Küçük işletmeler için güvenli e-posta kılavuzu

Hassas şirket verilerine ve bilgilerine erişim kazanmak isteyen korsanların öncelikle e-posta yolunu tercih etmesi, büyük olasılıkla çoğu işletme sahibi için şaşırtıcı değildir. Ama küçük işletmelerin özellikle savunmasız olduğunu bilmek sizi telaşlandırabilir. Özel olarak belirtmek gerekirse, 250 veya daha az çalışanı olan şirketlere yönelik tüm siber saldırılar geçen yılın ilk alt ayında iki katına çıktı ve ortalama olarak saldırı başına yaşanan kayıplar 188.000 ABD Dolarından fazlaydı. Stratejik ve Uluslararası Çalışmalar Merkezi’ne göre, siber saldırıların bir bütün olarak Amerikan ekonomisine etkisi yıllık 100 milyar ABD Doları gibi çok yüksek bir maliyete ulaşıyor.

2014’teki büyük Sony e-posta saldırısının bu kadar önemli olmasının bir nedeni de budur çünkü tüm işletmeler aynı kaderi paylaşmaktan nasıl kaçınabileceklerini düşünmeye başladı. Birçok güvenlik katmanı olan bu kadar büyük bir şirket bile saldırıya uğrayabiliyorsa, çok daha az kaynağı olan küçük işletmelerin hiç şansı yok denemez mi?

Belki de bu doğru değildir. İşletmenizin güvenli e-posta yoluyla korunduğundan emin olmanın birçok yolu vardır. İşletmenizin güvenliği ancak en zayıf halkanız kadar güçlü olabildiğinden, işin sırrı çalışanlarınızı güvenliğinizin başarısına katılmaya ve yatırım yapmaya yönlendirmektir. İşte başlangıç yapmanızı sağlayacak yedi ipucu.

  1. Bir siber güvenlik planı oluşturmaya ve uygulamaya en yüksek önceliği verin. Kuşkusuz bu yalnızca güvenli bir e-posta hizmeti sağlamayı düşünmekten ibaret değildir; web sitenizi, ödeme bilgilerinizi ve diğer bilgilerinizi güvenli tutma stratejilerini de içermelidir. Ama e-posta güvenliğini sağlamak planınızın ana parçalarından biri olmalıdır. Federal İletişim Kurulu özelleştirilmiş bir plan oluşturmanıza yardımcı olmak için kullanışlı bir araç olanSmall Biz Cyber Planner 2.0‘ı hazırladı.
  2. E-posta şifrelemeyi göz önünde bulundurun. E-posta şifreleme, yalnızca belirli kişilerin e-postalarınıza erişmesine ve onları okumasına izin vererek kişisel bilgileri korsanlara karşı korumaya yardımcı olur. Size gereken güvenlik ve kullanışlılık düzeyine bağlı olarak çeşitli e-posta şifreleme yöntemleri vardır. Örneğin, kullanmakta olduğunuz e-posta istemcinize bağlanacak ek yazılımlar indirebilir veya satın alabilirsiniz. Dilerseniz çalışanlarınızın e-posta göndermek istedikleri herkesle bir ortak anahtar paylaşmalarına ve aldıkları e-postanın şifresini çözmek için bir özel anahtar kullanmalarına olanak tanıyan PGP (Pretty Good Privacy) gibi bir e-posta sertifikası da yükleyebilirsiniz. Bir diğer basit çözüm de üçüncü taraf şifreli e-posta hizmetlerinden birini kullanmaktır.
  1. Parolaların güvenliğinden emin olun. Tüm çalışanların kendi iş bilgisayarları ve e-posta sistemleri için kendi parolaları olmalıdır. Bu parolalar her üç ayda bir sıfırlanmalıdır; ayrıca çalışanlar parolalarını değiştirdiğinde çok faktörlü kimlik doğrulamasını zorunlu tutmayı da göz önünde bulundurun. En güçlü parolalar en az 12 karakterden ve sayı, simge, küçük harf ve büyük harflerin bileşimlerinden oluşur. Parolalar belirgin bir şey (doğum günleri, çocukların adları, vb.) olmamalı ama anımsanabilir olmalıdır. Başka bir deyişle, çalışanlar 2014'ün parolaları arasında iki en yaygın ve en kötü paroladan uzak durmalıdır: “parola” ve “123456.” Ayrıca, çalışanların birden çok hesap veya web sitesi için aynı parolayı kullanmaması gerekir. Bir parola yöneticisi veya çoklu oturum açma işlevi kullanımına izin vermeyi düşünebilirsiniz. Kodları, banka hesaplarını, e-posta hesaplarını, PIN numaralarını ve diğer hesap bilgilerini aynı yerde depolamaya yönelik araçlar arayan küçük işletmeler için CommonKey, LastPass ve Password Genie gibi bazı harika çözümler sağlanmıştır. Parolanızın gizliliğinin bozulup bozulmadığını nasıl anlarsınız? Sızdırılan parolaları izleyen ve e-posta adreslerinizden biri savunmasız kaldığında size otomatik olarak bildiren PwnedList veya Breach Alarm gibi izleyici hizmetlerine kaydolun.
  2. Mantıklı bir e-posta bekletme ilkesi geliştirin. Çalışanlardan işle ilgili çalışmaları desteklemeyen e-postaları temizlemelerini isteyin ve uyumluluğu güvence altına alacak bir ilke uygulayın. Birçok şirket 60-90 günlük standart bir süre belirler ve belirlenen süre dolduğunda otomatik arşivlemeye veya kalıcı olarak kaldırmaya geçilir. Bazı çalışanlar bu standarda uymayan e-postaları silmeyi sürekli anımsamakta zorlanabilir, dolayısıyla sık yinelenen anımsatıcılar gerekebilir.
  3. Çalışanları e-posta güvenliği konusunda eğitin. E-posta üzerinde verilerin güvenliğini koruma açısından çalışanlar çok önemli bir rol oynar. Hangi tür davranışlardan ve hangi tür e-postalardan kaçınacakları konusunda eğitilmeleri gerekir. Ne yazık ki, InfoSight'a göre tüm şirketlerin yarıya yakını güvenlik bütçelerinin yüzde 1'den azını çalışanları güvenlik tehditleri konusunda eğitecek programlara harcıyor. Buna karşılık kuruluşların yüzde 64'ü herhangi bir düzeyde bilgisayar ihlallerinden kaynaklanan mali kayıplar yaşadı ve yüzde 85'i bilgisayar virüsleri tespit etti. Düşük maliyetli bir eğitimle maliyeti yüksek rakamlara ulaşabilecek bir saldırı olasılığını azaltmaya değmez mi?

    Özel olarak belirtmek gerekirse, çalışanlar aşağıdaki kurallara uyma yönünde eğitilmelidir:

    • Bilinmeyen kişilerden gelen bağlantıları veya ekleri asla açmayın.
    • Kaynağı ne kadar resmi görünürse görünsün, parola değişikliği isteyen ve kişisel bilgilerinizi açıklamayı gerektiren e-postaları yanıtlamayın.
    • Bilgisayarınızdaki virüsten koruma ve casus yazılımdan koruma araçlarının güncel tutulduğundan emin olun.
    • Hassas bilgiler içeren tüm e-postaları göndermeden önce şifreleyin.
    • Kişisel e-postalar göndermek ve almak için şirket e-posta adresinizi kullanmayın.
    • Şirket e-postalarını otomatik olarak üçüncü taraf bir e-posta sistemine iletmeyin.

    Bunlara ek olarak, bazı şirketler çalışanlarını kimlik avı kampanyaları, hedefli kimlik avı e-postaları ve diğer siber güvenlik tehditleriyle test eden programlar çalıştırıp testi geçenleri ödüllendirme yöntemini başarılı buluyordu.

  4. Şirketle ilgili mobil cihaz kullanımında sıkı standartlar benimseyin. Şirketin verdiği mobil cihazı kullanırken veya kişisel bir mobil cihaz kullanarak şirket e-postaları gönderip alırken, korsanların paylaşılan WiFi ağları üzerinden cihazlara erişememesi için çalışanlar verileri şifrelemeli, cihazı parolayla korumalı ve onaylanmış güvenlik uygulamalarını yüklemelidir. Yerleşik mobil cihaz yönetimi özellikleri, koşullu erişim, cihaz yönetimi ve şirket verilerini seçmeli temizleme yoluyla verilerinizin güvenliğini korumaya yardımcı olan seçenekler sunan çözümler bulun.
  5. E-postayı güvence altına alırken yaygın tuzaklardan kaçının. Şimdiye kadar açıkladığımız her şeye ek olarak, e-posta başka yollarla da güvenlikten uzak kalabilir. Aşağıdaki noktaları göz önünde bulundurmaya dikkat edin:
    • Bilgisayarların yalnızca birkaçı değil tümü e-posta şifrelemesi kullanmalıdır. Her yerde aynı standart uygulanmadığında, e-postaları şifrelemenin bir anlamı olmaz.
    • Kilidi açık bilgisayarlar hiçbir zaman gözetimsiz bırakılmamalıdır. Çalışanların masalarından kalkmadan önce bilgisayarlarını şifrelemelerini bir şirket ilkesi haline getirin (bilgisayarlar oturum açma sırasında parola korumalı olmalıdır). Küçük işletmenizin e-postalarıyla ilgili ilkeler oluştururken amaca yönelik bir yaklaşım benimserseniz, birçok sorunun ortaya bile çıkmadan önce önüne geçebilirsiniz. Çalışanların katılımını sağlayın ve bilgilerin güvenlik altında olduğu bir ortam geliştirmenize yardım ettiklerinde onları ödüllendirin. Birlikte davranırsanız, bir kerede bir e-posta da olsa, çalışan, müşteri ve iş verilerini güvenli tutmak mümkündür.

Microsoft 365’i kullanmaya başlayın

Dilediğiniz yerde, dilediğiniz zaman daha fazlasını yapabilmeniz için, bildiğiniz Office’e ek olarak birlikte daha iyi çalışmanıza yardımcı olan araçlardan oluşuyor.

Şimdi Satın Alın
İlgili içerik
Business Tech

Şirketler fikri mülkiyetlerini doğru biçimde koruma altına almadıklarında ne olur?

Devamını okuyun
Business Tech

Müşteri verileri—Yararlı yeniliklerle gizliliğe saldırı arasındaki çizgiyi aşma

Devamını okuyun
Business Tech

Mobil veri güvenliğinizin gereken her şeyi sağlayıp sağlamadığını keşfedin

Devamını okuyun

İş Büyütme Merkezi profesyonel vergi danışmanlığı veya finansal danışmanlık hizmeti sunmaz. Durumunuzu görüşmek için kendi vergi veya finans uzmanınıza başvurmanız gerekir.