Son vakitlerde hem dünyada hem de Türkiye’de girişimcilik faaliyetleri süratle artmaya devam ediyor. Kısıtlı bütçelerle kurulan ve büyümeye çalışan startup’lar öncelikleri yönetirken birden fazla vakit bilgi güvenliğiyle ilgili hususları ihmal ediyor.
Startup’ların birden fazla kısıtlı kaynaklara sahip küçük bir işletmenin siber hatalıların ilgisini çekmeyeceğine güvenerek güvenliğe yatırım yapmaz. Lakin herkes siber kabahatlerin gayesi olabilir. Öncelikle, siber tehditlerin birden fazla çok büyük ölçekli olduğu için yaratıcıları da amacı geniş tutup en azından birkaçından kazanabilmek için olabildiğince çok şirketi vurmaya çalışır. İkincisi, çoklukla nispeten korunmasız olduklarından startup’lar siber hatalılar için cazip bir amaçtır. Kuruluşların bir siber taarruzdan sonra toparlanması bazen aylar alırken, küçük bir firma bir daha ayağa kalkamayabilir. Startup’ları kısıtlı bütçeye karşın hakkıyla koruyabilmek için işe başlamadan evvel bir tehdit modeli oluşturmak ve hangi risklerin işletmeyle ilgili olduğunu tespit etmek gerekebilir. Kaspersky, birinci işini kuran birçok girişimcinin yaptığı tipik yanılgıları ele alarak tavsiyelerde bulunuyor.
Bulut kaynaklarının yetersiz korunması
Startup’ların birçok örneğin Amazon AWS ya da Google Cloud üzere halka açık bulut hizmetlerine bel bağlar, ancak bunlarda bu tıp depolama alanlarına uygun güvenlik ayarları bulunmayabilir. Birçok vakit, müşteri bilgilerinin yahut web uygulaması kodlarının olduğu kapsayıcıların korunma yolu zayıf parolaların ötesine geçmez ve dahili kurumsal evraklar direkt kontaklarla erişilebildiği üzere arama motorlarına da görünür. Sonuçta da kritik datalar herkesin eline geçebilir. Startup’lar bazen, işleri zorlaştırmamak ismine kıymetli evraklara erişimi sonlandırmayı unutarak bunları Google Docs’ta sonsuza kadar herkese açık halde bırakır.
Çalışanların gereğince şuurlu olmaması
Bütün işletmelerde beşerler çoklukla zayıf halkadır. Saldırganlar da bunu çok uygun bilir ve toplum mühendisliği hilelerini kullanarak kurumsal ağa sızar ya da bâtın bilgi avcılığı yapar. Bilinçsizlik hür çalışanlarla iş yapan firmalar için iki kat tehlikelidir: Bu şahısların çalışırken hangi aygıtları ve hangi ağları kullandığını denetim etmek hayli sıkıntı olabilir. Bu nedenle, tüm çalışanları güvenlik odaklı bir tutum almaya motive etmek ve yönlendirmek çok kıymetlidir.
Kaspersky, startup’lara iş planlarını hazırlarken siber güvenliğe ihtimam gösterilmesi gerektiğini belirterek şu tavsiyelerde bulunuyor:
- Hangi kaynakların öncelikli olarak muhafaza gerektirdiğini ve birinci etaplarda bütçenizin ne tıp güvenlik araçlarına yeteceğini tespit edin. Aslında, önlemlerin birden fazla o kadar da maliyetli değildir.
- Aygıtlarınızı ve hesaplarınızı korumak için güçlü parolalar kullanın. Kaspersky Small Office Security tahlilimiz güçlü parolalar oluşturmaya ve bunları şifreli kapsayıcıların içinde tutmaya yarayan Kaspersky Password Manager aracını içerir. İki evreli kimlik doğrulamayı ihmal etmeyin. Bu ortalar neredeyse her yerde kullanılıyor ve nitekim işe yarıyor.
- Çalışmayı planladığınız ülkelerdeki data depolama maddelerini dikkatle inceleyin ve firmanızın ferdî bilgi depolama ve sürece iş akışının bu kanunlara uygun olduğundan emin olun. Mümkünse kelam konusu her piyasadaki tuzaklar ve zımnî tehlikeler konusunda avukatlara danışın.
- Üçüncü şahıs hizmet ve yazılımlarının güvenliğini yakından takip edin. Kullandığınız işbirlikçi geliştirme sistemi ne kadar yeterli korunuyor? Konakçı hizmet sağlayıcınız inançlı mi? Kullandığınız açık kaynak kütüphanelerinde bilinen zafiyetler var mı? Bu sorular da sizi en az son eserin tüketici özellikleri kadar ilgilendirmelidir.
- Çalışanlarınızın siber güvenlik şuurunu yükseltin ve onları bu hususta araştırma yapmaya teşvik edin. Şayet firmanızda takımlı siber güvenlik uzmanı yoksa (startup’larda çoklukla olmaz) bu bahse en azından biraz ilgi duyan birini bulun.
- Bilgisayarın altyapısını muhafazayı unutmayın. Bütçesi kısıtlı olan yeni firmalara yönelik Kaspersky Small Office Security sayesinde iş istasyonlarınızın ve sunucularınızın güvenliğini otomatik denetim edebilir ve ödemelerinizi çevrimiçi olarak inançla yapabilirsiniz. Hiçbir idari maharet gerekmez.
Kaynak: (BHA) – Beyaz Haber Ajansı