Kişisel verilerin güvenliği konusundaki hassasiyetimizi işimize taşımanın zamanı geldi.
Her tür AR-GE çalışması, pazarlama ve satış verileri, finansal bilgiler, hatta atılan e-postalar bile bir şirketi en iyi ihtimalle zarara uğratabilir. Bundan korunmak için dünyanın dört bir yanında olduğu gibi ülkemizde de veri güvenliği yasaları hazırlanıyor. Ancak yine dünyanın dört bir yanında olduğu gibi, teknoloji yasa yapıcılardan çok daha hızlı gelişiyor. Ancak bu hız farkının size zarar vermesine izin vermemelisiniz. Bunun için de belirli standartları kabul edip, bunlara uygun bir hareket planı çıkartabilirsiniz.
Ülkemiz ekonomisinin de büyük bölümünü oluşturan Küçük ve Orta Büyüklükte İşletmeler, yani KOBİ’ler genellikle bu tehditlerden daha büyük ölçüde zarar görüyorlar. Zira, büyük şirketler gibi geçerli güvenlik politikaları ya da yatırımları yok. Bunu bilen saldırganlar ve kötü niyetli kişiler de KOBİ’leri hedef alıyorlar.
Güvenlik kurallarınızı oluşturun
Öncelikle güvenliğin işiniz için ne anlama geldiği ve risklerin nerede olduğu üzerine kafa yormalısınız. Daha sonra bunu katmanlı bir şekilde yazarak güvenlik politikası kurallarınız oluşturabilirsiniz. Bu süreçte tepeden tırnağa tüm yapının güvenliğini düşünmeniz, aslında olabilecek açıkları bulmanız sebebiyle, önem taşır.
Verilerinizi sınıflandırın
Finansal kayıtlar, şirket ya da iş anlaşmaları gibi veriler hem kritik hem de hassastır. Bunlar, en üst düzey güvenliği gerektirirler. Ancak herkese açık olan verilerinizi de bu alanda depolamak, erişimler sebebiyle güvenlik açığı oluşturabilir.
Düzenli yapacağınız veri taraması ve güvenlik kontrolleri, hem gereksiz verilerden kurtulmanızı sağlar hem de içinizin rahat olmasını…
E-postaları unutmayın
Güvenlik açığı olabilecek nokta sayısı, e-postaların kurulu olduğu cihaz ve kişi sayısı kadar artıyor. Şifreli dokümanlara geçmek, etkili çözümlerin başında geliyor. Böylece şirket içindeki paylaşımlarda dahi, örneğin parola korumasına alınan Office dokümanları paylaşılabilir. Elbette, parolaları e-posta ile paylaşmamaya dikkat edin.
Bir diğer seçenek de, e-postanın belirli cihazlarda ne kadar kalacağını belirlemek. Bu da bir cihazın çalındığı durumda belirli bir geçmişe kadarki e-postaların ele geçirilebilmesini sağlayarak, tüm geçmişinizi ele vermez.
Benzer şekilde dosya eklentilerinin de boyutunu kısıtlamak kurumsal verilerin kasıtlı olarak paylaşımını engeller ya da bu durumu zorlaştırır.
Mobil güvenlik için yapılacaklar
Çalışanların kendi cihazlarını ofiste kullandığı Kendi Cihazını Getir (Bring Your Own Device – BYOD) konsepti, artık her sektörde uygulanıyor ve özellikle KOBİ’lerce, cihaz masrafını düşürdüğü için tercih ediliyor.
Güvenlik açıkları olan bir cihazın tüm ağınızı ele geçirilme riski getirdiğini unutmayın. Öncelikle, şirket güvenlik politikasına tam olarak uygun olmayan cihazları şirket ağına sokmamalısınız. İzin verilmeyen “gölge” uygulamaların kullanımı da katî surette yasaklanmalı.
Mobil cihaz yönetimi çözümleri, bu işi kolayca çözer, fakat bunlar masraflıdır ve kullanamdan önce bir eğitim süreci gerektirebilir. Bu sebeple, iş ve kişisel verileri ayırmak zorlaşıyorsa, tüm iş verilerinin şifrelenmesini şart koşmak çare olabilir. İş verilerini ayrı bir diskte tutarak bu diski şifrelemek bunun en pratik yoludur. Ayrıca mobil cihazlar için VPN kullanımını da tavsiye edebilirsiniz.
Şifrelemeye önem verin
Yukarıda bahsettiğimiz gibi akıllı telefonlar için tam cihaz şifreleme, VPN kullanımı önem taşıyor. Ancak iş bununla bitmiyor. Otomatik olarak şifreleme ve şifre çözme işlerini yapabilen bir ağ depolama ürünü satın almak tüm işyerini güvenli hâle getirecektir, fakat bu da bütçenizi aşarsa, verilerinizi bulut depolamada şifreli tutmak çare olabilir.
Bunun için açık kaynaklı VeraCrypt yazılımını tavsiye ediyoruz. Bu yazılımla depolamaya göndermeden ya da paylaşmada önce şifrelemeniz mümkün. Ayrıca USB sürücüleri de şifreleyebiliyor.
Katı kimlik doğrulama kuralları oluşturun
Konu güvenlik olunca, şifreleme nasıl önem kazanıyorsa, kimliklendirme de bu süreçte aynı önemi taşıyor. Sadece verilerinizi parola korumasına almaktan bahsetmiyoruz, işin içerisinde bu parolaların da karmaşık olması, alfanümerik ve özel karakterler içermesi ve ezberlenmesi zor uzunlukta olmaları gerekiyor.
Bunun için parola yönetim yazılımlarını da kullanabilirsiniz. Böylece parolaların şifreleme ile korunduğu ve sistem ele geçirilirse, parolaların ele geçirilememesini sağlayabilirsiniz. Ayrıca parolalar, çalışanların not defterleri gibi fiziksel alanlarda da bulunmayacağından, güvenlik artacaktır.
Kullanıcı yetkilendirmeyle ilgili en önemli konseptlerden birisi olan, erişimi sadece ihtiyacı olana, ihtiyacı olan süre boyunca verme fikrini uygulamanız son derece yararlı olacaktır.
Saldırı yüzeyini küçültün
Sistemin yöneticisinin kim olacağına karar vermek iyi bir başlangıçtır ama altın kural, yüzeyi küçültmek için sürekli çalışmaktır. Bunun için güvenlik yamalarını ve güncellemeleri en hızlı şekilde yükleyin. En az birkaç yedeğiniz olduğundan ve bunların farklı konumlarda bulunduğundan emin olun. Son olarak, belirli aralıklarla bir güvenlik uzmanının tüm sisteminizi kontrol etmesinde fayda var.
