Salgın dönemi tüm işletmelere önemli bir şey öğretti. Artık çalışanların evden işlerini yaparak da verimli olmaları mümkün. Google, Twitter ve Facebook gibi teknoloji devleri bazı çalışanlarının kalıcı olarak evden çalışmaya devam edeceğiyle ilgili açıklamalar yaptılar. Ama tabi ki her çalışan tüm zamanlı şekilde evinden çalışmayı tercih etmiyor. Bazıları daha düşük maaş anlamına bile gelse evde kalmayı isterken, bazıları da ailevi sebeplerden dolayı ofislerine dönmek istiyorlar. İşletmelerin yüzde 60’ından fazlası bunu dengeleyebilmek için, kalıcı biçimde hibrit iş düzenine geçmeyi planlamakta. Hibrit iş düzeninin ihtiyacı olan ileri seviye güvenlik ise, büyük ihtimalle sıfır güven yaklaşımı (zero trust) ile sağlanabilecek.
Hibrit iş düzeni beraberinde eskisine göre daha karmaşık siber güvenlik zorlukları getirmekte. Giderek artan siber saldırılar ve veri ihlallerinin yaşanmakta olduğu bu dönemde, ESET firmasının bir araştırmasına göre işletmeler için en büyük risk kaynakları şu şekilde özetleniyor:
- Evden çalıştığı için dikkati dağılabilen çalışanların, e-postalar ile gelen tehlikeli kimlik avı bağlantılarına tıklama potansiyeli,
- Mobil cihazlarını ve kişisel bilgisayarlarını ev ağlarına bağlayarak kurumsal ofislerdeki güvenliğe denk bir seviye yakalayamayan çalışanların maruz kalacağı artan saldırı ihtimali,
- Ev ağlarında ve cihazlarındaki ihlallere açık VPN ve benzeri yamasız yazılımlar/işletim sistemleri,
- Daha önceki sızıntılar veya kırması kolay parolalar dolayısıyla, kolaylıkla ele geçirilebilecek zayıf şekilde yapılandırılmış RDP uç noktaları,
- Zayıf parolalara sahip, çok aşamalı kimlik doğrulamanın bulunmadığı bulut hizmetlerinin kullanılması,
- Kafe, restoran ve havalimanları gibi mekanlardaki halka açık Wi-Fi ağlarının kurumsal işler yapılırken kullanılması.
Tüm bunlara karşı sıfır güven yaklaşımı ön plana çıktı. 2009 yılında Forrester tarafından meydana koyulan bu bilgi güvenlik modelinde, bir kurumsal ağa bağlanan hiçbir öğeye güvenilmemesi ana prensip. Eski güvenlik anlayışlarının aksine, sıfır güven modelinde sızıntılara fırsat tanımamak için “asla güvenme, her zaman doğrula” felsefesine başvuruluyor. Uygulamanın üç temel ilkesi şöyle aktarılmakta:
- Dışarıdan erişim isteyen tüm ağlar güvenilmezdir.
- Tüm kullanıcılar/cihazlar güvenilmezdir, kötü niyetli olsun olmasın mutlaka bir dahili tehdite yol açabilirler.
- Asla tam güvenlik mümkün değil, ağda mutlaka bir sızıntı söz konusudur.