Son vakitlerde hem dünyada hem de Türkiye’de girişimcilik faaliyetleri süratle artmaya devam ediyor. Kısıtlı bütçelerle kurulan ve büyümeye çalışan startup’lar öncelikleri yönetirken birçok vakit bilgi güvenliğiyle ilgili hususları ihmal ediyor.
Startup’ların birden fazla kısıtlı kaynaklara sahip küçük bir işletmenin siber hatalıların ilgisini çekmeyeceğine güvenerek güvenliğe yatırım yapmaz. Ama herkes siber kabahatlerin amacı olabilir. Öncelikle, siber tehditlerin birden fazla çok büyük ölçekli olduğu için yaratıcıları da amacı geniş tutup en azından birkaçından kazanabilmek için olabildiğince çok şirketi vurmaya çalışır. İkincisi, ekseriyetle nispeten korunmasız olduklarından startup’lar siber hatalılar için cazip bir amaçtır. Kuruluşların bir siber ataktan sonra toparlanması bazen aylar alırken, küçük bir firma bir daha ayağa kalkamayabilir. Startup’ları kısıtlı bütçeye karşın hakkıyla koruyabilmek için işe başlamadan evvel bir tehdit modeli oluşturmak ve hangi risklerin işletmeyle ilgili olduğunu tespit etmek gerekebilir. Kaspersky, birinci işini kuran birçok girişimcinin yaptığı tipik kusurları ele alarak tavsiyelerde bulunuyor.
Bulut kaynaklarının yetersiz korunması
Startup’ların birden fazla örneğin Amazon AWS ya da Google Cloud üzere halka açık bulut hizmetlerine bel bağlar, ancak bunlarda bu çeşit depolama alanlarına uygun güvenlik ayarları bulunmayabilir. Birçok vakit, müşteri bilgilerinin yahut web uygulaması kodlarının olduğu kapsayıcıların korunma yolu zayıf parolaların ötesine geçmez ve dahili kurumsal evraklar direkt kontaklarla erişilebildiği üzere arama motorlarına da görünür. Sonuçta da kritik bilgiler herkesin eline geçebilir. Startup’lar bazen, işleri zorlaştırmamak ismine kıymetli dokümanlara erişimi sonlandırmayı unutarak bunları Google Docs’ta sonsuza kadar herkese açık halde bırakır.
Çalışanların gereğince şuurlu olmaması
Bütün işletmelerde beşerler ekseriyetle zayıf halkadır. Saldırganlar da bunu çok yeterli bilir ve toplum mühendisliği hilelerini kullanarak kurumsal ağa sızar ya da bilinmeyen bilgi avcılığı yapar. Bilinçsizlik özgür çalışanlarla iş yapan firmalar için iki kat tehlikelidir: Bu bireylerin çalışırken hangi aygıtları ve hangi ağları kullandığını denetim etmek hayli sıkıntı olabilir. Bu nedenle, tüm çalışanları güvenlik odaklı bir hal almaya motive etmek ve yönlendirmek çok kıymetlidir.
Kaspersky, startup’lara iş planlarını hazırlarken siber güvenliğe ihtimam gösterilmesi gerektiğini belirterek şu tavsiyelerde bulunuyor:
- Hangi kaynakların öncelikli olarak muhafaza gerektirdiğini ve birinci etaplarda bütçenizin ne tıp güvenlik araçlarına yeteceğini tespit edin. Aslında, önlemlerin birçok o kadar da maliyetli değildir.
- Aygıtlarınızı ve hesaplarınızı korumak için güçlü parolalar kullanın. Kaspersky Small Office Security tahlilimiz güçlü parolalar oluşturmaya ve bunları şifreli kapsayıcıların içinde tutmaya yarayan Kaspersky Password Manager aracını içerir. İki basamaklı kimlik doğrulamayı ihmal etmeyin. Bu ortalar neredeyse her yerde kullanılıyor ve hakikaten işe yarıyor.
- Çalışmayı planladığınız ülkelerdeki data depolama maddelerini dikkatle inceleyin ve firmanızın şahsî bilgi depolama ve sürece iş akışının bu maddelere uygun olduğundan emin olun. Mümkünse kelam konusu her piyasadaki tuzaklar ve bilinmeyen tehlikeler konusunda avukatlara danışın.
- Üçüncü şahıs hizmet ve yazılımlarının güvenliğini yakından takip edin. Kullandığınız işbirlikçi geliştirme sistemi ne kadar güzel korunuyor? Konakçı hizmet sağlayıcınız inançlı mi? Kullandığınız açık kaynak kütüphanelerinde bilinen zafiyetler var mı? Bu sorular da sizi en az son eserin tüketici özellikleri kadar ilgilendirmelidir.
- Çalışanlarınızın siber güvenlik şuurunu yükseltin ve onları bu hususta araştırma yapmaya teşvik edin. Şayet firmanızda takımlı siber güvenlik uzmanı yoksa (startup’larda ekseriyetle olmaz) bu bahse en azından biraz ilgi duyan birini bulun.
- Bilgisayarın altyapısını müdafaayı unutmayın. Bütçesi kısıtlı olan yeni firmalara yönelik Kaspersky Small Office Security sayesinde iş istasyonlarınızın ve sunucularınızın güvenliğini otomatik denetim edebilir ve ödemelerinizi çevrimiçi olarak inançla yapabilirsiniz. Hiçbir idari maharet gerekmez.
Kaynak: (BHA) – Beyaz Haber Ajansı