Start-up

Deze blogpost zou makkelijk een apart ebook kunnen vormen. Over IT-security valt immers veel te vertellen. Onze gouden raad aan start-ups is dan ook: laat je hierover grondig adviseren.

Wat is géén goede security: al je data (documenten, spreadsheets, code, enz.) op een server zetten achter een standaard NAT-router en geen back-ups nemen. Voor je in lachen uitbarst: we komen dit soort situaties nog regelmatig tegen. Wat zijn enkele basisregels die je dan wel moet volgen?

Toegang van en naar het internet

Het volstaat niet om een router te plaatsen met ingebouwde NAT en statefull packet filtering om de toegang tot het internet te beveiligen. Als start-up is de kans rëeel dat medewerkers vanop afstand moeten/willen werken: investeer dus minstens in een échte firewall. Als je daar zelf te weinig van af weet, klop dan even aan bij een degelijke netwerkspecialist.

Externe back-ups

In onze blogpost over back-ups hadden we het al uitgebreid over het belang van back-ups voor de continuïteit van een start-up. Maar ook met het oog op veiligheid zijn back-ups een absolute must. Gewoon een kopie op een externe schijf, die in de beginperiode getrouw mee naar huis wordt genomen en daarna niet meer, is onvoldoende. Bekijk wat externe back-updiensten te bieden hebben. Je zou toch niet willen dat hackers of concurrenten vlot aan je data kunnen omdat je backuppartner onbetrouwbaar is?

Wat we zelf doen, doen we beter?

Eén van de belangrijkste security-vragen is of het veiliger is alles zelf te doen of om security uit te besteden. Wat we zelf doen, doen we beter is een gezegde dat maar zelden opgaat op het vlak van IT-security. Het is des te belangrijker om degelijke leverancierkeuzes te maken. Als je naar de cloud gaat, kies dan zeker voor een leverancier met een ISO 27001-certificaat. Zo ben je zeker dat het bedrijf dat jouw cloud (en dus ook jouw applicaties en gegevens) beheert, dit doet op een duidelijk gedocumenteerde manier en elk jaar gecontroleerd wordt aan de hand van externe audits.

De zwakste schakel?

IT security blijft ook een zaak van voortdurende controle. Een ketting is immers maar zo sterk als haar zwakste schakel. Ieder single point of failure kan de achterdeur zijn waarlangs men kan binnen glippen. Om dit te illustreren, verwijs ik graag naar een recente spraakmakende zaak: de Panama-papers. De gegevens die wereldwijd voor een ware schokgolf zorgden, konden immers worden buitgemaakt via… een niet-geupdate WordPress-plug-in.

Eigen applicaties?

Het is belangrijk om te beseffen dat het gevaar letterlijk in een klein hoekje kan zitten. Daar moet je ook rekening mee houden in je eigen applicatie(s). Bouw voldoende beperkingen in om met gebruikersrechten te werken op basis van least privileged accounts. Voor start-ups is het ook aangewezen om in de loop van de ontwikkeling van je applicatie de nodige middelen te voorzien om security- en penetration testing te laten uitvoeren door een externe partij. Je kan beter zelf de gaten en fouten ontdekken voor een hacker dat doet.

###

Deze blogpost maakt deel uit van een reeks blogposts over IT voor start-ups. Bekijk al onze andere blogposts:

Deze blogposts worden verzameld in “het ultieme IT-handboek voor start-ups” dat je hier gratis te downloaden is.

 

 

Gerelateerde berichten
Meet the Hackers

Meet the hackers: drie visies op IT security

Better safe than sorry. Dat was de boodschap achter Meet the hackers, onze workshop rond ethical hacking. In het gezellig kader van de schuur […]

Lees meer

GDPR voor developers

GDPR voor developers: praktische tips

Er bestaat al gigantisch veel informatie over GDPR. Informatie voor CEO’s, CIO’s, marketing managers… maar GDPR voor developers? Amper. Daar willen we met deze blogpost verandering in brengen. Wat moet je als developer weten over GDPR? En welke praktische tips kunnen we je geven?

Lees meer

DevOps Mythes

6 DevOps mythes die we graag uit de wereld helpen

DevOps is een hot topic. Je vindt er dan ook heel veel informatie over. Helaas is niet al die informatie even zinvol of correct. […]

Lees meer