Kendi Cihazını Kullan/Getir; kurumsal IT’de farkında olmadan katıldığımız akım bu. Bring Your Own Device (BYOD) olarak çoktan girdi dünyanın geri kalanında literatüre. Çok kabaca, çalışanların şirkete kendi cihazlarını getirip iş amaçlı olarak veri kaynaklarını (ağ, İnternet, sunucular, servisler vb. ) kullanmaları demek. Cihaz sözünü vurgulamamın nedenini birazdan okuyacaksınız.
Kurumsal bilgi işlemde bununla ilgili ilk ve en büyük endişe güvenlik. Bu güvenliği sağlıyor muyuz, kendimizi mi kandırıyoruz, ne yapmak gerek? Biraz bunlara kafa yordum. Parçaları birleştirdiğinizde BYOD dışında kurumsal veri güvenliğiyle ilgili fikirler de göreceksiniz.
Bir kere eğer kurumsal ağınıza çalışanlarınızın cep telefonlarını kabul ediyorsanız “BYOD yapsak mı ya?” sorusunu kafanızdan hemen çıkarın. Zaten yapıyorsunuz. Ya şirket cihazları dışındaki her şeyi yasaklayın ya da BYOD’u nasıl yöneteceğinizi düşünmeye başlayın.
Sebebi basit: Güncel akıllı telefonların hepsi biraz özelleşmiş birer bilgisayar. Cep telefonunuza USB klavye-fare ve HDMI monitör bağlayıp birazcık çabayla bilgisayar niyetine kullanabilirsiniz. Hatta alın, eskiden yapılmışı var. Haliyle bu cihazlara da kötü amaçlı kod girebilir, cihazın sahibi kötü veya iyi niyetli olarak bilgi sistemleri altyapınıza zarar verebilir. Birisi toplantı sonrası beyaz tahtanın önünde fotoğraf çektirip akşam cep telefonunu çaldırabilir (kaptırabilir anlamında!).
O halde bunu düşünmeye başlamak gerek. Bu yazıda BYOD yaklaşımının getiri ve götürülerinin ayrıntılarına girmeyeceğim. Belki başka bir makalede yaparım. Spoiler olarak şunu söyleyeyim, aklınıza ilk başta maliyet kazancının geldiğini biliyorum ama literatürde BYOD’nin çalışan bağlılığı ve verimiyle ilgili olumlu görüş oranı daha fazla. Sadece doğru yönetilmesi gerekiyor.
Buraya nereden geldik?
Teknolojinin kurumsal odaktan tüketici odaklılığa kaydığı doğal süreç bu. Eskiden akıllı telefonlarımız yoktu, hatta yarın işe alacağınız arkadaş hatırlamaz ama çalışanların hiç mobil telefonu olmadığı dönemlerden geldik. Şirketler mobil çalışması gereken kullanıcılara, kendi bilgi sistemleri biriminin kontrolündeki cihazları veriyordu (Blackberry sen misin?). Bu cihazlar zaten çalışanların kendi ceplerinden satın aldıklarına göre iş için daha üstün özelliklere sahiplerdi.
Şimdi çalışanlarımız özel hayatlarında da tek cihaz kullanmak istiyorlar. Yani biz mobil çalışanlara dizüstü bilgisayar vermekten bahsederken, o çalışan kendi evinde epostalarını kendi bilgisayarından bile kontrol etmiyor, Facebook gezintilerini telefondan yapıyor. İki telefon bile taşımak istemeyen kullanıcıya bir de “sana ayrıca iş bilgisayarı vereceğiz, buna kişisel bir şey koymayacaksın, şirket dışında çalışman gerekirse öyle bir ona bir buna geçeceksin” diyoruz.
BYOD politikası belirlemece ve benimsemece
Bu durumda şu gerçek de kendiliğinden geliyor: Hem güvenliğinizi sağlayacak, hem de kullanıcılara kabul ettirebileceğiniz bir politikaya ihtiyacınız var. Elbette kullanıcı kişisel bilgisayarını sizin ağınıza dahil edip, evde kullanacağı programı kurmak için sizin sistem yöneticinizden izin istemeyecek. 🙂 Öte yandan, nice kurumların sistemlerinde kırması 3 dakikalık şifreler kullandığı bir ortamda kullanıcının veri güvenliği sağlayacağına güvenmek de anlamsız.
Demek ki herkesin getirmesine izin vermeyeceğiz. Ama adam da seçmeyeceğiz. Öncelikle, zor ama, şirkete girmesine izin verilen bilgisayarlar için kendi sertifikasyon programımızı oluşturabiliriz. Örneğin izin verilen en düşük işletim sistemi ve güncelleme seviyesini belirleyebiliriz. Üstüne, zaten araştırıyor olmamız gereken virüs ve zararlı kod koruma yazılımlarından üst düzey birkaç tanesinin kurulu olmasını ve bilgisayarın elden çıkması durumu için tam disk şifrelemeyi şart koşabiliriz.
Bunları yaparken mümkünse açık kaynak, mümkün olmadığı yerde güvenilir ve ücretsiz, ya da en azından ucuz yazılımlara öncelik vermemiz gerekiyor. Hatta ücretsiz bulamadığımız durumlarda gerekli yazılımı biz sağlamalıyız. Kullanıcı bunun için masraf yapmak istemeyebilir.
Kullanıcının bunu benimsemesi de bu işin ayrılmaz parçası. Sopa mı kullanacağız, havuç mu? İkisinin birleşimi. Yazının ilk başlarında yazmıştım, kendi cihazını getirmek isteyecek kullanıcılar aynı zamanda çoğu kez bu kurallara uymayı ilk isteyecek olanlar. Ben daha çok havuç yöntemini tutuyorum. Biraz teşvik, sıkı bir dokümantasyon, eğitim ve (ne yazık ki) aba altından birazcık sopa. Kullanıcı eğer kendi bilgisayarını getirecekse bizim politikamıza uyacağını beyan ve taahhüt etmeli.
Verinin dışarıda ne işi var?
Çalışanın kendi bilgisayarını getirmesiyle ilgili bir diğer korku da, bu kullanıcının bilgisayarında şirket dışına çıkacak bilgi varlıklarımızın istemediğimiz ellere geçme ihtimali.
Peki şirkete ait dizüstü bilgisayarların daha güvenli olduğundan emin misiniz? 😀
“Fiziksel olarak ulaşabildiğim sistem güvensizdir” deriz (mealen). Düzgün bir şifreleme politikanız olmadığı sürece o laptopu, hatta sadece diskini ele geçirdiğim andan itibaren diskindeki bilgi varlıklarınız benimdir. All your base are belong to us. Game over. Finito.
Şirket dışına çıkması gerekmeyen veri ne çalışanın kendi bilgisayarında dışarı çıkmalı, ne de şirkete ait laptopta. Bunun bir yöntemi şirkette mümkün olan her şeyi çalışanın bilgisayarında kurulu programlar yerine servis olarak sağlamaya çalışmak. Bunu başarma oranınız ne kadar büyük olursa olsun, çoğu kez kullanıcının performans istekleri nedeniyle o veri kendini kullanıcının bilgisayarındaki bir Excel dosyasında buluyor. 🙂
Diğer bir yöntem masaüstü sanallaştırma. Mantık basit. Çalışanın bilgisayar ortamının tamamı şirkette, sunucu odasında bir sanal makinada kalır. Elindeki bilgisayar ise bu ortama uzak bağlantıdan başka bir şey yapmaz. Çalışan açısından uzak masaüstünde gördüğü “bilgisayar”ın gerçek bir bilgisayar mı, yoksa bir sanal makina mı olduğu tamamen önemsizdir. Kullanıcı gerçek bir bilgisayarda ne görecekse uzak bağlantıda da onu görür. Üstelik bu uzak bağlantı epeyce uzak olabilir; Çin’e iş seyahatine çıkan çalışanınız VPN ile bağlanıp ofisteymiş gibi çalışabilir.
Böyle bir durumda, tabii yukarıda örneklediğim türde güvenlik önlemleri de alınarak, çalışanın kullandığı cihazın kime ait olduğu da önemini büyük ölçüde kaybeder. Veri zaten şirket dışına çıkmadığı için, kaybolması ihtimali de ortadan kalkar.
Bu sanallaştırma işi bir taşla kuş katliamı da yapıyor. Daha şu son üç paragrafı yazarken bir sürü makale konusu çıkardı bile bana. 🙂
Şirket ağı güvenliği
802.1x diyorum başka bir şey demiyorum. Yok yok diyorum. Yoksa niye İnternet günlüğü tutayım?
Yazının başında söylemiştim, çalışanlarınız şirketin ağına cep telefonlarını bağlıyorlarsa siz çoktan BYOD’ye başlamışsınızdır haberiniz yoktur diye. Şirket ağınıza giren bu alışık olduğunuzun dışında kontrolsüz cihazlar öyle kafalarına göre IP alamamalı, oraya buraya sizden habersiz girip çıkamamalı.
Bu işin ilk yönü, tanımadığınız hiçbir şeyin ağınıza girmesine izin vermemek. Çalışanlarınızı tekil olarak tanımlayacak, mesela şirket sicil numarasına bağlı bir tür “kimlik”le (sertifikayla) ağımıza alacağız. Kimlik denetim sunucularımıza kendisini tanıtamayan cihaz bırakın İnternete çıkmayı, şirket içinde hiçbir yerle bağlantı kuramamalı.
Sonrasında ise ağımıza giren cihazların veri trafiğinin günlüklenmesi geliyor. Ağda bir yerlere ulaşabilen herkesi artık tanıdığımıza göre bu da mümkün.
Kısacası çalışana verdiğimiz kimlik kartı gibi, bilgisayarına da bir kimlik kartı vermiş oluyoruz.
Önceki bölümde andığım kuş katliamı burada da yardımcı oluyor. Sanallaştırılmış masaüstü dediğiniz zaman iki ayrı bilgisayar var: Çalışanın önündeki fiziksel bilgisayar ve sunucu odamızdaki sanal bilgisayar. Bu iki arkadaşı iki farklı ağda tutabiliriz. Aslında bu şekilde, şirket içindeki sistemlerimizin tamamını bir ağda, şirket dışına çıkan cihazların tamamını da diğer bir ağda tutup bir nevi karantina uygulayabiliriz. Böylece şirket dışına çıkıp gelen cihazların olası bir enfeksiyonunda bunun şirket içi cihazlara etkisi epeyce azalabilir.
Donanım senden, işletim sistemi benden
İki ucun en güzel yanları belki bu. “Canlı CD” diye bir şey vardı, şimdi “canlı USB” diyebiliyoruz ona. USB yuvasına takıyorsunuz ve karşınıza otuziki kısım tekmili birden işletim sistemi geliyor. Şöyle bir çözümden bahsediyorum:
- USB’den çalışan temiz bir işletim sistemi hazırlıyoruz. Hatta gidip kendi işletim sistemimizi baştan yaratıyoruz.
- Bunu fiziksel boyutları küçük bir USB belleğe yüklüyoruz.
- Çalışana diyoruz ki “Şirkette olduğun zaman veya şirketle ilgili işler yapacağın zaman bilgisayarı bununla açıyorsun. “. Hatta güvenlik nedeniyle çalışanımız/kullanıcımız bankacılık gibi işlemlerinde bunu kullanmaktan hoşlanabilir.
- Şirket dışındayken kendi bilgisayarında kurulu ne varsa onu kullanabilir. Evde oyun oynayabilir. Kendi bilir.
Durun yahu. Üç aşağı beş yukarı bunun da yapılmışı var.
Benim tasavvurum
Benim aklımda bunların bir kombinasyonu var. Bir süredir test de ediyorum aslında. Kişisel bilgisayarımı şirkete götürüyorum.
Kişisel bilgisayar dediğim makina 2011 model bir Thinkpad, x220. Üzerinde Debian Linux kurulu. Şirket bilgi varlıkları açısından çok gerekli olmamakla birlikte kişisel güvenliğim için veri şifreleme kullanıyorum. Çalışanın cihazının güvenliği tamam.
Şifrelemenin şirket açısından gerekli olmama sebebi, şirkette de masaüstü sanallaştırması kullanıyor olmam. Şirketle ilgili verimin tamamı şu anda bizim sunucu odasında güvenle duruyor. Sabahları gittiğimde bilgisayarımı açıp uzak masaüstü bağlantısıyla sanal makinama bağlanıyorum. İstersem bunu evden (veya kafeden, veya her yerden) VPN’le de yapabilirim.
Ek: Kötü niyetli çalışanlar
“Peki çalışan kötü niyetliyse ne olacak?” dediğinizi duyar gibiyim. Elbette tüm bu önlemlere rağmen çalışan kötü niyetliyse veriyi dışarı çıkarıp kaçırabilir veya yeteri kadar uğraşıp sisteminize zarar verebilir. Ancak bunun BYOD ile ilgisi, genel bilgi sistemleri politikanızla ilgisinden çok daha az. Bilgi varlıklarıyla ilgili politikanızı uygun şekilde belirlemediyseniz kötü niyetli çalışanın kendi bilgisayarına ihtiyacı yok. Cep telefonundan bile yapar yapacağınız. Yok politikanızı tam olarak belirleyip uyguladıysanız zaten BYOD sınırlarınızı da çizebilirsiniz.