Security bij Saas-bedrijven: van nice to have naar permission to play

Tijdens de roundtable over Security & Privacy op de meest recente SaaS Summit Benelux bleek dat informatiebeveiliging een hot topic is. Veel startende SaaS-bedrijven worstelen met het implementeren van de juiste tools en maatregelen. Daarnaast komt het nog te vaak voor dat er pas over informatiebeveiliging wordt nagedacht als een klant navraag doet of als er een belangrijke prospect op de stoep staat. En dat is echt een gemiste kans: je moet als SaaS-bedrijf informatiebeveiliging en privacy-huishouding gewoon op orde hebben!

Een goed fundament, zowel qua techniek als organisatie, is voor SaaS-ondernemingen essentieel. Het zorgt niet alleen voor een eenvoudigere opstap naar een eventuele ISO27001 certificering, het verhoogt ook de waarde van je SaaS-bedrijf. Het draagt bij aan het vertrouwen dat klanten in je stellen. Het strategische belang om meer aandacht te geven aan dit onderwerp wordt daarnaast onderstreept door de komst van een keurmerk voor ICT-leveranciers en de Europese NIS2-cyberwetgeving.

security en privacy voor saas bedrijven

Wat is informatiebeveiliging?

Informatiebeveiliging heeft als doel om de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens te waarborgen. Het gaat er dus om dat je kunt garanderen dat de juiste gegevens beschikbaar zijn voor de mensen die die gegevens mogen inzien.

Om optimale informatiebeveiliging te bereiken moeten mensen, processen en technologie aandacht krijgen. Als je slechts op één van deze aandachtsgebieden oppakt bereik je je doel niet. Techniek kan een hoop oplossen, maar slimme mensen doen helaas nog steeds domme dingen. En als iedereen handelingen naar eigen inzicht mag uitvoeren, dan kan dat desastreuze gevolgen hebben voor de informatiebeveiliging.

Is informatiebeveiliging geen gedoe?

Het implementeren van maatregelen kost tijd en moeite. Deelnemers van de roundtable waren duidelijk benieuwd naar de benodigde inspanning: “beperkt het je bedrijfsvoering, als je minder mag?” en “hoeveel tijd kost het om gecertificeerd te raken?”.
Het implementeren van basisprincipes, zoals OWASP en privacy by design-standaarden bij softwareontwikkeling valt qua impact mee, zo blijkt uit de gesprekken. Hier kan al winst worden behaald. De stap naar een ISO27001-certificering strekt verder. Daar komt een stuk administratievoering bij kijken.

security en privacy voor saas bedrijven - jan martijn broekhof

Wat mag security (je) kosten qua tijd?

De mate van beveiliging hangt voor veel SaaS-ondernemers samen met het type klanten dat bediend wordt. Hoe kritieker de bedrijfsvoering bij de klant, hoe meer er ook van SaaS-leveranciers verwacht wordt. SaaS-bedrijven die al flinke stappen hebben gezet, ervaren de inzet niet als gedoe. Zij zien het als kans om nieuwe markten aan te spreken waarin ook hogere eisen worden gesteld, bijvoorbeeld gemeenten, zorg of de financieel zakelijke dienstverlening.

Hoe kan ik de beveiliging van mijn SaaS product eenvoudig op orde krijgen?

Gelukkig kan iedere SaaS-onderneming eenvoudig aan de slag met het verbeteren van haar informatiebeveiliging. Veel is gebaseerd op het gebruiken van je gezonde boerenverstand, zoals het doorlopen van deze stappen:

  1. Begin met een inventarisatie: bepaal welke risico’s behapbaar zijn voor je onderneming, welke informatiesystemen essentieel zijn voor je bedrijfsvoering, welke investeringsbereidheid je hebt en welk volwassenheidsniveau je wilt behalen.
  2. Maatregelen en systemen: stel vast welke maatregelen je nu al inzet en beoordeel de manier waarop je informatie verwerkt in je systemen: is dit voldoende? Kijk zowel naar het proces als naar de techniek. Check bijvoorbeeld eens de betrouwbaarheid van alle tools, libraries en componenten die worden ingezet.
  3. Stel je gewenste situatie vast: welke garanties wil ik kunnen bieden aan mijn klanten in de toekomst? En wat vereist dit van de manier hoe ik mijn bedrijfsvoering nu inricht? Vraagt dit om extra maatregelen?
  4. Maak vervolgens een actieplan om de ontbrekende maatregelen te nemen en waar nodig je organisatie aan te passen. Het kan behulpzaam zijn om hier een externe in mee te laten kijken of een peer review te doen met een andere SaaS-ondernemer.

Het is belangrijk om in de breedte te kijken naar informatiebeveiliging. Denk niet alleen aan voorlichting, fysieke techniek zoals een firewall, sterke wachtwoorden of alleen aan veilig coderen door ontwikkelaars. Het gaat om álle elementen. Het niveau van beveiliging is net zo sterk als de zwakste schakel.

security en privacy voor saas bedrijven - jan martijn broekhof

Begin vandaag nog met een aantal eenvoudige stappen

De breedte wordt duidelijk in het gesprek tijdens de roundtable. Het maakt het onderwerp groot. Tegelijkertijd kunnen SaaS-ondernemers gewoon beginnen. Vandaag nog.

  • Gebruik unieke en sterke wachtwoorden voor elke applicatie
  • Gebruik een password manager om deze wachtwoorden op te slaan
  • Gebruik alleen persoonsgebonden accounts om in te loggen
  • Richt centrale logging in
  • Zet MFA aan op al je accounts
  • Installeer patches en updates direct nadat ze uitgebracht zijn
  • Deel het belang van informatiebeveiliging met je team
  • Zet een periodieke afspraak in je agenda om te controleren dat je bovenstaande hebt gedaan

Wil je een stap verder zetten?

  • Ontwikkel een secure software development beleid en -proces
  • Voer code-reviews uit en plan periodiek een pentest
  • Gebruik een externe dienst om awareness op orde te brengen en te houden

Mocht je twijfelen waar te beginnen, of wil je gewoon even sparren? Neem dan contact met ons op – we gaan je niets proberen te verkopen ;-).

Jan Martijn Broekhof, CEO (Founder) Guardian360 en Reindert Doorn, Security & Privacy Officer bij PKIsigning.