Küçük İşletmeler için Siber Güvenlik
Siber tehditler yalnızca büyük şirketlerin ve devletlerin sorunu değildir; küçük işletmeler de bu saldırılara hedef olabilmektedir. Öyle ki, bazen kendilerini daha etkin bir şekilde koruyacak kaynaklara sahip olmadıkları için küçük işletmelerin siber saldırılara karşı güvenlik açıklarının daha az değil, aksine daha fazla olduğuna ilişkin bulgular vardır.
İşletmenizi siber saldırılara karşı korumak önemlidir, ancak siber ortam sürekli geliştiği için nereden başlanılacağını bilmek göz korkutabilir. Burada küçük işletmelere siber tehdit dünyasında yol gösterecek bir kılavuz sağlanmaktadır.
Siber güvenlik küçük işletmeler için neden önemlidir?
Siber saldırılar paranızı, verilerinizi ve BT donanımınızı riske atar. Bir bilgisayar korsanı, ağınıza erişim elde ederse ulaştığı içerikle aşağıdakiler gibi önemli hasarlara yol açabilir:
- Müşteri listelerine erişim
- Müşteri kredi kartı bilgileri
- Şirketinizin banka bilgileri
- Fiyatlandırma yapınız
- Ürün tasarımları
- İşletmenin büyüme planları
- Üretim süreçleri
- Diğer fikri mülkiyet türleri
Bu saldırılar şirketinizi risk altında bırakmakla kalmaz. Bilgisayar korsanları, ağınıza sağladığı erişimi kullanarak, tedarik zincirlerinin bir parçasını oluşturduğunuz diğer şirketlerin ağlarına atlayabilir.
Dünya çapında daha fazla kişi uzaktan çalıştıkça işletmeler için siber güvenlik çok daha önemli hale geldi. Birçok küçük işletme, çevrimiçi toplantılar, reklam, satın alma ve satış, müşterilerle ve tedarikçilerle iletişim ve banka işlemleri de dahil olmak üzere günlük işlemleri için bulut tabanlı teknoloji ve araçlar kullanır. Hem finansal ve hem de itibarla ilgili nedenlerle verilerinizi ve bulut tabanlı sistemlerinizi yetkisiz ihlallere ve saldırılara karşı korumak çok önemlidir.
Siber saldırıların küçük işletmeler üzerindeki etkisi nedir?
Bir siber saldırının işletmeniz üzerinde yıkıcı etkisi olabilir. Öyle ki, bir saldırının mağduru olan küçük işletmelerin %60’ı bu ihlali takip eden altı ay içinde kapanmaktadır. Bu, bir saldırı sonucunda oluşabilecek en zorlayıcı durum olsa da işletmenizin maruz kalabileceği aşağıdakileri de içeren başka sonuçlar da söz konusudur:
- Banka bilgilerinin çalınmasından kaynaklanan finansal kayıplar
- İş kesintisinden kaynaklanan finansal kayıplar
- Ağınızı tehditlerden arındırmaya yönelik yüksek maliyetler
- Müşterilere bilgilerinin ele geçirildiğini bildirdikten sonra itibarınızın gördüğü hasar
Küçük işletmeler için siber güvenlik ipuçları
Küçük bir işletme olarak, siber saldırılara karşı çaresiz hissedebilirsiniz. Neyse ki işletmeler için en yeni güvenlik fikirlerini takip ederek şirketinizi koruyacak adımlar atabilirsiniz. İşletmeler için bazı temel siber güvenlik ipuçları şunlardır:
1: Çalışanlarınızı eğitin
Çalışanlar, işletmenizi bir saldırıya karşı savunmasız bırakabilir. Net istatistikler ülkeye ve sektöre göre çeşitlilik gösterse de, veri ihlallerinin büyük bir kısmının kötü amaçlı veya dikkatsiz davranan içeriden kişilerin siber suçluların ağlarınıza erişimine izin vermesi sonucu gerçekleştiği tartışılmaz bir durumdur.
Bir çalışan tarafından başlatılan saldırılarla sonuçlanabilecek çok sayıda senaryo mevcuttur. Örneğin, bir çalışan iş tabletini kaybedebilir ya da oturum açma bilgilerini ifşa edebilir. Çalışanlar ayrıca işletmenizin ağına virüs yerleştirebilecek sahte e-postaları yanlışlıkla açabilir.
İşletme içerisinden gelen tehditlere karşı korunmak için çalışanlarınıza yönelik siber güvenlik eğitimine yatırım yapın. Örneğin, personele güçlü parolalar kullanmanın önemini ve kimlik avı e-postalarının nasıl tespit edileceğini öğretin. Müşteri bilgilerinin ve hayati öneme sahip diğer verilerin nasıl tutulacağı ve korunacağını anlatan net politikalar belirleyin.
2: Risk değerlendirmesi gerçekleştirin
Şirket ağlarınızın, sistemlerinizin ve bilgilerinizin güvenliğini tehlikeye atabilecek olası riskleri değerlendirin. Olası tehditlerin tanımlanması ve analiz edilmesi, güvenlik boşluklarını doldurmaya yönelik bir plan geliştirmenize yardımcı olabilir.
Risk değerlendirmenizin bir parçası olarak, verilerinizin nerede ve nasıl saklandığını ve kimlerin bu verilere erişim sahibi olduğunu belirleyin. Kimlerin verilere erişmek isteyebileceğini ve bu kişilerin verileri ele geçirmek için ne tür girişimlerde bulunabileceğini tanımlayın. İşletme verileriniz bulutta saklanıyorsa, bulut depolama sağlayıcınızdan risk değerlendirmenize yardımcı olmasını isteyebilirsiniz. Olası olayların risk seviyelerini ve güvenlik ihlallerinin şirketinizi potansiyel olarak nasıl etkileyebileceğini belirleyin.
Bu analiz tamamlandıktan ve tehditler tanımlandıktan sonra, güvenlik stratejinizi geliştirmek veya iyileştirmek için edindiğiniz bilgileri kullanın. Düzenli aralıklarla ve bilgileri saklama ve kullanmayla ilgili değişiklikler yaptığınızda bu stratejiyi gözden geçirin ve güncelleyin. Böylece verilerinizin her zaman mümkün olan en iyi şekilde korunması sağlanır.
3: Antivirüs yazılımı kurun
Tüm cihazlarınızı virüslere, casus yazılımlara, fidye yazılımlarına ve kimlik avı dolandırıcılıklarına karşı koruyabilecek bir antivirüs yazılımı seçin. Yazılımın koruma sağlamanın yanı sıra, cihazları gerektiği gibi temizlemenize yardımcı olan ve virüs bulaşmadan önceki durumuna sıfırlayan bir teknolojiye sahip olduğundan emin olun. En son siber tehditlere karşı güvende kalmak ve güvenlik açıklarına yama eklemek için antivirüs yazılımınızı güncel tutmanız önemlidir.
4: Yazılımları güncel tutun
Antivirüs yazılımının yanı sıra işletmenizin çalışmaya devam etmesi için kullandığınız tüm yazılımlar da güncel tutulmalıdır. Satıcılar, yazılımlarını güçlendirmek ya da güvenlik açıklarını kapatan yamalar eklemek için yazılımlarını düzenli olarak günceller. Wi-Fi yönlendiricinin cihaz yazılımı gibi bazı yazılımların manuel olarak güncellenmesi gerekebileceğini unutmayın. Yeni güvenlik yamaları olmadan yönlendirici ve buna bağlı cihazlar tehditlere karşı savunmasız kalır.
5: Dosyalarınızı düzenli olarak yedekleyin
Şirketiniz dosyalarını yedekliyor mu? Bir siber saldırı gerçekleşirse veriler riske atılabilir veya silinebilir. Bu durumda işletmeniz çalışmaya devam edebilir mi? Dizüstü bilgisayarlarda ve cep telefonlarında depolanabilecek veri miktarını dikkate almayı unutmayın; bu olmadan bir çok işletme çalışamaz.
Bu konuda size yardımcı olması için dosyalarınızı otomatik olarak bir depolama alanına kopyalayan bir yedekleme programından yararlanın. Bir saldırı durumunda, tüm dosyalarınızı yedek dosyalarınızdan geri yükleyebilirsiniz. Yedekleme işlemini planlamanıza veya otomatik hale getirmenize olanak tanıyan bir program seçin, böylece yedekleme yapmayı hatırlamanız gerekmez. Yedeklemelerin kopyalarını çevrimdışı olarak saklayarak sisteminizin bir fidye yazılımı saldırısıyla karşılaşması durumunda kopyaların şifrelenmesinin veya erişilemez hale gelmesinin önüne geçin.
6: Önemli bilgileri şifreleyin
İşletmeniz düzenli olarak kredi kartları, banka hesapları ve diğer hassas bilgilerle ilgili verilerle çalışıyorsa, iyi uygulama olarak bir şifreleme programı olmalıdır. Şifreleme, cihazdaki bilgileri okunamayan kodlara dönüştürerek verileri güvende tutar.
Şifreleme en kötü durum senaryosu düşünülerek tasarlanır: verileriniz çalınmış olsa da, verilerin şifresini çözecek ve bilgileri deşifre edecek anahtarlara sahip olamayacağı için bunlar bilgisayar korsanının işine yaramayacaktır. Her yıl milyarlarca kaydın ifşa olduğu bir dünyada bu makul bir güvenlik önlemidir.
7: Hassas verilere erişimi sınırlayın
İşletmenizde kritik verilere erişebilen kişi sayısını en aza indirin. Böylece bir veri ihlalinin etkisi en aza iner ve şirket içerisinde kötü niyetli kişilerin verilere yetkili erişim olasılığı azalır. İlgili herkesin görev ve sorumluluklarının net olması için hangi bireylerin belirli seviyedeki bilgilere erişebileceğini ana hatlarıyla belirleyen bir plan yapın.
8: Wi-Fi ağınızı koruyun
İşletmeniz WEP (Kabloluya Eşdeğer Gizlilik) ağını kullanıyorsa, bu sürümler daha güvenli olduğundan WPA2 ya da daha sonrasına geçtiğinizden emin olun. Zaten WPA2 kullanıyor olabilirsiniz, ancak bazı işletmeler altyapılarını yükseltmeyi ihmal edebiliyor; bu nedenle emin olmak için kontrol etmenize değer. WEP ile WPA karşılaştırması hakkında daha fazla bilgiyi kılavuzumuzda okuyabilirsiniz.
Hizmet Kümesi Tanımlayıcısı (SSID) olarak da bilinen kablosuz erişim noktanızın ya da yönlendiricinizin adını değiştirerek Wi-Fi ağınızı bilgisayar korsanlarının güvenlik ihlallerine karşı koruyabilirsiniz. İlave güvenlik için karmaşık bir Önceden Paylaşılan Anahtar (PSK) parolası kullanabilirsiniz.
9: Güçlü bir parola politikası sağlayın
Tüm çalışanların hassas bilgiler içeren tüm cihazlarda güçlü parola kullanmalarını sağlayın. Güçlü bir parola en az 15 karakter uzunluğunda (ideal olarak daha uzun) olmalı, büyük ve küçük harfler, rakamlar ve simgelerden oluşmalıdır. Bir parolanın kırılması ne kadar zorsa, kaba kuvvet saldırısının başarılı olma olasılığı o kadar düşük olur.
Ayrıca, düzenli aralıklarla (en az üç ayda bir) parola değiştirme politikası oluşturmanız gerekir. İlave bir önlem olarak küçük işletmeler çalışanların cihazlarında ve uygulamalarında çok faktörlü kimlik doğrulaması (MFA) özelliğini de etkinleştirmelidir.
10: Parola yöneticileri kullanın
Her cihaza ya da hesaba özgü güçlü parolalar kullanmak, bunları hatırlamayı gittikçe zorlaştırır. Ayrıca her defasında uzun parolaları hatırlamak ve yazmak çalışanlarınızı yavaşlatabilir. Bu yüzden birçok işletme parola yönetim araçları kullanır.
Parola yöneticisi, parolalarınızı saklar ve web sitelerinde ve uygulamalarda oturum açmanız için gereken doğru kullanıcı adını, parolayı ve hatta güvenlik sorusu cevaplarını otomatik olarak oluşturur. Bu da kullanıcıların oturum açma bilgileri kasalarına erişmek için sadece tek bir PIN ya da ana parola hatırlamaları gerektiği anlamına gelir. Birçok parola yöneticisi aynı zamanda kullanıcıları zayıf ya da yeniden kullanılan parolaları kullanmak konusunda uyarır ve bunları düzenli olarak değiştirmenizi hatırlatır.
11: Güvenlik duvarı kullanın
Güvenlik duvarı, yazılımları olduğu kadar donanımları da korur ve bu da kendi fiziksel sunucuları olan bir şirket için avantaj oluşturur. Güvenlik duvarı aynı zamanda virüslerin ağınıza girmesini engeller ya da bunları uzaklaştırır. Antivirüs programının aksine bu, zaten içeri girmiş bir virüs tarafından etkilenmiş yazılımı hedefleyerek çalışır.
Güvenlik duvarı kullanımı işletmenizin gelen ve giden ağ trafiğinin her ikisini de korur. Belirli web sitelerini engelleyerek bilgisayar korsanlarının ağınıza saldırmasını engelleyebilir. Ayrıca şirketinizin ağından hassas verilerin ve gizli e-postaların gönderilmesini kısıtlayacak şekilde programlanabilir.
Güvenlik duvarınız kurulduktan sonra güncel tutmayı unutmayın. Yazılımların ya da cihaz yazılımlarının en son güncellemelere sahip olup olmadığını düzenli olarak kontrol edin.
12: Sanal Özel Ağ (VPN) kullanın
Sanal Özel Ağ işletmeniz için ilave bir güvenlik katmanı sağlar. VPN'ler, çalışanların uzaktan ya da seyahat sırasında çalışırken şirketinizin ağına güvenli şekilde erişebilmelerini sağlar. Bunu, verilerinizi ve IP adresinizi internet bağlantınızla erişmek istediğiniz esas web sitesi ya da çevrimiçi hizmet arasındaki başka bir güvenli bağlantı üzerinden yönlendirerek yapar. Bunlar özellikle kafeteryalarda, havaalanlarında ya da Airbnb'lerde olduğu gibi bilgisayar korsanlarına karşı savunmasız olabilecek herkese açık internet bağlantılarını kullanırken yararlıdır. VPN tarafından kullanıcılar için sağlanan güvenli bağlantı, bilgisayar korsanlarını çalmayı umdukları verilerden ayırır.
13: Fiziksel hırsızlığa karşı korunun
Ağınızın güvenliğini ihlal etmeye çalışan bilgisayar korsanlarına dikkat etmeniz gerekirken, donanımlarınızın çalınabileceğini de unutmayın. Yetkisiz kişilerin dizüstü bilgisayarlar, kişisel bilgisayarlar, tarayıcılar ve benzeri işletme cihazlarına erişmesi önlenmelidir. Bu, cihazın fiziksel olarak emniyet altına alınmasını veya kaybolması ya da çalınması halinde cihazı kurtarmak için fiziksel takip cihazı takılmasını içerebilir. Tüm çalışanlarınızın işletme dışındayken cep telefonlarında ya da dizüstü bilgisayarlarında saklanabilecek tüm verilerin önemini anlamalarını sağlayın.
Birden fazla çalışanın kullandığı cihazlarda ilave koruma için ayrı kullanıcı hesapları ve profilleri oluşturabilirsiniz. Uzaktan silme özelliğini kurmak da iyi bir fikirdir –bu özellik, kaybolan ya da çalınan cihazdaki verileri uzaktan silebilmenizi sağlar.
14: Mobil cihazları gözden kaçırmayın
Mobil cihazlar, özellikle hassas bilgiler içeriyorsa ya da kurumsal ağa erişebiliyorsa güvenlik sorunu oluşturur. Ancak bazen işletmeler siber güvenliklerini planlarken mobil cihazlar gözden kaçabilir. Çalışanlarınızdan mobil cihazlarını parolayla korumalarını, güvenlik uygulamaları yüklemelerini ve telefonları herkese açık ağlara bağlıyken suçluların bilgileri çalmasını önlemek için verilerini şifrelemelerini isteyin. Kaybolan ya da çalınan telefon ve tabletler için bildirme prosedürleri belirlediğinizden emin olun.
15: Birlikte çalıştığınız üçüncü tarafların da korunmalarını sağlayın
Sistemlerinize erişim izni verilebilecek iş ortakları ya da tedarikçiler gibi diğer işletmelere dikkat edin. Sizinkine benzer önlemler uygulamalarını sağlayın. Herhangi bir kimseye erişim izni vermeden önce kontrol etmekten çekinmeyin.
Bir siber güvenlik şirketinde aranacak özellikler
Birçok küçük işletme için siber güvenlik temel odak noktası olmayabilir. Siber güvenlikle ilgili yardıma ihtiyacınızın olması anlaşılabilir bir durumdur; neticede yönetmeniz gereken bir işletmeniz var. Peki bir siber güvenlik şirketinde hangi özellikleri aramalısınız? İşte dikkat etmeniz gereken bazı önemli özellikler:
Bağımsız testler ve incelemeler:
Bir siber güvenlik şirketi, teknik jargonla ve etkileyici bir pazarlama kampanyasıyla gözünüzü boyamaya çalışabilir; dolayısıyla bağımsız testlere ve incelemelere bakmanız önemlidir. En iyi siber güvenlik şirketleri, ürünlerinin test edilmesini ister ve sonuçları paylaşmaktan memnuniyet duyar.
Ucuz seçeneklerden kaçının:
Gelip yazılımı kuran ve ardından kaybolan bir şirketten kaçınmanız gerekir. Buna ek olarak, ürün veya destek sunmadan sadece bir alanda uzmanlaştığını öne süren bir şirket, ihtiyacınız olan korumayı sağlayamaz.
Ekstra destek:
İster bir tehdit algılanmış olsun, ister dosyalarınızı yedeklerken sorun yaşıyor olun, uygun seviyede destek sunan bir şirket istersiniz. Tehditleri ele almanıza yardımcı olan, çözüm bulan ve siber güvenliğin güçlüklerini ortadan kaldıran bir şirket seçin.
Büyüme potansiyeli:
İşletmeniz büyüdükçe sizinle birlikte büyüyebilecek bir siber güvenlik şirketine ihtiyacınız olacaktır. Gelecekte ihtiyaç duyabileceğiniz seçenekler de dahil olmak üzere, işletmelere tam teşekküllü güvenlik sistemleri sunan şirketlere odaklanın.
Küçük işletme sahiplerinin her zaman uzun bir yapılacaklar listesi olmuştur ancak artık siber güvenlik listenin en üstünde yer almaktadır. Neyse ki küçük işletmenizi korumak için atabileceğiniz adımlar mevcuttur ve doğru siber güvenlik şirketi, risklerinizi azaltmanıza yardımcı olabilir.
Kaspersky Endpoint Security, 2021 yılında bir kurumsal uç nokta güvenlik ürünü için en iyi performans, koruma ve kullanılabilirlik konusunda üç AV-TEST ödülü aldı. Tüm testlerde Kaspersky Endpoint Security, işletmeler için üstün performans, koruma ve kullanılabilirlik gösterdi.
İlgili makaleler ve bağlantılar:
Ürünler ve çözümler:
Küçük İşletmeler için Siber Güvenlik
Kaspersky
Özel makaleler
