Als startup moet je op koste letten. En cybersecurity is een risico, maar hoe groot? Het is een vraag die wij regelmatig krijgen en die soms meer impact heeft dan de startup zich realiseert.
Datalekken zijn nu net zo gewoon als de grillen van het weer. Het weerstaan van zo’n storm is een zware uitdaging, vooral voor jonge bedrijven die te weinig geld hebben om een sterke verdediging op te bouwen tegen digitale schurken.
Het is echter mogelijk. Hier zijn deze beveiligingstips op gebaseerd (we moeten nog eens een boek schroijven 🙂 ) op de ervaringen van startups waarmee ik o.a. werk, met de nadruk op de opties die in elke volwassenheidsfase zullen gelden
Ontwikkelfase
U weet waarschijnlijk nog niet zeker of uw bedrijf investeringen gaat doen. Naar mijn mening zijn je beste keuzes goedkoop of gratis.
• Toepassingsbeveiliging: uit mijn ervaring is het hashen van de inloggegevens van de gebruiker hier essentieel. Het is ook mogelijk dat u voorlopig geen creditcardgegevens wilt opslaan. Het ligt in het kader van PCI-compliance, een reeks voorschriften die te moeilijk is om op te kauwen met beperkt geld.
• Infrastructuurbeveiliging: u moet gebruikmaken van beheerde services zoals Google Cloud, Microsoft Azure of Amazon Web Services en deze correct configureren. Gebruik aparte accounts voor productie en andere omgevingen, sluit alles in een virtual private cloud (VPC) in en beperk het aantal IP’s dat toegang heeft tot de omgeving.
Andere geweldige stappen zijn het verplaatsen van uw productieconfiguraties uit de code naar een afzonderlijke opslagplaats en het afdwingen van multifactor-authenticatie (MFA) op alle services waarmee ingenieurs werken.
Vergeet ook niet om de toegang tot de productieserver en database te beperken, door alles te organiseren via tools voor continue integratie
• Beveiliging van mensen: huur een betrouwbare ontwikkelaar en operations engineer in om er zeker van te zijn dat gevoelige toegangen in goede handen zijn. Het uitvoeren van veilige coderingstraining voor uw ingenieurs is ook nuttig, omdat een dag van hun tijd uw bedrijf kan redden. Bovendien kan een maatregel die zo eenvoudig is als het coderen van hun laptops en het voorzien van antivirussoftware een reddingsboei zijn als sommige gadgets verloren gaan in een coffeeshop.
Product/Dienst ready
U heeft nog steeds geen financiering, maar heeft al klanten en wilt hun gegevens goed beveiligen. Ik denk dat u zich moet blijven concentreren op goedkopere maar impactvolle maatregelen.
• Toepassingsbeveiliging: u moet een wachtwoordbeleid voor uw gebruikers afdwingen en ten minste één penetratietest uitvoeren, die u kan helpen verborgen beveiligingslekken te ontdekken. Een andere goede gewoonte is om de OWASP Top 10-status van uw app te behouden. Het is een regelmatig bijgewerkt rapport over zorgen over webbeveiliging.
• Infrastructuurbeveiliging: maak een back-up van uw databases, codeer gegevens die onderweg zijn en maak essentiële bronnen alleen beschikbaar via de privé-VPN. Deze stappen zijn eenvoudig, maar kunnen het bedrijf redden.
• Beveiliging van mensen: uw doel hier zou moeten zijn om basisprocedures voor onboarding en offboarding op te zetten. U wilt alle toegang tot gevoelige gegevens intrekken wanneer mensen uw bolwerk verlaten. Handhaving van het wachtwoordbeheerbeleid zou ook nuttig zijn.
Een andere goede stap is het uitvoeren van een op engineering gerichte training voor beveiligingsbewustzijn. (awareness) In kritieke omstandigheden moet iedereen uit het hoofd weten wat hij moet doen.
Heb je nog vragen? bel of mail!
.