Start-up

Deze blogpost zou makkelijk een apart ebook kunnen vormen. Over IT-security valt immers veel te vertellen. Onze gouden raad aan start-ups is dan ook: laat je hierover grondig adviseren.

Wat is géén goede security: al je data (documenten, spreadsheets, code, enz.) op een server zetten achter een standaard NAT-router en geen back-ups nemen. Voor je in lachen uitbarst: we komen dit soort situaties nog regelmatig tegen. Wat zijn enkele basisregels die je dan wel moet volgen?

Toegang van en naar het internet

Het volstaat niet om een router te plaatsen met ingebouwde NAT en statefull packet filtering om de toegang tot het internet te beveiligen. Als start-up is de kans rëeel dat medewerkers vanop afstand moeten/willen werken: investeer dus minstens in een échte firewall. Als je daar zelf te weinig van af weet, klop dan even aan bij een degelijke netwerkspecialist.

Externe back-ups

In onze blogpost over back-ups hadden we het al uitgebreid over het belang van back-ups voor de continuïteit van een start-up. Maar ook met het oog op veiligheid zijn back-ups een absolute must. Gewoon een kopie op een externe schijf, die in de beginperiode getrouw mee naar huis wordt genomen en daarna niet meer, is onvoldoende. Bekijk wat externe back-updiensten te bieden hebben. Je zou toch niet willen dat hackers of concurrenten vlot aan je data kunnen omdat je backuppartner onbetrouwbaar is?

Wat we zelf doen, doen we beter?

Eén van de belangrijkste security-vragen is of het veiliger is alles zelf te doen of om security uit te besteden. Wat we zelf doen, doen we beter is een gezegde dat maar zelden opgaat op het vlak van IT-security. Het is des te belangrijker om degelijke leverancierkeuzes te maken. Als je naar de cloud gaat, kies dan zeker voor een leverancier met een ISO 27001-certificaat. Zo ben je zeker dat het bedrijf dat jouw cloud (en dus ook jouw applicaties en gegevens) beheert, dit doet op een duidelijk gedocumenteerde manier en elk jaar gecontroleerd wordt aan de hand van externe audits.

De zwakste schakel?

IT security blijft ook een zaak van voortdurende controle. Een ketting is immers maar zo sterk als haar zwakste schakel. Ieder single point of failure kan de achterdeur zijn waarlangs men kan binnen glippen. Om dit te illustreren, verwijs ik graag naar een recente spraakmakende zaak: de Panama-papers. De gegevens die wereldwijd voor een ware schokgolf zorgden, konden immers worden buitgemaakt via… een niet-geupdate WordPress-plug-in.

Eigen applicaties?

Het is belangrijk om te beseffen dat het gevaar letterlijk in een klein hoekje kan zitten. Daar moet je ook rekening mee houden in je eigen applicatie(s). Bouw voldoende beperkingen in om met gebruikersrechten te werken op basis van least privileged accounts. Voor start-ups is het ook aangewezen om in de loop van de ontwikkeling van je applicatie de nodige middelen te voorzien om security- en penetration testing te laten uitvoeren door een externe partij. Je kan beter zelf de gaten en fouten ontdekken voor een hacker dat doet.

###

Deze blogpost maakt deel uit van een reeks blogposts over IT voor start-ups. Bekijk al onze andere blogposts:

Deze blogposts worden verzameld in “het ultieme IT-handboek voor start-ups” dat je hier gratis te downloaden is.

 

 

Gerelateerde berichten
mds bugs

Wat zijn de nieuwe MDS CPU-bugs en wat doen wij eraan?

Je herinnert je misschien nog dat begin vorig jaar er een heel aantal veiligheidsproblemen zijn gevonden in de processoren van Intel. Helaas hebben gisteravond […]

Lees meer

Nucleus & Combell

Nucleus & Combell: twee maanden later

We zijn intussen bijna twee maanden na de overname van Nucleus door Combell. Achter de schermen werken we hard aan de integratie van de twee bedrijven.

Lees meer

http/3

Wat is HTTP/3? En wat betekent het voor jou?

Eind 2018 liet de IETF weten dat het HTTP-over-QUIC protocol voortaan als HTTP/3 door het leven gaat. Zo wordt het de derde officiële versie wordt van het http-protocol. Dat vergt wat uitleg.

Lees meer