Günümüzde, mobil teknoloji konuşmak gibi basit bir iletişim aracı olmanın çok ötesinde bir teknolojiye ulaştı. Bu cihazlar; kızılötesi ve Bluetooth ile başlayan çevre cihazlar ile haberleşme yetileri, kablosuz ağlara bağlanabilmesinden GPS uydu sistemleri ile haberleşmeye kadar vardı. Birçok cep telefonu operatörünün düşündüğünün aksine henüz akıllı telefonlar ile yapılan bankacılık işlemleri beklendiği düzeye ulaşmadı. Ancak bu cihazlar halihazırda bir bilgisayarın yapabildiği, aklınıza gelebilecek hemen hemen ne varsa yapabilir duruma ulaştı.
O kadar ki web göz atıcıları, mesajlaşma yazılımları ve şirket e-posta sunucularına erişim bu cihazların yapabildiği basit işler arasında görülmeye başlandı.
Artık çok daha kritik bilgileri içinde barındıran mobil cihazların tüm bu gelişmelerin ışığında bilişim güvenliği kapsamında “mobil güvenliği” olarak ayrı bir başlık olarak ele alınması zorunlu hale getirilmiştir.
Mobil teknolojinin sağladığı kolaylıklar beraberinde yeni güvenlik riskleri de oluşturmaktadır. Bu riskler, cihazların taşınabilir fiziksel özellikleriyle birlikte kullanım şeklinden kaynaklanabilecek unsurları da kapsamaktadır. Örneklemek gerekirse, birçok kişinin kullanım kolaylığı nedeniyle mobil cihazlarında PIN kodu kullanmadığı bilinmektedir. PIN kullanmayan bir şirket yöneticisinin herhangi bir yerde mobil cihazını unuttuğu zaman; çalıştığı şirket için kritik değere sahip bilgilerin ifşa edilmesi ya da bu cihaz üzerinden şirketindeki sunuculara ve sistemlere erişimin sağlanması gibi durumlarda kurum için oluşabilecek tehdidin maliyeti çok yüksek miktarlara ulaşabilir, yaşayacağı itibar kaybı ise para ile ölçülemeyebilir.
Hayatımızı bu kadar kolaylaştıran bir teknolojiden vazgeçmek de istemeyiz bu durumda yapmamız gereken önlemlerimizi alarak riskleri azami de tutmak olabilir.
Mobil Uygulamada oluşacak risklere karşı alınan önlemleri iki bölüme ayırabiliriz:
• Kullanıcı Önlemleri
• Kurumsal Önlemler
Mobil cihazların güvenliğinde, kullanıcı önlemleri konusunda kullanıcılara çok fazla sayıda görevler düşmektedir. Bu önlemlerin belki temeli olarak, mobil cihaz için mutlaka bir PIN parolası oluşturulmalı ve kullanılmadığı anlarda otomatik olarak devreye girmesi sağlanmalıdır. Oluşturulacak bu PIN parolaları için tıpkı bir kredi kartı gibi düşünerek bir parola belirlenmelidir. Tahmin edilebilir doğum günü, doğum yılı vb. kombinasyonlardan kaçınılmalıdır. Bir diğer dikkat edilmesi gereken nokta ise cihaz kaybı yaşandığı zamanlarda, veri kaybına uğranmaması için mobil cihazın düzenli olarak verilerinin yedeklenmesi gerektiğidir. Mobil cihazların iletişim için kablosuz yöntemler kullandığını biliyoruz. Bu kablosuz yöntemler içinde dikkat edilmesi gereken noktalar mevcut.Wİ-Fİ, Bluetooth, kızılötesi gibi kablosuz yöntemler kullanıldığında, havadan gelen bilgilerin ele geçirilmesi mümkün olabileceğinden kullanımına ihtiyaç duymadığımız anda kapalı tutulması gerekmektedir. Mobil cihazların henüz fiziksel kapasiteleri sınırlı olduğu için üzerlerinde anti-virüs uygulamaları koşturmak pek mümkün değildir; bu nedenle internet üzerinden uygulama indirmeden önce uygulamanın kaynağının araştırılarak güvenilirliğinden emin olunmalıdır.
Mobil cihazların güvenliği için kurumsal olarak alınacak önlemler ile şirketin veri, para ve itibar kaybının önüne geçilebilir.
Bu önlemlerin en başında ise, sistemlerin mobil cihazlar üzerinde kullanılabilmesi için, güvenlik politikaları oluşturmak gelir. Oluşturulan bu politikalar, sürekli olarak gelişen teknoloji göz önünde bulundurularak güncellenmelidir. Oluşturulacak bu politikaların temelinde yer alması gereken noktalar ise; kullanıcının uygulamayı kullanabilmesi için oluşturulan güvenlik politikalarının kullanımının zorunlu ve değiştirilemez olması, kullanılan uygulamalar için kimlik denetleme ve yetkilendirme bilgilerinin gizliliğinin sağlanması, mobil cihazların bilgiyi barındıran veri depolarının şifrelenmesi, yama yönetiminin etkin bir şekilde gerçekleştirilmesi ve kullanıcıya cihaz üzerindeki tüm yamaların yüklenmesinin sağlanmasıdır. Mobil cihaz kullanıcıları, tehditler karşısında bilgilendirilmelidir.
Mobil istemci, mobil uygulama ve web sunucu bileşenleri, ağ bileşenleri, veri tabanı, yönetim sistemleri, kablosuz ağ erişim noktaları, güvenlik ve sistem yönetim bileşenlerinin düzenli sızma testlerinin yapılması; olası tehditlere karşı korumasızlıkların tespit edilmesi gerekmektedir.
Kullanım kolaylığı ya da üşengeçliğimizden dolayı yapmaktan kaçındığımız basit önlemleri uygulayarak hem şahsi bilgilerimizin ifşa edilmesinin hem de şirketimiz için kritik seviyede öneme sahip olabilecek bilgi kayıplarının önüne geçmiş oluruz.