Консалтинговое агентство полного цикла
Назад
04.12.2025

Кибер-гигиена малого бизнеса в Турции: доступы, бэкапы, аудит

Родные мои, бизнес сейчас живёт в телефоне и в облаке. И вот вы такие: «пароль 123qwerty», бэкапы «где-то были», уволили менеджера, а он до сих пор логинится в CRM. Это не просто «айти-штуки», это про деньги и нервы. Разложу по полочкам, как навести порядок за пару вечеров и спать спокойно.

1) Доступы: кто к чему лезет и почему

Цель: у каждого — ровно столько прав, сколько нужно для работы.

  • Матрица доступов (RBAC): список систем × роли × права. Продажи — CRM и почта; бухгалтер: банк-клиент, e-invoicing; подрядчики — только свои проекты.
  • SSO и MFA: единый вход и двухфакторка везде, где можно. Менеджер паролей — обязательный (Bitwarden/1Password), общие доступы через «коллекции», а не «вот пароль в чате».
  • Политика паролей: длина 14+, уникальные, без «лето2025». В менеджере включите генератор и аудит утечек.
  • Онбординг/оффбординг: чек-лист при приёме и увольнении. Заводим корпоративную почту, доступы; при увольнении закрываем всё в один день: почта, CRM, облака, мессенджеры, телефония, KEP/e-imza, банк-клиент (через банк).

2) Бэкапы: 3-2-1 и без героизма

Правило 3-2-1: три копии, на двух носителях, одна — вне офиса/облака компании.

  • Что бэкапить: бухгалтерия, CRM, облачные диски, почта, мессенджер-архивы, сайт/БД, ключевые документы, ключи/сертификаты.
  • План восстановления: RTO/RPO на салфетке. Сколько часов готовы стоять и сколько данных готовы потерять.
  • Тест восстановления: раз в квартал поднимите копию «в чистом поле». Бэкап без теста — это сказка про белого бычка.
  • Версионирование и «immutable»: включайте версии файлов и защиту от шифрования/удаления.

3) Мини-аудит за 60 минут

  1. Выгрузите список пользователей в каждой системе. Уберите «призраков», закройте общие логины.
  2. Включите MFA (многофакторная аутентификация) всем.
  3. Проверьте роли: у менеджеров нет админки там, где не надо.
  4. Посмотрите отчёты входов: странные страны, ночные логины — на карандаш.
  5. Узнайте, где хранятся бэкапы и когда их тестили. Если не помните, то считайте, что не тестили.
  6. Проверьте договоры с подрядчиками: у них есть NDA и пункт про защиту данных?

4) Почта, мессенджеры, файлы

  • Почта: включите анти-фишинг, SPF/DKIM/DMARC, запрет пересылки вне домена для «секретных» ящиков.
  • Мессенджеры: рабочие чаты — в корпоративных пространствах. Ватсап-бардак с клиентами переносим в CRM/Helpdesk.
  • Облака: разнесите «продажи/финансы/юр» по папкам с разными правами. Запрет скачивания на личные устройства для чувствительных папок.

5) Антивирус/EDR и обновления

  • Включите централизованный Endpoint Security на все ноуты/ПК.
  • Обновления ОС/браузеров автоматом.
  • Для телефонов — минимум экран-код + удалённый вайп + запрет копирования из корпоративных приложений в личные.

6) Фишинг-профилактика для живых людей

  • Раз в квартал короткий тренинг «как выглядит обман».
  • Правило «двух каналов» для денег: любое изменение реквизитов — проверка голосом по известному номеру.

7) Инцидент-план «на холодильник»

  • Кого будим: ответственный, айтишник/подрядчик, руководитель, юрист/PR.
  • Что делаем в первые 24 часа: отключаем доступы, переводим на резерв, фиксируем артефакты (логи, скриншоты), уведомляем критичных клиентов.
  • Послесловие: разбираем причину, закрываем дыру, обновляем чек-листы.

8) Подрядчики и «дырки сбоку»

  • Любая интеграция = риск. Дайте им минимальные права.
  • В договор добавляйте пункты про хранение данных, срок уведомления об инциденте, штрафы, удаление доступов после проекта.

9) Для Турции: что помнить дополнительно

  • KVKK (защита персональных данных): назначьте ответственного, опишите реестр обработки, проверьте, нужен ли учёт в VERBIS.
  • Банки и e-подпись: следите за доступами в KEP/e-İmza у уволенных и у подрядчиков.

Чек-лист от опытного консалтера (распечатать и повесить)

  • Матрица доступов готова; SSO+MFA включены всем.
  • Менеджер паролей обязателен, общие — только через «коллекции».
  • Есть 3-2-1 бэкапы, тест восстановления пройден за последние 90 дней.
  • Оффбординг за 1 день закрывает все доступы.
  • Почта с DMARC, файлы — с ролями и запретом скачивания для «секретных».
  • Endpoint-защита стоит, обновления — авто.
  • Инцидент-план подписан, контакты под рукой.
  • Подрядчики на коротком поводке, NDA и кибер-пункты в договорах.
  • KVKK/VERBIS проверены.

Мини-шаблоны, чтобы не изобретать колесо

  • Шаблон «Матрица доступов»: Система → Роль → Права → Ответственный → Кто выдал → Когда пересмотреть.
  • Шаблон «Оффбординг в 1 клик»: аккаунты → почта → облака → CRM → телефония → банк → KEP/e-İmza → физические ключи/бейдж.
  • Шаблон «План бэкапов»: что бэкапим → куда → как часто → кто отвечает → когда последний тест → где инструкция восстановления.

Итог

Кибер-гигиена — это не «сделать красиво», это сократить шанс прилёта проблем и цену простоя. Доступы под контролем, бэкапы проверены, люди обучены — и ваш бизнес не рассыплется из-за одной «умной» ссылки.

Информация на сайте не является юридической консультацией и носит ознакомительный характер. Для получения актуальных сведений обращайтесь за консультацией к специалисту.

Автор
Наталья Колиева
Наталья Колиева
Связаться
или
+90 505 103 83 50