Küçük işletmelerin ve yeni kurulan şirketlerin, konu siber güvenlik olduğunda bazı ekstra zorluklarla karşı karşıya olduğu biliniyor. Tam teşekküllü, özel bir güvenlik ekibine sahip olacak büyüklük veya bütçeye sahip olmadıkları için, genellikle önerilen ve hatta gerekli olan her şeyi yapacak zamanı olmayan tek bir kişi söz konusu olur. Çoğu zaman güvenlik sorunları sadece ihtiyaç duyulduğunda ele alınır.
İlk sorun orada var. İhtiyaç ortaya çıktığında çoğu zaman artık çok geçtir. Bir enfeksiyon bulundu, bir ihlal tespit edildi veya fidye yazılımı sistemleri devre dışı bıraktı veya dosyaları geri alınamaz hale getirdi.
Küçük işletmeler de sıklıkla kendilerini hedef olarak görmezler, ancak ihlale uğramak veya virüs bulaştırmak için açıkça hedef alınmanıza gerek yoktur. İşletmenizin ne kadar küçük olduğuna bağlı olarak, aşağıdaki ipuçları sizin koşullarınıza ve içinde bulunduğunuz iş koluna bağlı olarak tehdit modelinize göre az ya da çok önemli olabilir.
1. Çalışanlarınızı etkinleştirin
Personelinizin kendilerinden ne beklendiğini ve ne yapmaması gerektiğini bilmesi gerekir.
- Siber güvenliği şirket çapında bir sorun haline getirin, ancak aynı zamanda bu görevi gerçekleştirmek için gereken zamanın ve araçların yanı sıra sorumluluğu olan bir sorumlu kişiyi de atayın.
- Çalışanlarınızı güvenlik farkındalığı konusunda eğitin; böylece kimlik avı girişimlerini tanıyabilirler ve şirket tarafından verilen donanımlarda ne yapıp yapamayacaklarını öğrenebilirler.
- Zaman alıcı ve uzmanlık gerektiren görevleri dış kaynaklardan sağlamayı düşünün. Sonuçta bu, kendi personelinizle yapmaya çalışmaktan daha uygun maliyetli olabilir.
2. Ekipmanınızı tanıyın
Ağ ekipmanınız, uç noktalarınız ve cihazlarınızın farkında olmanız önemlidir. Yalnızca neyin korunması gerektiğini bilmek değil, aynı zamanda zayıflıkların nerede bulunabileceğini de bilmek.
- Evden çalışmak için kullanılan (WFH) veya BYOD programına dahil olan cihazlara özellikle dikkat edin. İş ve eğlencenin aynı cihazda bir araya getirilmesinin güvenlik risklerini beraberinde getirdiğini açıkça belirtin.
- Özellikle hızlı büyüyen küçük bir işletmeyseniz ortamınızı düzenli olarak denetleyin. Bu şekilde ne kullandığınızı ve nelerin yükseltilmesi, değiştirilmesi veya güncellenmesi gerekebileceğini bilirsiniz.
3. Yamalarınızı ve güncellemelerinizi en kısa sürede alın
Ortamınızdaki donanım ve yazılımı kurduktan sonra etkili yama ve güvenlik açığı yönetimi gerçekleştirmeniz gerekir.
Bu görev için özel bir yazılıma sahip olmak veya dış kaynak kullanmak bir seçenek değilse, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından sağlanan Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna göz atmak iyi bir fikir olabilir. Bu katalog, Federal Sivil Yürütme Organı (FCEB) kurumlarına yaygın olarak kullanıldığı bilinen güvenlik açıklarının bir listesini sağlar ve kurumlara, güvenlik açığının kuruluşlarında ne zaman yamalanması gerektiği konusunda bir son tarih verir. Kuruluşunuz Bağlayıcı Operasyon Direktifi 22-01’e uyması gereken bir FCEB kurumu olmasa bile, CISA listesi yama yönetimi stratejiniz için iyi bir rehber görevi görür.
En büyük ve en önemli güncellemeler ve yamalardan haberdar olmak için güvenlik haber sitelerini takip edin.
4. İşleri kilitleyin
Önemli varlıklarınızı güçlü parolalar ve çok faktörlü kimlik doğrulama (MFA) ile korumaya yönelik katı bir politikaya sahip olmak, hiç düşünmeden yapılmalıdır. Tek oturum açma hizmetini kullanarak veya alternatif olarak onlara bir şifre yöneticisi sağlayarak personelinizin işini kolaylaştırmayı düşünün.
Çok önemli dosya ve belgeler, meraklı gözlerden korunmak için şifrelenebilir veya parola korumalı klasörlerde saklanabilir. Çalınan veya kaybolan bir cihaz, gizli bilgiler konusunda endişelenmenize gerek kalmadan yeterince streslidir.
5. Güvenlik duvarı ve VPN kullanın
Güvenlik duvarı, bir ağa giriş noktasını korurken VPN, iki ağ arasında şifreli bir tünel oluşturur. Her ikisi de ağınızı korumak için kullanılabilir.
Şirketinizin internete yönelik varlıkları varsa ve kimlerin yoksa ağ bölümlendirmesini uygulamak önemlidir. Ağ bölümleme işlemi, bir bilgisayar ağını alt ağlara ayırır ve ağın her bölümünün farklı bir protokol kümesiyle korunmasına olanak tanır. Her segment rol ve işlevselliğe göre ayrılarak farklı güvenlik seviyeleriyle korunabilir. Küçük kuruluşlar için ortak bir adım, internet erişimi gerektiren sistemleri gerektirmeyenlerden ayırmaktır.
Uzak masaüstü protokolü (RDP), varlıkların uzaktan yönetimine olanak tanıyan bir ağ iletişim protokolüdür. Kullanıcıların sistemlere uzaktan giriş yapmasına ve sanki fiziksel olarak oradaymış gibi üzerinde çalışmalarına olanak tanır. RDP bazen gerekli bir kötülüktür ancak onu daha güvenli hale getirmenin yolları vardır.
6. Sistemlerinizi koruyun
Tüm cihazlarınızın siber güvenlik çözümleriyle korunduğundan emin olun. Okuyucuların sizin çalışanlarınız mı yoksa bir sağlayıcının çalışanları mı olduğuna bakılmaksızın, günlüklerin sindirimi ve anlaşılması kolay olmalıdır. Pek çok gereksiz uyarı iş akışınızı kesintiye uğratacaktır ancak önemli olanları kaçırmak istemezsiniz. Bu nedenle, özellikle sınırlı bir kadroyla denge önemlidir.
7. Tedarik zincirinizin güvenliğini göz önünde bulundurun
İşletmelerin, sağlayıcılarının veya kaynaklarına erişimi olan diğer kişilerin ne düzeyde koruma sağladığını anlamaları gerekir. Fidye yazılımı bulaşıcıdır, dolayısıyla sağlayıcılarınızda varsa muhtemelen sizde de olacaktır. Tedarik zinciri saldırıları en güvenilir sağlayıcınızdan gelebilir ve yine de felaketle sonuçlanabilir.
Uyumluluğu ve sertifikaları kontrol edin. Tedarikçinin türüne ve varlıklarınıza erişim düzeyine bağlı olarak bazı standartların belirlenmesinde yanlış bir şey yoktur. Örneğin, BT hizmetleri tedarikçiniz bir siber sertifika alarak iyi düzeyde bir siber güvenlik sergileyebilir. Tedarikçinizin devlet kurumları tarafından yeterince iyi kabul edilen bir siber güvenlik standardına uygun olduğunu bilmek de yardımcı olabilir.
8. Bir kurtarma stratejiniz olsun
Ortamınızı güvence altına almak için gösterdiğiniz tüm çabalara rağmen bir güvenlik sorunu ortaya çıktığında, sonuçları kontrol altına almaya ve bunlarla başa çıkmaya hazır bir planınız olmalıdır.
- Yedeklemeler. Mümkün olduğunca güncel ve dağıtılması kolay yedeklere sahip olduğunuzdan emin olun. Orijinali yok eden aynı aksilik nedeniyle bozulmayacak bir ortamda (tercihen farklı bir operatörde, fiziksel konumda ve ağda) yedekler oluşturun.
- İhlal durumunda hangi yasal kurumu bilgilendirmeniz gerektiğini bilin. Bu, özellikle Kişisel Olarak Tanımlanabilir Bilgiler (PII) söz konusu olduğunda önemlidir. Her ABD eyaletinin farklı veri ihlali bildirim yasaları olduğundan, burada yönergeler vermek zordur; dolayısıyla bunu kendi yargı alanınız için önceden planlayın. Ayrıca bir ihlal durumunda müşterilerinizi nasıl bilgilendireceğinizi ayrıntılarıyla anlatan kritik bir iletişim planınız olsun.
Küçük işletmenizi koruyun
Şahıs sahipleri, butik işletmeler ve küçük ofisler için siber güvenlik sağlıyoruz; BT becerisine gerek yok. Kendinizi Malwarebytes for Teams ile koruyun.