Hesap tabloları; finansal verileri, müşteri kayıtlarını, İK bilgilerini ve stratejik planları tutarak günlük iş kararlarının merkezinde yer alır. Yeni Proton araştırması, bu merkezi rolün hesap tablolarını gizli bir güvenlik ve gizlilik yükümlülüğü haline getirdiğini görüntülüyor.

Sonuçlar, meşgul çalışanların ve yöneticilerin gözden kaçırması kolay olan çeşitli risklere işaret ediyor:

  • Hesap tablosu erişiminin süresi roller değiştiğinde dolmaz ve işletmeler eski belgelere erişimi incelemediklerini itiraf ederek hassas verileri süresiz olarak açıkta bırakırlar.
  • Yöneticiler, Google ve Microsoft gibi Büyük Teknoloji sağlayıcılarının yapay zeka eğitimi ve diğer amaçlar için ne görebileceği veya yeniden kullanabileceği konusunda sınırlı netliğe sahip olduklarını söylüyor. Uçtan uca şifreleme olmadan veriler dizine eklenebilir, taranabilir ve sızdırılabilir.
  • Çalışanlar iş dosyalarını yönetmek için kişisel hesaplarını kullanıyor, bu da dijital sınırları bulanıklaştırıyor ve bir ağ güvenlik duvarını korumayı ve iş verilerini kontrol etmeyi neredeyse imkansız hale getiriyor.

ABD, İngiltere, Almanya ve Fransa’daki KOBİ liderleriyle hesap tablolarını nasıl kullandıkları ve korudukları hakkında anket yaptık. Hepsi küçük işletmelerdi (100’den az çalışanı olan), bu da onları bilgisayar korsanlığı ve fidye yazılımı saldırılarına karşı benzersiz bir şekilde risk altında bırakıyor.

Sonuçlar, şifrelenmiş hesap tablolarına ve daha iyi dahili güvenlik uygulamalarına yönelik kritik bir ihtiyaca işaret ediyor. Önerilerimizi bu makalenin altında sunuyoruz.

Geçici araçlardan kalıcı Arşivlere

Eski işlerinden veya projelerinden kalma eski hesap tablolarına hala erişimi olan Fransız, Alman, ABD'li ve İngiliz KOBİ katılımcılarını tasvir eden çizelge

Araştırmadaki en çarpıcı bulgulardan biri, roller ve projeler sona erdikten sonra hesap tablosu erişiminin ne sıklıkla devam ettiğidir. Eski çalışanlar, olması gerekenden çok sonra bile dosyaları görebilmeye devam ediyor ve bu da işletmeleri uyumluluk başarısızlıklarına, sözleşme ele geçirilmelerine ve müşteri güveni kaybına maruz bırakıyor.

ABD'li katılımcıların yüzde 61'inin önceki bir işten, projeden veya ekipten kalma hesap tablolarını açtığını söylediğini belirten metin içeren görsel.

Hangi dosyaların açık kaldığının doğası ülkeye göre değişir. İngiltere en yüksek görünür İK verisi seviyelerini bildirirken, Fransa en yüksek müşteri verisi ifşası oranını görüntülüyor.

Bu süregelen erişim hayalet erişim olarak bilinir: hassas iş verileri içeren dosyalar açık kalır, bağlantılar çalışmaya devam eder ve açık izinler arka planda kalır. Açığa çıkan veriler önemsiz değildir. Katılımcılar devam eden maaş ve bordro bilgilerine, dahili bütçelere, müşteri kayıtlarına ve stratejik planlama belgelerine erişimin devam ettiğini bildiriyor.

Ne tür verilere hala erişebildikleri sorulduğunda katılımcılar şunları bildirdi:

ABD:

  • Finansal veya bordro belgeleri (yüzde 44)
  • Satış veya satın alma kayıtları (yüzde 41)

Bu tür erişim, çalışanların kişisel verilerini ve ticari açıdan hassas işlemleri açığa çıkararak gizlilik ihlalleri ve finansal kötüye kullanım riskini artırır.

İngiltere:

  • Finansal veya bordro belgeleri (yüzde 31)
  • Müşteri veya alıcı bilgileri (yüzde 31)

Bordro ve müşteri kayıtlarına devam eden erişim, özellikle yasal erişim ve amaç sınırlaması konusunda doğrudan GDPR uyumluluk endişeleri doğurur.

Almanya:

  • Finansal veya bordro belgeleri (yüzde 30)
  • Dahili iş planları veya strateji dosyaları (yüzde 26)

Kişisel verilerin ifşasına ek olarak, dahili planlara erişim rekabetçi konumu etkileyebilir ve gizlilik yükümlülüklerini ele geçirebilir.

Fransa:

  • Finansal veya bordro belgeleri (yüzde 31)
  • Müşteri veya alıcı bilgileri (yüzde 31)

Bordro ve müşteri verilerinin birleşimi, bilgiler yetkili rollerin ötesinde paylaşılırsa hem düzenleyici maruziyete hem de itibar riskine neden olur.

Fransız, Alman, ABD'li ve İngiliz KOBİ'lerin müşteri verileri, finansal raporlama ve proje yönetimi için hesap tablolarını nasıl kullandığını tasvir eden çizelge

Hayalet erişim neden devam ediyor

Hayalet erişim, ekiplerin işbirliği yapma şeklinin bir yan ürünüdür. Pazarlar genelinde, katılımcıların yüzde 26-28’i hesap tablolarını “bağlantıya sahip olan herkes görüntüleyebilir” kullanarak paylaştıklarını söyledi. Diğer bir yüzde 7-15’lik kesim ise “bağlantıya sahip olan herkes düzenleyebilir” seçeneğini kullanıyor.

Birçok KOBİ'nin bağlantı izinlerini bağlantıya sahip olan herkes görüntüleyebilir veya daha az sıklıkla bağlantıya sahip olan herkes düzenleyebilir olarak ayarladığını görüntüleyen çizelge.

Bir bağlantı var olduğunda, kimlikten ayrılır. İstihdam durumuna, rol değişikliklerine veya hesap silmeye bağlı değilse, süresiz olarak iletilebilir, kopyalanabilir, yer imlerine eklenebilir ve yeniden açılabilir. Bir hesap tablosu yalnızca bağlantıyı alan son kişi kadar güvenlidir.

Erişim incelemeleri bunu nadiren telafi eder. Fransız katılımcıların yalnızca yüzde 30’u ekiplerinin hesap tablolarına erişimi düzenli olarak incelediğini söylüyor ve bu rakam ülkeler arasında aykırı bir değer değil. Bir belgeye erişim izni verildiğinde, paylaşım günlük işlerin bir parçası olarak sürekli gerçekleşse bile, ortak çalışanların incelemeleri tutarsızdır.

Zamanla, bu tek seferlik paylaşım kararları birikir. İşbirliği yapmanın en hızlı ve en tanıdık yolu varsayılan hale gelirken, erişim incelemeleri seyrek kalır ve sahiplik genellikle belirsizdir. Sonuç olarak, hesap tabloları projeler, roller veya ekipler değiştikten çok sonra bile izinleri koruma eğilimindedir.

Uzun vadeli riski azaltmak, yalnızca paylaşıldığı anda değil, bir hesap tablosunun yaşam döngüsü boyunca çalışan kontroller gerektirir. Hayalet erişim, iyi niyetli kuruluşlarda bile devam eder çünkü koruma, düzenli manuel incelemeler ve mükemmel devir teslimler gerektirir.

İşten ayrılma boşluğu

Biri işten ayrıldıktan veya bir projeyi bitirdikten sonra hesap tablosu erişimine ne olduğu sorulduğunda, katılımcıların yalnızca yüzde 33-44’ü erişimin işverenleri tarafından manuel olarak temizlendiğine inandıklarını söyledi. Yüzde 12-28’i hiçbir şey olmadığına inanıyordu. Diğer bir yüzde 14-26’lık kesim ise sadece bilmediklerini itiraf etti.

Bu belirsizlik önemlidir. Sorumluluğun belirsiz olduğu durumlarda, erişim varsayılan olarak devam etme eğilimindedir. Dosyalar kendiliğinden kaybolmaz; birinin onların var olduğunu hatırlaması ve harekete geçmesi gerekir. Bu mutlaka bir niyet başarısızlığı değil, daha çok insan hafızasına dayanan sistemlerin başarısızlığıdır.

İki ilişkili ancak ayrı arızayı ayırt etmek de önemlidir: zamanda bir an olan işten çıkarma ve sürekli bir sorumluluk olan devam eden erişim incelemesi.

Verilerimiz her ikisinin de başarısız olduğunu görüntülüyor.

  • ABD KOBİ’lerinin yüzde 38’i erişimin otomatik olarak kaldırıldığına inanıyor
  • Alman ve İngiliz KOBİ’lerinin yüzde 44’ü erişimin manuel olarak kaldırıldığını düşünüyor

İş ve kişisel hesapları bulanıklaştırma

Kişisel hesaplarda iş hesap tablolarını açtığını bildiren ABD ve İngiliz KOBİ katılımcılarının yüzdesini ve tersini görüntüleyen çizelge.

Hayalet erişimin bir diğer önemli nedeni, kişisel ve iş faaliyetleri için aynı hesabın kullanılması olan ve yaygın bir güvenlik kör noktası yaratan hesap bulanıklığıdır. ABD ve İngiltere’de, KOBİ çalışanlarının yüzde 45’inden fazlası kişisel hesaplarda iş hesap tablolarını veya iş hesaplarında kişisel hesap tablolarını açtığını kabul ediyor.

Sınırlar bu şekilde bulanıklaştığında, hesap tabloları artık bir işletmenin sahip olduğu güvenlik çerçeveleriyle sınırlı kalmaz. Erişim; rollerden, projelerden ve istihdam durumundan koparak izlemeyi, incelemeyi veya geçersiz kılmayı zorlaştırır.

Büyük teknoloji, yapay zeka ve sağlayıcı erişimi

Mükemmel işten çıkarma ve erişim incelemesi bile sağlayıcı düzeyindeki erişimi veya ikincil veri kullanımını ele alamaz. Birçok KOBİ, özellikle veriler hassas finansal, müşteri ve İK bilgilerini içerdiğinde, perde arkasında verilerine ne olduğu konusunda giderek daha belirsiz.

KOBİ'ler, Büyük Teknoloji platformlarındaki hesap tablolarının yapay zeka eğitimi, reklam hedefleme ve içerik tarama için kullanıldığına inandıklarını söyledi.

Yapay zeka eğitimi (yüzde 40–50)
Katılımcıların neredeyse yarısı hesap tablosu verilerinin yapay zeka sistemlerini eğitmek için kullanılabileceğine inanıyor.

Reklam hedefleme (yüzde 35–45)

Katılımcıların önemli bir kısmı, hesap tablolarının içeriğinin reklamcılığı veya profil oluşturmayı etkileyebileceğine inanıyor.

İçerik tarama (yüzde 30–40)
Birçok kullanıcı, hesap tablosu dosyalarının hassas veya yasaklanmış içerik için otomatik olarak taranmasını bekliyor.

Endişeler, Büyük Teknoloji bulut depolama alanı platformlarının nasıl tasarlandığını yansıtıyor. Google Drive ve OneDrive gibi araçlar verileri aktarım sırasında ve bekleme sırasında şifrelese de, indekslemeyi, aramayı, işbirliği özelliklerini ve yapay zeka destekli araçları kullanıma almayı sağlamak için dosya içeriklerine erişimi korurlar. Uçtan uca şifrelenmiş hesap tabloları bu tür erişimi engellemenin en iyi yoludur.

Buna rağmen, işletmeler kritik iş akışları için bu platformları kullanmaya devam ediyor ve finansal, müşteri ve operasyonel verileri gizlilik konusunda kötü bir geçmişe sahip üçüncü taraflarca kontrol edilen sistemlere yerleştiriyor.

Büyük Teknoloji sağlayıcıları bu düzeyde erişimi koruduğunda, dosyalar herhangi bir insan etkileşimi olmadan otomatik olarak taranabilir, dizine eklenebilir ve işlenebilir. Bu modelde, maruziyet sadece bağlantıya kimin sahip olduğuyla sınırlı değildir, aynı zamanda verileri barındıran platformun güvenliğiyle de ilgilidir.

Proton Sheets ile gizlilik ve kalıcı güvenlik

Birçok KOBİ için hesap tabloları ayrılmaz operasyonel sistemler olarak işlev görür. Düzenleyici, itibari ve ticari risk taşıyan finansal verileri, müşteri bilgilerini ve İK kayıtlarını tutarlar.

Verileri güvende tutmak için güçlü erişim ilkeleri, otomatik işten çıkarma ve net hesap sınırları esas olmaya devam ediyor. En azından şunları yapmalısınız:

  • Erişimi role göre sınırlayın
  • Paylaşılan dosyaları düzenli olarak inceleyin
  • Biri ayrıldığında erişimi hemen kaldırın
  • Hassas veriler için genel bağlantılar kullanmaktan kaçının

Ancak platformlar şifreleme anahtarlarını elinde tuttuğu sürece, yönetim tek başına sağlayıcı düzeyinde görünürlüğü veya ikincil veri kullanımını ortadan kaldıramaz.

Proton Sheets, bu yapısal riski ele almak için oluşturulmuştur:

  • Sıfır bilgi şifreleme: Sağlayıcı, sunucularında kaydedilmiş, depolanmış olsa bile bilgileri okuyamaz, işleyemez veya yeniden kullanamaz.
  • Kullanıcı kontrollü şifreleme anahtarları: Yalnızca yetkili ortak çalışanlar hesap tablosu içeriğine erişebilir.
  • Güvenli işbirliği: Ekipler, bir hesap tablosunu kimin görüntüleyebileceği veya düzenleyebileceği üzerinde net bir kontrolü korurken gerçek zamanlı olarak işbirliği yapabilir.
  • Tanıdık araçlar, daha güçlü koruma: Formüller, çizelgeler ve mevcut dosyalardan içe aktarmalar dahil olmak üzere yaygın hesap tablosu biçimlerini ve özelliklerini destekler.

Pratik açıdan Proton Sheets, gerçek zamanlı ekip çalışmasını ve tanıdık iş akışlarını desteklemeye devam ederken, işbirlikçi hesap tablolarını platform düzeyinde olabildiğince güvenli hale getirir. Sorumlu paylaşım uygulamalarıyla birleştiğinde bu, genellikle ekiplerin beklediğinden çok daha uzun süre var olan veriler için uzun vadeli maruziyeti azaltır.

Proton Sheets’i keşfedin