İnternette, bir startup’ı nasıl ayakta tutacağınıza dair milyonlarca ipucu bulabilirsiniz. Danışmanlar genellikle iş planlaması, pazarlama stratejisi, ilave yatırım alma vb. konulara dikkat çekse de bu konuda yazılan makalelerde sağlam bir siber güvenlik sistemi oluşturma sorunundan nadiren bahsedilir. Bununla birlikte tehditlerin net bir şekilde anlaşılamaması, potansiyel olarak bir startup’ın başarısına mal olabilir. Bu sebeple en tipik siber güvenlik hatalarından ve daha da önemlisi bunların nasıl önlenebileceğinden bahsetmeye karar verdik.
Sorunun kaynağı
Tipik bir startup hikayesi: Arkadaşınızla birlikte parlak bir fikir buluyorsunuz, bunu yakın çevrenizle tartışıyorsunuz, konuya ilgi duyan kişileri bir araya getiriyorsunuz ve işte rüya takımı hazır. Airbnb, Pinterest, Twitter, Uber ve diğer birçok ünlü projenin hikayesi böyle başladı.
Bununla birlikte bir startup için durum, fikrin ortaya çıkışından gerçek iş akışları oluşturmaya ve personelin işe alım aşamasına geldiğinde sorunlar ortaya çıkar. Bu noktada, benzer fikirlere sahip insanlardan oluşan küçük grup büyür ve farklı bakış açılarına ve farklı hayat tecrübelerine sahip rastgele insanlardan oluşan bir ekip haline gelir. Böyle bir ekipte çalışanlar, hangi bilgilerin gizli olarak kabul edilmesi gerektiği ve bu bilgilerin nasıl güvende tutulacağı konusunda çok farklı anlayışlara sahip olabilir.
Örneğin; bir çalışan, online bir servisin parolasını bir tahtaya yazmanın uygun olacağına karar veriyor — düşüncesine göre bunu yaptığında ihtiyacı olan herkes parolaya hızlı ve kolay bir şekilde ulaşabilecektir. Başka bir çalışan da ofiste çektiği bir selfie’yi sosyal medyada paylaşarak altına “kim herkesin görebileceği bir yerdeki tahtaya gizli bir şey yazar ki?!” yazıyor. Bu tür bir yanlış anlama, yeni startup’ların siber güvenlik sorunlarıyla karşılaşmasının nedenlerinden biridir. Sorun ancak kurumsal bir siber güvenlik kültürü geliştirilerek çözülebilir.
Aynı zamanda, startup’larda çalışan insanlar genellikle meraklı ve maceraperesttir – fikre hızlıca aşık olurlar ve çoğu zaman ilgi alanlarını hızla değiştirip ayrılabilirler. Ek olarak, çoğu zaman modern startup’lar, genellikle birkaç yıl içinde bir işten diğerine geçme eğiliminde olan BT uzmanlarına bağlıdır.
Bu iki gerçeğin birleşimi yüksek çalışan devir hızına neden olabilir. Bu gibi durumlar, özellikle siber güvenlik konusundakiler olmak üzere bir çok hatanın artmasına yol açabilir. Bu nedenle, kolayca önlenebilecek bir siber tehdidi gözden kaçırmak kolaylaşır.
Siber güvenlik konusunda yapılan tipik hatalar
Varsayalım ki küçük startup’ınızın nasıl tam teşekküllü bir iş haline geldiğini fark etmediniz. Şimdiye kadar hangi siber güvenlik hatalarını yapmış olabilirsiniz?
Gerekenin üzerinde verilen erişim hakları
Genellikle bir startup çalışanı, kurumsal kaynaklara veya hizmetlere erişmesi gerektiğinde hemen yönetici haklarına sahip olur. Bu erişim haklarını paylaşan kişi, belirli bir çalışanın gerçek ihtiyaçlarını ve sorumluluklarını anlamadan, her hafta yeni erişim talepleri almaktansa, genellikle her şeye bir kez erişim vermenin daha kolay olduğunu düşünür. Ancak bir çalışanın sahip olduğu fazla erişim hakkı ile hata olasılığı artar. Siber olay sayısını en aza indirmek istiyorsanız, her iş akışı katılımcısı yalnızca görevleri için gerekli olan erişim haklarına sahip olmalıdır.
Yetersiz bilgi depolama sistemi kuralları
Genel olarak bakıldığında bu, yalnızca startup’lar için değil her bir işletme için kötüdür. Ancak bir startup’ta, yukarıda bahsedilen personel devir hızı nedeniyle, günün birinde önemli iş dosyalarına ulaşamayabilirsiniz. Büyük olasılıkla bir yerlerde duruyorlardır ama neresi olduğu tam bir bilinmez. Bir geliştirici veya pazarlama stajyeri bir zamanlar yerini biliyordu ancak yakın zamanda kimseye söylemeden şirketten ayrıldı.
Unutulan parolalar
Sıklıkla karşılaşılan diğer bir sorun, sosyal ağlardaki kurumsal hesapların veya nadiren kullanılan diğer hizmetlerin parolalarının unutulmasıdır. Belki de yeni bir personel, işi tanıtmaya yardımcı olmak için bir Facebook veya LinkedIn hesabı açtı ancak hesap ayrıntılarını diğer personelle paylaşamadı ve ardından hemen başka bir görev için şirketten ayrıldı – oturum açma bilgileri kurtarma ihtimali neredeyse imkansız halde kayboldu.
Paylaşılan parolalar
Bazı insanlar, yüksek personel devir hızı olan şirktelerde paylaşılan hesaplar kullanmanın iyi bir fikir olabileceğini düşünebilir. Ancak bir parolayı ne kadar çok kişi bilirse, kimlik avı, ihmal veya kötü niyet nedeniyle sızıntı yaşanma olasılığı da o kadar yüksek olur. Buna ek olarak bir olay olduğunda bu durum soruşturmayı büyük ölçüde karmaşıklaştırır. Diyelim ki birisi bir hesaba erişim sağladı – uzmanlar parolanın kötü amaçlı yazılım tarafından ele geçirildiğinden şüpheleniyor ve erişimi olan bir çalışanın bilgisayarını kontrol etmek istiyor. Sadece herkesin sahip olduğunu bulmak için!
Bulut hizmetlerindeki parolalar
Parola ile ilgili yapılan başka bir hata, bunları Google Docs’ta bir dosyada saklamaktır. Paylaşımın yanlış oluşturulması genellikle bağlantının, ona sahip olan herkes tarafından erişilebilir olduğu anlamına gelir. Bunun en büyük avantajı, gerekli bilgileri tüm çalışanlara aktarmanın çok uygun olmasıdır; bunun için gerekli tüm parolaları tek bir belgeye koymak ve bir bağlantı göndermek yeterlidir. Ancak, Google Docs’taki dokümanlar arama motorları tarafından indekslenebilir. Başka bir deyişle, tüm parolalarınızın yer aldığı dosyanın yanlış ellere geçme potansiyeli bulunur.
İki faktörlü kimlik doğrulama kullanılmaması
Startup’lar iş hesaplarında iki faktörlü kimlik doğrulama kullanma konusunda ihmalkar davranmasaydı, parolalarla ilgili sorunlardan bazıları daha az tehlikeli olurdu. Bu yöntem, önemli verileri kimlik avı gibi çeşitli hırsızlık yöntemlerinden korumanıza olanak tanır. Her şeyden önce, Upwork gibi tüm finansal hizmetlere iki aşamalı koruma getirilmelidir.
Evrensel siber tehdit önleme ipuçları
Birçok küçük işletmenin ve startup’ın yaptığı ‘tipik’ hatalardan kaçınmak için şu ipuçlarına uymaya çalışın:
- Kaynaklara veya hizmetlere erişim izni verme söz konusu olduğunda, en az ayrıcalık ilkesini Diğer bir deyişle, bir çalışanın en düşük erişim hakları kümesine sahip olması gerekir – yalnızca görevlerini yerine getirmeye yetecek kadar.
- Startup’ınıza ait önemli bilgilerinin tam olarak nerede saklandığını ve bunlara kimin erişimi olduğunu bilin. Bundan yola çıkarak, yeni çalışanları işe alırken, her bir çalışan için hangi hesapların gerekli olduğunu ve hangilerinin yalnızca belirli roller için sınırlandırılması gerektiğini açıkça tanımlayan yönergeler geliştirin.
- Gelişmiş kurumsal siber güvenlik kültürü, birçok siber tehdidin önlenmesine yardımcı olur. Örneğin, herkesin aynı fikirde olması için çalışanlara yönelik bir siber güvenlik kılavuzu oluşturmaya başlayabilirsiniz. İşte yeni çalışanlar için iyi bir örnek.
- Tüm parolalar güvenli bir parola yöneticisinde saklanmalıdır. Bu, çalışanlarınızın parolaları unutmamasına veya kaybetmemesine yardımcı olur ve ayrıca dışarıdan birinin hesaplarınıza erişme şansını en aza indirir. Ayrıca mümkün olan her yerde iki faktörlü kimlik doğrulama mekanizmalarını kullanın.
- Çalışanlarınıza masadan uzaklaştıklarında bilgisayarlarını kilitlemelerini tavsiye edin. Bir ofisin kuryeler, müşteriler, taşeronlar veya iş arayanlar dahil olmak üzere her türlü üçüncü şahıs tarafından ziyaret edilebileceği unutulmamalıdır.
- Cihazları virüslerden, truva atlarından ve diğer kötü amaçlı programlardan korumak için antivirüs yazılımı yüklemeyi düşünün
Kaspersky Small Office Security ile çok sayıda tehdit önlenebilir. Bu çözüm, yalnızca çalışanlarınızın cihazlarını fidye yazılımlarından ve diğer yaygın siber tehditlerden korumakla kalmaz, aynı zamanda bir parola yöneticisi de içerir.