مقالات

امنیت سایبری برای استارتاپ‌ها؛ توصیه‌هایی آزمایش شده از طرف بنیان‌گذاران

کاربران شما معمولاً بر این باور هستند که شما حتماً از اطلاعات آن ها محافظت می‌کنید. با توجه به این که استارتاپ‌ها امروزه نقش مهمی در زیست­بوم اجتماعی و فناوری دارند، این سؤال مطرح می‌شود که: به عنوان یک استارتاپ، در صورتی که منابع شما محدود باشد چطور امنیت کاربران­تان را تضمین می‌کنید؟

استارتاپ‌ها بخش مهمی از عناوین خبری را در زمینه‌هایی همچون سرمایه‌گذاری یا عرضه محصولات جدید به خود اختصاص داده‌اند و کاربران اینترنت، همیشه برای انجام کارها به سمت جدیدترین و اثبات شده‌ترین راه‌ها هجوم می‌برند. بنابراین تیم‌های کوچک استارتاپی که انگیزه و اشتیاق، محرک اصلی آن ها است باید منابع موجود را برای تولید محصولات، جمع‌آوری بودجه، تشکیل انجمن، حضور پررنگ در مطبوعات و غیره صرف کنند.

اما امنیت سایبری در کدام بخش از لیست اولویت‌ها قرار دارد؟ به عنوان فردی که یک کار جدید و نو را آغاز کرده ممکن است درباره چگونگی ذخیره‌سازی و مدیریت داده‌ها نگرانی داشته باشید. به عنوان یک بنیان‌گذار، ممکن است با شنیدن خبرهای مربوط به حملات سایبری که هر روزه آن ها را می‌شنویم، بیشتر و بیشتر نگران شوید. به عنوان یک سرمایه‌گذار، ممکن است از این بترسید که یک حمله سایبری باعث شود حتی قبل از این که به بازگشت سرمایه ­تان دست پیدا کنید، تمام زحمات شما تباه شود.

پس بنابراین امنیت سایبری چگونه برای استارتاپ‌ها فراهم می‌شود؟ با توجه به این که ارزش حقیقت برای ما از هر چیزی بالاتر است، با بنیان‌گذاران چندین استارتاپ مصاحبه کردیم تا کمی بیشتر راجع به نقش امنیت اطلاعات در تولید محصولاتی موفق و کارآمد آشنا شویم.

خوشبختانه متوجه شدیم که این افراد نه تنها از اهمیت مسایل و مشکلات امنیت سایبری آگاه هستند بلکه فعالانه سعی دارند این مسایل را به عنوان بخشی حیاتی از توسعه راهبردها و محصولات‌شان در نظر بگیرند.

پاسخ این افراد، منبع بسیار خوبی از توصیه‌های عملی و سناریوهای واقعی است که در آن ها امنیت، یک سرمایه واقعی و یکی از عوامل مهم در تعیین اعتبار شما نزد مشتریان محسوب می‌شود. صرف‌نظر از اندازه یک سازمان، نه فقط رعایت این توصیه‌های کاربردی و عملی را توصیه می‌کنیم بلکه اعلام می‌کنیم که این کار کاملاً ضروری است.

 

آشنایی با بنیان‌گذاران چند استارتاپ

 

  • الکساندرا آنجل از بنیان‌گذاران و مدیر ارشد فناوری در Appticles.com

الکساندرا آنجل از بنیان‌گذاران و مدیر ارشد فناوری در Appticles.com

الکساندرا، پیشینه فنی و تکنیکی قوی دارد و بیشتر در زمینه برنامه‌نویسی مربوط به سرور یا Backend فعالیت داشته و پیش از این مالک یک شرکت برون‌سپاری بوده است. او علاقه زیادی به کارهای نو و کارآفرینی داشته و تمایل دارد به خانم‌ها در برنامه‌نویسی و کدنویسی کمک کند.

Appticles.com وب سایتی است که به وبلاگ نویسان، ناشران و سایر تولیدکنندگان محتوا کمک می‌کند تا محتوای فعلی خودشان را در پلتفرم­ های موبایلی چند سکویی درج کنند.

 

  • دراگوس موستسکو، بنیان‌گذار و مدیرعامل RESTACK

دراگوس موستسکو، بنیان‌گذار و مدیرعامل RESTACKدراگوس، مدت بسیار طولانی توسعه‌دهنده وب بوده و اکنون بنیان‌گذار یک استارتاپ است. او در حال تولید یک پلتفرم کامل برای دستگاه‌های متصل به شبکه است.

RESTACK یک رابط کاربری سراسری برای دستگاه‌های متصل است که ابزارهای دیباگ و رفع اشکال، امکانات امنیتی، تجزیه و تحلیل، یک بک‌اند ابری و یک فرانت‌اند قابل تنظیم ارایه می‌دهد که برای تولیدکننده‌ها و تمامی علاقه‌مندان به فناوری بسیار مناسب و مفید است.

 

  • مایل روسو از بنیان‌گذاران و مدیر فروش Presslabs

مایل روسو از بنیان‌گذاران و مدیر فروش Presslabsمایل از تبلیغ کسب‌وکارش و افزایش شهرت آن و همچنین کمک به عملکرد بی­ عیب و نقص سایت مشتریان و رتبه گرفتن آن لذت می‌برد.

Presslabs در سال ۲۰۱۱ میلادی تأسیس شد و هم ­اکنون سرویس‌های میزبانی وردپرس را ارایه می‌دهد که برای ناشران محتوا در سراسر جهان مناسب و مفید هستند.

 

 

  • رابرت نپ از بنیان‌گذاران و مدیرعامل CyberGhost

رابرت نپ از بنیان‌گذاران و مدیرعامل CyberGhostRobert و تیمش یکی از بهترین و شناخته‌شده‌ترین تولیدکننده‌های VPN در سطح جهان هستند. شرکت CyberGhost از بیش از ۲۰ کارمند تشکیل شده که در زمان بسیار کوتاهی یک سرویس فوق‌العاده با میلیون‌ها کاربر در سطح جهان ایجاد کردند.

شرکت CyberGhost که در سال ۲۰۱۱ میلادی در منطقه Land of no Data Retention کشور رومانی تأسیس شد، یکی از شناخته‌شده‌ترین تولیدکنندگان VPN در آلمان و اروپای غربی است. این شرکت در ارایه بهترین و مؤثرترین راهکارها برای امنیت اینترنت یعنی «ناشناس ماندن کاربران» تخصص دارد.

 

  • سورین ویناتورو، مدیر ارشد فناوری و از بنیان‌گذاران RenderStreet

سورین ویناتورو، مدیر ارشد فناوری و از بنیان‌گذاران RenderStreet سورین از سال ۲۰۰۱ تا به امروز، یک کارآفرین سریالی بوده و علاقه زیادی به استفاده از فناوری برای کمک به رشد سازمان‌ها دارد. او با موفقیت­ هایی که کسب کرده؛ تجربیات و اصول کاری خود را در اختیار سازمان­ های در حال رشد قرار می­ دهد.

RenderStreet، سیستم رندر فارم (مزرعه رندر) نسل جدید برای Blender (نرم‌افزار آزاد و متن‌باز در زمینه گرافیک سه‌بعدی و طراحی مدل سه‌بعدی است. این برنامه می‌تواند برای مدل‌سازی یک الگو، باز کردن UV، شبیه‌سازی مایع، قسمت‌های پوستی، مفصل‌ها و استخوان‌بندی کاراکترها، تحرک‌بخشی و جان دادن به اشیای پروژه، پردازش کارها و سایر شبیه‌سازی‌ها استفاده شود.) است که مجموعه‌ای کامل از ابزارها و امکانات مختلف را برای رندر کردن حرفه‌ای V-Ray و Blender فراهم می‌کند.

 

  • تودور باستیا از بنیان‌گذاران و مدیر ارشد فناوری در ۱۲۳contactform

تودور باستیا از بنیان‌گذاران و مدیر ارشد فناوری در 123contactformتودور، مغز متفکر ایده ۱۲۳ContactForm است. او قادر است در هر زمانی از روز، تمام توابع داخل یک کد را در عرض چند ثانیه تشریح کند.

۱۲۳ContactForm سرویسی است که در سال ۲۰۰۸ میلادی بنیان‌گذاری شده و برترین تولیدکننده فرم‌ها و نظرسنجی‌های آنلاین در سطح جهان است.

 

 

در ادامه، بنیان‌گذاران این استارتاپ‌ها، تجربیات­شان را در مورد موضوعاتی که از آن ها پرسیدیم، با ما در میان می‌گذراند.

 

۱. نگرانی‌های کاربران راجع به امنیت داده‌ها و حفظ حریم خصوصی

 

امنیت داده‌ها و حفظ حریم خصوصی

 

 

  • الکساندرا انجل،Appticles:

قطعاً امنیت و حریم خصوصی برای همه افراد مهم است اما سطح نگرانی، بستگی به اندازه کسب‌وکارها دارد. مثلاً وبلاگ‌نویسی که به تازگی کارش را شروع کرده و وبلاگش هنوز خواننده‌های زیادی ندارد، نگرانی کمتری راجع به جنبه‌های امنیتی کارش دارد. در نقطه مقابل، یک وبلاگ­ نویس حرفه‌ای علاقه بیشتری به کسب اطلاعات درباره حریم خصوصی و حفظ امنیت کاربران دارد چون قطعاً تمایلی ندارد که با استفاده از ابزارهای نامناسب، وبلاگش در معرض خطر قرار گرفته و خواننده‌ها و درآمدش را نیز از دست بدهد.

  • دراگوس موسِتسکو، Restack.io:

بله، همیشه سؤال ­های امنیتی اولین سؤالات و دغدغه‌هایی هستند که مطرح می‌شوند.

  • مایل روسو، Presslabs:

بله، قطعاً. امنیت یکی از موضوع­ های روزمره‌ای است که همیشه راجع به آن بحث می‌کنیم، چه با مشتریان جدیدی که بعد از هک شدن به ما مراجعه کرده و تقاضای همکاری با ما را دارند و چه بعد از بازبینی امنیت کدهای نوشته شده توسط تیم توسعه‌دهنده‌ شرکت مشتری یا وقتی به­ روزرسانی امنیتی کدهای منبع باز را انجام می‌دهیم.

از نظر من، میزبانی یا ‌هاستینگ شباهت زیادی به بانکداری دارد. ما تأمین­ کننده امنیت سرمایه‌های مشتریان خود هستیم و باید امنیت آن ها را تضمین کنیم. دوربین‌های نظارتی، جای خود را به سیستم‌های نرم‌افزاری نظارت آنلاین داده‌اند، هشدارهای صوتی تبدیل به سیستم‌های نظارت شده‌اند و هشدار و اخطار، تبدیل به اقدام­ های عملی می‌شوند.

  • رابرت نپ، CyberGhost:

با توجه به این که تجارت ما «بالا نگه داشتن سطح امنیت حریم خصوصی کاربران» است، کاربران ما به صورت پیش‌فرض این تقاضا را از ما داشته و سؤال­ های زیادی از ما در رابطه با این که چطور اطلاعات را ذخیره و پردازش می‌کنیم و غیره می‌پرسند. به همین دلیل، ما در رابطه با این موضوع بسیار شفاف عمل می‌کنیم: ما روش کارمان با داده‌های کاربران را به صورت عمومی اعلام می‌کنیم، چه در پرسش و پاسخ‌ها و چه در گزارش ­های شفاف‌سازی.

  • سورین ویناتورو، RenderStreet:

امنیت داده‌ها و به خصوص حفظ حریم خصوصی برای کاربران ما اهمیت زیادی دارد چرا که خیلی از آن ها برای پنهان‌سازی محصولاتی تلاش دارند که هنوز به طور کامل تولید نشده‌اند. وجود یک رخنه در تصویر ایجاد شده از محصول، برای آن ها و مشتریان‌شان دردسرساز است. بارها از ما خواسته شده که خط ­مشی‌های خودمان در زمینه حفظ حریم خصوصی کاربران را مشخص کنیم و بارها با بعضی از مشتریان، پیمان‌نامه عدم افشای اطلاعات (NDA) امضا کرده‌ایم.

  • تودور باستیا، ۱۲۳contactform:

بله، امنیت و حریم خصوصی موضوع­ هایی هستند که مدام از تیم پشتیبانی ما راجع به آن ها سؤال می‌شود چون نگرانی طبیعی خیلی از کاربران است. بیشتر سؤال­ ها، مربوط به رمزنگاری داده‌ها، پایداری سرور و حفظ حریم خصوصی هستند.

 

۲. اهمیت امنیت سایبری به عنوان یک سرمایه برای استارتاپ‌ها، ارزش ایجاد شده توسط امنیت سایبری در نظر مشتریان و اهمیت محافظت از داده‌ها به عنوان امتیازی برای افزایش فروش

 

اهمیت امنیت سایبری به عنوان یک سرمایه برای استارتاپ‌ها

 

  • الکساندرا انجل،Appticles:

اجازه بدهید از این دیدگاه به قضیه نگاه کنیم: امنیت سایبری برای هر استارتاپی یک ضرورت است. ضعف امنیتی می‌تواند پیامدهای پیش‌بینی نشده زیادی داشته باشد و به شهرت و اعتبار یک استارتاپ آسیب برساند.

برخورداری از امنیتی قوی باعث ارزش‌دهی به محصولات و سرویس‌های شما می‌شود اما نه از آن نوع ارزش‌هایی که هر شخصی دارد. دلیل این موضوع این است که مشتریان، به صورت پیش­فرض انتظار دارند که سیستم از امنیت بالایی برخوردار باشد. بنابراین تأکید بر آن به عنوان یک امتیاز برای فروش، معقولانه نیست. علاوه بر این، مشتریان ما بیشتر غیرفنی هستند؛ بنابراین اکثر وقت­ ها، زمان و بردباری لازم برای درک این موضوع که چرا روش‌های امنیتی ما بهتر از روش‌های رقبا هستند را ندارند.

البته این مسأله برای استارتاپ‌هایی که محصول نهایی آن ها یک ابزار امنیتی مثل آنتی ­ویروس، پویشگر بدافزار و غیره است صدق نمی‌کند. در چنین استارتاپ‌هایی، افزایش امنیت مهم ترین ارزش افزوده آن ها است.

  • دراگوس موسِتسکو، Restack.io:

بعضی از محصولات و استارتاپ‌ها باید در ابتدا کارشان را با تمرکز بر امنیت شروع کرده و بعد بر امکانات محصول متمرکز شوند. برای مثال در حوزه اینترنت اشیا، امنیت باید اولین چیزی باشد که به محصولات‌تان اضافه می‌کنید و بعد به سراغ سایر امکانات بروید. این کار باعث ایجاد ارزش برای محصول‌تان می‌شود و به این ترتیب مشتری‌ها به شما اعتماد خواهند کرد.

  • مایل روسو، Presslabs:

داشتن پرونده‌ای جهت نظارت بر امنیت برای هر استارتاپ یک ضرورت است. از نظر مشتری‌ها نحوه برخورد یک استارتاپ با آسیب‌پذیری‌های امنیتی و چگونگی اطلاع‌رسانی درباره آن ها بسیار مهم است. صداقت، باعث ایجاد اعتماد می‌شود.

همان‌طور که پیش از این اشاره کردم، امنیت کلمه بسیار مهمی در زیست­ بوم وردپرس است. با توجه به این که این پلتفرم بیشتر منبع باز است، هر فردی بالاخره یک زمانی باید به ­روزرسانی‌های امنیتی مهم را نصب کند. وقتی مشتریان بالقوه ما متوجه مقیاس پروژه‌شان و به خصوص چالش‌های امنیتی و فنی می‌شوند، به سراغ ارایه دهندگان سرویس‌های میزبانی مثل ما می‌آیند.

  • رابرت نپ، CyberGhost:

بعد از افشاگری‌های ادوارد اسنودن و تعطیلی شرکت‌هایی مثل Lavabit در آمریکا، تقریباً مسلم شد که اداره کسب‌وکارهای مبتنی بر داده در آمریکا بدون انجام نوعی خدمات پنهانی برای آژانس امنیت ملی ایالات متحده آمریکا (NSA) ممکن نیست و این یعنی پیاده­ سازی آسیب‌پذیری‌های امنیتی در یک سیستم امن به صورت پیش‌فرض.

در صورتی که استارتاپ‌های اروپایی متوجه این شرایط شده و شروع به تمرکز بر امنیت داده‌ها کنند و در عین حال سرویس‌های خیلی خوبی به کاربران ارایه دهند، بدون شک می‌توانیم برتری بسیار بیشتری نسبت به استارتاپ‌های آمریکایی یا شرکت­‌های فعلی داشته باشیم.

با توجه به این که ما سرویسی را ارایه می‌کنیم که امنیت، حریم خصوصی و آزادی را برای مردم به ارمغان می‌آورد، امنیت سایبری تمرکز ما است و رشد VPN‌های CyberGhost تا میلیون‌ها کاربر فعال نشان می‌دهد که ما موفق به ایجاد ارزش برای مشتریان‌مان شده‌ایم و نه تنها در زمینه تعداد کاربران در حال رشد هستیم بلکه سوددهی خوبی هم داشته‌ایم. بنابراین بله، امنیت سایبری، کسب­ وکار خیلی خوبی به نظر می‌رسد.

  • سورین ویناتورو، RenderStreet:

وقتی تازه کسب­ و­کاری را شروع می‌کنید، شهرت و اعتبار، یکی از جنبه‌های مهم کار شما محسوب می‌شود. حداقل برای ما تبلیغ کلامی از سوی مشتریان­مان مهم ترین راه جذب مشتری جدید در مراحل اولیه بوده است. تصور کنید که داشتن شهرت بد و بدنامی چه تأثیرات مخربی بر تبلیغات دهان به دهان دارد. از نظر این که آیا امنیت یک سرمایه است یا خیر، قطعاً همین­طور است حداقل از نظر ایجاد خوش‌نامی و اعتبار.

در صورتی که یک بار به سرورها و اطلاعات مشتریان شما حمله شود و به خوبی این قضیه را مدیریت کنید، شاید بتوانید پیامدهای مخرب آن را کم کنید اما اگر چنین اتفاقی بیشتر از یک بار تکرار شود، مشتریان در محل‌های تجمع‌شان (انجمن‌ها، فیس‌بوک، توییتر و غیره) شروع به شکایت از شما می‌کنند و این امر منجر به انتشار خبرهای بد درباره کسب­ و­کار شما می‌شود.

قطعاً امنیت سایبری می‌تواند منجر به افزایش ارزش برندها شود، حداقل برای ما که این طور است. ما در حال توسعه یک نسخه جدید از RenderStreet هستیم که تأکید زیادی بر امنیت داده‌ها دارد و همه چیز را روی سرورهای مربوط به مشتری یا سیستم VPC ابری اجرا می‌کند. یکی از گزاره‌های فروش منحصربه ­فرد این راهکار، امنیت بسیار قوی آن است.

  • تودور باستیا، ۱۲۳contactform:

از دید ما پاسخ این بحث به صورت کاملاً قاطع، مثبت است.

در حقیقت هر استارتاپی صرف‌نظر از ویژگی‌های صنعت مربوطه، نیاز به ایجاد ارتباطی بر پایه اعتماد با کاربران مورد نظرش دارد.

به ویژه برای استارتاپ‌های متمرکز بر محیط آنلاین، امنیت سایبری یک الزام قطعی است. خط­ مشی‌های ما در زمینه امنیت و محافظت از داده‌ها یک امتیاز فروش منحصربه­ فرد هستند. برای مثال، وقتی از ما پرسیده می‌شود که داده‌هایی که بین فرم‌های مختلف منتقل و جابه­ جا می‌شوند را چطور باید رمزنگاری کرد، ما به مشتریان­مان امکانات SSL بومی خودمان را توصیه می‌کنیم.

از نظر امنیت سرور، با توجه به این که میزبانی ما در وب سرورهای آمازون انجام می‌شود، مشتری‌ها اعتماد بیشتری به ما دارند و در نهایت این که داشتن «شرایط خدمات و سیاست‌های حفظ حریم خصوصی» مناسب، یک قاعده طلایی است. معمولاً ما به مشتریانی که نگران سرنوشت داده‌های ثبت شده خودشان در فرم‌های مختلف هستند، اعلام می‌کنیم که هرگز داده‌های آنها را در اختیار اشخاص دیگر قرار نخواهیم داد.

 

۳. محیط استارتاپ‌هایی با خط ­مشی BYOD (که کارمندان می‌توانند دستگاه‌های دیجیتال خودشان را سر کار ببرند) و مدیریت امن اطلاعات سازمان

 

محیط استارتاپ‌هایی با خط ­مشی BYOD

 

  • الکساندرا انجل، Appticles :

ما هم از جمله شرکت‌هایی با خط­ مشی BYOD هستیم اما محیط‌های عملیات و توسعه، کاملاً از هم تفکیک شده‌اند و توسعه دهندگان به سرورهای عملیاتی دسترسی ندارند. هر فردی بسته به نقش خود در فرایند توسعه، سطح دسترسی متفاوتی دارد. سطوح دسترسی به راحتی مدیریت می‌شوند چون زیرساخت مورد استفاده ما به صورت کامل در محیط ابری تنظیم شده است. ما از سرویس‌های وب آمازون استفاده می‌کنیم که ابزارهای زیادی برای مدیریت نقش‌های کاربران، گروه‌ها، دسترسی به منابع مختلف و غیره دارند.

وقتی قرار است نسخه جدیدی منتشر کنیم، امکانات جدید تنها وقتی به محصول اضافه می‌شوند که از فاز تست عبور کنند (هم در محیط تست و هم استقرار) و کد به صورت کامل بازبینی شود.

  • مایل روسو، Presslab:

قضیه در این جا کمی متفاوت است. مشتری‌ها کدها را همراه خودشان می‌آورند. پس بهتر است به این دستگاه‌ها، دستگاه مجازی بگوییم. کاری که ما انجام می‌دهیم این است که قواعد و قوانین سنگینی بر روی کدهای پایه اعمال کرده ­ایم که باعث می‌شود مسیرهای حمله به شدت کاهش پیدا کنند و سپس محصول را در محیط یک شبکه کاملاً کنترل شده قرار می‌دهیم.

  • رابرت نپ، CyberGhost:

شرکت ما در اولین روزهای تأسیس، موفق به اخذ گواهینامه ISO 27001 شد. یعنی فرایندهای داخلی شرکت ما کاملاً با جدیدترین روش‌ها، کنترل‌ها و استانداردهای صنعتی در زمینه امنیت سایبری منطبق هستند. بنابراین در CyberGhost، سیاست BYOD وجود ندارد.

  • سورین ویناتورو، RenderStreet:

ما به عنوان یک استارتاپ، دیدگاه مثبت و خوبی در مورد سیاست BYOD  داریم. از آن جا که تیم ما تیم خیلی بزرگی نیست، در رابطه با استفاده از تبلت و تلفن همراه هوشمند شخصی در شرکت قانونی نداریم. تنها الزام در این رابطه این است که دسترسی به اطلاعات مربوط به فرایندهای کاری فقط باید از طریق ابزارهایی انجام شود که خودمان به صورت رسمی ارایه کرده‌ایم؛ که این به معنای سیستم­ های مدیریت مشتری و ارسال تیکت خودمان است.

هیچ یک از این دو سیستم، اطلاعات حیاتی یا داده‌های مشتری را افشا نمی‌کنند و فقط به اندازه‌ای به داده‌های کاربران دسترسی دارند که برای مدیریت کسب ­وکارمان لازم است. بنابراین رویکرد اصلی ما در زمینه امنیت داده، مراقبت بسیار زیاد از اطلاعاتی است که در اینترنت یا سایر دستگاه‌ها افشا می‌کنیم.

  • تودور باستیا، ۱۲۳contactform:

نه، این طور نیست. ما در این رابطه، قوانین و خط ­مشی‌های سخت­گیرانه‌ای داریم.

 

۴. میزان اهمیت امنیت سایبری برای مدیران یا سرمایه‌گذاران

 

میزان اهمیت امنیت سایبری برای مدیران یا سرمایه‌گذاران

 

  • الکساندرا انجل، Appticles :

ما معمولاً درباره جنبه‌های امنیتی، به ندرت با سرمایه‌گذاران‌مان صحبت می‌کنیم. معمولاً صحبت‌های ما بیشتر در حوزه تجارت هستند. به نظر من به جز داشتن یک متخصص امنیتی در هیأت مدیره، مدیریت امنیت سایبری کلاً وظیفه بنیان‌گذاران است.

  • دراگوس موسِتسکو، Restack.io:

ما تا به حال درباره این موضوع صحبت نکرده‌ایم.

  • مایل روسو، Presslab:

همیشه در جلسه های هیأت مدیره، موضوع ­های امنیتی جزو اولویت‌ها هستند و همین مسأله همه چیز را مشخص می‌کند.

  • رابرت نپ، CyberGhost:

قلب شرکت CyberGhost براساس همین موضوع می‌تپد.

  • سورین ویناتورو، RenderStreet:

این موضوع بسیار مهم است، از این جهت که همیشه مدیران و سرمایه‌گذاران تمایل دارند که اطمینان حاصل کنند امنیت در همه کارهای ما لحاظ شده و از آن چشم ­پوشی نمی‌شود. بنابراین چنین موضوعی یک نگرانی ثابت است و در تمام اقدام­ ها و تصمیم­ گیری‌های ما در توسعه محصولات مؤثر است.

  • تودور باستیا، ۱۲۳contactform:

این موضوع برای آن ها (مدیران و سرمایه‌گذاران) بسیار مهم است، به خصوص داشتن نسخه‌های پشتیبان منظم و پیشگیری از ورود آسیب و از دست رفتن داده‌ها.

 

۵. استارتاپ‌ها چطور باید منابع اختصاص یافته به امنیت سایبری را تعیین کرده و مدیریت کنند و از داده‌های کاربران‌شان محافظت به عمل آورند؟

 

مدیریت و امنیت داده های کاربران

 

  • الکساندرا انجل، Appticles :

به نظر من، امنیت سایبری همیشه باید بخشی از توسعه و عملیات باشد. به هر حال، امکانات و محصولات جدید هرگز موفق نخواهند بود مگر این که به خوبی تست و ایمن­ سازی شده باشند. ما به صورت دوره‌ای و منظم، کارشناسان مختلف را استخدام می‌کنیم تا پلاگین‌ها و پلتفرم‌های ما را تست کرده و آسیب‌پذیری‌های آن ها را شناسایی کنند تا بتوانیم به خوبی آن ها را اصلاح کنیم.

  • دراگوس موسِتسکو، Restack.io:

امنیت، همیشه اولویت شماره یک است.

  • مایل روسو، Presslab:

برای استارتاپ‌ها از جمله خود ما ارزیابی و تعیین بودجه مناسب برای امنیت، کار دشواری است. ما این مسأله را در مورد مشتریان­مان هم شاهد بوده­ایم. معمولاً مشتریان ما بعد از هک شدن تصمیم می‌گیرند به سمت ما حرکت کرده و هزینه بیشتری را صرف کنند تا از یک سرویس ‌میزبانی امن و مدیریت شده استفاده کنند.

در شرکت ما زمان زیادی صرف طراحی، پیاده‌سازی و بازبینی زیرساخت‌ها می­ شود. بنابراین هزینه‌های مربوط به امنیت، جزئی از بودجه تحقیق و توسعه ما هستند.

  • رابرت نپ، CyberGhost:

حداقل یک نفر در تیم باید نقش «افسر امنیتی» را داشته و فردی باشد که بر استانداردهایی مثل کنترل دسترسی، مدیریت کلمه عبور، امنیت فیزیکی و غیره نظارت کرده و آن ها را پیاده ­سازی کند.

با رشد شرکت باید مسئولیت ­پذیری چنین فردی بیشتر شده و سعی کند شرکت را با استانداردهای صنعتی فعلی همسو کند.

  • سورین ویناتورو، RenderStreet:

بستگی به این دارد که استارتاپ‌ها چه کارهایی انجام می‌دهند و در چه مرحله‌ای قرار دارند. نظر شخصی من است که در مراحل اولیه، عرضه محصول و جذب چند مشتری اهمیت بیشتری دارد. بنابراین در این مراحل می‌توان با در نظر داشتن حداقل موارد مورد نیاز، میان­برهایی از جمله در بخش‌هایی مثل محافظت از داده‌ها زد. البته باید در اسرع وقت این میان­برها را اصلاح کرد.

لازم به ذکر است که برنامه ­نویسان خبره و بالغ همیشه هنگام پیاده­ سازی محصولات، به حریم خصوصی داده‌ها و امنیت برنامه‌های کاربردی توجه دارند. بنابراین احتمال این که بخواهند زیاد میان­بر بزنند کم است. بنابراین همیشه اطمینان حاصل کنید که در تیم‌تان برنامه ­نویس خبره دارید.

 

۶. آموزش کارمندان استارتاپ‌ها برای آگاهی از مخاطراتی که امنیت سایبری را تهدید می‌کنند و آشنایی با اقدام ­های لازم در خصوص این مخاطرات

 

آموزش امنیت سایبری به کارمندان استارتاپ‌ها

 

  • الکساندرا انجل،Appticles :

از آن جا که کارمندان ما بیشتر توسعه دهنده هستند، بسیار مهم است که به آن ها درباره اهمیت کدنویسی‌ امن توضیح بدهیم. چندین استاندارد مختلف هستند که ما رعایت می‌کنیم اما به باور من مهم ترین قاعده این است که هرگز نباید به ورودی که از سوی یک کاربر یا یک API بیرونی وارد می‌شود، اعتماد کرد. اکسپلویت‌های XSS و تزریق کد به پایگاه داده، پدیده‌های جدیدی نیستند و تعداد پلاگین‌ها و سیستم‌های مدیریت محتوایی که صرفاً به دلیل نداشتن موفقیت در پیاده ­سازی یکسری قوانین امنیتی ساده و ابتدایی، دارای حفره‌های امنیتی هستند شگفت‌آور است.

  • مایل روسو، Presslab:

بله. ما قوانین و رویه‌های داخلی شفافی داریم که با سطوح دسترسی مختلفی همراه شده‌اند و این قوانین را به کارمندان جدید، آموزش و توضیح می‌دهیم.

صرف‌نظر از تجربیات پیشین کارمندان‌مان، دسترسی آن ها به صورت تدریجی افزایش پیدا می‌کند. بنابراین زمان لازم برای درک مسئولیت‌هایشان و آشنایی با منطقی که در پس قوانین ما وجود دارد، ایجاد می‌شود.

در سطح عملیات زیرساخت، ما به منابعی متصل هستیم که آسیب‌پذیری‌های منبع باز zero-day را به ما گزارش می‌دهند و ما آن ها را تحلیل کرده و به صورت متقابل بررسی می‌کنیم.

  • رابرت نپ، CyberGhost:

بله، همه این موارد جزو فرایند استاندارد ISO 27001 هستند.

  • سورین ویناتورو، RenderStreet:

از آن جا که ما یک تیم کوچک هستیم، این مورد برای ما چندان صدق نمی‌کند. من در گذشته، آموزش‌های کدنویسی برای کارمندان داشتم و سعی می‌کردم اطمینان حاصل کنم که آن ها را با مخاطرات ناشی از برنامه‌نویسی بی‌دقت در محصولات تولیدی، آشنا کنم.

  • تودور باستیا، ۱۲۳contactform:

بله، ما به صورت منظم بررسی‌های داخلی را انجام می‌دهیم و قرارهای ملاقاتی با تیم توسعه برای بحث درباره آسیب‌پذیری‌های جدید و نوظهور و تعیین راه‌هایی برای پیشگیری از آن ها داریم.

 

۷. تجربه کردن یک رخنه امنیتی و آمادگی برای مقابله با حملات سایبری

 

تجربه کردن یک رخنه امنیتی و آمادگی برای مقابله با حملات سایبری

 

  • الکساندرا انجل،Appticles :

نه، ما هیچ­وقت تجربه رخنه امنیتی نداشتیم. یکی از پلاگین‌های­مان دچار یک آسیب ­پذیری شده بود که اصلاح شد و به خوبی درباره آن اطلاع‌رسانی کردیم. البته این آسیب ­پذیری، مربوط به داده‌های کاربران یا موارد این چنینی نبود.

ما تا به حال هدف حملات امنیتی نبوده‌ایم ولی از این واقعیت آگاه هستیم که پلتفرم ما روزبه ­روز رشد می‌کند و ممکن است در نهایت، هدف چنین حملاتی قرار گیرد. بنابراین همه اقدام ­های لازم برای پیش‌بینی چنین لحظه‌ای را انجام می‌دهیم. به نظرم وقتی برای اولین ­بار با یک حمله DDoS (محروم‌سازی از سرویس) مقابله کردید می‌توانید بگویید که واقعاً در این کار موفق بوده‌اید.

  • دراگوس موسِتسکو، Restack.io:

نه! نمی‌توان برای مقابله با یک حمله سایبری، صددرصد آماده بود اما می‌توانیم سعی کنیم که همیشه یک گام از مهاجم جلوتر باشیم.

  • مایل روسو، Presslab:

تا به امروز، خیر. ما هر روزه با تلاش‌هایی برای رخنه مقابله می‌کنیم که شامل طیف گسترده‌ای از بردارهای حمله مختلف هستند؛ از هرزنامه در زمینه سئو گرفته تا حمله DDoS، آسیب‌پذیری‌های نرم‌افزاری، تلاش برای حملات جستجوی فراگیر و غیره.

  • رابرت نپ، CyberGhost:

هر شرکت و سازمانی که یک سرویس آنلاین دارد، رخنه امنیتی داشته و نمی‌توان آن را صددرصد ‌امن­ سازی کرد. برای مثال، اکسپلویت‌های zero-day همیشه وجود دارند و هیچ فردی قادر به پیش‌بینی آن ها نیست.

مدیریت خوب در زمینه امنیت سایبری مستلزم این است که بدانیم چطور با چنین رخنه‌هایی مقابله کنیم.

وقتی ما مجبور به مقابله با باگ امنیتی Heartbleed در کتابخانه رمزنگاری OpenSSL شدیم که در آوریل ۲۰۱۴ افشا شد، فوراً موضوع را به مشتریان‌مان اطلاع داده و این باگ را در عرض ۲۴ ساعت اصلاح کردیم؛ سریع‌تر از سایر سازمان‌ها. بنابراین من فکر می‌کنم شفافیت و سرعت در مقابله با نشت داده بسیار مهم هستند.

  • سورین ویناتورو، RenderStreet:

هرگز چنین مشکلی برای ما پیش نیامده، هر چند در گذشته چندین بار تلاش‌هایی برای هک صورت گرفته است.

به نظر من استارتاپ‌ها باید مراقب چنین حوادثی باشند، به خصوص باید هنگامی متوجه این مشکلات شوند که هنوز تبدیل به رخنه نشده­ اند.

در مورد پیش آمده برای ما، توانستیم به صورت بلادرنگ متوجه شویم مهاجم سعی به انجام چه کاری داشته و اطمینان حاصل کنیم که سرورها و نرم‌افزارهای ما به خوبی محافظت شده و امکان دسترسی به آن ها از طریق این حملات وجود ندارد.

  • تودور باستیا، ۱۲۳contactform:

نه چنین مشکلی برای ما پیش نیامده، ما تمام تلاش­مان را برای پیشگیری از چنین اتفاق ­هایی انجام می‌دهیم.

 

۸. طرح و برنامه برای حفظ امنیت داده‌های کاربران، با توجه به افزایش نگرانی‌های مربوط به امنیت سایبری و حریم خصوصی

 

طرح و برنامه برای حفظ امنیت داده‌های کاربران

 

  • الکساندرا انجل،Appticles :

ما به استفاده از روش ­هایی که تا به امروز از آن ها استفاده می‌کردیم و گسترش این روش ­ها ادامه خواهیم داد. من معتقدم در صورت پیروی از قواعد می‌توان از بیشتر حملات سایبری پیشگیری کرد.

با توجه به این که تاریخ همیشه تکرار می‌شود می‌توانیم درس‌هایی از سایر استارتاپ‌هایی که پیش از این هدف حملات سایبری بوده‌اند و علاقمند هستند چنین تجربیاتی را با ما در میان بگذارند، بگیریم.

  • دراگوس موسِتسکو، Restack.io:

امنیت، بخش مهمی از نقشه راه ما است و در حال حاضر امکان ارایه جزییات بیشتر در این خصوص وجود ندارد.

  • مایل روسو، Presslab:

هر حمله ناموفقی، درس‌های زیادی به ما می‌دهد. ما علاوه بر بازبینی مداوم فرایندهای امنیتی داخلی خودمان براساس این حملات، سعی به ایجاد برنامه‌ای برای پاداش ­دهی به تست‌های اصطلاحاً کلاه سفید خارج از پلتفرم‌مان داریم.

  • رابرت نپ، CyberGhost:

بهترین امنیت برای داده‌های کاربران این است که هیچ داده‌ای را ذخیره نکنند! به همین دلیل است که ما فایل گزارش یا سوابق کاربران‌مان را ذخیره نمی‌کنیم. ما فقط داده‌هایی را ذخیره می‌کنیم که برای اداره سرویس‌های­مان لازم باشند و داده‌های کاربران، اصلاً جزیی از آن نیست. ما فقط نیاز به نام کاربری مستعار و کلمه عبورشان داریم.

  • سورین ویناتورا، RenderStreet:

یکی از اقدام ­هایی که قصد انجام آن را داریم انتشار نسخه‌ای از محصول است که در آن، مشتریان کنترل کاملی بر محیط سرور دارند. بنابراین با این اقدام می‌توانیم یکی از نگرانی‌های مربوط به حریم خصوصی که تاکنون شاهد آن بوده‌ایم را از بین ببریم. به جز این مورد، همیشه اطمینان ایجاد می‌کنیم که وقتی محصولات‌مان را تولید می‌کنیم امنیت، همواره در بالاترین سطح اهمیت قرار داشته باشد.

  • تودور باستیا، ۱۲۳contactform:

ما دائماً به ابزارها و متدهای نظارت بر برنامه کاربردی­ مان تأکید داریم؛ از جمله نظارت بر سرور، آنتی­ ویروس و رمزنگاری SSL.

 

۱۰ واقعیت راجع به امنیت سایبری و استارتاپ‌ها

 

  1. بنیان‌گذاران از مسایل مربوط به امنیت سایبری بی‌اطلاع نیستند. بلکه در کنار علاقه زیادشان به این مسایل، دانش لازم برای توجه به چنین موضوع­ هایی در راهبرد استارتاپ را نیز دارند.
  2. تولید کدهایی ‌امن و قرار دادن ویژگی‌های امنیتی در محصولات از روز اول، یک ضرورت است.
  3. سرمایه‌گذاران به امنیت سایبری اهمیت می‌دهند و بنیان‌گذاران، مسئول آسیب‌های بالقوه‌ای هستند که در صورت وقوع حملات سایبری ایجاد می‌شوند.
  4. کاربران محصولات مختلف نه فقط از چالش‌های امنیتی آگاه هستند، بلکه انتظار دارند داده‌های محرمانه‌شان به خوبی محافظت شده و به صورت امن مدیریت شوند.
  5. استارتاپ‌ها از حملات سایبری یا تلاش برای نفوذ در امان نیستند. به همین دلیل لازم است از همان ابتدا، کاربران را به­ خوبی محافظت کرد.
  6. قوانین داخلی و آموزش کارمندان درباره امنیت اطلاعات در محیط هر استارتاپی ضروری است، چه خط­ مشی BYOD را داشته باشد یا خیر.
  7. وقتی قرار است برای توسعه کسب­ وکارتان برنامه‌ریزی کنید، مخارج مربوط به امنیت را از همان ابتدا لحاظ کنید.
  8. داشتن امنیت سایبری قوی باعث ایجاد اعتماد به خود استارتاپ و محصولات تولیدی آن می‌شود. وجود چنین رابطه‌ای برای جذب مشتری و رشد پایدار، بسیار حیاتی است.
  9. اثبات میزان اهمیتی که به مسایل مربوط به امنیت اطلاعات می‌دهید و نمایش فعالیت­ های شما در راستای محافظت از کاربران و حفظ حریم خصوصی­ شان، یک امتیاز فروش مهم محسوب می‌شود.
  10. داشتن آمادگی برای هر نوع حمله سایبری، حیاتی است به خصوص برای استارتاپی که کسب ­و­کارش به راحتی با ایجاد یک مشکل در زمینه امنیت یا حریم خصوصی قابل از هم پاشی است.

 

نتیجه‌گیری

 

راه ­اندازی یک استارتاپ، کار بسیار چالش برانگیزی است. باید از تمام وقایعی که در شرکت شما اتفاق می‌افتد مطلع باشید، حتی از کوچک‌ترین آن ها، که این کار اصلاً ساده نیست.

در بالاترین سطح از تصمیم­ های مربوط به کسب­ و­کار و طرح تجاری باید اطمینان حاصل کنید که کاربران­تان در امنیت کامل به سر می ­برند و حریم خصوصی داده‌های‌شان به خوبی حفظ می‌شود.

امنیت سایبری برای استارتاپ‌ها یک «شاید» نیست، بلکه یک «قطعیت» است.

آیا شما هم بنیان‌گذار یک کسب­ وکار هستید و با مسایل مربوط به امنیت سایبری دست و پنجه نرم می‌کنید؟

لطفاً نظرات و تجربیات خودتان را در کامنت‌ها با ما در میان بگذارید.

منبع: heimdalsecurity

نمایش بیشتر

نوشته های مشابه

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

16 − 6 =

دکمه بازگشت به بالا
بستن
بستن