כאשר אנחנו באים להשיק מיזם דיגיטלי (זה יכול להיות אתר אינטרנט, מערכת או אפליקצית מובייל) המחשבה שלנו ישר הולכת להתמקדות בשוק ובצמיחה (Market Growth) וזה נכון, אך האם אנו מוגנים כאשר נגיע לשלב בו נעשה את ה-Scale up? ובכן, באם לא נעשה צעדים פרקטיים לכך - כנראה שנגיע לשלב הזה לא מוכנים מבחינת Security.
עסקים יציבים, סטארטפים בתחילת דרכם - כולם צריכים מודאגים מאבטחת מידע ופרטיות אך עסקים מבוססים יכולים להשתמש במשאבים העצומים שיש להם על מנת לגייס או לשכור גורם חיצוני שהוא מומחה אבטחת מידע ואילו סטארטפים בתחילת דרכם צריכים לתת מענה לדבר בצורה של זמן ולא כסף.
סטארטפים אשר מתמקדים בתחילת דרכם בפיתוח MVP ובצמיחה ראשונית צריכים להשקיע משאב זמן וכסף קטן, כזה או אחר, וזאת כמובן תלוי במיזם עצמו על מנת להיות מאובטחים מהיום הראשון ולא להיות חשופים לתביעות או בעיות טכנולוגיות כאלה ואחרות שיצוצו בעתיד.
להלן מספר פתרונות אשר יעזרו לכם לממש את הנושא בסטארטפים שלכם:
1. מינוי אחראי Security בחברה והיו גלויים איתו
בין אם מדובר בסטארטפ קטן אשר לו יש CTO שהוא אמור להיות אחראי על הנושא הנ"ל (כי הרי הוא השולט הטכנולוגי בחברה) או בין אם מדובר בחברה שהיא כבר בשלב של אחר גיוס ולה צריך CSO (Cheif Security Officer) - גורם זה צריך להיות מודע למידע שעובר בחברה, כמו גם מה עושים העובדים עם נתוני החברה, באילו כלים הם משתמשים והיכן מאוחסנים הנתונים והמידעים השונים.
כל הזמן צריך להיות שיתוף וסנכרון בין הגורמים השונים - עובדים אל CSO והפוך - ככל שהחברה גודלת - כך יותר קשה לעקוב אחר DATA הזורם בחברה והקו בין המכשירים השונים (משעון חכם ועד מחשב נייד ועד טאבלט) שכולם הם ציוד של החברה הולך ומטשטש.
באם אנחנו משתפים לקוחות או מיילים למשל דרך הענן, אנחנו צריכים לשים לב כי יש שכבת אבטחה על אותו ענן, כמו כן - באם Device מסוים מחובר לאחד מהמכשירים בחברה, צריכה להיות שכבת אבטחה אשר בודקת את החומר המועבר. כי במידה ולא - המרחק בין קובץ נגוע להפצת וירוס או חומר זדוני ברחבי החברה ושרתיה הוא קצר.
2. צרו מדיניות אבטחת מידע, מפו נכסים חשובים שעתידים להיות מועדים לפורענות
כל חברה, מיזם - קטן או גדול, צריך לקבוע מדיניות אבטחת מידע.
כדאי להקדיש זמן על מנת למפות את הנכסים הדיגיטליים הקיימים בחברה ומהם המקורות הכי רגישים אצלנו שאותם עברייני סייבר ירוצו לזהות ולפרוץ. כל נכס כזה צריך לקבל הגנה מתאימה עם מפתח ייחודי אשר מוחזק אצל גורם אחראי, רצוי גם שיהיו כמה אחראיים על מנת לא לשמור את כל הביצים בסל אחד.
3. תדרכו את העובדים שלכם, דאגו שהם יבינו את חשיבות הנושא
באם יש אחראי אבטחת מידע בחברה, אזי שזה עולה 0 ש"ח. אם אין - עדיף לקחת איש אבטחת מידע מקצועי, לשלם לו יום שלם על מנת לכסות את הדברים הקריטיים ביותר בחברה מבחינת אבטחת מידע ולגרום לזה שהעובדים שלנו קיבלו את הבסיס בעולם אבטחת המידע אל מול האירגון בו הם עובדים.
צריך להסביר להם אודות אופן השימוש ב:
- מכשירים
- העברת DATAות
- זיהוי קישורים זדוניים
- התקפות פישינג
- ניהול סיסמאות וכו'.
4. סטארטפ מבוסס אך לא יודע איך לשמור על הידע של האירגון שלך? גייס מיקור חוץ
ישנם פרילנסרים וכן חברות אבטחת מידע אשר יודעים לכסות את נושא ה-Security במיזמים קצה לקצה. החל משלב האבחון, דרך מציאת הבעיות הקיימות ועד הטמעת הפתרונות בתוך האירגון ועובדיו.
טיפ קטן - אחסנו את הנתונים שלכם על פתרון ענן אשר יכול לשלב אבטחת נתונים כמו גם אבטחה ברמת האפליקציה, ז"א כיסוי בצד הלקוח, בצד השרת וכן בצד האפליקציה - חובה לדאוג לשכבת הגנה בכל 3 האזורים הנ"ל - אפשר להשתמש ב- Amazon Web Services (AWS), Google Cloud וכו' אשר נותנים מענה טוב לנושא.
5. זהו מהן הנקודות החלשות שלכם והצפינו אותן
אתה מיזם שעוסק בתחום המסחר האלקטרוני? מעולה, בדוק שהכרטיסי אשראי שלך שמורים מאחורי כמה רמות של אבטחה וכן הם תואמים את כל התקנים האפשריים, המיזם שלך עוסק באיסוף נתונים של יוזרים? מעולה, בדוק שאתה עונה על GDPR וכן על שאר פרמטרים שנוגעים בסקיוריטי שאתה צריך לענות עליהם. לפי הסגמנט בו אתה פועל - אתה צריך לבדוק מה עושים מתחרייך, להתייעץ עם עו"ד מקצועי או עם איש אבטחת מידע מקצועי ולבדוק מהם הדברים שצריכים להיות מכוסים הרמטית.
- הטמע מערכת אשר בודקת את הקוד שלך ומוצאת פרצות אבטחה - למשל https://www.codacy.com/
- באם אתה משתמש בסליקה - השתמש בGateway על מנת לעשות זאת ואל תאחסן פרטי תשלום ישירות על השרת שלך
- כל Data אשר מאוחסן על המערכת או על השרת שלך צריך להיות מוצפן באמצעות TDES or AES encryption methods
- בדוק כי הקוד בצד הלקוח שלך מוצפן על ידי אפשרות להזריק לתוכו גורם נזיק, אפשר לקרוא פה עוד בהרחבה
6. בדיקות חדירה (Penetration tests) צריכות להיעשות לעיתים קרובות
ישנן חברות וכן כלים שונים (komodosec, spirent, berezhasecurity למשל) אשר יודעים לבצע מול מערכות שונות ומשונות בדיקות חדירה, מהות הבדיקה היא לראות אילו דברים השתנו טכנולוגית בעולם ושכעת יכולים לפרוץ את המערכת שלך. זה הזמן לגלות מהם הדברים שצריכים להיחסם או להיות מאובטחים יתר על המידה על מנת להיות מעודכנים לפריצות החדשות שקיימות בתאריך של היום.
כדאי להקדיש כסף וזמן בכדי לזהות את הצרכים הספציפיים של החברה שלך ולמצוא כלי ספציפי שיענה על הצרכים העסקיים שלך וניתן לניהול מפעם לפעם. אחרי הכל, סטארטאפים צריכים להיות מסוגלים להשתמש במיומנות בכל הכלים שהם השקיעו בהם.
למרות התקציבים המוגבלים שלהם, חברות סטארט-אפ אינן יכולות להרשות לעצמן להסתכן בפירצה של נתונים.
7. אחסנו את הקוד של החברה ב-SVN או GIT
הקוד של האתר, המערכת או האפליקציה שלך צריך להישמר ב-GIT - הוא גורם לקוד להיות מוצפן, בעל יכולת שחזור אחורה וכן לראות שינויים שקרו ועל ידי מי. זה יכול להיות על ידי תוכנה ייעודית כמו TortoiseSVN או אפילו להיות משוכפל אל ה-Google Drive או ה-DropBox של החברה.
שימו לב לא לשתף מפתחות פרטיים בקוד שלכם אלא השתמשו בסביבת האחסון שלכם על מנת לשמור אותם.
