İşletmenizde Veri Güvenliğini Sağlamak İçin 5 Kolay Yöntem

Günümüzde her gün daha da artan siber saldırılara karşı veri güvenliğini sağlamak kurumların siber güvenlik alanında yapması gerekenlerin başında geliyor. Kurumunuzun sahip olduğu verilerin güvenliğinin sağlanması için firewall, antivirüs ve benzeri araçları kullanmanız önemli olsa da bu alanda yapılması gereken diğer çözümleri de uygulamak aynı şekilde önemlidir.

Kurumlarda veri güvenliği nedir sorusunun cevabı ve uygulamanız gereken kolay ama etkili 5 farklı metodu bu yazıda sizin için derledik.

Güvenlik Mimarisinin Doğru Kurgulanması

Fidye yazılımı saldırıları büyük/küçük kuruluş ayrımı yapmadan veba salgını gibi yayılıyor. Bu saldırılara karşı etkin bir güvenlik mimarisi kurgulamak verilerimizin güvenliğini sağlamak için yapılması gerekenlerin başında geliyor. Zararlı yazılımların bilgisayarlarınıza bulaşmasını engellemek çoğu zaman bunların bulaşmasının ardından temizlemeye çalışmaktan çok daha kolaydır. Eğer bir fidye yazılımı saldırısına maruz kalındıysa ve öncesinde verilerin yedekleri alınmadıysa, çoğunlukla yapılabilecek bir şey kalmıyor. Bugüne kadar destek verdiğimiz yüzlerce olayın çok azında elimizdeki araçları kullanarak verileri kurtarabildik. Kalanında ise, ne yazık ki şifrelenen verileri kurtarmak mümkün olmadı.

1200 kişilik bir IT yönetici grubuyla yapılan anket sonuçlarına göre;

• %55’i bir fidye yazılım enfeksiyonu yaşamış,
• %61.3’ü fidye ödemesi yapmayı kabul etmemiş (Kesinlikle ödeme yapılmamasını tavsiye ediyoruz. Ödeme yapmak dışında bir seçeneğin kalmadığını düşünüyorsanız da, öncesinde mutlaka bir uzmana danışın)
• %86’sı verilerini yedeklediği için verilerini kurtarabilmiş,
• %8’lik bir kısım verilerinin bir kısmını veya tamamını kaybetmiş

Ancak daha dikkat çekici bazı rakamlar da var:

• Fidye ödemesi yapmayı kabul eden %38.7’lik kısmın yarısından azı (%19.1) verilerini kurtarabilmiş, geri kalan %19.6 ise ödeme yapmasına rağmen verilerini kaybetmiş. (Saldırganlar ödemeyi almış ancak şifreyi vermemiş veya şifreyi vermiş ancak veriler kullanılamaz duruma gelmiş.)

Anketin sonucuna göre, fidye yazılımı saldırısı kurbanlarının %27.6’sı fidye ödemesi yaptıkları halde veya ödeme yapmadan verilerini tamamen kaybetmiş. İşte bu nedenle, veri güvenliğinin herhangi bir olay yaşanmadan önce düşünülmesi çok önemli. Kuruluşların güvenlik mimarisini oluşturmak bir miktar yatırım gerektirse de sizi beklemediğiniz ve çok daha büyük olacak maliyetlerden kurtarabileceği kesin. Bu nedenle, doğru bir güvenlik duruşunun kurgulanması için danışmanlık alabilir, mevcut durumunuzu ve eksiklerinizi anlayabilmek için sızma testi yaptırabilir, siber sigorta yaptırarak kendinizi güvence altına alabilirsiniz.

VPN Kullanımı

Satış personeli veya yöneticiler gibi, kuruluş sistemlerine dışarıdan bağlananlar varsa VPN yani Virtual Private Network kullanımı kuruluşun genel güvenlik seviyesini destekleyecek önemli bir bileşendir. VPN kullanımı esnasında iletişim şifrelenerek kuruluş verilerinin güvenliği sağlanabiliyor.

Burada dikkat edilmesi gereken önemli iki nokta var;

• VPN bağlantısının güvenilir olması. İnternette bulunabilen ücretsiz VPN hizmetlerinin kullanılması yağmurdan kaçarken doluya tutulmaya neden olabilir.
• VPN iletişimi şifreler ancak sizi zararlı yazılım içeren web sayfalarından veya uygulamalardan korumaz.

Her zaman yedekleme yapın.

Basit ve etkili bir yöntem. Tüm güvenlik önlemlerini almış da olsanız yine de veri kaybı yaşanması söz konusu olabilir. Düzenli ve gerektiğinde kullanılabilir yedekler alınması ihtiyaç anında verilerin kurtarılmasına imkan verir. Sadece siber saldırılar değil, doğal afetler, kullanıcı hataları veya teknik arızalar gibi pek nedenle veri kayıpları yaşanabilmektedir. Yedeklerin sadece şirket içerisinde başka bir sisteme alınması günümüzde yeterli değildir. Bulut üzerinden bu konuda hizmet alınması, şirket dışında tutulan veya yedekleme işlemi tamamlandıktan sonra şirket dışına çıkartılan ortamlara da yedek alınması çok önemlidir.

Bilgisayarlarınızı Güncel Tutun

Elimizdeki istatistiklere göre, siber saldırıların %80’inden fazlası basit bir güncellemeyle giderilebilecek güvenlik açıklarını hedef alıyor. Geçtiğimiz yıllara dünya genelinde yaşanan ve Türkiye’de de pek çok şirketi etkileyen Wannacry fidye yazılım salgını bu konuda verilebilecek örneklerin başında geliyor. Microsoft tarafından Mart ayında yayımlanan bir güncellemeyle giderilen güvenlik açığını hedef alan Wannacry Mayıs ayında çıkmıştı. Dünya genelinde yüzbinlerce bilgisayarı etkileyen ve milyonlarca dolar hasara neden olan bu salgın, güncellemeler zamanında yapılsaydı kimseyi etkilemeyecekti. Kullanılan bilgisayarların lisanslı ve düzenli olarak güncellene bir işletim sistemi kullanması bu nedenle çok önemlidir.

Çalışanlarınızı Veri Koruma Konusunda Bilgilendirin

Sadece siber saldırıların değil, internet ortamında yapılan dolandırıcılıkların da önemli bir kısmında kuruluş çalışanları ve bireyler hedef alınıyor. Bilgisayar kullanıcısını kandırarak bir bağantıya tıklamalarını veya bir dosya indirmelerini amaçlayan bu saldırılara oltalama (phishing) saldırısı denir. Bu saldırılarla mücadele edebilecek teknik bir çözüm ne yazık ki yoktur. Bu nedenle bilgisayar kullanıcılarının dikkatli olması ve tuzağa düşmemeleri çok önemlidir. Kuruluş personelinin düzenli olarak bu tehditler konusunda bilgilendirilmesi saldırıların etkilerini ciddi oranda azaltabilmektedir.

Çalışanların bilgi sahibi olması gereken konu başlıkları şöyle sıralanabilir:

• Zararlı olabilecek web sayfalarının, bağlantıların, reklamların ve e-postaların nasıl tespit edilebileceğine dair ipuçları,
• Bilgisayarlara gelen güncellemelerin yapılmasının önemi,
• Veri güvenliği konusunda yedeklerin önemi ve bu yedeklerin nasıl alınması gerektiği,
• Şirket dışına veri sızdırmak için kullanılan yöntemler ve bunların tespit edilmesini sağlayacak ipuçları,
• Dolandırıcıların kullandığı veya yeni kullanmaya başladığı teknikler.

Söz konusu bilgisayar sistemleri olduğunda %100 güvenlikten söz etmemiz ne yazık ki mümkün değildir. Siber saldırıların izlediği trend incelendiğinde ise saldırganların büyük/küçük ayrımı yapmadan bütün şirketleri hedef aldıkları açıkça görünebilmektedir. Bu nedenle siber güvenlik ve veri güvenliği konusunda tedbirlerin alınması ve bu tedbirlerin etkinliklerinin düzenli olarak denetlenmesi çok önemlidir. Gördüğünüz gibi veri güvenliği nedir sorusunun birden fazla yanıtı ve bu yazı ile çözülemeyecek kadar uzun bir süreci var. Tamamen güvende olmak mümkün olmasa da farkındalık yaratmak, önlem almak, basit ancak etkisi büyük olabilecek bu uygulamaları hayata geçirmek büyük farklar yaratabilir.