Covid-19 Koronavirüs 2020’nin ilk aylarından başlayarak sosyal yaşam alanımızda ve çalışma hayatımızda etkisini sürdürerek manşetlerde yer aldı. Ekonomiye ve hastalığa etkisinin ötesinde, işverenlerin ve çalışanlarının iş ilişkilerinde etkileri de yadsınamaz. Bunların en başında gelen uzaktan çalışma konusu gittikçe yaygınlaştı. Vaka sayılarının istenilen düzeye gelmediğini gözlemliyoruz. Buna karşı koymak ve yayılmayı olabildiğince sınırlamak için, çalışanlar giderek ev ofislerine sığınıyor. Bu da dolayısıyla riskleri beraberinde getiriyor. Şirketler bu noktada ağ altyapısının güvenliğini denetlemeli ve saldırı risklerine karşı önlemlerini arttırmalılar. Koronavirüs salgını tedbirleri kapsamında Ulusal Siber Olaylara Müdahale Merkezi Güvenli ‘ Uzaktan Çalışma ‘ Kuralları Rehberinde bulunan konular tüm şirketlere alt yapılarını kontrol etmek için ışık tutacaktır.
Karantina Süreci
Çalışanlardan biri koronavirüs riski altındaki bir bölgeden döndüğü konusunda bilgilendirdiğinde, işveren ondan 14 gün karantinada kalmasını talep edebilir. Bölgesel Sağlık Kurulu çalışma durumuna veya uzaktan destek konusuna karar verebilir. Evine hapsedilen ve karantinaya alınan çalışan prensipte böyle bir önlemi reddetmemelidir. Reddetmesi, işverenin diğer çalışanlarını tehlikeye atabilir. Kurum, tüm çalışanların sağlığını göz önünde bulundurmak zorundadır.
Uzaktan Çalışma Sisteminde Alınması Gereken Önlemler
- Şirketler çalışanlarının güvenliğini sağlamak ve sağlığını korumak için olası tüm önlemleri almalıdır. Bunlar;
Mesleki risk varsa önlem için gerekli tedbirler gözden geçirilmelidir.
- Çalışanın seyahat geçmişi veya gelecekte görevi nedeniyle seyahat etmesi söz konusu ise gerekli önlemlerin, testlerin ve karantina süreçlerinin izlenmesi, gerekli bildirimlerin takip edilmesi gerekir.
Uzaktan çalışma için gerekli ekipman ve çalışma sistemi organize edilmelidir.
- Kullanılacak olan cihazların temini,
- Gerekli antivirüs uygulamalarının kurulumu,
- Uzaktan erişimin sağlanması,
- Koruma denetimi kurulumu (Windows 10 için Windows Defender gibi)
- Önerilen yazılımların kullanılması, sorun çözüm ve denetim için ihtiyaç olduğunda uzaktan erişim olanağının sağlanması,
- Bilgisayar, akıllı telefonların güvenlik yazılımları ile yaygın tehditlerden korunması,
- İşletim sistemleri ve kullanıcı yazılımı için en son güncellemelerin uygulanması,
- Zararlı yazılımların bulunmadığından emin olunması.
Yetkilendirme
- Erişim haklarını kısıtlayarak hangi çalışanlara uzaktan erişim için hangi hakların verilmesi gerektiğini belirlenmelidir.
- Şirket bilgilerine ilgisiz kişiler tarafından ulaşılması doğru değildir. Bu nedenle çalışanların erişim hakları görev kapsamı ile sınırlandırılmalıdır.
- KVKK kapsamında kişisel verilerin, özel nitelikli kişisel verilerin elde edilmesi ve işlenmesi gibi sorumluklar yetki tanımı ile kısıtlı olmalıdır.
- Sağlık kuruluşlarında kişilere ait sağlık bilgilerinin kişisel veri olarak değerlendirildiği dikkate alınmalıdır.
- KVKK kapsamında veri sorumlusunun yetkileri de uzaktan çalışsa da aynı düzende devam etmelidir. Aydınlatma Metni Bildirimi ve Açık Rıza’ların kurumun öngördüğü ortamda (elektronik, sms, sesli mesaj vs.) alınması ihmal edilmemelidir.
- Kişi haklarından açık rıza aranması ve veri talebi söz konusu ise veri sorumlusu gerekli işlemleri yerine getirmelidir.
Eğitim
- Çalışanlar ve karantinada birlikte olunan kişiler uzaktan çalışma ve veri güvenliği için eğitilmelidir. (Şifre, bilgisayar kapat-aç başkalarının kullanımına izinli olmamalıdır.)
- Uzaktan çalışmada çalışanlarınızla birlikte veri koruma kurallarına dikkat edilerek veri güvenliğinin sağlanması konusunda eğitilmeli ve akabinde denetimin sağlanmasına dikkat etmelisiniz.
- Uzaktan çalışmada çalışanlarınızla birlikte video görüşmelerinde dikkat edilmesi gereken konular hakkında bilgilendirilmelisiniz.
- Belgelerin doğru şekilde kullanıldığı ve çalışanlar ile hassas iletişim kontrol edilmelidir.
- İletişim, güvenlik kontrolleri ve süreç için gerekli ekipmanı gözden geçirmek de dahil olmak üzere ev ofisinde nasıl çalışılacağına dair rehberlik yapılmalıdır.
- Şirketler, çalışanlarını, istenmeyen mesajların ardındaki tehlikenin farkında olacak şekilde eğitmelidir. Ofiste olduğu gibi, ev ofis çalışanları da genellikle kimlik avı saldırılarının ve diğer siber tehditlerin hedefidir.
Ağ Güvenliği
- Uzaktan erişim daha fazla risk oluşturur, o nedenle riskleri ve sonuçları uygun şekilde dikkate almadan portlar uzaktan erişim için açılmamaya özen gösterilmelidir. Uzaktan erişimi açmanız gerektiğinde, güvenlik duvarının yalnızca BT yöneticilerinizin uzaktan erişebileceği belirli statik IP adreslerine yanıt verecek şekilde yapılandırılmalıdır.
- VPN bağlantısı kullanımına özen gösterin. VPN’i (Virtual Private Network/Sanal Özel Ağ) gizliliğinizi korumak ve İnternet’teki güvenliğinizi artırmak amacı ile kullanmak önemlidir. Bu yapı temel olarak iki bilgisayarı internete güvenli ve özel olarak bağlar. VPN, uzak kullanıcı ile şirket ağı arasında veri iletmek için güvenli, şifreli bir tünel sağlamak üzere tasarlanmıştır. Şirket ağındaki içeriğe ve araçlara erişmeniz gerekiyorsa, bununla güvenli bir bağlantı kullanmak esastır.
- Güvenlik duvarları (Firewall), erişim kontrol politikaları ve diğer günlük kaydı üzerindeki etkiyi değerlendirin. Ev ofisinde de şifresiz Wi-Fi’lerle bağlantıya izin verilmemeli.
- Erişimler için çok faktörlü kimlik doğrulama kullanılması güvenlik kontrolünde fayda sağlayacağı için önerilir.
- İnternet hizmet sağlayıcısı tarafından belirlenen kullanıcı adı ve parolalar değiştirilmeli ve güç parola tercih edilmelidir.
- Farklı konumlardan çalışma olacağı için kuruma gelen trafik için İnternet bant genişliğini değerlendirmeli ve çalışmaların aksamasına sebep olabilecek iletişim sorunları giderilmelidir.
E-posta Kullanımı
- Şüpheli duran, tanımadığınız kişilerden gelen e-postalar açılmamalı ve e-posta yoluyla güvenli olmayan dosyalar indirilmemelidir.
- Çeşitli yöntemlerle bilgisayar korsanları kişisel çalışan kimlik bilgilerini ve şirket içi bilgileri almaya çalışır. Covid-19 dolandırıcılığına dikkat çekerek kullanıcılarınızı, istenmeyen e-postaları tıklamamaya ve yalnızca resmi web sitelerini kullanmaya teşvik edin.
- Koronavirüs Spam’larına karşı tedbirli olun. Covid-19 hakkında çarpıcı başlıklarla bilgi aktarımı için Pdf/ Doc /Mp4 ilintili dosyalara güvenilir kaynaktan geldiğine emin olmadıkça açılmamalıdır.
Şifreleme
- Bilgisayarımıza fiziksel erişim engeli için güçlü bir şifre ve periyodik bir güncelleme gereklidir. Dizüstü bilgisayarda özel bilgiler nedeniyle şifreleme önemlidir.
- İşiniz gereği kişisel verileri kullanıyorsanız, Kişisel Verileri Koruma Kanunu kapsamında dikkat edilmesi gereken konuları mutlaka incelemeli ve bunlara özen göstermelisiniz.
- Bilgisayarınızın başkaları tarafından özel amaç için kullanılmasına izin vermemelisiniz.
- Bilgisayar başından ayrıldığınızda, şifre istenmesini sağlayınız.
- Şifrenizi görünecek bir ortamda bulundurmamalısınız.
- Çıktılarınız / raporlarınız varsa bunları açıkta bulundurmamalısınız. Kilitli bir alanda başkaları tarafından ulaşılmayacak bir ortamda bulundurulmalıdırlar.
- Bilgisayara USB Bellek ve CD’ler takılmadan önce taranmalıdır, sonra açılmalıdır.
- Uzaktan çalışmada iş yaptığınız alandan ayrılırken, verilere erişimi engellemek gerekir ve ayrıca yalnızca elektronik verilerin korunmaya değer olmadığı, aynı zamanda eve götürülen belgelerin ve/veya tüm teknik ekipmanların kontrol altında tutulması gerekir. Bunların çocuklar ve yetkisiz kişiler tarafından kullanılmasına izin verilmemelidir.
Belirsizlik göz önüne alındığında, bu stresli bir zaman dilimi olabilir ancak bu dönemi fırsata çevirerek şirketinizin acil durumlar ve diğer ev ofisi ihtiyaçları için ne kadar hazır olduğunu kontrol etmek için iyi bir zamandır. Tüm elemanların uzaktan çalışma modelini önermeseniz bile, teorik olarak işe alımlarda uzaktan çalışma modelini planlamak faydalı olucaktır.
KVK Kurulu (Kişisel Verileri Koruma Kurulu) da Kişisel Veriler’in ve Özel Nitelikli Kişisel Veriler’in Korunması konusundaki yetkilendirmeyi ve görev sorumlulukları yerine getirildiği takdirde uzaktan çalışmanın bu konuya engel teşkil etmediğini belirtmiştir.