Benim KOBİ’me Bir Şey Olmaz..

Kobi’nizi Risk Altına Sokabilecek 5 Güvenlik Efsanesi!

Ufak ölçekli pek çok şirketin güvenlik anlamında önemli hataları bulunmaktadır. Şirketler verilerinin güvende olduğunu düşünürler çünkü güvenlik konusunda belli başlı bazı temel kavram yanılgılarına sahiptirler. Yani bu şirketler veri ve finansal kayıplar için açık kapı bırakmış vaziyettedirler. Şirketinizin network savunmasını ve önemli bilgilerin korunmasını sağlamak için gerekli olan 5 güvenlik efsanesinin ardında ki gerçekleri öğrenin ve KOBİ (Küçük ve Orta Boy İşletme)’nizi riske atmayın.

 

1. “Bize Bir Şey Olmaz çünkü Benim Şirketim Hedef Değil.”

kimlik hırsızlığı

Aslında sizin şirketiniz hedef konumundadır. Eğer siber suçluların istedikleri müşteri kredi kartı numaraları, yazılım lisansları, rekabetçi ürünler gibi değerli bilgilere sahipseniz, boyutunun ne olduğu önemsizdir. Esasında saldırganlar küçük çaplı şirketlerin inanmış olduğu bu efsaneden dolayı koruma altına almadıkları iletişim ağlarının zayıf olmasına güvenirler.

Son yapılan araştırmalar bu efsanenin daha da ilerlediği yönündedir. 2011 yılında Verizon şirketi tarafından yayınlanan Veri İhlali Soruşturma Raporu’na göre, siber saldırganlar küçük şirketleri ana hedef haline getirmiştir. Saldırganlar küçük ve fırsatçı saldırılarla şirketlerin iletişim ağlarını kırmaya çalışmaktadır. Ayrıca 2010 yılında yayınlanan Veri İhlali Raporu araştırmalarına göre yüzde 63’lük oranın 100 kişilik veya daha az çalışanın bulunduğu şirketlere yani KOBİ’lere yönelik olduğunu ortaya koymuştur.

Küçük çaplı şirketinizin hedef olduğuna yönelik daha fazla ispata mı ihtiyacınız var? Wall Street gazetesine göre, Visa araştırmacılarının bulguları doğrultusunda kredi kartı ihlallerinin yüzde 95’nin küçük çaplı şirketlere yönelik olduğu yönündedir.

Şirketinizin hedef olduğunu inanın, bunu kabul edin ve ağ güvenliğinizi şirket değerlerinize zarar verilmesini önleyecek şekilde düzenleyin.

2.“Bize Bir Şey Olmaz çünkü Güvenlik Duvarına Sahibiz.”

kimlik hırsızlığı

Güvenlik duvarı ağınızın tamamının erişim kontrolü için gerekli olan zorunluluktur ancak şirketinizin karşısına çıkabilecek bütün güvenlik tehlikelerinden de koruma gücü yoktur. Yine Verizon’un yayınlamış olduğu rapora göre, kolaylıkla engellenmiş olan güvenlik olaylarının yüzde 96’sı fiyat olarak ucuz olan güvenlik amaçlı antivirus ve kötü yazılımlara karşı yazılmış olan uygulama kaynaklıdır. Yani güvenlik duvarı başka tehditler için yazılmış korumalarla birleştirilebilir ve bunun en etkili yolu da bu uygulamaları düzenleyen, danışmanlık yapan belli başlı bilgi güvenliği kurumlarıyla ortak bir çalışma yapmaktan geçmektedir.

Ayrıca şunu da belirtmekte fayda var; Sizin şirketiniz sadece yeni tehditlere
karşı uyarı vermemeli, aynı zamanda iş gelişiminiz ve değişimleriniz
doğrultusunda yeniden gözden geçirilmeli ve ihtiyaç varsa tekrardan
ayarlanmalıdır. Şirket ihtiyaçlarınız doğrultusunda düzenlemiş olduğunuz
güvenlik duvarı ayarlarınız uzun süreli koruma sağlamayacaktır. Örneğin; eğer
ağınıza uzaktan erişim sağlamak için ayarları değiştirmek istiyorsanız, güvenlik
duvarınız sanal özel ağ (VPN) üzerinden yetkilendirmeye ihtiyaç duyar.

3.“Kabul Edilebilir Kullanım Politikası’na İhtiyacımız Yok çünkü Biz KOBİ’yiz!”

kimlik hırsızlığı

Şirketiniz de çalışan sayısı bir elin parmakları kadar ve aile şirketi olabilir ancak şirketinizin ağ kurallarını uygulamak ve bu kurallara herkesin uyduğundan emin olabilmek için kesinlikle “Kabul Edilebilir Kullanım Politikası’na” (Acceptable Use Policy) ihtiyacınız var.
“Kabul Edilebilir Kullanım Politikası” şirketinizin güvenlik hareketlerinin güçlenmesine ve yanlış giden herhangi bir ihtimale karşı da bir tür sigorta gibi hareket etmenize yardım eder. Ayrıca çevrimiçi davranış ve ağ kullanımının uygunluğu ile kuralların delinmesi halinde ne gibi yaptırımların uygulanacağını belirleyen kısımları özetler. Ayrıca bu politika, insan kaynaklarının yükümlülüklerini ve çalışanların haklarının desteklenmesini de gözetler.

4.“Felaket Senaryolarına İhtiyacımız Yok çünkü Bize Bir Şey Olmaz.”

kimlik hırsızlığı

Kasırgaların ve fırtınaların yarattığı yangınlar için, şirketlerin kaybedebileceği kritik veriler için ve önemli para kaybı durumları için felaket senaryolarına veya iş sürekliliği planına ihtiyaç duyulmaktadır. Dahası şirketler ufak olaylardan da etkilenebilir mesela sunucu kasasının çalınması veya çalışanlardan birinin yanlışlıkla çok kritik bir dosyayı silmesi gibi.
Birçok küçük şirketin henüz bir felaket senaryosu veya iş sürekliliği planı bulunmamaktadır. Symantec şirketinin 2011 yılında yapmış olduğu “Felaketlere Hazırlık” anketine göre, katılımcıların yüzde 50’si şirketlerinde bir plan uygulamadıklarını ve yüzde 14’ü de böyle bir şey planlamadıklarını belirtmiştir. Kesinlikle böyle bir hata yapmayın. Daima önlemlerinizi önceden alın veya bu konuda tecrübeli olan bu işi yapan kurumlara danışın.

İş sürekliliği planı bilgisayar sistemlerinizin çökmesi durumunda adım adım onarılma sürecini içerir ve verilere tekrar erişilmesine ve olabildiğince hızlı hareket edilmesine yardım eder. Ayrıca bu planı uygulayarak düzenli olarak yedekleme yapabilir ve onarmak için nasıl kullanılması gerektiğini açıklayabilir veya gerekli olan yerlere gereken yerleştirmelerin yapılmasına vesile olabilirsiniz.

Felaket senaryoları veya iş sürekliliği planlamalarını öğrenmek için ve danışmanlık almak için bu iş üzerine çalışmakta olan belli başlı kurumlarla iletişime geçerek KOBİ’nizin hızla gereken önlemleri almasına öncülük etmesini ve sizlere gereken hizmeti sağlayabilirsiniz.

5.“Bize Bir Şey Olmaz çünkü Verilerimizi Yedekledik ve Güvenceye Aldık.”

kimlik hırsızlığı

Daha önce bahsedilmiş olan diğer 4 başlıktakilere karşı önlem almış olsanız bile, verilerinizin güvencede olmasını emin ellerde olarak görmeyin. Verilerinizi güvence altına almanızda ki anahtar rol; verilerinizin temiz olması, test edilmiş olması ve güvenli yedeklemelerinin yapılmış olmasından geçer. Eğer şirketiniz güvenlik kazası geçirirse veya doğal affetten zarar görürse, sizi tekrar iş görür konuma getirecek olan kesinlikle almış olduğunuz yedeklemeleriniz olacaktır. Aksi takdirde size maddi ve manevi kaybı büyük olacağı gibi sizi keşke demekle karşı karşıya bırakacaktır. Bu sebepten; yedeklemelerinizi çalışabilirliğini ve geri alınabilirliğini bilmeniz son derece önemlidir. Ayrıca yedeklemelerinizin her zaman çalışabileceğini sanmayın. Yedeklemelerinizi düzenli olarak test ederseniz doğru yedeklemeleri aldığınızı bilirsiniz. Böylece yedeklemeleriniz istediğiniz gibi çalışacaktır ve çalışanlarınız da nasıl kullandığını bilecektir.

Ağ güvenliği her geçen gün sürekli olarak değişim gösteriyor. Yeni tehditler ve bu tehditlere karşı alınacak yeni önlemlerle sonsuz döngüye girmesine engel olabilirsiniz ve ağ savunmanıza karşı yapılabilecek muhtemel sızıntıların da farkına varabilirsiniz. Eğer bu konu da herhangi bir deneyiminiz yoksa profesyonel olarak bu işle ilgilenmekte olan şirketlerle iletişime geçerek yardım alabileceğiniz gibi aynı zamanda bu kurumların size danışmanlık yaparak KOBİ’niz için gerekli olan önlemleri almasını sağlayabilirsiniz.

Siz bu bahsetmiş olduğumuz efsanelerden birinin veya birkaçının kurbanı oldunuz mu? Şirketlerinizi korumak için ne gibi önlemler aldınız? Unutmayın KOBİ’nizin süreci ve gelişimi için alacağınız doğru güvenlik önlemleri en önemli etkenlerdendir.

Rauf DİLSİZ

Referanslar:
http://blogs.cisco.com/smallbusiness/believing-these-5-security-myths-could-put-your-business-at-risk/