Hoe krijg je als start-up je cybersecurity snel en goed voor elkaar?

“Een securityfout is voor een startup een doodvonnis. Je kunt je geen enkele fout veroorloven.” Drew Sechrist, CEO van de Amerikaanse startup Connect The Dots vat tijdens de interactie ‘The State of Startup Security: From afterthought to business critical’ op TNW Conference 2022 in twee zinnen samen wat veel startups maar al te goed weten: als het aankomt op veiligheid en het naleven van wetgeving kun je als beginnend bedrijf geen enkele tekortkoming vertonen.

Van nul naar nul fouten

Maar voldoen aan alle eisen kost tijd. Veel tijd. En geld. Om een voorbeeld te noemen: volgens een rapport van Deloitte besteden bedrijven in de financiële sector zo’n 6 to 14 procent van hun IT-budget aan cybersecurity. Nu is het repareren van mogelijke fouten waarschijnlijk vele malen duurder en schadelijker dan het op voorhand vrijmaken van genoeg budget. De financiële impuls om security goed op orde te hebben, is dan vaak ook evident.

Het is vooral een gebrek aan tijd, waar de schoen voor veel startups wringt. “We zijn immers een startup. We hebben geen jaar de tijd om hiermee bezig te zijn, maar eerder vier maanden”, zo zei Sechrist bijvoorbeeld in gesprek met Christina Cacioppo beweerde dat hij het voldoen aan security-eisen dankzij Vanta in ‘wereldrecordtijd’ wist te klaren. “We gingen van nul naar nul fouten in dertig dagen”, zegt de Amerikaan.

Een nieuwe unicorn

Volgens Cacioppo kan compliance op een snellere, simpele manier voor elkaar worden gebokst. Haar bedrijf Vanta helpt bedrijven hiermee. Dat heeft haar geen windeieren gelegd. Volgens Bloomberg is Vanta sinds kort een ‘unicorn’, een bedrijf met een waarde van meer dan een miljard dollar. Om precies te zijn: het Amerikaanse persagentschap meldt dat de waarde van Vanta is gevalideerd op 1,6 miljard dollar.

Vroeg met security bezig zijn

“Security is niet iets wat je als het ware kunt afronden waarvan je denkt: check, we hebben het gedaan en nu hoeven we er niet meer over na te denken. Het is iets waar je iedere dag hard aan moet werken”, zegt de 35-jarige CEO die Vanta in 2016 oprichtte. “Om dat voor elkaar te krijgen, moet je al een heel vroeg stadium van het ontwikkelen van je product met security bezig zijn. Je moet doorlopend bouwen aan vertrouwen. De kern van ieder bedrijf zou vertrouwen moeten zijn en niet naleven van wetgeving.”

ISO 27001 en SOC2

Cacioppo ziet dat er op het gebied van security veel winst te behalen is. Voor zowel ontwikkelaars als gebruikers van diensten. “Als een bedrijf bijvoorbeeld voldoet aan de ISO 27001-eisen, of SOC 2 voor de Amerikaanse markt, weet je als klant eigenlijk maar één ding: dat het product op het moment van de audit veilig was. Maar je weet nooit echt of dit ook zo is op het moment dat jij het gebruikt. En voor bedrijven op hun beurt geldt ook: je wilt niet pretenderen dat je veilig bent, terwijl je eigenlijk niet echt weet of je dit na een audit ook echt nog bent.”

Automatische tests

De oplossing voor dit dilemma ziet Cacioppo in geautomatiseerde tests die monitoren of je op ieder moment inderdaad voldoet aan veiligheidseisen. “Niemand werkt alleen voor de lol aan veiligheidseisen. Natuurlijk kijk ook ik uit naar het moment dat robots al het werk op het gebied van cyber security voor ons kunnen doen. Maar zover is het nog niet. Tot die tijd, heb je echt een team nodig dat zich erover buigt.”

Dit artikel is onderdeel van een serie artikelen die KPN maakte tijdens The Next Web conferentie 2022. Wil je meer weten over cybersecurity? Download dan gratis onze checklist “Cybersecurity voor ondernemers”.