Küçük ve Orta Boyutlu İşletmeler İçin Eksiksiz Siber Güvenlik Kılavuzu – 2018

Siber güvenlik tehditleri her geçen gün artıyor ve gün geçmiyor ki haberlerde bir veri hırsızlığı vakası daha duymayalım. Bizler gibi küçük ve orta boyutlu işletme sahipleri veya yöneticileri de siber güvenliğin çok önemli olduğunu ve bu konulara çok yakından ilgi gösterilmesi gerektiğini bilirler. Sorun, nereden başlanacağına karar verilirken ortaya çıkar.

Siber güvenlik son derece bunaltıcı ve korkunç derecede karmaşık görünebilir. Her yönetici veya işletme sahibi teknik bir geçmişe sahip değildir, dolayısıyla tüm bu teknik jargonu ve karmaşık bilgileri taramak en dikkatli ve güvenlik odaklı olanlarımızı bile pes ettirebilir.

Bu kılavuzu bu tip kişiler için hazırladık. Eğer meşgul bir yöneticiyseniz ve gündeminiz sürekli olarak işletmenin günlük işlemleriyle doluysa siber güvenliğin tüm teknik boyutları hakkında bir teknik uzman haline gelmek için hiç vaktiniz yoktur. Fakat bu kılavuzu okur ve ekibinizle birlikte (bilgisayar donanım, yazılım ve ağ ihtiyaçlarınız için işe aldığınız veya dışarıdan destek aldığınız kişiler de dahil) burada belirttiğimiz güvenlik önlemleri üzerinde çalışırsanız, geceleri daha rahat uyursunuz. İşinizi güvenceye almak, bazı uzmanların söylediği kadar da zor bir şey değildir. Biraz sabır ve yönlendirme ile en küçük işletmelere bile dünya çapında güvenlik önlemleri uygulayabilirsiniz.

1. Zayıf noktalarınızı belirleyin

Kendinizi siber güvenlik tehditlerinden korumanın ilk adımı zayıf noktalarınızın belirlenmesidir. Zayıflıklarınızın neler olduğunu bilmiyorsanız onları nasıl düzeltebilirsiniz? Şirketinizin ne tip verileri depoladığını bilmezseniz onları nasıl koruyabilirsiniz?

Şirket verilerinizin “mücevherlerini” belirlemekle işe başlayın. Şirketinizin barındırdığı en önemli veriler nelerdir?

Bu herhangi bir şey olabilir, telif haklarınızdan müşteri verilerine, envanter ve finans bilgilerine kadar. Verilerinizi nerede saklıyorsunuz? Bu sorulara cevap bulduktan sonra verilerinizin karşılaşabileceği riskler üzerine düşünmeye başlayın.

Sizin ve çalışanlarınızın bu verileri toplamak, depolamak ve silmek için kullandığı tüm süreçleri dikkatli bir şekilde haritalandırın. Verilerin sızabileceği veya çalınabileceği geçiş noktaları üzerine düşünün. Ve siber güvenlik sızıntılarının siz ve çalışanlarınız, müşterileriniz ya da iş ortaklarınız için ne gibi sonuçları olabileceğini değerlendirin. Bunları yaptıktan sonra önlemleri uygulamaya başlayabilirsiniz.

2. Bilgisayarlarınızı ve cihazlarınızı koruyun

Bilgisayarlarınız ve diğer cihazlarınız hemen tüm iş konularınızın tamamlanmasını sağlayan geçit kapılarıdır. Fakat bu cihazlar internete veya yerel bir ağa bağlı olduklarından saldırılara açık haldedir. Aşağıdakiler şirketiniz bünyesindeki bilgisayar sistemlerinin güvenliğini artırmak için size sunduğumuz kılavuzlardır.

A. Yazılımınızı güncelleyin

Sistemlerinizin saldırıya açık olmadığından emin olmanızın ilk (ve belki de en basit) adımı şirketinizin kullandığı yazılımların her zaman en son sürüme güncellenmiş olduğundan emin olmaktır. Bilgisayar korsanları sisteme giriş yapabilmek için, popüler yazılımlarda açık arayarak, yasal boşlukları kırmakla vakit geçirirler. Bunu birçok sebeple yapabilirler; para almak, siyasi bir beyanda bulunmak veya yalnızca yapabildiklerini göstermek için. Bilgisayar korsanları web sitenizden müşterilerinizin kredi kartı bilgilerini veya bilgisayarınızdan şifrelerinizi çalabilirler. Böyle bir şey gerçekleşirse bu, şirketiniz için gerçekten büyük bir sorun olabilir.

Microsoft ve diğer yazılım firmaları her zaman kendi yazılımlarındaki zayıflıkları gözlemlerler. Bir açık bulduklarında ise kullanıcıların indirmeleri için güncelleme yayınlarlar. Yayınlanır yayınlanmaz bu güncellemeleri indirmek son derece kolayken birçok işletmenin bu konuda nasıl bu kadar dikkatsiz olabildiği merak konusudur.

2017 yılında “WannaCry” isimli bir fidye yazılımı saldırısı FedEx ve İngiltere Ulusal Sağlık Örgütü gibi devasa organizasyonlar da dahil binlerce kurbanı vurdu (fidye yazılımlarıyla ilgili aşağıda daha fazla bilgi bulacaksınız). Saldırıdan önce Microsoft bir yama yayınladı fakat birçok sistem yöneticisi bu yamayı yüklemedi ve bu, devasa saldırıya sebep oldu. Bilgisayar korsanlarının bir sonraki hedefi olmamanın en kolay yolu yazılımınızı her zaman güncel tutmaktır.

Nereden başlamalıyım?

  1. Eğer sisteminiz bir sistem yöneticisi tarafından idare ediliyorsa, yazılım güncellemeleri yayınlanır yayınlanmaz bunlardan haberdar olduklarından ve sisteminizi güncelleştirdiklerinden emin olun.
  2. Bilgisayarlarını kendinizin yönettiği bir küçük işletme sahibiyseniz Windows güncelleştirmelerini aktif hale getirin. Sisteminiz güncellendikten sonra bilgisayarınızı yeniden başlatın.

B. Virüslere karşı korunun

Virüsler bilgisayarınızı hiçbir uyarı vermeden etkileyen kötü amaçlı yazılımlardır. Virüsler birçok şey yapabilir fakat genelde dosyalarınıza erişir ve onları değiştirir veya siler. Virüsler kendilerini çoğaltarak veya kişi listenizdekilere kendilerini göndererek çok hızlı bir şekilde yayılır. Ağınızdaki bir bilgisayar virüs kaparsa, virüs şirketinize hızla yayılır ve önemli bir veri kaybına sebep olur. Eğer müşterilerinizle e-posta yoluyla iletişim kuruyorsanız (çoğumuz artık böyle yapıyor), müşterilerinize de virüs bulaştırma riski taşırsınız.

Malware ve ransomware (fidye yazılımı) bugün dolaşımdaki en tehlikeli virüslerdir. Malware ve fidye yazılımı arasında bazı farklar bulunur. Malware “kötü amaçlı yazılım” deyiminin kısaltmasıdır. Kurbanı bir yazılımı indirmek için kandırarak ve böylece kurbanın bilgisayarına erişim sağlayarak çalışır. Bilgisayarınızdan nelere eriştiğinizi takip edebilir, hassas bilgilerinizi çalabilir veya e-posta yoluyla istenmeyen posta yayabilir.

Fidye yazılımı ise özel bir malware türüdür. Bilgisayarınızı kilitler ve siz fidyeyi ödeyinceye kadar önemli dosyalarınıza erişiminizi engeller. Fidye yazılımı, yalnızca yazılımı üretenlerin bildiği özel bir anahtarla dosyalarınızı şifreleme yöntemiyle çalışır. Yukarıda bahsetmiş olduğumuz WannaCry saldırısı bir fidye yazılımı türüdür. Fidyeyi ödemek ise her zaman işe yaramayabilir; saldırganların dosyalarınızın şifresini açacağının hiçbir garantisi yoktur.

Bilgisayarınıza virüs bulaşmasını engellemenin birkaç temel adımı vardır. Öncelikle tüm ofis bilgisayarlarınıza anti virüs yazılımı yükleyin. Anti virüs yazılımları bilgisayarınızdaki mevcut dosyaları taradığı gibi, gelen e-posta mesajlarını da tarar ve bulduğu virüsleri karantinaya alır veya siler. Bilgisayar korsanları sürekli olarak yeni virüsler ortaya çıkartmaktadır, dolayısıyla anti virüs yazılımınızı sıklıkla güncellemelisiniz. En iyi yazılım sağlayıcıları bilgisayarınıza güncellemeleri otomatik indirme komutu verir. Çalışanlarınızın şüpheli dosyaları açmamaları gerektiğini, tanımadıkları ve güvenilmez görünen kaynaklardan gelen e-postaların eklentilerini derhal silmeleri gerektiğini bildiklerinden emin olun.

İnternet erişimi için VPN kullanmak da size fazladan güvenlik takviyesi verir. VPN’ler internete anonim bir şekilde erişiminizi sağlar ve verilerinizi de şifreledikleri için bilgisayarınızın korsanlar tarafından takip edilmesini zorlaştırır. İyi bir VPN sağlayıcısı siz şüpheli bir URL’ye erişim sağlamaya çalıştığınızda sizi uyarır.

Eğer bir fidye yazılımı kurbanıysanız çok geç değil. Bu adım adım kılavuz saldırıyı savuşturmanıza yardım edecektir.

Nereden başlamalıyım?

  1. Anti virüs yazılımınızı güncelleyin veya yoksa hemen şimdi bir tane kurun.
  2. Çalışanlarınızı şüpheli eklentileri açmamaları konusunda eğitin.
  3. İnternette gezinmek için VPN kullanın.
  4. İhtiyacınız olduğunda başvurmak için fidye yazılımı saldırısından kaçınmak yazısını okuyun.

C. Bir güvenlik duvarı kurun

Bugün birçok işletmede olduğu gibi ofisinizdeki tüm cihazlar her zaman açık olan bir geniş bant internet bağlantısına bağlıdır. Böyle bir durumda bilgisayar korsanlarının bilgisayar ağınızı en az bir kez yoklamış olması kuvvetle muhtemeldir. Bilgisayar korsanları bunu rastgele yaparlar fakat kullanılabilir bir bilgisayar adresi bulduklarında ağınıza ve ağınızdaki tekil bilgisayarlara erişim sağlamak için tüm zayıflıklarınızdan faydalanırlar.

Bir güvenlik duvarı kurmak bu tip saldırıların engellemesinde en iyi yoldur. Güvenlik duvarları ağın farklı parçalarını birbirinden ayırarak çalışır, yalnızca yetkilendirilmiş trafiğin ağın korunmuş kısmına geçmesine izin verir. Küçük bir işletme sahibiyseniz güvenlik duvarı yerel özel ağınızı daha geniş internet ağından ayrı tutacaktır. İyi bir güvenlik duvarı ağınıza gelen her bir veri paketini, güvenilir olduğundan emin olmak için inceler ve şüpheli paketleri filtreler. Bilgisayar korsanlarının ağınızdaki tekil bilgisayarlara erişimini engellemek için güvenlik duvarı her bir bilgisayarın kimlik bilgisini saklı tutar.

Bir güvenlik duvarı kurmak karmaşık bir iştir ve yalnızca eğitimli profesyonellerce yapılmalıdır. Bu da işinizi kolaylaştırır; tek yapmanız gereken sistem yöneticinizle konuşup ağınızın korunduğundan emin olmanızdır.

Nereden başlamalıyım?

  • Sistem yöneticinizle konuşup ağınızda bir güvenlik duvarı olup olmadığını sorun ve yoksa bir güvenlik duvarı kurmasını isteyin.

D. Dizüstü bilgisayarlar ve diğer mobil cihazlar için özel önlemler

Dizüstü bilgisayarlar taşınabilir olduklarından ve ofis dışına çıkartılabileceklerinden güvenlik ihlalleri açısından özel bir risk taşır. Birçok firma kaybolan veya çalınan bilgisayarların yerine yenisini verdiğinden, çalışanlar da dizüstü bilgisayarları konusunda dikkatsiz davranabilirler. Bununla birlikte bir dizüstü bilgisayarın yerine yenisini almak, özellikle küçük bir işletme için büyük bir mali sorundur. Fakat en büyük problem bu değildir. Çalışanların dizüstü bilgisayarları, özellikle de yöneticilere ait olanlar, yanlış ellere geçtiğinde işletmenize zarar verebilecek hassas bilgileri içerebilir.

Sizin ve çalışanlarınızın dizüstü bilgisayarların çalınmasını engellemek ve bir hırsızlık durumunda karşılaşılabilecek büyük problemlerin önüne geçmek için alabileceğiniz birkaç önlem vardır. Öncelikle, bir çalışan, dizüstü bilgisayarını herkese açık bir alanda veya bir toplantı veya konferansta kullanıyorsa, bilgisayarı her zaman gözünün önünde tutmalıdır. Dizüstü bilgisayarlar her zaman el bagajlarında taşınmalı ve otel veya havaalanı gibi yerlerde hiçbir zaman bagaj depolama alanlarında bırakılmamalıdır.

Bilgisayar korsanları, dizüstü bilgisayar veya mobil cihaz güvenli bir ağa bağlı değilse bu cihazlardaki verilere kolayca erişebilirler. Güçlü bir şifre kullanmak, yolculuğa çıkmadan önce dizüstü bilgisayarınızdaki tüm çalışmaların yedeğini almak ve verilerinizi şifrelemek gibi verilerinizi korumak için kullanmanızı önerebileceğimiz birkaç güvenlik önlemi vardır. Bunları bölüm 3’te “Verilerinizi korumak” bölümünde tekrar inceleyeceğiz.

Şirket cihazlarından birinin çalınmasına karşı önceden planlı olmak her zaman işe yarar. Yazılım ihtiyaçlarınız için bir bulut çözümü kullanıyorsanız, hizmet sağlayıcısının mobil cihaz yönetim özelliklerini iyice araştırın. Büyük bulut bilişim çözümü sağlayıcıları cihazınız kaybolursa üzerindeki hesabı uzaktan silmenize imkân sağlamaktadır.

Bu tavsiyelerin hepsi şirket akıllı telefonları için de geçerlidir. Şirket akıllı telefonları için atabileceğiniz birkaç adım vardır ve bu iPhone’lara özel kılavuz size bu süreçte yardımcı olacaktır. Telefonunuzun daha güvenli olması için yapabileceğiniz ayar değişikliklerinin yanı sıra kullanmanızı tavsiye edebileceğimiz birkaç güvenlik uygulaması bulunmaktadır.

Cihazınızı – dizüstü bilgisayar, akıllı telefon, Amazon Alexa veya ofis PS4’ü (oyun cihazı bulunduran, eğlenceli ofislerdenseniz!) olsun – korumanın en iyi yolu, bu cihazlardan geçen tüm veriyi şifrelemek için bir VPN kurmaktır. Tüm cihazlarınıza VPN yüklemeniz gerekli değildir; ofis yönlendiricisine doğrudan kurmanız yeterlidir. Böylece ofis internet bağlantınızı kullanan tüm cihazlar korunacaktır.

Ayrıca çalışanlarınızın hangi cihazları iş yerine getirebileceklerine dair bir politika geliştirmeniz de önemlidir. Birçok firma, her çalışana bir cihaz sağlamaktan çok daha ucuz olduğundan, çalışanlarının iş yerine kendi dizüstü bilgisayarlarını ve diğer cihazlarını getirmelerini teşvik etmektedir. Çalışanlarınızın iş için kullandıkları tüm kişisel cihazlarına bir anti virüs programı kurmasını ve düzenli güncellemeleri almalarını zorunlu tutmanızı tavsiye ederiz.

Nereden başlamalıyım?

  1. Tüm şirket dizüstü bilgisayarları ve akıllı telefonlarını, anti virüs yazılımı ve işletim sistemlerinin en güncel sürümlerine yükseltin.
  2. İş yerinde hangi cihazların kullanılabileceği ve bunlarda bulunması gereken güvenlik önlemlerine dair bir politika geliştirin.
  3. Bulut hizmet çözümü sağlayıcınızla iletişime geçip size mobil cihaz yönetimiyle ilgili nasıl yardımcı olabileceklerini sorun.

3. Verilerinizi korumak

Ne tür bir işletme sahibi olursanız olun, verileriniz yaptığınız işin çekirdeğini oluşturur. Müşteri bilgileriniz, envanterleriniz, şirket verileriniz ve bu kapsamlara giren diğer şeyler olmadan bir işletme olarak hizmet veremezsiniz. Verileriniz birçok şekilde kaybolabilir. Donanımınız zarar görebilir veya kırılabilir, bilgisayar korsanları sisteminize girip verilerinizi çalabilir veya bir doğal afetle karşılaşabilirsiniz. Dolayısıyla amacınız en kötü etkilere karşı önlem alarak kendinizi veri kaybına karşı güvenceye almak olmalıdır.

A.  Kritik verilerinizi yedeklemek için bir prosedür oluşturun

İki farklı yedekleme şekli vardır. Tam yedekleme yaptığınızda seçtiğiniz verilerin tamamının bir kopyasını çıkarır, bir başka cihaza atar veya bir başka ortama aktarırsınız. Artımlı yedeklemede ise yalnızca sisteminizin yedeğini son aldığınız tarihten itibaren değişmiş olan verileri yedeklersiniz.

En kolay ve en etkili yöntem ikisini bir arada kullanmaktır. Periyodik olarak tam yedekleme yapın, aradaki günlerde de artımlı yedekleme uygulayın veya her gün iş saati bitiminden sonra tam yedekleme uygulayabilirsiniz. Yedeklerinizin çalışıp çalışmadığını kontrol etmek son derece önemlidir; verilerinizin tamamını kaybettikten sonra yedeklerin de çalışmadığını görmek bir trajediye sebep olacaktır. Bu kontrolü, verilerinizin test kısmını yeni bir konuma taşıyarak yapabilirsiniz. Böylece yedekleme sistemlerinizin çalıştığından emin olursunuz ve bu, yedekleme sürecindeki herhangi bir sorunu tespit etmenize yardımcı olur.

Verilerinizi yedeklemenin birçok farklı yolu vardır. Bir USB bellek veya bir harici disk gibi fiziki bir cihaza yükleyebilir veya ağınızda bir paylaşımlı klasörde saklayabilirsiniz. Ayrıca yedeklerinizi ofis dışı güvenli bir yerde de saklayabilirsiniz. Bununla birlikte verilerinizi belirli bir fiziki konumda tutmanız, doğal afet veya hırsızlık karşısında size yardım etmeyecektir. Bulut tabanlı bir yedekleme sistemine yatırım yapmanızı şiddetle tavsiye ederiz – daha fazla bilgi için sonraki bölümü inceleyin.

Nereden başlamalıyım?

  1. Şirketinizin veri saklama politikasını değerlendirin. Tüm kritik verileriniz yedekleniyor mu? Öyleyse veriler nerede tutuluyor?
  2. Haftalık bir yedekleme planı için sistem yöneticiniz veya BT ekibinizle çalışın.
  3. Yedekleme sisteminizin çalıştığından emin olmak için test edin.

B.  Bulutta tutulan hassas şirket verilerini şifreleyin

Bugün birçok şirket çoğu verisini – belki de tamamını – bulut tabanlı bir platformda tutuyor. Bu, Dropbox veya Salesforce gibi bir SaaS (hizmet olarak yazılım) şeklinde bulut tabanlı bir depolama alanı olabilir. Bu sistemlere “bulut” adını verdiğimizden verilerimizin kavramsal, sanal bir ortamda olduğunu düşünme eğilimindeyizdir. Gerçekte ise verileriniz kendi sabit diskiniz veya yerel ağınızda değil, bulut tabanlı hizmet sağlayıcınızın uzaktaki bir bilgi işlem merkezinde tutulmaktadır. Bu nedenle bulut hizmet sağlayıcınızın ne tür güvenlik önlemleri alıyor olduğunu incelemek ve verilerinizin uygun bir güvenlik düzeyinde korunup korunmadığını bilmek önemlidir.

Bulutta tutulan dosyalarınızın güvende olduğundan emin olmanız için kullanabileceğiniz birkaç yaklaşım vardır. En basit ve en güvenli olanı dosyalarınızı elle şifrelemektir ve bunun için size yardımcı olabilecek birkaç program bulunmaktadır. Böylece bulut hizmet sağlayıcınızın güvenliğine bel bağlamanıza gerek kalmaz ve endişe etmeden kullanabilirsiniz. Yalnızca şifreleme anahtarlarınızı yüklemediğinizden emin olun yeter.

Belirttiğimiz gibi, bulut depolama seçeneklerini dikkatle incelemeniz gerekir. Piyasada birçok bulut hizmet sağlayıcısı bulunmakta ve bazı daha küçük ve az bilinen sağlayıcılar daha büyük isimlerden daha sıkı güvenlik önlemlerine sahipler. Bu hizmetlerden bazıları dosyalarınız buluta gönderilmeden önce onları şifrelemektedir.

Bütünüyle farklı bir yöntem ise tamamen ücretsiz olan BitTorrent Sync kullanmaktır. BitTorrent Sync bulut tabanlı sistemlerin yerine kullanılmak üzere tasarlanmıştır fakat dosyalarınızı bir bulutta saklamaz. Onun yerine uçtan uca (P2P) bir dosya paylaşım platformu aracılığıyla belgeler üzerinde ortak çalışma yapmanızı sağlar. Bu hizmetler en üst seviye AES-256 şifreleme kullanırlar ve fazladan bir güvenlik katmanı ekleyen iki faktörlü doğrulamayı aktif hale getirirler.

Bu çevrimiçi gizlilik için nihai kılavuz daha fazla açıklamaya sahiptir.

Nereden başlamalıyım?

  1. Şirketinizin önemli verilerini değerlendirin. Bunların ne kadarı bir bulut platformda tutuluyor ve bu platform güvenli mi?
  2. Bulut platformlarını araştırıp şirket ihtiyaçlarınızı en iyi şekilde karşılayan güvenlik düzeyine sahip olanı bulun

C. Şifrelerinizi koruyun

Ağınıza veya verilerinize erişen kişinin kimliğini doğrulamanın en çok kullanılan yolu şifredir. Akıllı kartlar ve parmak izi veya göz tarayıcılar gibi diğer yüksek teknoloji doğrulama sistemlerinin aksine şifreler hiçbir maliyeti olmadığı ve kullanımı kolay olduğu için çok kullanışlıdır. Bununla birlikte şifreler saldırıya da açıktır. Bilgisayar korsanları basit şifreleri birkaç dakika içinde kırabilecek karmaşık ve otomatik araçlar geliştirmiştir. Ayrıca şifrelerinize erişmek için, kendilerini resmi bir kuruluşmuş (Google gibi) gibi gösterip insanları şifrelerini vermek için kandıran kimlik avı hırsızlığı gibi birçok farklı sahtekarlık yöntemi kullanırlar.

Şifreler birçok sebepten etkisiz hale gelebilir. Çoğunlukla hassas belgelerimizi şifrelemeyi atlarız, bu da ofis bilgisayarınızın başına geçen herhangi birinin bu belgelere erişebileceği anlamına gelir. Dosya şifrelerini unutmamak için çoğu çalışan şifreleri açık bir yere yazar. Daha da kötüsü insanlar hatırlanması kolay, basit şifreler kullanma eğilimindedir, aynı şifreyi tekrar tekrar kullanırlar. Bu hataların tamamı bilgisayar korsanları için birer açık kapıdır.

Bu güçlü şifreler oluşturmak için yedi adım bilgisayar korsanı saldırılarını engellemenize yardım edecektir:

  1. Her bir hizmet için ayrı şifre oluşturun
  2. Şifrelerinizi düzenli olarak değiştirin
  3. Güçlü bir şifre seçin
  4. İki adımlı doğrulama kullanın
  5. Kullanıcı adı ve şifreler için otomatik tamamlamayı devre dışı bırakın
  6. Bir şifre yöneticisi kullanın – tüm kullanıcı şifrelerinizi güvenli bir şekilde saklayan bir uygulama veya program
  7. Şifrelerinizi e-posta yoluyla göndermeyin veya telefonda kimseye vermeyin

Güçlü şifreler oluşturmak o kadar da zor değildir. Şifrenizin ne kadar güçlü olduğunu ve bir bilgisayar korsanının bunu kırmasının ne kadar süreceğini size söyleyen bunun gibi bir şifre aracı kullanın. Ayrıca tamamen rastgele şifreler üreten bir güvenli rastgele şifre oluşturucu da kullanabilirsiniz.

Siber güvenlik deponuzu bilgisayar korsanlarının rahatça girip çıkabileceği bir arka kapı haline getirmemek için şifreleri bir anahtar olarak kullanmayı düşünüyorsanız, çalışanlarınızı güçlü şifrelerin önemi hakkında eğitmeniz çok önemlidir.

Nereden başlamalıyım?

  1. Tüm çalışanlarınızın şifrelerini Password Meter aracı ile kontrol etmesini sağlayın. Eğer şifreleri dakikalar veya hatta saatler içinde kırılabilir gibiyse kendilerinden şifrelerini daha güçlü bir şifreyle değiştirmesini isteyin.
  2. Mümkün olan her yerde tüm çalışan hesapları için iki aşamalı doğrulamayı kullanın.

D. İzinleri ayarların

Şirketinizde hassas bilgilere erişimi olan kişilerin kimler olduğunu düşünüyorsanız, cevap büyük ihtimalle çok fazla kişi olacaktır. Sisteminize erişimi kısıtlamak için önlemler alın. Yalnızca sisteminizi yönetmek ve yazılım yüklemek için yetkilendirilmiş kişilerin yönetici hesapları olmalıdır.

Şirketler ayrıca birçok çalışanın aynı kullanıcı adı ve şifreyi paylaşması konusunda umursamaz davranabilir. Bu şekilde, sisteminizde bir güvenlik ihlali olduğunda nasıl ve ne zaman gerçekleştiğini bulmak imkansızlaşır. Her çalışana, yaptığı işle ilgili izinlerin verildiği ayrı birer kullanıcı adı ve şifre verin. Windows kullanıyorsanız kullanıcıların şirketinizdeki rollerine göre farklı izinler atayabilirsiniz. Bir çalışan uzun süre yoksa veya işten ayrıldıysa, en kısa sürede onun erişim ve izinlerini ortadan kaldırın.

Nereden başlamalıyım?

  1. Her bir çalışanın sahip olacağı erişim seviyelerini belirlemek için sistem yöneticinizle çalışın.
  2. İzinleri değiştirin, böylece her bir çalışan yalnızca işinin gerektirdiği yazılım ve ayarlara erişebilecektir.

E. Kablosuz ağlarınızı koruyun

Bilgisayar korsanlarının sisteminize girebilecekleri bir başka yol da ofisinizin kablosuz internet ağıdır. Kablosuz ağlar bilgisayarları internete bağlamak için kablolar yerine radyo dalgalarını kullandığından, tek gereken, ağınızın radyo sahasına girmek ve şifreyi kırmak için birkaç ücretsiz program kullanmaktır. Birçok kablosuz cihazda bu tip durumları engellemek için güvenlik özellikleri olsa da genellikle bu cihazlarda kurulumu kolaylaştırmak için bu özellikler kapalı halde gelir.

Kablosuz bir ağ kullanıyorsanız bu güvenlik özelliklerinin açık olduğundan emin olun. Kablosuz erişimi sadece iş saatleriyle sınırlandırabilirsiniz, böylece bilgisayar korsanları sisteminize gece giriş yapamaz. Ayrıca kablosuz ağınızı belirli bilgisayarların erişimiyle sınırlandırırsanız, gelip geçenlerin de bağlantınıza sızmasını engellemiş olursunuz.

Nereden başlamalıyım?

  1. BT çalışanınıza kablosuz ağınızın en üst seviye güvenlik özelliklerinin açık olup olmadığını ve kablosuz ağın sadece iş saatleriyle sınırlı olup olmadığını sorun.

F. İnternette güvenli gezinin

Siz ve çalışanlarınız internette gezinirken etkinlikleriniz birçok küçük, kurnaz ve fark edilmeyen yöntemle takip edilir. Bu etkinlikler sizin izniniz olmadan üçüncü taraf aracılarla paylaşılabilir. Çalışanlarınız şirket verilerinizi çalabilecek tehlikeli sitelerde farkında olmadan gezinebilir. Ayrıca şahsi ve şirket bilgileriniz web sitelerine şifrelenmemiş bir bağlantıyla girilirse çalınabilir.

Bağlantınızı şifrelemenin ve hem işletmenizin, hem sizin, hem de her bir çalışanınızın şahsi gizliliğini temin etmenin en iyi yolu bir VPN yüklemektir. Bir VPN veya sanal özel ağ, şirket IP adresinizi maskeler ve tarama verilerinizi şifreler. Ayrıca tarama işlemlerinizi de anonim hale getirir, bu, şirketiniz sıklıkla rakipler hakkında araştırma yapıyorsa veya tarama geçmişiniz gizli bilgilerinizi rakiplerinize açabilecek durumdaysa önemli bir özelliktir.

VPN kullanmanın tek kötü tarafı, güvenilir ve zengin özelliklere sahip VPN hizmetlerinin aylık üyeliklerde pahalıya geliyor olmasıdır. Birçok kişi ve şirket bir alternatif olarak ücretsiz web proxy kullanmayı seçmiştir. Problem şu ki, bu ücretsiz proxy hizmetlerini kimin verdiği bilinmemektedir; bunlar bilgisayar korsanlarının bizzat kendileri olabileceği gibi, bu hizmetler birçok hükümet veya özel kurum tarafından bilgi toplamak amaçlı kullanılıyor da olabilir. Bir proxy, kimliğinizi ve ziyaret ettiğiniz sitelerdeki etkinliğinizi gizliyor olabilir fakat çevrimiçi yaptığınız her şeyi görebilir. Bu nedenle biz, güvenli internet taraması için bir proxy yerine bir VPN hizmetine yatırım yapmanızı öneriyoruz.

Ayrıca internet tarayıcınıza birkaç güvenlik özelliği ekleyerek de güvenliğinizi sağlayabilirsiniz. Firefox tarayıcı açık kaynak kodlu olduğundan, zaman içinde sayısız güvenlik eklentisi üretilmiştir. Bunların içinde çok amaçlı reklam engelleyiciler, şifreleme eklentileri, tarama verisi koruma, çerez ve ön bellek yöneticisi ve daha niceleri bulunmaktadır. Daha fazla bilgi için lütfen 20 Firefox güvenlik eklentisi önerisi listesine bir göz atın.

Nereden başlamalıyım?

  1. İşletme çözümleri sunan bir VPN hizmetine üye olmayı düşünün.
  2. Şirketiniz için uygun güvelik eklentileriyle Firefox tarayıcı kullanmaya başlayın.

G. Uzaktan çalışanların ve dışarıda çalışanların oluşturduğu hassas verileri koruyun

Birçok küçük işletme çeşitli görevlerin yapılması için uzaktan çalışan kişilerle çalışmaktadır. İnternet sayesinde dünyanın bir ucundaki kişilerle çalışmak çok kolaylaştı. Uzaktan çalışan birini tutmak birçok fayda sağlar; belirli bir teknik veya monoton iş için birini işe almanız gerekmez ve ayrıca önünüzde kaliteli adaylardan oluşan bir havuz bulunur. Bununla birlikte uzaktan çalışma siber güvelik boşlukları da içerir. Yukarıda belirttiğimiz güvelik önlemlerinden bazılarını uygulamaya geçirmiş olabilirsiniz, fakat korunan şirket ağınıza uzaktan çalışanlar, özellikle de herkese açık WiFi bağlantı noktası üzerinden erişiyorsa, güvenlik önlemleriniz etkisiz hale gelebilir.

Bölüm 2D’de tanımladığımız gibi bir mobil cihaz yönetimi çözümü, iş için seyahat eden çalışanlarınızı olduğu gibi uzaktan çalışanlarınızı yönetmenize de yardımcı olur. Daha da önemlisi uzaktan çalışan birisi şirket verilerinize erişirse bunu korunan şirket ağınız üzerinden yaptığından emin olabilirsiniz.

Windows uzak masaüstü bağlantı özelliği sunmaktadır fakat bu tek başına verilerinizi güvende tutmaya yetmez. Uzak çalışanlarla iş yapıyorsanız ve veri sızıntısı veya çalınmasını telafi edemeyecekseniz, uzak kullanıcıların önce ofis ağına girmesini sağlayan, özelleştirilmiş bir VPN kullanmanız akıllıca olur; daha sonra uzak masaüstü bağlantı özelliğiyle kendi makinelerini bağlayabilirler. Bu biraz karmaşık olabilir, dolayısıyla BT çalışanınıza ofis ağınıza özel bir VPN yapılandırmasını söyleyebilirsiniz.

Nereden başlamalıyım?

  1. Uzaktan çalışma politikanızı değerlendirin. Uzaktan çalışanlar şirket verilerine nasıl erişim sağlıyor ve bu veriler hassas mı?
  2. Uzak çalışanların ofis özel ağına bağlanmalarını sağlayacak güvenli ve güvenilir bir yöntem ayarlaması için BT yöneticinizle görüşün.

H. Müşterilerinizin verilerini koruyun

Hassas şirket verilerinizin kaybolması veya çalınması bir sorundur. Bir diğer sorun da müşteri bilgilerinizin çalınması veya kaybolmasıdır. Bu konuda ciddi yasal yaptırımlar bulunur; dolayısıyla müşterilerin hassas bilgilerine en üst düzey ilgiyi göstermek yararınıza olacaktır.

Tipik olarak müşteri verileri birçok noktadan geçiş yapar. Bir e-ticaret sitesi sahibiyseniz veya web siteniz üzerinden ödeme kabul ediyorsanız hassa bilgilerin (isimler ve kredi kartı detayları dahil) ilk geçişi müşterinin web tarayıcısından sizin e-ticaret sunucunuza olur. Bu verileri, hassas veri toplayan sitelerde bile, korumanın en iyi yolu sitenizin bir SSL sertifikası ve bir HTTPS protokolü kullandığından emin olmaktır. Müşteri bilgilerini şirket içinde aktarıyorsanız, yukarıda anlattığımız tüm güvenlik önlemlerini almalısınız, özellikle de bulut depolama ve transfer hakkında olanları uygulamalısınız.

Nereden başlamalıyım?

  1. E-ticaret sağlayıcınız veya şirket içi geliştiricilerinizle konuşup kredi kartı ve diğer hassas bilgilerin mümkün olan en güvenli şekilde depolandığından emin olun.

4. Siber güvenlik kültürünü iş ortamına yerleştirmek

Bu kılavuzda belirtilen önlemler çok kapsamlıdır ve eğer bu kılavuzlardan şirketinizle ilgili olabilecekleri takip ederseniz, bir siber saldırı riskini oldukça azaltmış olursunuz. Yani, işiniz sadece size aitse.

Bir çalışanın müşteri verisini güvenli olmayan bir bağlantıya göndermesi veya güvenli olmayan bir bağlantıya tıklayarak bir malware indirmesi demek tüm güvenlik sistemlerinizin ve harcadığınız onca emeğin çökmesi demektir. Bu nedenle alabileceğiniz en önemli güvenlik önlemi çalışanlarınızı siber güvenlik konusunda eğitmektir.

Diğer taraftan, iş yerinizde bir siber güvenlik kültürü yerleştirirseniz, siber güvenlik politikalarınızı ve neden koyulmuş olduklarını açıklarsanız ve şirket donanımını ve verilerini güvenli bir şekilde yönetmek için personelinizi yetiştirirseniz, çalışanlarınız, siber saldırılara karşı ilk ve en etkili savunma hattı olacaktır.

Çalışanlarınızın siber güvenlik planında yer almasını sağlamanın en iyi yolu onlarla iş birliği içinde tasarlamaktır. Onları plana dahil etmek, planın uygulanmasında motivasyonlarını artıracaktır. Çalışanlarınız aynı zamanda işinizdeki uzmanlar, şirketinizin zayıflıkları ve güçlü yanlarıdır. Hassas şirket verilerinizle gün boyu çalışanlar onlardır ve güvenlik açıklarının nerede olduğunu, hangi sistemlerin güçlendirilmesi veya geliştirilmesi gerektiğini size söylemek için en iyi konumda bulunmaktadırlar.

Siber güvenlik konuları ile ilgili olarak personelinizle düzenli eğitim oturumları düzenlemeye başlayın. Yukarıda özetlediğimiz gibi önemli güvenlik teknikleri üzerinde metodik olarak çalışılacak yer burasıdır. Şifrelerinin ve izinlerinin güncel olduğundan ve kırılmaları imkânsız olan şifreleri kullandıklarından emin olun. Fiziksel yapışkan notların üzerinde ya da masaüstünde şifreleri bırakmadıklarından emin olun. E-posta yoluyla kimlik avı saldırıları ve tehlikeli web sitelerinden kaynaklanan kötü amaçlı yazılımların risklerinden nasıl kaçınabileceklerini gösterin. Çalışanlarınıza bilgisayar korsanlarının onlardan bilgi almaya çalışabilecekleri sayısız hain yolu öğretin. Onları halka açık herhangi bir yerde gizli şirket bilgileri hakkında konuşmamaya teşvik edin; kiminle konuştuğunuzu ve kimin dinlediğini asla bilemezsiniz. Bu kuralları anlaşılması ve takip edilmesi kolay hale getirin. Çalışanlarınızın güvende kalmalarını sağlamak için basit adımlar içeren bir çıktı oluşturduk. Bunu ofis panosuna veya buzdolabına asabilir veya kişisel ihtiyaçlarınıza göre özelleştirebilirsiniz.

Yazılı bir politika ile siber güvenlik ilkelerine yer verin ve çalışanlarınızın bu politikanın bir kopyasını imzalamalarını sağlayın, bu sayede siber güvenliğin ne kadar ciddi bir sorun olduğunu anladıklarından emin olun. Personel sözleşmelerine sanal güvenlik unsurları yazabilirsiniz.

Her şeyden önce, siber güvenlik tehditlerinin sürekli değişip çeşitlendiğini unutmayın. Bilgisayar korsanları, bilgisayar sistemlerine girip verilerinizi çalmak için daha yaratıcı ve daha karmaşık yollar bulmaya devam ediyor. Siber güvenlikteki gelişmelere ayak uydurun ve personelinizi de bu gelişmeler konusunda eğitin.

Nereden başlamalıyım?

  1. Ofis panosuna siber güvenlik kılavuzu çıktısı asın ve bu e-posta taslağını tüm çalışanlarınıza gönderin
  2. Tüm çalışanlarınız için bir siber güvenlik eğitim programı oluşturmaya başlayın.

Kişisel not olarak, bu kılavuzun size ve önemsediğiniz kişilere siber güvenlik tehditleri karşısında korunma konusunda yardımcı olacağına inanıyoruz. Arkadaşlarınızın ve iş arkadaşlarınızın bilgisayar korsanı saldırılarından kaçınmasını sağlamak sizin için de bizim için olduğu kadar önemliyse lütfen bize küçük bir iyilik yapın ve bu makaleyi onlarla Facebook ve Twitter üzerinden paylaşın.

 

Sizin için faydalı oldu mu? Paylaşın!
Share on Facebook
0
Tweet this
0
Share if you think Google does not know enough about you
0