Als het ons goed gaat in het dagelijks leven, hoor je niemand over het nut van verzekeringen. We klagen vaak over de premies die we maandelijks betalen voor iets dat we waarschijnlijk nooit nodig hebben. De meeste start-ups die ik tegenkom bekijken security op diezelfde manier als een verzekering voor brand: het krijgt zeker niet de zelfde waardering als de groei van het bedrijf. En dat is logisch natuurlijk. Maar daarom zijn de risico’s die ook kleine start-ups lopen de wereld nog niet uit. En elke dag dat de beveiliging verwaarloosd wordt is weer een dag waarin je jezelf blootstelt aan serieuze risico’s.
Een beveiligingslek kan een startup in het beginstadium van zijn ontwikkeling de das om doen. Terwijl je bedrijf een geweldig innovatief product aanbiedt, kan een security-blunder alle aandacht van de innovatie wegkapen. Door een aantal basis veiligheidsmaatregelen in te voeren zullen niet alleen mogelijke indringers afgeweerd worden, maar je klanten zullen in de regel meer vergevingsgezind zijn als ze zien welke maatregelen je hebt genomen om lekken te voorkomen. Daarom hier vier praktische tips die elke start-up serieus moet overwegen en/of overleggen met zijn it-partner als het gaat om de veiligheid van digitale gegevens.
1. Beschermen van klantgegevens
Een oud-collega vertelde me ooit eens dat ‘data nutteloos maken’ de beste methode was om gevoelige data te beveiligen. Uiteraard bewaart elke organisatie data die niet veel waard is voor een ander. Het beschermen van gegevens van klanten en medewerkers is daarentegen van groot belang voor een succesvolle start-up. Gegevensverlies in de eerste dagen van het bestaan van een organisatie kan de reputatie voor jarenlang schaden. Veel organisaties zien encryptie als een eerste stap in het beschermen van gegevens, maar overweeg manieren om gevoelige informatie te verduisteren en het hiermee nog moeilijk te maken om te stelen. Je kunt grote delen data in kleinere stukken opdelen en op verschillende locaties opslaan of one-way hashes gebruiken voor het opslaan van data die je alleen gebruikt voor vergelijking. Een goed ingevoerde en extreem vastberaden aanvaller is waarschijnlijk wel in staat om deze delen samen te voegen, maar de gemiddelde hacker zal verder zoeken naar een makkelijker doelwit.
Het veilig opslaan van wachtwoorden is een ander onderwerp dat veel discussie oproept. Een van de grootste risico’s is dat iemand de wachtwoorden steelt en met moderne gpu’s of breed beschikbare lijsten met mogelijke wachtwoorden (rainbow tables) een aanval start. Om dit proces moeilijker te maken, maak dan gebruik van salting in combinatie met een sterke opslagmethode voor wachtwoorden, zoals PBKDF2. Dit vertraagt de aanval en vermindert de kans dat een aanvaller een wachtwoord van een gebruiker kan vaststellen.
2. Gebruik bekende development frameworks
Ik weet dat veel mensen kritiek hebben op bekende frameworks omdat ze altijd bekende kwetsbaarheden hebben. Aan de ene kant klopt dat. Iets dat veel gebruikt wordt zal vaker aangevallen worden. Echter, een groot voordeel van het gebruiken van bekende frameworks is dat ook de gemeenschap die de software ondersteunt snel kan reageren op aanvallen en patch issues. Neem bijvoorbeeld WordPress. De ontwikkelaars reageren snel op kwetsbaarheden en zorgen voor veilige versies die eenvoudig door beheerders geïnstalleerd kunnen worden. Als je zelf een cms-applicatie schrijft, zul je in de regel niet weten wanneer zich er een probleem voordoet. Zelfs wanneer je een kwetsbaarheid vindt zul je dit zelf handmatig moeten aanpassen en je eigen code moeten controleren. Dit betekent dat je de mogelijkheden die het product biedt om het probleem op te lossen wegneemt. Door gebruik te maken van ontwikkelaars wordt het makkelijker om je te concentreren op je core product en minder op het framework dat het mogelijk maakt.
3. Fysieke beveiliging
Het intellectuele eigendom van een start-up kan snel worden aangetast via fysieke toegang, zelfs wanneer er geen kantoor is. Denk daarom goed na over het beveiligen van kantoren, werkplekken en laptops. Er zijn legio verhalen over inbrekers die een ‘kantoor’ in de vorm van enkele laptops stalen toen het team vertrokken was voor de lunch. En dan hebben we het nog niet eens over mensen die hun laptops vergeten of niet goed in de gaten houden in cafe’s of op het vliegveld.
Sommige dieven willen alleen het apparaat om dit vervolgens weer door te verkopen, maar diefstal heeft steeds vaker bedrijfsspionage als reden. In steden waar veel start-ups zijn gevestigd zoals San Francisco in de VS en Amsterdam in Nederland wordt vaak meer betaald voor gestolen apparaten voor de data die erop staat dan voor de hardware zelf.
4. Let op waar je gevoelige data opslaat
In elke organisatie worden gegevens onder medewerkers gedeeld. Dat is een no brainer. Maar de beslissing over het delen van documenten met een provider zou juist een zorgvuldig proces moeten zijn. Zoek uit of de organisatie aansprakelijk is voor gestolen data, of zij toegang hebben tot jouw bestanden en dat je zelf, na het uploaden van informatie, de rechtmatige eigenaar blijft. Stel kritische vragen over de authenticatie en de versleuteling van data. Bestudeer daarnaast het proces van het automatisch toegang geven tot file-storingsdiensten. Je wilt voorkomen dat je in een situatie belandt waarin een ontevreden werknemer opeens de organisatie verlaat en je geen eenvoudige manier hebt om hem snel de toegang te ontzeggen.
Waarom beveiliging niet hetzelfde is als verzekeren
Net zoals verzekeringen gaat het er bij beveiliging om dat je jezelf beschermt tegen ongewenste situaties. Maar dat is dan ook direct waar de overeenkomst eindigt. Waar een verzekering een bedrag in geld uitbetaalt, betaalt beveiliging zich uit in klantvertrouwen. Geld kan vertrouwen kopen, maar dat is wel verschrikkelijk inefficiënt en kent zeker grenzen. Om je verzekering in tact te houden is je premie maandelijks betalen het enige dat je moet doen.
Beveiliging is een gewoonte, een discipline. Voor zowel start-ups als gevestigde organisaties is het versleutelen of verknippen van data nooit zo leuk als het bouwen van een app of het introduceren van een website, maar het is een noodzakelijk kwaad. Als gebruikers vertrouwen verliezen in de beveiliging en privacy van de data die ze je toevertrouwen, verliezen ze het vertrouwen in je organisatie, je applicatie of jouw ideeën. En dat is de slechts denkbare start voor een beginnende organisatie.
Laat je daarom verzekeren van een goede, basic beveiliging en ga doen waar jij goed in bent!
