Günümüzde siber güvenlik, daha önce hiç olmadığı kadar önemli olmasına rağmen özellikle küçük işletmeler ya da start-uplar, kısıtlı gelir kaynaklarından dolayı siber güvenliğe yatırım yapmakta oldukça zorlanıyor. Pek çok şirket ve girişim bu nedenle savunmasız kalarak siber saldırganların ağına düşüp zarar görüyor. Lider güvenlik duvarı ve UTM sağlayıcısı WatchGuard’ın Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, bu tip şirketlerin izleyebileceği 13 yolu paylaşarak daha az bir bütçe ile siber risklerden korunma yöntemlerini paylaşıyor.
Siber saldırganlar genelde büyük şirketleri ve devlete bağlı site ya da hesapları hedef alarak veri çalmak isterlerdi ancak artık hedeflerini değiştirerek daha küçük işletmelerin sistemlerine saldırmaya başladılar. Bu değişim sürpriz değil çünkü büyük şirketler, genellikle daha değerli verilere sahipler ve BT departmanları, hackerların başarı ihtimalini bir hayli azaltıyor. Bu nedenle son zamanlarda saldırılara daha çok maruz kalan küçük işletmelerin, siber güvenliği daha fazla önemsemesi gerekiyor. Güvenlik duvarı ve UTM sağlayıcısı WatchGuard Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, küçük işletmelerin bir servet harcamadan siber güvenliklerini sağlayabilmesi için 13 öneride bulunuyor.
Bir Servet Harcamadan Eksiksiz Bir Siber Güvenliğe Sahip Olmanız İçin 13 Yol
Her ne kadar geniş kapsamlı sızma testlerinin ve risk ölçümlerinin ardından güvenlik stratejilerinin belirlenmesi en doğrusu olsa da çoğu küçük şirket, bütçelerini bu araştırmaları yapabilecek şekilde planlayamıyor. Ancak her şirketin, ücretsiz ya da çok az yatırımla uygulayabileceği siber riskleri azaltmayı başaran yöntemler de mevcut. Yusuf Evmez’in, küçük işletmeler ya da start-uplar için büyük bir servet ödemeden siber güvenlik seviyesini artırmaya dair önerileri şöyle:
1. Farkındalık sağlayın. Bir hedef olabileceğinizi kabul edin ve çalışanlarınıza da kabul ettirin. Sadece kısa bir konuşma bile, çalışanların siber saldırılara uğrayabileceklerini ve siber güvenliğin önemsenmesini sağlayabilir. Siber saldırganların, bilgisayarlarına veya telefonlarına sızabileceğini düşünen çalışanlar daha temkinli davranacaktır.
2. Bilgi güvenliği eğitimleri düzenleyin. Şirket çalışanlarına siber risk taşıyan alışkanlıklardan kaçınılması gerektiğini anlatın. Örneğin, çalışanlarınız e-postalardaki ekleri ya da bağlantıları düşünmeden tıklamamalı, zayıf güvenliğe sahip sitelerden dosya indirmemeli ya da güvenmediği online mağazalardan gerçek olmayacak derecede ucuz olan ve bir iletişim bilgisi içermeyen ürünlerden satın almamalı.
3. Erişim yetkilerini sınırlayın. Çalışanlarınızın, sadece yaptıkları işlerle ilgili verilere erişmesini sağlayın. Eğer işe yeni başlayan bir çalışanınız, yöneticilerin eriştiği verilere erişiyorsa bu durum hackerlar tarafından istismar edilebilir.
4. Sık sık yedekleme yapın. Mümkünse yedeğinizi, şirketinize bağlı bir ağda tutmayın. Çünkü ağınıza bulaşan kötü niyetli bir yazılım yedeklemeleri de etkileyebilir. Bu yüzden çevrimdışı yedeklemelere sahip olmak daha risksizdir. Eğer bir şeyler yanlış gittiğinde bir yedeğiniz bulunuyorsa kaybettiğiniz veriler için endişelenmezsiniz.
5. Şifreleyin. Bütün hassas verilerinizi şifrelenmiş bir formatta saklayın. Eğer bir şeyin şifreleme gerektirip gerektirmediğine dair emin değilseniz önleminizi alın ve o veriyi de şifreleyin. Şifreleme Windows’un çoğu versiyonunda kullanılabilir durumdadır ve ayrıca birçok ücretsiz şifreleme aracını da indirerek kullanabilirsiniz.
6. Her çalışan için farklı kullanıcı bilgileri kullanın. Bir sisteme erişen her kişinin kendisine ait giriş bilgisinin olmasına dikkat edin. Böylece bir problem anında kişilerin davranışlarını gözlemleyebilir ve daha dikkatli davranmalarını sağlayabilirsiniz.
7. Düzgün bir şifre politikası kullanın. Bütün sistemler için çok karmaşık şifreler kullanmak genellikle önerilir ancak bu durum insanların şifrelerini bir yere yazmasına ya da onları tekrar tekrar kullanmasına yol açar. Bunun yerine şifrelerinizde kelime, rakam ve özel isimlerin kombinasyonunu kullanma stratejisini uygulayın. Oldukça hassas verileriniz için biyometrik ya da çok faktörlü doğrulama gibi daha güvenli yollar seçin.
8. Sosyal medya politikalarını keşfedin, geliştirin ve uygulayın. Çalışanlarınızın şirketiniz için hata sayılabilecek sosyal medya gönderileri, siber saldırganlara dolaylı olarak fırsat verip veri sızıntısına yol açabilir. Sosyal medyanın bir kabusa dönüşmemesi için Facebook, Twitter ve Instagram gibi sosyal medya platformlarındaki şirketle alakalı sakıncalı gönderiler için çalışanlarınızı uyarın.
9. Güvenlik duvarı kullanın. Ağ bağlantınız içinde bulunan laptop, masaüstü bilgisayar, tablet ve akıllı telefon gibi cihazlarınızı saldırılardan korumak için güvenlik duvarı kullanın.
10. İnternet erişimini kişilere göre gruplandırın. Çalışanlarınızın kişisel cihazları ve ziyaretçileriniz için internet erişimi sağlıyorsanız, bu cihazlarla kurulan bağlantıların iş dışındaki ayrı bir ağ ile gerçekleştirilmesini sağlayın.
11. Kişisel cihazların yaratabileceği riskleri göz önünde bulundurun. Eğer iş ile alakalı aktiviteler, kişisel cihazlar kullanılarak yapılıyorsa bu cihazların güvenliğini kontrol edin.
12. Kurallara uyun. Siber risk oluşturabilecek bütün kurallara mutlaka uyun. Örneğin eğer kredi kartları ile işlem yapıyorsanız PCI DSS (Kartlı Ödeme Veri Güvenliği Standartları) kurallarına uyum sağlayın. Bunun dışında, kredi kartı şifrelerinizi veya güvenlik kodlarınızı bir yerde saklamayın.
13. Bir profesyonelle çalışın. Eğer mümkünse siber güvenlik anlayışınızı ve savunma stratejinizi tasarlayacak bir bilgi güvenliği uzmanı ile çalışın. Uzman görüşüne yapmış olacağınız yatırım, onun yokluğundaki bir siber saldırıda yaşayacağınız zaman, para ve can sıkıntısına değecektir.