Teknoloji başlangıcınızın 2025’ten çıkaracağı tek bir şey varsa, o da hiçbir işletmenin siber suçlular için hedef olamayacak kadar küçük olmadığıdır. Aslında, KOBİ’ler sınırlı kaynakları ve değerli müşteri verileri sayesinde artık eski işletmelerden daha cazip fidye yazılımı adaylarıdır.

Genellikle başlangıçlar, işlerinin başlarında iyi kararlar almak için ihtiyaç duydukları bilgi veya kaynaklardan yoksundur. Yeni işe başlarken işletmelerin neleri bilmesi gerektiği konusunda içgörüler kazanmak için teknoloji başlangıçlarıyla sıklıkla çalışan bir BT güvenliği uzmanına ulaştık.

Power Consulting(yeni pencere) COO’su ve Müşteri Hizmetleri Direktörü Gary Power, dış kaynaklı BT endüstrisinde 25 yıllık uzmanlığa sahiptir. Power Consulting, yönetilen BT hizmetleri, BT stratejik planlaması ve siber güvenlik denetimleri ve hizmetleri dahil olmak üzere hizmetler sunarak tüm sektörlerdeki her ölçekteki işletmeyle yakın bir şekilde çalışır.

Teknoloji başlangıçlarının işlerinin başlarında nerede hata yaptıklarını anlamak için Gary ile konuştuk.

İşletmeniz siber güvenlik önlemleri için çok küçük değil

Veri Ele Geçirilme Gözlemevi‘mizi kullanarak Proton, bilgisayar korsanlarının kimi hedeflediğini ve işletmelerin nasıl ele geçirildiğini anlamak için karanlık ağdaki sızdırılan iş verilerini takip etti. Toplamda 300 milyondan fazla sızdırılan kayda ulaşan 794 ele geçirilme ortaya çıkardık ve daha küçük kuruluşların giderek daha fazla risk altında olduğu açıkça görüldü.

İşletmeniz, diğer işletmelerin veri ihlallerinden (ele geçirilmelerden) nasıl ve neden etkilendiğini incelemekten fayda sağlayabilir. Veri Ele Geçirilme Gözlemevi’nden elde edilen içgörülerin yanı sıra teknoloji başlangıçları için siber güvenlik önerilerimizi en son e-kitabımız The breaches that broke 2025‘te bulabilirsiniz.

E-kitabı indirin

İster kimlik bilgisi yönetimleri yetersiz kalsın, ister uçtan uca şifreleme gibi koruyucu önlemleri kullanmayı başaramamış olsunlar, KOBİ’lerin güvenlik uygulamalarında çok önemli hatalar yaptığı görülüyor. Ve küçük işletmeler siber tehditlere karşı savunmasız kalırsa, bu durum iş büyümesini sınırlayarak nihayetinde dünya genelindeki endüstrilere ve inovasyona zarar verecektir.

Gary, işletmenizi yeterince korumanın önemli bir parçasının, kullandığınız güvenlik önlemleri söz konusu olduğunda zihniyetinizi değiştirmek olduğunu belirtiyor.

“Başlangıçta kurucular genellikle ‘Buna ihtiyacımız var mı?’ veya ‘Boyutumuz için bu aşırı mı?’ gibi tepkisel sorular sorarlar. Olgunlaştıkça sorular ‘Ele geçirilmemizi gerçekte ne durdurur?’ ve ‘İşi yavaşlatmadan güvenli bir şekilde nasıl ölçekleniriz?’ şeklinde değişir.”

İşletmeniz yerleştikçe adımları atlamak yerine, en başından itibaren siber güvenliğinize yatırım yapın. Sonuçta, Gary’nin dediği gibi: “En başarılı kurucular, güvenliğin bir engel değil, bir kolaylaştırıcı olduğunu fark ederler.”

Eski araçlar otomatik olarak güvenli değildir

İşletmenizin kullanacağı e-posta, drive ve parola yöneticisi çözümleri gibi araçları seçme zamanı geldiğinde, seçiminiz büyük bir fark yaratır. Gary, popüler ve modern çözümlerin otomatik olarak en güvenli seçenek olacağını varsaymaya karşı uyarıyor.

“En büyük kör nokta, modern araçlar veya bulut platformları kullandıkları için güvenliğin ‘örtük’ olduğunu varsaymaktır. Kurucular genellikle Microsoft 365, Google Workspace veya AWS’nin otomatik olarak güvenli anlamına geldiğine inanırlar. Gerçekte, çoğu ele geçirilme yanlış yapılandırma, zayıf kimlik kontrolleri, zayıf erişim hijyeni ve izleme eksikliğinden kaynaklanır — egzotik bilgisayar korsanlığı tekniklerinden değil.”

Bu olumlu gelmeyebilir ama öyledir: Karmaşık bilgisayar korsanlığı tekniklerini tahmin etmek ve önlemek, ağınızda güçlü kimlik yönetimi ve izleme uygulamaları oluşturmaktan çok daha zordur. Gary’nin vurguladığı sorunlara şu şekilde yaklaşılabilir:

  • Ortamınıza yönelik potansiyel tehditleri tanımlamanıza ve azaltmanıza olanak tanıyan kapsamlı web uygulaması güvenlik uygulamaları.
  • İş ağınızı korurken ekip üyelerinin iş ağınıza erişmesini daha kolay ve güvenli hale getiren tek oturum açma (SSO) ve iki adımlı doğrulama (2FA) gibi kimlik yönetimi önlemleri.
  • Karanlık ağ izleme, herhangi bir iş verinizin karanlık ağda görünüp görünmediğini size bildirebilen, hızlı hareket etmenize ve bir veri ele geçirilmesini önlemenize olanak tanıyan yararlı bir araçtır.

İnsan hatası ciddi bir tehdittir

Araçlarınızın güvenli bir şekilde kullanılmıyorsa güvenli olmasının bir önemi yoktur. İnsan hatası aslında işletmenizin en büyük siber güvenlik tehditlerinden biridir. Modern iş ağlarının karmaşıklığı sayesinde saldırı yüzeyleri katlanarak büyüyor ve ekip üyelerinin benzersiz parolalarla düzinelerce hesap oluşturmasını ve potansiyel olarak bu hesaplara kişisel cihazlarından erişmesini gerektiriyor.

“Bir diğer büyük hata insan riskini hafife almaktır: kimlik avı girişimi, kimlik bilgilerinin yeniden kullanımı ve yönetilmeyen cihazlar genellikle ön kapıdır.

Bu riskler, siber güvenlik konusundaki farkındalık eksikliğine ve iş ağınıza ekip üyelerinin kişisel cihazları aracılığıyla nasıl veya erişilip erişilemeyeceği konusundaki belirsiz beklentilere bağlanabilir. Neyse ki, ilkeler ve eğitimden oluşan ikili bir yaklaşımla bunlar kolayca ele alınabilir:

“Erken kararlar kalıcı varsayılanlar haline gelir,” diyor Gary. “Kimlik modelleri, veri konumları, yönetici erişimi ve cihaz standartlarını daha sonra çözmek inanılmaz derecede zordur — özellikle müşteriler, yatırımcılar ve düzenleyiciler işin içine girdiğinde. Güvenlik borcu da tıpkı teknik borç gibi birikir. İyi korkulukları erkenden belirlemek, bir ele geçirilme, denetim hatası veya siber sigorta reddinden sonra kontrolleri güçlendirmekten çok daha ucuz ve daha az yıkıcıdır.”

Güvenlik temelleri araçlardan daha önemlidir

Araçlar, işletmelerin pazara girerken yapması gereken tek değerlendirme değildir. BT altyapınız, ekip üyelerinin ne kadar güvenli çalışabileceğini, riskleri ne kadar iyi tespit edebileceğinizi ve sorunları ne kadar hızlı azaltabileceğinizi belirleyecektir.

Gary, Power Consulting’deki uzmanların başlangıçlar için BT ve siber güvenlik altyapısını kurmaya nasıl yaklaştıklarını açıklıyor. “Parlak araçlardan önce temellere odaklanıyoruz.”

  • MFA ve “en az ayrıcalık” dahil olmak üzere güçlü kimlik ve erişim yönetimi ilkeleri ayarlayın, yani insanlar yalnızca ihtiyaç duydukları sistemlere erişmelidir.
  • Çalışanların kişisel cihazları da dahil olmak üzere uç noktalarınızı ilk günden itibaren güvence altına alın. Cihaz yönetimi yazılımı, ağınızda kimin nerede günlük tuttuğunu (oturum açtığını) takip etmenize yardımcı olabilir.
  • Yetkisiz erişim veya hesap ele geçirilmeleri gibi sorunların fark edilmeden gitmemesi için merkezi günlük tutma ve izleme kullanın.
  • Değiştirilemez yedekler (oluşturulduktan sonra değiştirilemeyen) veya kritik verilerin gönderildiği ve ana iş sitenizden uzakta depolandığı site dışı koruma gibi uygun yedekleme ve kurtarma araçlarıyla bir etkinliğe hazırlanın.

İşletmenizi sağlam temeller üzerine kurarak, nihayetinde geleceğiniz için daha güvenli bir işe yatırım yapmış olursunuz. Güvenli altyapı oluşturmak için harcadığınız zaman, uzun vadede tasarruf edeceğiniz paraya ve kaçınacağınız riske değer.

Düzgün bir şekilde ayarlamak için zaman ayırın

Gary, kimlik mimarinize odaklanmanızı öneriyor çünkü burası en yüksek güvenlik etkisine sahip alandır. Her ekip üyesinin, iş ağınızda ihtiyaç duydukları verilere ve araçlara erişmelerini sağlayan bir dijital kimliği vardır ve bunu iyi yapılandırmak ileride tüm farkı yaratır.

“Zayıf kimlik mimarisini geri almak en zor olanıdır — paylaşılan hesaplar, zayıf MFA benimsemesi ve çok fazla yönetici uzun vadeli risk yaratır,” diye açıklıyor Gary. “Yapılandırılmamış veri yayılması bir başka büyük sorundur; hassas veriler kişisel drive’lara, e-posta gelen kutularına ve yönetilmeyen SaaS uygulamalarına dağıldığında, kontrolü yeniden kazanmak sancılıdır. Son olarak, erkenden belgeleme ve sahiplik eksikliği, ekipler büyüdükçe kafa karışıklığına ve kör noktalara yol açar.”