İşletmenizi korumak istiyorsanız parolanızı koruyun

Sonraki hikaye

12 ay önce bir iş kurdunuz. O dönemde yeni işletmelerin %30'unun başarısız olma ihtimali göz önüne alındığında, şirketinizin hâlâ ayakta olduğundan ve siber güvenlik alanında "yalnızca" gelişim göstermesinden gurur duyuyor olabilirsiniz.

Günümüzde siber güvenlik pazarı, küçük ve orta ölçekli işletmeler için tasarlanmış, kullanıldıklarında hem stres düzeyini hem de kaynak taleplerini düşürebileceğiniz veya BT ekibinin iş yükünü azaltabilecek pek çok ürün sunmaktadır. Ancak, korunmaya ihtiyacı olan şeyin sadece BT sistemleri değil, aynı zamanda ele aldığınız tüm veriler olduğunu da fark etmiş durumdasınız. Bu nedenle, AB'de GDPR ve ABD'deKaliforniya'daki CCPA gibi veri düzenlemelerinin etkileri, karşılaştığınız bilinmeyen etkenler nedeniyle ek bir stres yaratacaktır.

Biraz araştırma yaparak stresi azaltan en iyi uygulamalara ve teknolojilere göz atmak, işletmenizi KOBİ'ler için ölçeklendirilmiş güvenlikle uyumlu bir biçimde eşleştirmek ve bununla birlikte veri koruma yönetmelikleriyle uyumluluk sağlamanız konusunda size yardımcı olabilir.

Verileri koruma adına atılabilecek en güçlü adımlardan biri, şifrelerin sağladığı korumayı geliştirmektir. Yani teoride güvenli olması gereken şeyleri gerçekte de güvenli hale getirmektir.

Parolalar bizi koruyor, peki onları kim koruyor?
Pek çok KOBİ tarafından hala tam olarak kullanılmayan hazır bir seçenek, iki faktörlü kimlik doğrulamadır (2FA). Bu teknoloji, çeşitli çevrimiçi hizmetlerin erişim bilgilerinin ele geçirilmeye karşı korunmasına yardımcı olmak için ideal bir çözümdür. Basitçe ifade etmek gerekirse, 2FA kötü amaçlı kişilerin sisteminize sızabilmek için çok daha fazla para ve insan gücü kullanmalarını gerektirmektedir.

2FA teknolojisinin doğru kullanılarak en iyi şekilde uygulanması, sağlam şifreler oluşturularak desteklenmesini gerektirir. Bunun nedeni, kurumsal veya bireysel olmakla birlikte kullanıcıların çoğunun yalnızca kısa ve basit parolalar (oldukça kötü de denebilir) oluşturabilmesi ve bunları aklında tutabilmesidir. (Çoğu kullanıcı kolay hatırlayabilecekleri parolalar kullanmaya eğimlidir.)

Hızlı sonuçlar, hızlı müdahale edebilecek koruma gerektirir

Siber güvenlik ve özellikle veri güvenliğinin yasal uyumluluk ve itibar konusunda bu denli ciddi etkilere sahip olması nedeniyle, hiç kimse sosyal medya, kurumsal veya kişisel e-posta adresi, müşteri veritabanı, belge kitaplıkları ve hatta bulut tabanlı oyun platformları gibi alanlara izinsiz şekilde erişim sağlanmasını istemez.  Günümüzde uygulanan 2FA çözümleri değişkenlik göstermektedir; ancak normalde bir SMS mesajı veya farklı bir uygulama yoluyla tek kullanımlık erişim kodları üretilmektedir. Parola girildikten sonra sistem bu kodun girilmesini talep eder ve bazı sistemlerde bir uygulama (tarayıcıdan ayrı olarak) kullanılarak bu şifre girilir.

Genişleyen kullanım alanına ve sağladığı kuvvetli güvenlik artışına rağmen, 2FA hala yeteri kadar kullanılmamaktadır. Bunun nedeni, kullanıcılara karmaşık gelebilme korkusu veya birden çok güvenlik katmanının en iyi etkiyi sağlamak için nasıl kullanılabileceğini anlama konusundaki isteksizlik olabilir. 2FA'nın güzelliği budur: etkili olmak için derin bir anlayış gerektirmez.

Önce temelin güvence altına alınması
Bir sistem için kimlik doğrulayıcı olarak tek bir veri öğesi (şifre) kullanmaya devam etmek pratik olmakla birlikte, güvenli olmadığı kanıtlanmış bir yöntemdir. Daha da kötüsü, kötü şekilde uygulanan güvenlik önlemlerinin maliyeti ve karmaşıklığı artırmasıdır.

Örneğin, bir şirket ağına bağlanan veya ek koruma için VPN üzerinden uzaktan kurumsal e-posta hesaplarına erişen birçok kullanıcı, bunu yalnızca bir kullanıcı adı ve parola ile doğrulama yaparak gerçekleştirmektedir. Ne yazık ki, özellikle ücretli VPN erişimi durumunda, zayıf veya zaten tehlikeye atılmış bir şifre nedeniyle sahip olunan tüm avantajlar boş ve geçersiz hale gelebilir. Böylece, artırılmış güvenliğin değeri azalır veya başında itibaren kaybedilir.

Doğru uygulanan 2FA

2FA kullanımı standart bir uygulama haline gelmeden önce önümüzde hala gidilmesi gereken bir yol var. Neyse ki, Avrupa Komisyonu ve ESET gibi üreticilerin Genel Veri Koruma Yönetmeliği (GDPR) ile uyumluluk konusunda yürüttükleri farkındalık kampanyaları küresel çapta bir etki yarattı.

İki aşamalı kimlik doğrulamanın geleneksel parola sistemiyle birlikte kullanılması, erişim bilgilerinin tek başına kullanılmasına kıyasla çok daha güvenlidir. Son aylarda kamuoyuna da yansıyan pek çok saldırı (bkz. Have I been Pwned?), 2FA kullanılsaydı önlenmiş olabilirdi. Saldırganlar bir bilgisayara ulaşmayı ve bir parola çalmayı başarmış olsalar bile, erişim koduna sahip olmadıkları için ilgili hesaba erişemezlerdi.

Parola korumalı varlıklara yönelik riskler, veri veya dijital araçlar da olsa, coğrafi olarak dağıtılarak uzaktan erişim gerektiren cihazlar ve diğer dijital altyapı araçları üzerinden bir ağ yönetilmek istendiğinde çok daha yüksektir. Bu, mantıklı bir şekilde güvenlik yönetimine kadar uzanmaktadır. Bu nedenle kullanımı kolay, esnek 2FA çözümü ihtiyacını gidermek için ESET, akıllı telefon tabanlı ürünü ESET Secure Authentication'ı (ESA) sunuyor.

2FA uygulamanın maliyetleri ne?

Diğer birçok kullanılabilir siber güvenlik çözümünde olduğu gibi, her bütçeye uygun bir çözüm bulunmaktadır. Ancak, bir 2FA çözümünün uygulama masrafını düşünmek yerine, uygulanmadığı durumdaki potansiyel maliyetini göz önünde bulundurun.

Birçok çalışanın günlük olarak birden fazla platformda oturum açmasıyla, kimlik doğrulama her ölçekteki şirket için son derece önemli hale gelmiştir. ESA; iOS, Android ve Windows Mobile cihazlarında çalıştığı için satın alma maliyeti yoktur ve 10 dakikadan kısa bir sürede kullanılmaya başlanabilir.

Maliyet sorunları devam ederse, yönetici haklarına sahip hesaplar ve gizli bilgileri saklayanlar için 2FA uygulanmasına öncelik verilebilir. Bu, veri hırsızlığından ve olası yasal cezalardan kaçınma yönünde atılan güçlü bir adımdır. ESA VPN'lere, Office365'e, işletim sistemlerine, e-postalara ve daha pek çok sisteme güvenli erişim sağlar. Yazılım tabanlı olarak tasarlanmakla birlikte, hard token(şifrematik) cihazlarla da uyumludur.


Bu sistemin kusursuz olmamakla birlikte birçok suçlunun geçmeye çalışmayacağı ek bir güvenlik katmanı sunduğunu unutmayın. Bu nedenle, 2FA uygulamayan bir işletmenin saldırıya uğrama olasılığı çok daha yüksektir.

 

Sonuç

İşletmenizin büyüklüğü ne olursa olsun, iki faktörlü kimlik doğrulama, özellikle paylaşılan kaynaklar ve şirket ağlarına uzaktan erişen çalışanlar için değerlendirilmesi gereken bir güvenlik katmanıdır.

2FA desteğiyle, önünüzde daha fazla büyüme fırsatı vardır. Korumayı büyümeyle orantılı olarak ölçeklendirerek en iyi güvenlik uygulamaları hakkında bilgi sahibi olun ve riskleri tespit edin.