Son vakitlerde hem dünyada hem de Türkiye’de girişimcilik faaliyetleri süratle artmaya devam ediyor. Kısıtlı bütçelerle kurulan ve büyümeye çalışan startup’lar öncelikleri yönetirken birçok vakit bilgi güvenliğiyle ilgili mevzuları ihmal ediyor.
Startup’ların birden fazla kısıtlı kaynaklara sahip küçük bir işletmenin siber hatalıların ilgisini çekmeyeceğine güvenerek güvenliğe yatırım yapmaz. Ama herkes siber cürümlerin gayesi olabilir. Öncelikle, siber tehditlerin birçok çok büyük ölçekli olduğu için yaratıcıları da maksadı geniş tutup en azından birkaçından kazanabilmek için olabildiğince çok şirketi vurmaya çalışır. İkincisi, ekseriyetle nispeten korunmasız olduklarından startup’lar siber hatalılar için cazip bir maksattır. Kuruluşların bir siber ataktan sonra toparlanması bazen aylar alırken, küçük bir firma bir daha ayağa kalkamayabilir. Startup’ları kısıtlı bütçeye karşın hakkıyla koruyabilmek için işe başlamadan evvel bir tehdit modeli oluşturmak ve hangi risklerin işletmeyle ilgili olduğunu tespit etmek gerekebilir. Kaspersky, birinci işini kuran birçok girişimcinin yaptığı tipik yanılgıları ele alarak tavsiyelerde bulunuyor.
Bulut kaynaklarının yetersiz korunması
Startup’ların birden fazla örneğin Amazon AWS ya da Google Cloud üzere halka açık bulut hizmetlerine bel bağlar, lakin bunlarda bu tıp depolama alanlarına uygun güvenlik ayarları bulunmayabilir. Birçok vakit, müşteri bilgilerinin yahut web uygulaması kodlarının olduğu kapsayıcıların korunma yolu zayıf parolaların ötesine geçmez ve dahili kurumsal evraklar direkt temaslarla erişilebildiği üzere arama motorlarına da görünür. Sonuçta da kritik datalar herkesin eline geçebilir. Startup’lar bazen, işleri zorlaştırmamak ismine değerli evraklara erişimi sonlandırmayı unutarak bunları Google Docs’ta sonsuza kadar herkese açık halde bırakır.
Çalışanların gereğince şuurlu olmaması
Bütün işletmelerde beşerler ekseriyetle zayıf halkadır. Saldırganlar da bunu çok yeterli bilir ve toplum mühendisliği hilelerini kullanarak kurumsal ağa sızar ya da saklı bilgi avcılığı yapar. Bilinçsizlik hür çalışanlarla iş yapan firmalar için iki kat tehlikelidir: Bu bireylerin çalışırken hangi aygıtları ve hangi ağları kullandığını denetim etmek epey sıkıntı olabilir. Bu nedenle, tüm çalışanları güvenlik odaklı bir hal almaya motive etmek ve yönlendirmek çok değerlidir.
Kaspersky, startup’lara iş planlarını hazırlarken siber güvenliğe ihtimam gösterilmesi gerektiğini belirterek şu tavsiyelerde bulunuyor:
- Hangi kaynakların öncelikli olarak muhafaza gerektirdiğini ve birinci etaplarda bütçenizin ne cins güvenlik araçlarına yeteceğini tespit edin. Aslında, önlemlerin birçok o kadar da maliyetli değildir.
- Aygıtlarınızı ve hesaplarınızı korumak için güçlü parolalar kullanın. Kaspersky Small Office Security tahlilimiz güçlü parolalar oluşturmaya ve bunları şifreli kapsayıcıların içinde tutmaya yarayan Kaspersky Password Manager aracını içerir. İki basamaklı kimlik doğrulamayı ihmal etmeyin. Bu ortalar neredeyse her yerde kullanılıyor ve sahiden işe yarıyor.
- Çalışmayı planladığınız ülkelerdeki bilgi depolama maddelerini dikkatle inceleyin ve firmanızın ferdî bilgi depolama ve sürece iş akışının bu maddelere uygun olduğundan emin olun. Mümkünse kelam konusu her piyasadaki tuzaklar ve kapalı tehlikeler konusunda avukatlara danışın.
- Üçüncü şahıs hizmet ve yazılımlarının güvenliğini yakından takip edin. Kullandığınız işbirlikçi geliştirme sistemi ne kadar yeterli korunuyor? Konakçı hizmet sağlayıcınız inançlı mi? Kullandığınız açık kaynak kütüphanelerinde bilinen zafiyetler var mı? Bu sorular da sizi en az son eserin tüketici özellikleri kadar ilgilendirmelidir.
- Çalışanlarınızın siber güvenlik şuurunu yükseltin ve onları bu mevzuda araştırma yapmaya teşvik edin. Şayet firmanızda takımlı siber güvenlik uzmanı yoksa (startup’larda çoklukla olmaz) bu hususa en azından biraz ilgi duyan birini bulun.
- Bilgisayarın altyapısını müdafaayı unutmayın. Bütçesi kısıtlı olan yeni firmalara yönelik Kaspersky Small Office Security sayesinde iş istasyonlarınızın ve sunucularınızın güvenliğini otomatik denetim edebilir ve ödemelerinizi çevrimiçi olarak itimatla yapabilirsiniz. Hiçbir idari maharet gerekmez.
Kaynak: (BHA) – Beyaz Haber Ajansı
