3 Stimmen

Dana the Sane avatar

Welche Sicherheitsvorkehrungen sollten bei einem Start-up mindestens getroffen werden?

Gefragt el 9 de Januar, 2009
Wann wurde die Frage gestellt
594 Ansichten
Anzahl der Besuche der Frage
5 Antworten
Anzahl der Fragenantworten
Gelöst
Aktueller Status der Frage

Ich arbeite in einem neu gegründeten Unternehmen und beschäftige mich hauptsächlich mit der Systemadministration, und ich bin auf einige Sicherheitsprobleme gestoßen, mit denen ich nicht wirklich zurechtkomme. Ich möchte beurteilen, ob meine Erwartungen richtig sind, und suche daher nach Informationen darüber, was andere in dieser Situation getan haben und welche Risiken/Probleme aufgetreten sind. Wie wichtig sind insbesondere Maßnahmen wie die Platzierung von Verwaltungstools hinter einem VPN, regelmäßige Sicherheitsupdates (Betriebssystem und Tools) usw.?

Denken Sie daran, dass es sich um ein Start-up-Unternehmen handelt und das Hauptziel darin besteht, so viele Funktionen wie möglich schnell auf den Markt zu bringen. Daher brauche ich so viele Begründungen wie möglich, um die Ressourcen für die Sicherheit zu erhalten (d. h. Ausfallzeiten für Upgrades, Entwicklungszeit für Sicherheitsbehebungen).

Hintergrundinformationen:

  • Die Anwendung ist sowohl LAMP als auch ein benutzerdefinierter Java-Client-Server.
  • In den nächsten 3 Monaten rechne ich mit etwa 10.000 anonymen Besuchern der Website und bis zu 1000 authentifizierten Benutzern.
  • Jüngeres Publikum (16-25), in dem garantiert überdurchschnittlich viele Schwarzhüte vertreten sind.

Ich danke Ihnen im Voraus für Ihre Antworten und freue mich über jeden weiteren Ratschlag.

Gefragt el 9 de Januar, 2009 von Dana the Sane

Antworten

Zu viele Anzeigen?

6voto

Yaniv avatar
Yaniv Punkte 141

Vergessen Sie auch nicht, dass Sie Ihren Server vor aktuellen (d. h. bald ehemaligen) Mitarbeitern schützen müssen. Mehrere Start-ups wurden aufgrund von Sabotage durch Mitarbeiter vollständig ausgelöscht, z. B. http://www.geek.com/articles/news/disgruntled-employee-kills-journalspace-with-data-wipe-2009015/

Beantwortet el 9 de Januar, 2009 von Yaniv (141 Punkte )

5voto

Stefan avatar
Stefan Punkte 42586

Reputation ist hier alles, besonders für ein Start-up. Als Start-up haben Sie keine lange Geschichte der Zuverlässigkeit/Sicherheit/... - Es hängt also alles davon ab, dass die Nutzer Ihnen im Zweifelsfall vertrauen, wenn sie mit der Nutzung Ihrer App beginnen.

Wenn Ihr Server gehackt wird und Ihre Nutzer dies bemerken, ist Ihr Ruf dahin. Wenn er weg ist, spielt es keine Rolle mehr, ob Ihre App und Ihre Funktionen das "nächste neue Ding" sind oder nicht. Es spielt keine Rolle, ob der Sicherheitsverstoß geringfügig war oder nicht - die Menschen werden Ihrer App/Ihrem Unternehmen nicht mehr vertrauen.

Daher würde ich die Sicherheit als oberste Priorität betrachten.

Beantwortet el 9 de Januar, 2009 von Stefan (42586 Punkte )

5voto

Dave avatar
Dave Punkte 7718

Wenn die Sicherheit nicht von Anfang an bedacht und in die Anwendung und ihre Infrastruktur integriert wird, ist es viel schwieriger, sie später nachzurüsten. Jetzt ist es an der Zeit, die Prozesse für regelmäßige Betriebssysteme/Werkzeuge Parcheando, Upgrades usw. zu entwickeln.

  • Welche Art von Daten werden die Nutzer auf der Website erstellen/speichern?
  • Welche Auswirkungen hat eine Sicherheitsverletzung auf Ihre Nutzer?
  • Welche Auswirkungen hat eine Sicherheitsverletzung auf Ihr Unternehmen?
  • Werden Sie in der Lage sein, das Vertrauen der Nutzer nach einem Verstoß wiederzugewinnen?

Da Ihr Unternehmen davon abhängt, bestehende Nutzer zu halten und neue zu gewinnen, sollten Sie Ihre Bedenken in Bezug darauf äußern, wie die Nutzer auf einen Verstoß reagieren würden. Die Vorgesetzten werden verstehen, dass die Nutzer Ihr Brot und Butter sind.

Beantwortet el 9 de Januar, 2009 von Dave (7718 Punkte )

4voto

dtc avatar
dtc Punkte 9944

Ich stimme Stefan zu, was den Ruf betrifft. Sie wollen nicht gehackt werden, weil Sie es mit der Sicherheit nicht so genau genommen haben. Das würde nicht nur Ihrer Website und Ihrem Unternehmen schaden, sondern auch Sie in ein schlechtes Licht rücken, da Sie dafür verantwortlich sind.

Meine persönliche Meinung ist, dass man so viel wie möglich tun sollte, denn egal wie viel man tut, es gibt immer Schwachstellen.

Leider werden Sicherheitsaspekte wie Tests und Dokumentation oft erst später berücksichtigt. Sie sollten wirklich sicherstellen, dass Sie Risikobewertungen zu einem frühen Zeitpunkt im Leben Ihrer Website/Software durchführen und immer wieder Bewertungen vornehmen. Ich denke, es ist wichtig, alle Software auf Sicherheitslücken zu prüfen.

Beantwortet el 9 de Januar, 2009 von dtc (9944 Punkte )

3voto

Jeff Shannon avatar
Jeff Shannon Punkte 9273

Wenn Sie explizit versuchen, die Art von Benutzern anzuziehen, die dazu neigen, Systeme zu knacken, dann können Sie ziemlich sicher sein, dass Ihr System wird unter Beschuss geraten.

Sie sollten der Geschäftsleitung vorschlagen, dass Sie, wenn sie das Thema Sicherheit nicht ernst nehmen, einfach die Kontoauszüge und Geschäftsbücher des Unternehmens (im Klartext) auf der Website veröffentlichen und von der Homepage aus einen Link dazu einrichten. Auf diese Weise können Sie ihnen sagen, dass das Endergebnis in etwa dasselbe sein wird, aber es ist weniger wahrscheinlich, dass sie alles andere beschädigen, um das zu bekommen, wonach sie suchen.

Ich denke, dass die Frage der Reputation auch bei diesem Publikum eine etwas andere Rolle spielen könnte - sie verzeihen Ihnen vielleicht, dass Sie gehackt wurden, aber sie werden wahrscheinlich wird nicht Verzeihen Sie, dass Sie ein leichtes Ziel sind.

Beantwortet el 9 de Januar, 2009 von Jeff Shannon (9273 Punkte )

Verwandte Fragen

Empfohlene Fragen

Top-Tags

CodeJaeger.com

CodeJaeger ist eine Gemeinschaft für Programmierer, die täglich Hilfe erhalten..
Wir haben viele Inhalte, und Sie können auch Ihre eigenen Fragen stellen oder die Fragen anderer Leute lösen.

Powered by:

Yandex
X