1. Daha düşük maliyetler
BYOD, şirketlerin donanım ve yazılım maliyetlerini işverenden çalışana kaydırmasına olanak tanır. BYOD ile şirketler satın alma, bakım, yükseltme, değiştirme ve diğer masraflardan tasarruf eder.
2. Teknolojiye aşinalık
Halihazırda sahip oldukları teknolojiye aşina olmaları, çalışanların daha verimli olmasını sağlar. Öte yandan, bilmediğiniz bir işletim sistemine sahip yeni bir dizüstü bilgisayarın veya cep telefonunun nasıl kullanılacağını öğrenmek zaman alabilir.
3. Daha iyi teknoloji
İşletmeler genellikle maliyetten tasarruf etmek için çalışanlarına temel cihaz ve bilgisayarlar sağlar. Buna karşılık, çalışanları üretkenlik uygulamalarını daha hızlı çalıştırabilen daha modern kişisel cihazlara sahiptir.
4. Hızlı işe alım
Yeni çalışanları bilmedikleri yazılım ve donanımlara sahip şirket cihazlarını kullanmaları için eğitmek zaman alıcı olabilir. Ayrıca, şirket ekipmanlarının nakliyesi pahalıya mal olabilir ve haftalar alabilir. BYOD politikası ile yeni çalışanlar çok daha hızlı çalışmaya başlayabilir.
5. Daha yüksek üretkenlik seviyeleri
Bazı araştırmalar, BYOD ile çalışanlarının daha etkili olabileceğini göstermektedir. Örneğin, Intel’in BYOD programının dahili bir incelemesi, üretkenliğin günde yaklaşık bir saat arttığını göstermektedir.
BYOD’un Dezavantajları ve BYOD Güvenlik Riskleri
Aşağıdaki listede BYOD’un bazı dezavantajlarını bulabilirsiniz:
1. Donanım üzerinde kontrol eksikliği
İşletmeler kişisel bir cihaza farklı türde izleme, konum belirleme ve güvenlik araçları yükleyebilir, ancak yine de şirket kurallarına uyması için bir çalışana güvenmeleri gerekir. Sonuçta, kişisel cihazlar üzerinde şirket donanımı üzerinde olduğu kadar kontrol sahibi değillerdir.
2. Kötü amaçlı yazılım riski
Hem şirket hem de kişisel cihazlar, e-posta veya metin mesajlarına yönelik kimlik avı saldırıları yoluyla kötü amaçlı yazılımlara karşı savunmasızdır. Ancak, çalışanlar bu cihazları kötü amaçlı web sitelerini ziyaret etmek veya kötü amaçlı yazılım taşıyan sayfaları indirmek için kullanabileceğinden kişisel cihazlar daha yüksek risk altında olabilir.
3. Veri ihlaline karşı savunmasızlık
BYOD politikası bir işletmeyi veri ihlaline karşı daha savunmasız hale getirir. Örneğin, kişisel bir cihaza erişimi olan yetkisiz taraflar veri sızdırmak için bu cihazdan yararlanabilir. Hoşnutsuz eski çalışanlar da verilere saldırmak için kişisel cihazlardaki şirket uygulamalarını kullanabilir.
4. Çalınan ve kaybolan cihazlar
Gartner’a göre, her 53 saniyede bir dizüstü bilgisayar çalınmaktadır. Bu yüzden şirket verilerini taşıyan veya şirket ağlarına erişen yanlış yerleştirilmiş bir dizüstü bilgisayar veya cihaz önemli bir siber güvenlik riski oluşturabilir.
5. Hackleme
İyi güvenlik politikaları olsa bile BYOD, işletmenizin daha savunmasız uç noktalara sahip olduğu anlamına gelir. Başka bir deyişle, bilgisayar korsanları şirketinizi hedef almak için daha geniş bir saldırı yüzeyine sahiptir.
6. Güvenli olmayan WiFi’a erişim
İş ve kişisel ihtiyaçları için kendi cihazlarını kullanan çalışanlar, güvenli olmayan WiFi bağlantılarında e-postalarını kontrol etmekten veya sosyal medyada iletişim kurmaktan çekinmeyebilir. Bu tür bağlantılarda, bir cihazdaki kişisel ve şirkete ait tüm veriler savunmasızdır.
7. Gizlilik eksikliği
Bir BYOD politikası, bir çalışan ve kuruluş için gizlilik endişelerine neden olabilir. Bir çalışanın hassas verileri şirketin BT ekibine ifşa olabilir. Aynı şekilde, bir işletmenin fikri mülkiyeti, pazarlama teminatı ve diğer gizli bilgileri, bir çalışanın kişisel cihazını kontrol eden herhangi bir kişiye maruz kalabilir.
8. Dikkat dağınıklığı
Veriler BYOD’nin üretkenliği artırdığını gösterse de kişisel cihazlar, kişisel cihazlarında eğlence uygulamaları bulunan bazı kişiler için daha dikkat dağıtıcı olabilir. Kişisel bir cihazda araştırma yapmak bile daha dikkat dağıtıcı olabilir, çünkü çerezler daha hedefli çevrimiçi reklamlarla sonuçlanır.
9. Birden fazla kullanıcı
İnsanların şirket tarafından verilen cihazlarını mesai saatleri dışında bir yere koymaları muhtemeldir, ancak aynı şey kişisel cihazlar için söylenemez. Yoğun bir evde, BYOD modeli, şirket varlıklarını içeren bir cihazın bir personelin partneri, çocukları ve misafirleri tarafından erişilebilir olabileceği anlamına gelir. Yabancılar gizli bilgileri görebilir, kimlik avı bağlantılarını açabilir veya kişisel bir cihazdan kara listeye alınmış uygulamaları indirerek veri sızıntılarına neden olabilir.
Etkili Bir BYOD Politikası Nasıl Oluşturulur?
Güncel olmayan bir politikanız varsa veya kurumsal bir Kendi Cihazını Getir politikası geliştirme sürecindeyseniz ya da henüz bir politika geliştirmediyseniz, BT hizmeti, uygulama kullanımı, güvenlik ve diğer bazı bileşenleri ele almak için aşağıda verilen ipuçlarını göz önünde bulundurun:
1. İzin verilecek cihazları belirtin
BYOD ile tam olarak neyin kastedildiğini belirtmek her zaman önemlidir. Hangi cihazların kurum tarafından kabul edilebilir olduğunu ve hangi cihazların kullanılabileceğini netleştirmeniz gerekir.
2. İşletmeye giren tüm cihazlar için sağlam bir güvenlik politikası oluşturun
Telefonlar ve diğer cihazlar kurumsal sunuculara bağlandığında pek çok hassas bilgiye erişilebilir. Çalışanlar Kendi Cihazını Getir politikasını benimsemek istiyorlarsa, cihazlarını koruma için güçlü parolalarla yapılandırmaya istekli olmalıdır. Bu noktada sadece dört haneli basit bir şifre yerine uzun bir alfabetik şifre kullanmaları gerekir.
3. BYOD kriterleri kapsamındaki cihazlar için net bir hizmet politikası tanımlayın
Çalışanların kişisel cihazlarıyla ilgili sorun ve soruların çözülmesi söz konusu olduğunda, yönetimin gerçekten de belirlemesi gereken bir dizi sınır vardır. Bunu uygulamak için politika yapıcıların aşağıdaki gibi soruları yanıtlaması gerekir:
- Kişisel olarak sahip olunan uygulamalara yönelik destek politikaları ne olacak?
- Hasar gören cihazlar için ne tür destek sağlanacak?
- Yardım Masasını takvim, e-posta ve diğer kişisel bilgi yönetimi tipi uygulamalarla ilgili sorunları biletlemekle mi sınırlayacaksınız?
4. Hangi uygulama ve verilerin kime ait olduğu konusunda açık iletişim sağlayın
Geliştirilen BYOD politikasının ağa getirilen cihazın tamamının silinmesine izin verip vermeyeceğini belirleyin. Eğer öyleyse, çalışanlara cihazlarını nasıl güvence altına alacakları ve cihaz değiştirildiğinde veya geri alındığında geri yüklemek için bilgileri nasıl yedekleyecekleri konusunda farklı rehberlik sağlanmalıdır.
5. Hangi uygulamalara izin verilecek ve hangileri yasaklanacak?
Bu kural, kişisel veya kurumsal, işletme sunucularına bağlanabilen tüm cihazlar için geçerli olmalıdır. Temel hususlar, yedek e-posta uygulamaları, VPN’ler ve sosyal medya taraması veya diğer uzaktan erişim yazılımları için başvuruyu kapsayacaktır. Burada ortaya çıkan soru, kullanıcıların son derece hassas kurumsal kaynaklara erişimi olan cihazda güvenlik sorunlarına veya yasal risklere neden olabilecek uygulamaları indirip indiremeyecekleri, kurup kuramayacakları ve kullanıp kullanamayacaklarıdır.
6. Bir çalışan çıkış stratejisi oluşturma
Son olarak, bir çalışan BYOD politikası kapsamında izin verilen bir cihazla kurumdan ayrıldığında ne olacağını düşünün.
Yönetim, tüm erişim belirteçlerinin, e-posta erişimlerinin, verilerin ve diğer özel bilgi ve uygulamaların kaldırılmasını nasıl uygulayacak?
Bu basit bir konu değildir. Çalışanların şirket tarafından verilen bir telefonu iade etmeleri mümkün değildir. Bazı şirketler bu sorunu, çıkış görüşmesinin ve İK’nın kontrol listelerinin bir parçası olarak kurumsal e-postalara veya senkronizasyon erişimine izin vermeyerek çözmektedir. Ancak, güvenlik konusunda son derece bilinçli olanlar, zorunlu bir çıkış stratejisi olarak BYOD özellikli bir silme işlemi gerçekleştirir.
CYOD vs. BYOD Arasındaki Farklar
CYOD, Choose Your Own Device (Kendi Cihazını Seç) anlamına gelmektedir. CYOD modelinde, çalışanlar iş için sınırlı sayıda şirket onaylı cihaz arasından seçim yapabilirler. Cihazlar genellikle işletme tarafından satın alınır ve yönetilir. CYOD işletmelere daha fazla güvenlik sunarken, çalışanlara aşina olabilecekleri donanımları seçme özgürlüğü sağlar.
COPE vs. BYOD Arasındaki Farklar
COPE, Company Owned Personally/Enabled (Şirkete Ait Kişisel/Etkin) anlamına gelmektedir. Bir COPE programında, bir çalışan arama ve mesajlaşma gibi bazı temel kişisel işlevler için bir şirket akıllı telefonunu kullanabilir. COPE programları çalışanların yalnızca bir cihaz kullanmasına izin verir, ancak yine de iki cihazları olabilir. Örneğin, çalışma saatleri sona erdikten sonra şirket cihazından kişisel cihaza geçebilirler. COPE, çalışanlara biraz esneklik sağlarken işletmelere mükemmel güvenlik sunar.
BYOD Trendleri
Mobil cihaz ve akıllı telefon teknolojisi hızla değişmektedir, dolayısıyla siber güvenlik de bu sürekli değişimlere ayak uydurmalıdır. Teknoloji yinelemeleri genellikle belirli trendleri takip eder ve bir trend ne kadar popüler olursa bilgisayar korsanları tarafından o kadar fazla ilgi görür. Bu nedenle, siber güvenlik stratejileri de trendleri takip etmelidir.
BYOD stratejileri de kullanıcıların gizliliğini ihlal etmeden daha iyi bir altyapı geliştirmek için değişir. Birkaç popüler BYOD politikası trendi aşağıdakileri içerir:
- Cihaz gereksinimleri: Kullanıcılar ağ kaynaklarına yalnızca desteklenen minimum işletim sistemine sahiplerse ve yalnızca belirlenmiş bir cihaz üreticileri listesini kullanıyorlarsa bağlanabilir. Bu gereklilik, gizli kötü amaçlı yazılımlardan ve eski işletim sistemlerinden gelen saldırıları önler.
- Kayıp cihazlar derhal bildirilmelidir: Temel olarak, kullanıcılar kayıp veya çalıntı bir cihaz durumunda iş verilerini korumak için bir uzaktan silme uygulaması yükler. Uzaktan silme özelliği olmasa bile, kullanıcılar bir cihaz artık ellerinde olmadığında bunu derhal bildirmelidir.
- BYOD gizlilik politikaları: Tüm BYOD politikaları şeffaf olmalıdır, böylece kullanıcılar cihazlarını işe getirmek için nelerin yüklenmesi ve yapılandırılması gerektiğini tam olarak anlayabilir. Bu, cihazlarından ağa uzaktan bağlanmayı da içerir.
En Çok Sorulan Sorular
1. BYOD güvenliği nedir?
BYOD güvenliği, çalışanlar bir kuruluşun ağına, sistemlerine ve verilerine bağlanmak için kişisel cihazlarını kullandıklarında şirket verilerini korumak için alınan önlemleri ifade eder. Bu önlemler arasında parola koruması, şifreleme, uzaktan silme ve MDM yazılımı yer alır. Kişisel cihazlar arasında akıllı telefonlar, kişisel bilgisayarlar, tabletler veya USB sürücüler yer alabilir.
2. BYOD’nin avantajları ve dezavantajları nelerdir?
Avantajları arasında üretkenliğin artması, maliyet tasarrufu ve eğitim için daha az zaman harcanması sayılabilir. Dezavantajları ise güvenlik riskleri, cihazlarda tek tipliğin olmaması ve veri ihlali riskleridir.
3. BYOD’nin güvenlik riskleri nelerdir?
Güvenlik riskleri arasında cihazlar üzerinde merkezi kontrol eksikliği, siber güvenlik saldırılarına karşı savunmasızlık, veri sızıntıları ve uyumluluk endişeleri yer almaktadır. Çalışanlar ayrıca güvenli olmayan Wi-Fi erişim noktaları kullanabilir, kötü amaçlı uygulamalar indirebilir veya e-postalar, mesajlaşma uygulamaları veya diğer izlenmeyen etkileşim biçimleri yoluyla hassas verileri ifşa edebilir.
4. Başarılı bir BYOD politikasını nasıl oluşturabilirim?
Başarılı bir BYOD politikası oluşturmak için politikanın kapsamını tanımlamalı, güvenlik önlemlerini belirlemeli, sorumlulukları netleştirmeli, eğitim ve destek sağlamalı ve çalışanların uyumluluğunu aktif olarak izlemelisiniz. Ayrıca hangi cihazlara izin verildiğini belirtmeli ve tüm cihazlar için sıkı bir güvenlik politikası oluşturmalısınız.