Kurumsal firmaların en çok yaptığı güvenlik hataları ve açıkları nelerdir?
Günümüzde küçük ya da büyük fark etmeksizin, tüm şirketler için büyük önem taşıyan konuların başında güvenlik gelmektedir. Kurumsal firmalar bazende bizim özel bilgilerimize sahiptir. Bu sebeple güvenlik konusu için bir hayli kafa yorulması gerekmektedir. Çünkü zamanında yapılmayan düzenlemeler, itibar kaybına neden olacak ve gelecekte astronomik masraflar olarak karşınıza gelecektir. Üstelik şu kesinlikle bilinmelidir ki, güvenlik ihlallerinin çoğu önlenebilirdir. Bu yazımızda bilişim uzmanları tarafından Kurumsal firmaların en çok yaptığı güvenlik hataları ve açıkları nelerdir? Şirketlerin sanal güvenlik açığı için yapması gereken 21 öneri ile nasıl güvenli bir şirket olunur? sorularının cevabı hazırlanmıştır.
Kurumsal firmaların en çok yaptığı güvenlik hataları ve açıkları nelerdir?
Bugün küçük, büyük ayırt etmeksizin, tüm firmalar çevrimiçi tabanlı çalışmaktadır. Hal böyle olunca doğru teşhislerde bulunabilmek ve proaktif veri güvenliği çözümlerini benimsemek gerekir. Birçok şirket için güvenliği sağlamak en ön planda olmalıdır. Bu sebeple dikkat edilmesi gereken ilk kural güvenliktir.
Güvenlik konusunu ele alacak olursak; şirketler özellikle dikkat etmelidir demiştik. Bunun sebebi de gelecek zamanda farkına vardığınızda çok astronomik rakamlar ile karşılaşmanız olacaktır. Hatta bilinen raporlara göre de 2013 yılında birçok küçük işletme güvenlik ihlalleri ile yüz yüze gelmiştir. Dolayısıyla bu durum, çok ciddi kayıplara da yol açmıştır. Güvenlik ihlalleri her şeyden önce, firmanın itibarını zedelemektedir. Üstüne bir de yıllık olarak yaklaşık 35.000 – 40.000 tl aralığında maliyet çıkarmaktadır. İşin özü, eğer bir şirket küçük ya da büyük fark etmez. Hedefe konuldu ise mutlaka zarar görecektir. Önemli ve ciddi kayıplar verecektir. Ayrıca bu maliyetler, belki büyük şirketleri çok etkilemez ama orta ya da küçük işletmeleri çok büyük şekilde sarsacaktır.
Fakat önemli olan konu ise bahsi geçen bu güvenlik ihlallerinin önlenebilir olmasıdır. Bunun yanında bazı şirketler de karmaşık ve hedefli olan saldırılara maruz kalabilir. Küçük ya da ortak ölçekli işletmelerde ortalama olarak tabir ettiğimiz, ya da sosyal mühendislik dediğimiz yöntemler ile saldırıya uğramaktadır. Güvenlik açıkları ile ilgili yapılan anketlerin sonucuna göre; şirketlerin büyük bir kısmı hassas olan verilerin kontrol edilmesi ve izlenmesi için kısmen de olsa bazı sistemlere sahiptirler. Bunu aksine bazı işletmeler de hiçbir güvenlik tedbirine sahip değiller. Hepsinden önemlisi; birçok harcama yapan şirketler bile siber saldırılara maruz kalabilmektedir. Dolayısıyla harcanan maliyetler de boşa çıkabilmektedir. Bunun en büyük sebebi de yazımızın başında bahsetmiş olduğumuz proaktif yaklaşımın doğru yapılmamış olmasıdır.
Bugün birçok işletme hem etkin, hem daha güvenilir hem de daha yenilikçi teknolojilere yatırım yapmaktadır. Ancak sadece yatırımı yapmak doğru değildir. Yatırımı yaparken, aynı zamanda teşhisin de doğru yapılması gerekmektedir. Eğer teşhisiniz doğru olmaz ise, yine karmaşık siber saldırılara maruz kalabilirsiniz. Sebebi de gayet açıktır. Düşünün; önlem alınması için nasıl yapıldığını da bilmek gerekmektedir. Yani siber saldırı yapan kişiler; bütün güncel teknolojilerin her daim bir adım önünde bulunurlar. Günümüzde en iyi ve güncel teknolojiler bile; açıklarını yapılan siber saldırılar sonrasında keşfetmektedir. Dolayısıyla yapılan siber saldırılar sonrasında da güncelleme ve birtakım yamalar ile birlikte açıklarını kapatmaktadırlar. Israrla söylemek gerekir ki; şirketlerin verilerini korumaları için kesinlikle doğru teşhisi yapmak zorundadırlar.
Yukarıda belirttiğimiz gibi konu şirketler için oldukça önemlidir. Siber saldırılarla birçok veri şifreleniyor ve kullanılamaz hale gelebiliyor. Bu sebeple çok dikkatli olunması gerekmektedir. Şirketlerin verilerini koruması konusu günümüzde KVKK (Kişisel Verilerin Korunma Kanunu) ile birlikte yasal yaptırımlara kadar varmaktadır. Üstelik inanılmaz para cezaları da gündemdedir. Bu sebeple yapılan başlıca hatalardan ve güvenlik ihlallerinden korunmak gerekir. Peki siber saldırılara karşı, şirketler tarafında yapılan en büyük hatalar nelerdir? Şirketlerin güvenlik açıkları nelerdir? Sizler için yapılan bu hataları maddeler halinde anlatmak istedik.
Öncelikle şunu söyleyelim ki; aşağıda belirteceğimiz hataları yapmaz iseniz büyük ölçüde veri kaybetmekten korunursunuz. Çok değerli olan bilgilerinize, en önemlisi de işinizin sekteye uğramaması adına oldukça önemli olan hataları listeleyelim artık.
Bakmadan geçme: İşlemcilerdeki Meltdown ve Spectre güvenlik açığı nedir? Kimler etkilendi?
Şirketlerin sanal güvenlik açığı için yapması gereken 21 öneri ile nasıl güvenli bir şirket olunur?
- İlk olarak yapılmaması gereken hataların başında tedarikçilerin, çalışanların önemli verilere karşı ortaya çıkacak olan tehditlerin doğru anlaşılamamasıdır. Herkes yapılması gerekeni doğru algılar ise bu konuda daha titiz çalışılır. Ve sonuca daha çabuk ulaşılır.
- Şirketlerin mutlak suretle bilgi güvenliği departmanı kurmaları gerekmektedir. Dolayısıyla geniş kapsamlı bir bilgi güvenliği planı politikasına sahip olunmalıdır. Bu konuyu dikkatlice ele alarak ilgili talimatlar yazılmalı ve tüm şirket personeli ve tedarikçilere imzalatılmalıdır. Ardından da ufak eğitimler ile kişilere konunun önemliliğini anlatarak onları bilinçlendirme yoluna gidilmelidir.
- Şirketlerin yaptığı en büyük hatalardan birisi de, veri güvenliği konusunu yalnızca bilgi teknolojileri yani IT bölümlerinin sorunu olarak görmesidir. Aslında gayet tabi, konudan IT değil şirketin kendisi sorumludur. Ceza yükünü çekecek olan kesinlikle şirkettir.
- Şirketlerin önemle dikkat etmesi gereken bir husus ta veri güvenliği konusunu, 3 boyutlu bir ekosistem olarak görmesidir.
- Siber saldırıları gerçekleştirenlerin, güncel teknolojilerin daima bir adım önünde olduğunu söylemiştik. O zaman dikkat edilmesi gereken konular arasında yanlış siber ürünlerin kullanımını da ekleyebiliriz. Doğru olmayan güvenlik yaklaşımları ve yanlış ürünler, sizi saldırılardan koruyamayacaktır.
- Yine şirketlerin dikkat etmesi gereken önemli konulardan birisi de veri ve ticari sırların sınıflandırılmasını sağlamaktır.
- Yazımızın başında söylediğimiz maddelerden birisi de çalışanların, tedarikçilerin ve satıcıların doğru ve uygun şekilde eğitilmesidir.
- Maddeleri sıralarken, önemli birçok kısım geliyor aklımıza. Veri güvenliğini sağlarken başka tarafları da unutmamak gerekir. Buna göre de bir yol haritası yapılmalıdır. Kurum içerisinde barınan çalışanlar da veri güvenliği açısından risk faktörü oluşturabilmektedir. Bu konu kesinlikle es geçilmemelidir.
- Şirketlerin IT ekibi tarafından yapmasi gereken en önemli şey ise; müşterilerin ya da kuruma gelen kimsenin şirket ağına girmesine izin vermemektir.
- Siber saldırılardan korunabilmenin en doğru yolu da her zaman güncel olmaktır. Şirketinizdeki bilgisayarların işletim sistemlerinin ve üzerilerindeki yazılımların güncel olmasına dikkat etmelisiniz. Zamanında ve eksiksiz bir şekilde yapılan güncellemeler, sizleri siber saldırılara karşı koruyacaktır.
- Şirketlerin IT bölümlerinin veri güvenliği için yapması gerekenler bu kadar ile bitmiyor. Tüm verilerin doğru bir şekilde depolanması ve nerede saklandığı da önemli hususlardan biridir.
- Tüm verilere olan yetkilerin doğru yapılandırılması gerekmektedir.
- IT bölümünün yapması gereken önemli şeylerden birisi de bilgilerin ve verilerin doğru bir şekilde imha edilmesidir.
- Veri güvenliğini sağlamak için yapılması gereken önemli şeylerden biri de IT personellerine bilgi güvenliği eğitimi ve sertifikası aldırmak ve profesyonel bir yardım almaktır.
- Şirket içerisindeki çalışanların taşımakta olduğu akıllı telefon risklerini kesinlikle görmezden gelmemelisiniz.
- Eğer bulut bilişim kullanılıyorsa, kesinlikle doğru şekilde yönetilmelidir. Gerekli şifreleme önlemlerinin alınması zorunludur.
- Şirkete bağlı olan satıcıların ve tedarikçilerin, veri güvenliğini sağladığından emin olunmalıdır.
- Yukarıda saymış olduğumuz maddelerin yanında elbette fiziksel olan güvenlik riskleri de önemsenmelidir.
- Şirketinizde veri güvenliğini sağlamanın doğru yollarından birisi de tüm verilerin şifrelenmesi gerekmektedir.
- Bundan önceki yazılarımızda nesnelerin internetinden bahsetmiştik. Kısacası IoT cihazlarının kesinlikle göz ardı edilmemesi gerekmektedir. (Nesnelerin İnterneti Nedir?)
- Son maddemizde, yazımızın başından beri belirttiğimiz proaktif güvenlik bileşenlerine önem verilmelidir. Bunlar sırası ile teknoloji, insan ve süreç unsurlardır.
Küçük ya da büyük şirketlerin yukarıda sayılan tüm maddeleri bilmesi ve buna göre tedbirlerini alması gerekmektedir. Yapılan ya da yapılacak hatalara göre tedbirler ve talimatlar hazırlanmalıdır. Bu sayede en tehlikeli siber saldırılara karşı bile önlemler oluşturulabilir. Bu sayede siber suçluluları en azından yavaşlatabilirsiniz. Yukarıda belirttiğimiz maddelerin bilinmesi, daha sonra atılacak adımların da sağlam olmasını sağlayacaktır.