İşletmeniz bu 5 siber güvenlik hatasını mı yapıyor?

Yeni girişimciler işlerini kurmak ve mevcut trendlerden yararlanmak için acele ederken, genellikle güvenliğin temellerini ihmal edebilir ve kendilerini savunmasız bırakabilirler. Yeni bir küçük işletme sahibi olarak hangi siber güvenlik hatalarından kaçınmalısınız ve halihazırda yapmakta olduğunuz herhangi bir hata var mı? 

Küçük işletmelerin büyük şirketler kadar sık ​​​​hedef alınmadığına inanıyor olabilirsiniz, ancak bu doğru değil. İş geliriniz daha düşük olabilir ancak saldırganlar yine de ağınıza sızarak hassas müşteri ve iş ortağı ayrıntılarını ele geçirebilir.

Bu makalede küçük işletmenizin yapıyor olabileceği beş siber güvenlik hatasını inceleyeceğiz. 

Küçük işletmeler için siber güvenlik neden önemlidir?

Müşterilerinizi ve müşterilerinizi korumak, finansal verilerinizi veya banka bilgilerinizi korumak kadar önemlidir. Veri ihlallerine maruz kalan ihmalkar işletmeler, Genel Veri Koruma Yönetmeliği (GDPR) ve Kaliforniya Tüketici Gizliliği Yasası (CCPA)  gibi yasa ve standartlar uyarınca para cezasına çarptırılabilir ve ücretlendirilebilir .

Bu, işletmenizin itibarına ve mali durumuna zarar verebilir. Aslında küçük işletmelerin %60'ı bir siber saldırıya ve/veya veri ihlaline maruz kaldıktan sonra altı ay içinde kapanıyor.

Küçük işletmenizin yapıyor olabileceği siber güvenlik hatalarından bazıları nelerdir?  

1. Siber güvenliğe en son öncelik vermek

Bir işletme sahibi olarak siber güvenlik söz konusu olduğunda proaktif olmanız gerekir . Bu, BT ve ağ altyapınızı kurarken siber güvenliği ön planda tutmak anlamına gelir. İşletmenizin hangi bölgelere ve düzenlemelere tabi olacağını araştırmalısınız. Daha sonra bu veri düzenlemeleri ve kısıtlamalarıyla ilgili tüm belgeleri, yönergeleri ve materyalleri kapsamlı bir şekilde incelemelisiniz.

Bu size BT altyapınızı  planlarken ve oluştururken hangi araçları, protokolleri ve uygulamaları uygulayacağınıza dair bir fikir verecektir .

Örneğin, e-ticaret mağazanız için bir ödeme akışı oluştururken her zaman şunu unutmayın: 

• Gereksiz kişisel bilgileri (PII) saklamayın.
• Bilgiyi yalnızca iş gereksinimlerini karşıladığı sürece elinizde tutun.
• PII'yi gereksiz yere kullanmayın.

Ayrıca, sizinle çalışan veya web sitenizde size yardımcı olan herkesin iyi güvenlik uygulamalarına uymasını sağlamalısınız. Sonuçta, "önce güvenlik" işletmenizin mantrası olmalıdır.   

2. Mantıklı erişim kontrolünün uygulanmaması

İçeriden gelen tehditler yalnızca büyük şirketleri etkilemez. Ayrıca küçük şirketler için  de güvenlik riski oluşturabilirler .

İşletme sahiplerinin, web sitesi destek personeline ve serbest çalışanlara bir web sitesinin tüm öğelerine veya e-ticaret verilerine erişim izni vermesi cazip gelebilir. Bu büyük bir hayır-hayır. Herkes yalnızca görevlerini gerçekleştirmek için gerekli olan erişime sahip olmalıdır. İstemcilere veya sunuculara tam yönetim erişimine sahip olmamalıdırlar.

3. Şifreler konusunda gevşek olmak

Bu son noktayla birlikte gider. Kimlik doğrulama araçlarını zayıfsa ve atlanabiliyorsa kullanmanın bir anlamı yoktur. 'password123' gibi zayıf şifreler kullanmak, hiç şifre sahibi olmamaktan farklı değildir. 

Parola tabanlı kimlik doğrulamayı uyguladığınızda, kendiniz ve dijital varlıklarınıza erişimi olan herkes için benzersiz ve güçlü parolalar zorunlu kılın. 

Bazı yaygın şifre kuralları şunları içerir:

• Belirli bir uzunluğun (7) üzerinde, küçük harf, büyük harf, özel ve sayısal karakterlerin karışımından oluşan benzersiz karmaşık şifreler kullanın ve basit sözlük sözcüklerini şifre olarak kullanmaktan kaçının. Bu, şifrelerinizin kaba kuvvet saldırılarına karşı korunmasını sağlayacaktır. 
• Parolaları güvenli bir şekilde saklayın ve şifreleyin.
• İki faktörlü kimlik doğrulama ekleyerek parola veya kimlik doğrulama atlamasına karşı koruma sağlayın.
• Bir kullanıcı şifresini çok fazla (en yaygın olarak üç kez) yanlış girdiğinde bir profil/kimlik bilgisi kilidi/blok uygulayarak kaba kuvvet saldırılarına karşı koruma sağlayın.

4. Kapsamlı şifrelemenin kullanılmaması

Şifrelenmesi gereken tek bilgi şifreler değildir. Kullanıcının kişisel bilgileri (PII) ve mali kayıtlar gibi hassas iş verileri, yalnızca depolandıktan sonra şifrelenmemelidir. İletildikleri kanalların da şifrelenmesi gerekir. Hassas veriler yaşam döngüsü boyunca  güvende tutulmalıdır .

Şirketiniz verileri şifrelemek için sektörde test edilmiş ve kabul edilmiş yöntemler kullanmalıdır . Ayrıca konfigürasyonlarınızı ve yedeklemelerinizi düzenli olarak kontrol etmelisiniz. Bu, verilerin bütünlüğünü ve şifrelenmesini sağlayacaktır.

5. Ağınıza güvenli uzaktan erişim sağlayamamak

Özellikle uzaktaki çalışanları ve serbest çalışanları işe almayı planlıyorsanız, ağınıza uzaktan erişimi güvence altına almanız gerekir. Şirketiniz çalışanlara uzaktan erişim sağlıyorsa bu erişim noktalarının güvenli olduğundan emin olmalısınız.

Uzaktan bağlanan her cihaz, güvenlik tehditleri için potansiyel giriş noktaları oluşturur . Bu nedenle uç nokta güvenliğini sağlamak önemlidir. Bu, ağınıza bağlanan her cihazın, ağınıza erişmeden önce şirketinizin özel güvenlik gereksinimlerine uymaya zorlanması anlamına gelir. 

Yüksek maliyetli kesinti sürelerini önlemek için iyi güvenlik uygulayın      

Elbette işletmenizin BT altyapısının barındırabileceği tek siber güvenlik kör noktaları bunlar değil. Örneğin, ağınızı bölümlere ayırmamak ve yeni güvenlik açıklarını düzenli olarak izlememek de sizi risk altında bırakabilir. Şirketinizin ayrıca ağınızdaki belirli IP adresleri ve bağlantı noktalarına olan bağlantıları kısıtlaması ve uzak cihazların belirli ağ kaynaklarına ne kadar süreyle erişebileceğine ilişkin bir zaman sınırı koyması gerekir. 

Ancak bugün burada ele aldığımız yukarıdaki beş güvenlik hatasını yapmadığınızdan emin olmak, küçük işletmenizin günümüzün siber suçlularına karşı diğer küçük işletmelerin çoğundan  çok daha iyi korunmasını sağlayacaktır.