Küçük İşletmeler İçin Siber Güvenlik Tavsiyeleri
Küçük işletmeler için uygulanabilir siber güvenlik önerileri: parola güvenliği, MFA, yedekleme, çalışan farkındalığı, güncellemeler ve temel güvenlik adımları.
2026-03-12 · 7 dk okuma
KOBİ'ler için Siber Güvenlik Temel Rehberi: 10 Kritik Kontrol
Yazar: Lasetech··4 dk okuma
Siber Tehditler Artık Her Ölçekteki İşletmeyi Hedef Alıyor
Birçok KOBİ yöneticisi "biz hedef değiliz, kim saldırsın ki bize?" diye düşünür. Bu yanılgı, siber saldırıların en büyük kozudur. Gerçek şu ki saldırganların büyük çoğunluğu rastgele çalışır: güvenlik açıkları arayan botlar büyük-küçük her sistemi tarar. Türkiye'de veri ihlali bildirimleri her yıl artmakta; KOBİ'ler hem daha az korumalı hem de daha kolay hedef olmaktadır.
Bu rehber, fazla teknik bilgi gerektirmeden uygulanabilecek on temel kontrolü ve KVKK kapsamındaki yükümlülüklerinizi ele almaktadır.
Başlıca Tehdit Türleri
Fidye Yazılımı (Ransomware): Dosyalarınızı şifreler ve kilidini açmak için ödeme talep eder. Çoğu zaman kötü niyetli e-posta ekiyle veya yamasız güvenlik açıklarıyla sisteme sızar. Küçük işletmelerde iyileşme süreci haftalar alabilir.
Kimlik Avı (Phishing): Meşru görünen e-postalar veya web siteleri aracılığıyla kullanıcı adı, şifre veya finansal bilgileri çalar. Türkiye'de "Vergi dairesi bildirim" veya "Kargo takip" temalı kimlik avı saldırıları oldukça yaygındır.
İş E-postası Dolandırıcılığı (BEC): Yönetici veya tedarikçi gibi görünen sahte e-postalarla muhasebe departmanını hatalı banka havalesi yapmaya ikna eder. Türkiye'de her yıl yüzlerce işletme bu saldırıyla milyonlarca lira kaybetmektedir.
10 Temel Güvenlik Kontrolü
1. Çok Faktörlü Kimlik Doğrulama (MFA)
Tüm kritik hesaplara — e-posta, muhasebe yazılımı, VPN, bulut hizmetleri — MFA ekleyin. Şifre çalınsa bile ikinci faktör olmadan sisteme girilemiyor. Microsoft araştırmalarına göre MFA, otomatik saldırıların %99,9'unu engelliyor.
2. Düzenli Yama Yönetimi
İşletim sistemi, tarayıcılar ve uygulamalar için güncellemeler yalnızca özellik eklemiyor; güvenlik açıklarını kapatıyor. Yamasız sistemler saldırganlar için açık kapı. Haftalık otomatik güncelleme politikası belirleyin.
3. 3-2-1 Yedekleme Kuralı
Verilerinizin 3 kopyasını, 2 farklı ortamda (örneğin yerel disk + bulut), 1 kopyasını ise farklı lokasyonda saklayın. Yedek almak yeterli değil; yedekten geri dönüşü test edin. Fidye saldırısında tek kurtarış noktanız temiz yedek olacaktır.
4. E-posta Güvenliği
Microsoft 365 veya Google Workspace kullanıcıları için gelişmiş e-posta güvenlik katmanları (Microsoft Defender for Office, Proofpoint) kimlik avı ve zararlı ekleri otomatik filtreler. SPF, DKIM ve DMARC kayıtlarının doğru yapılandırılması alan adınızın taklit edilmesini önler.
5. Uç Nokta Koruması (EDR)
Geleneksel antivirüs imza tabanlıdır ve bilinmeyen tehditleri atlar. EDR (Endpoint Detection & Response) çözümleri davranış analizi yaparak şüpheli aktiviteleri gerçek zamanlı tespit eder. Microsoft Defender for Endpoint, küçük işletmeler için uygun maliyetli bir başlangıç noktasıdır.
6. Çalışan Güvenlik Farkındalık Eğitimi
Teknik önlemlerin yanı sıra insan faktörü en kritik zayıf halkadır. Kimlik avı simülasyonları ve düzenli eğitimler çalışanların şüpheli e-postaları tanımasını sağlar. Yılda en az iki kez farkındalık eğitimi planlayın.
7. Güvenlik Duvarı ve Ağ Segmentasyonu
Next-generation güvenlik duvarı (NGFW) gelen ve giden trafiği filtreler, zararlı bağlantıları keser. VLAN ile ağ segmentasyonu yapın: misafir WiFi, çalışan ağı ve sunucu ağını birbirinden yalıtın. Bir cihaz ele geçirilse bile yaygınlaşma sınırlanır.
8. Erişim Kontrolü ve En Az Ayrıcalık İlkesi
Her çalışan yalnızca görevini yerine getirmesi için gereken verilere erişebilmeli. Tüm çalışanlara yönetici yetkisi vermek son derece tehlikelidir. Ayrılan çalışanların hesapları anında devre dışı bırakılmalıdır.
9. Olay Müdahale Planı
Bir saldırı gerçekleştiğinde panik yapılmadan izlenecek adımlar önceden belirlenmiş olmalı: Kim kime haber veriyor? Hangi sistemler kapatılıyor? Sigorta şirketi ve avukat dahil edilecek mi? Basit bir iki sayfalık akış şeması bile kritik anlarda yol gösterir.
10. KVKK Uyumluluk Gereksinimleri
Kişisel Verileri Koruma Kanunu kapsamında veri işleyen tüm işletmeler belirli teknik tedbirleri almakla yükümlüdür: veri envanteri oluşturma, erişim loglarını tutma, veri ihlali bildirim prosedürü hazırlama ve aydınlatma metinleri. İhlal durumunda 72 saat içinde KVKK'ya bildirim zorunluluğu bulunmaktadır. Cezalar yüksek olup itibar kaybı çok daha büyük olabilir.
İşletme Büyüklüğüne Göre Öncelikler
1-10 çalışan: MFA, otomatik yedekleme, e-posta güvenliği ve temel EDR ile başlayın. Yılda bir dış güvenlik değerlendirmesi yaptırın.
11-50 çalışan: Yukarıdakilere ek olarak güvenlik duvarı yönetimi, ağ segmentasyonu ve çalışan farkındalık eğitimi ekleyin. Yönetilen güvenlik hizmeti değerlendirin.
51+ çalışan: Kapsamlı SIEM, sızma testi, KVKK danışmanlığı ve sürekli izleme gereklidir. Bir CISO veya dış güvenlik danışmanı atayın.
Lasetech ile Siber Güvenliği Güçlendirin
Lasetech'in siber güvenlik ekibi İstanbul'daki işletmelere tarafsız güvenlik değerlendirmesi, EDR kurulumu, güvenlik duvarı yapılandırması ve KVKK uyumluluk danışmanlığı sunmaktadır. Nereden başlayacağınızı bilmiyorsanız ücretsiz ön değerlendirme için bizimle iletişime geçin.
İlgili Yazılar
Güvenlik Duvarı Nedir? Nasıl Çalışır ve İşletmeniz Neden İhtiyaç Duyar?
Güvenlik duvarı, ağınızı yetkisiz erişim ve siber tehditlere karşı koruyan ilk savunma hattıdır. Nasıl çalıştığını ve işletmeniz için hangisinin doğru olduğunu öğrenin.
2026-03-14 · 4 dk okuma
Endpoint Security (Uç Nokta Güvenliği) Nedir?
Uç nokta güvenliği; bilgisayar, sunucu ve mobil cihazları siber tehditlere karşı koruyan güvenlik yaklaşımıdır. Nasıl çalıştığını öğrenin.
2026-03-11 · 3 dk okuma