Bu yazıda Startup şirketlerde siber saldırılara karşı ne gibi güvenlik önlemleri alınmasının faydalı olacağı hakkında bilgi vermek amaçlanmaktadır.
Startup şirketin ne demek olduğu araştırıldığında, herhangi bir soruna çözüm getirmek amacıyla bir ürün, süreç veya servis sunan şirketlere verilen isim olduğu karşımıza çıkmakta. Startup şirketlerin genellikle finans, pazarlama, teknoloji alanlarında yoğunlaştığı gözlemlenmektedir. Günümüzde yaşanan siber saldırılardaki artışa bakıldığında, startup şirketler için başarılı sonuç elde etme amacı gütmenin yanında veri/bilgi güvenliğini sağlamanın da önemli olduğu yadsınamaz hale gelmiştir.
Startup şirketleri birer girişimci sayarsak bu girişimcilerin aşamalarına göre alınacak güvenlik önlemlerinin seviyeleri kademelendirilebilir. Buna göre çekirdek aşamasında güvenlik açısından hızlı, ucuz çözümler yeterli olurken, orta seviyede olarak tanımlanan ölçeklenme seviyesindeki firma için tanımlı risklere göre güvenlik önlemlerinin alınması uygun olacaktır. Keza büyüme aşamasındaki firmanın veri ve bilgi güvenliği riskinin yüksek olduğu düşünülürse, güvenlik önlemlerinin de aynı seviyede artırılması önerilmektedir. İhtiyaç duyulan güvenlik çözümlerinin araştırılması sırasında, şirketlerin internet ve iç ağların üzerinden gelebilecek saldırılara ne kadar dirençli olduğuna bakılması gerekir. Ayrıca yatırımcı firmalarla iletişime geçildiğinde güvenlik açısından gerekli kontrollerin gözden geçirilmesi faydalı olacaktır.
Tohum Seviyesi olarak tanımlanan aşamada prototip geliştirilip, şirket kurulur ve ekibe kişiler eklenir. Bu aşamada alınması gereken güvenlik önlemleri aşağıda belirtilmiştir.
Siber saldırılarda en zayıf halkanın insan olduğu bilgisi aşikardır. Bununla birlikte ekip olarak alınması gereken önlemler şunlardır:
- Çalışanlar ve ortaklar için temel güvenlik eğitimi (Phishing, OWASP Top 10, vb.) yapmak
- Bilgisayarın başından kalkarken kilitlenmesi
- 2FA (Google Authenticator, vb.) kullanmak ve kullandırmak.
- Ekip değişikliği (hoş geldin, hoşça kal) kontrol listeleri kullanmak
Alt Yapı olarak alınması gereken önlemler:
- Veri kaybını önlemek için yedek almak (çevrim dışı)
- Veri sızıntısını önlemek için kablosuz ağı güvenli hale getirmek
Şirket tarafından alınması gereken önlemler:
- Toplanan kişisel veriler hakkında saydam ve dürüst olmak
- Alan ve marka isimlerinizin sizde olduğundan/kaldığından emin olmak.
Uygulamalar tarafında alınması gereken önlemler:
- Hassas verileri kriptolamak, cihazları ve veri tabanı
- İşletim sistemleri, uygulamalar, bileşenleri güncellemek
- Geçerli SSL sertifika kullanmak
Siber Güvenlik ile ilgili sorun yaşayan firmaların nasıl yok olduğunun asla unutulmaması gerekir. Karlılık ile birlikte güvenlik konusuna da önem vermek, karşılaşılabilecek risklerin azalmasını sağlayacaktır.
Banu Oğuz / Lostar Bilgi Güvenliği A.Ş.