Son vakitlerde hem dünyada hem de Türkiye’de girişimcilik faaliyetleri süratle artmaya devam ediyor. Kısıtlı bütçelerle kurulan ve büyümeye çalışan startup’lar öncelikleri yönetirken birden fazla vakit bilgi güvenliğiyle ilgili mevzuları ihmal ediyor.
Startup’ların birden fazla kısıtlı kaynaklara sahip küçük bir işletmenin siber hatalıların ilgisini çekmeyeceğine güvenerek güvenliğe yatırım yapmaz. Ama herkes siber kabahatlerin gayesi olabilir. Öncelikle, siber tehditlerin birçok çok büyük ölçekli olduğu için yaratıcıları da gayesi geniş tutup en azından birkaçından kazanabilmek için olabildiğince çok şirketi vurmaya çalışır. İkincisi, ekseriyetle nispeten korunmasız olduklarından startup’lar siber hatalılar için cazip bir gayedir. Kuruluşların bir siber ataktan sonra toparlanması bazen aylar alırken, küçük bir firma bir daha ayağa kalkamayabilir. Startup’ları kısıtlı bütçeye karşın hakkıyla koruyabilmek için işe başlamadan evvel bir tehdit modeli oluşturmak ve hangi risklerin işletmeyle ilgili olduğunu tespit etmek gerekebilir. Kaspersky, birinci işini kuran birçok girişimcinin yaptığı tipik yanılgıları ele alarak tavsiyelerde bulunuyor.
Bulut kaynaklarının yetersiz korunması
Startup’ların birçok örneğin Amazon AWS ya da Google Cloud üzere halka açık bulut hizmetlerine bel bağlar, fakat bunlarda bu tıp depolama alanlarına uygun güvenlik ayarları bulunmayabilir. Birçok vakit, müşteri datalarının yahut web uygulaması kodlarının olduğu kapsayıcıların korunma yolu zayıf parolaların ötesine geçmez ve dahili kurumsal evraklar direkt irtibatlarla erişilebildiği üzere arama motorlarına da görünür. Sonuçta da kritik datalar herkesin eline geçebilir. Startup’lar bazen, işleri zorlaştırmamak ismine değerli evraklara erişimi sonlandırmayı unutarak bunları Google Docs’ta sonsuza kadar herkese açık halde bırakır.
Çalışanların gereğince şuurlu olmaması
Bütün işletmelerde beşerler çoklukla zayıf halkadır. Saldırganlar da bunu çok düzgün bilir ve toplum mühendisliği hilelerini kullanarak kurumsal ağa sızar ya da zımnî bilgi avcılığı yapar. Bilinçsizlik hür çalışanlarla iş yapan firmalar için iki kat tehlikelidir: Bu bireylerin çalışırken hangi aygıtları ve hangi ağları kullandığını denetim etmek hayli sıkıntı olabilir. Bu nedenle, tüm çalışanları güvenlik odaklı bir hal almaya motive etmek ve yönlendirmek çok kıymetlidir.
Kaspersky, startup’lara iş planlarını hazırlarken siber güvenliğe ihtimam gösterilmesi gerektiğini belirterek şu tavsiyelerde bulunuyor:
- Hangi kaynakların öncelikli olarak muhafaza gerektirdiğini ve birinci etaplarda bütçenizin ne çeşit güvenlik araçlarına yeteceğini tespit edin. Aslında, önlemlerin birden fazla o kadar da maliyetli değildir.
- Aygıtlarınızı ve hesaplarınızı korumak için güçlü parolalar kullanın. Kaspersky Small Office Security tahlilimiz güçlü parolalar oluşturmaya ve bunları şifreli kapsayıcıların içinde tutmaya yarayan Kaspersky Password Manager aracını içerir. İki kademeli kimlik doğrulamayı ihmal etmeyin. Bu ortalar neredeyse her yerde kullanılıyor ve nitekim işe yarıyor.
- Çalışmayı planladığınız ülkelerdeki bilgi depolama maddelerini dikkatle inceleyin ve firmanızın şahsî bilgi depolama ve sürece iş akışının bu maddelere uygun olduğundan emin olun. Mümkünse kelam konusu her piyasadaki tuzaklar ve bâtın tehlikeler konusunda avukatlara danışın.
- Üçüncü şahıs hizmet ve yazılımlarının güvenliğini yakından takip edin. Kullandığınız işbirlikçi geliştirme sistemi ne kadar uygun korunuyor? Konakçı hizmet sağlayıcınız inançlı mi? Kullandığınız açık kaynak kütüphanelerinde bilinen zafiyetler var mı? Bu sorular da sizi en az son eserin tüketici özellikleri kadar ilgilendirmelidir.
- Çalışanlarınızın siber güvenlik şuurunu yükseltin ve onları bu mevzuda araştırma yapmaya teşvik edin. Şayet firmanızda takımlı siber güvenlik uzmanı yoksa (startup’larda çoklukla olmaz) bu bahse en azından biraz ilgi duyan birini bulun.
- Bilgisayarın altyapısını müdafaayı unutmayın. Bütçesi kısıtlı olan yeni firmalara yönelik Kaspersky Small Office Security sayesinde iş istasyonlarınızın ve sunucularınızın güvenliğini otomatik denetim edebilir ve ödemelerinizi çevrimiçi olarak inançla yapabilirsiniz. Hiçbir idari marifet gerekmez.
Kaynak: (BHA) – Beyaz Haber Ajansı
Kaynak: Beyaz Haber Ajansı