De cybersecurityfouten die tech-startups maken, volgens een expert

Als er één ding is dat uw tech-startup mee moet nemen uit 2025, is het dat geen enkel bedrijf te klein is om een doelwit te zijn voor cybercriminelen. In feite zijn MKB’s nu aantrekkelijkere vooruitzichten voor ransomware dan verouderde ondernemingen, dankzij hun beperkte middelen en waardevolle klantgegevens.

Vaak ontbreekt het startups aan de kennis of middelen die ze nodig hebben om in het begin van hun bedrijf goede beslissingen te nemen. We hebben contact opgenomen met een IT-beveiligingsexpert die regelmatig met tech-startups werkt om inzicht te krijgen in wat bedrijven moeten weten wanneer ze net beginnen.

Gary Power, COO en Director of Client Services bij Power Consulting(nieuw venster), heeft 25 jaar expertise in de uitbestede IT-sector. Power Consulting werkt nauw samen met bedrijven van elke grootte in alle sectoren en levert diensten waaronder beheerde IT-diensten, strategische IT-planning en cybersecurity-audits en -diensten.

We spraken met Gary om te begrijpen waar tech-startups vroeg in hun bestaan fouten maken.

Uw bedrijf is niet te klein voor cybersecuritymaatregelen

Met behulp van onze Data Breach Observatory volgde Proton gelekte bedrijfsgegevens op het dark web om te begrijpen op wie hackers zich richtten en hoe bedrijven werden geschonden. We ontdekten 794 schendingen, in totaal meer dan 300 miljoen gelekte records, en het werd duidelijk dat kleinere organisaties steeds meer gevaar lopen.

Uw bedrijf kan profiteren van het onderzoeken hoe en waarom andere bedrijven zijn getroffen door gegevensschendingen. De inzichten uit de Data Breach Observatory, evenals onze cybersecurity-aanbevelingen voor tech-startups, zijn te vinden in ons nieuwste e-book, The breaches that broke 2025.

Download het e-book

Of hun referentiebeheer nu tekortschoot, of ze nalieten beschermende maatregelen zoals end-to-end versleuteling te gebruiken, het lijkt erop dat MKB’s cruciale fouten maken in hun beveiligingspraktijken. En als kleine bedrijven kwetsbaar blijven voor cyberdreigingen, zal dit uiteindelijk schade toebrengen aan industrieën en innovatie over de hele wereld door de bedrijfsgroei te beperken.

Gary merkt op dat een belangrijk onderdeel van het adequaat beschermen van uw bedrijf het veranderen van uw denkwijze is als het gaat om de beveiligingsmaatregelen die u gebruikt.

“In het begin stellen oprichters meestal reactieve vragen als ‘Hebben we dit nodig?’ of ‘Is dit overkill voor onze grootte?’. Naarmate ze volwassener worden, verschuiven de vragen naar ‘Wat zou ons daadwerkelijk tegenhouden om geschonden te worden?’ en ‘Hoe schalen we veilig op zonder het bedrijf te vertragen?'”

In plaats van stappen over te slaan naarmate uw bedrijf gevestigd raakt, investeert u vanaf het begin in uw cyberbeveiliging. Zoals Gary zegt: “De meest succesvolle oprichters realiseren zich dat beveiliging een enabler is, geen blokkade.”

Verouderde tools zijn niet automatisch veilig

Wanneer het tijd is om de tools te kiezen, zoals de oplossingen voor e-mail, drive en wachtwoordbeheerder die uw bedrijf zal gebruiken, maakt uw keuze een groot verschil. Gary waarschuwt ervoor niet aan te nemen dat populaire en moderne oplossingen automatisch de veiligste optie zijn.

“De grootste blinde vlek is aannemen dat beveiliging ‘impliciet’ is omdat ze moderne tools of cloudplatforms gebruiken. Oprichters geloven vaak dat Microsoft 365, Google Workspace of AWS automatisch gelijkstaat aan veilig. In werkelijkheid komen de meeste schendingen voort uit onjuiste configuratie, zwakke identiteitscontroles, slechte toegangshygiëne en gebrek aan monitoring — niet uit exotische hacktechnieken.”

Dit klinkt misschien niet positief, maar dat is het wel: Het is veel moeilijker om geavanceerde hacktechnieken te voorspellen en te voorkomen dan om sterk identiteitsbeheer en monitoringpraktijken binnen uw netwerk op te bouwen. De problemen die Gary belicht, kunnen worden aangepakt met behulp van het volgende:

• Grondige beveiligingspraktijken voor webtoepassingen waarmee u potentiële bedreigingen voor uw omgeving kunt identificeren en beperken.
• Maatregelen voor identiteitsbeheer zoals single sign-on (SSO) en tweestapsverificatie (2FA) die uw bedrijfsnetwerk beschermen en het tegelijkertijd gemakkelijker en veiliger maken voor teamleden om toegang te krijgen tot uw bedrijfsnetwerk.
• Dark Web Monitoring is een handige tool die u kan informeren als uw bedrijfsgegevens op het dark web verschijnen, zodat u snel kunt handelen en een gegevensschending kunt voorkomen.

Menselijke fouten zijn een ernstige bedreiging

Het maakt niet uit of uw tools veilig zijn als ze niet veilig worden gebruikt. Menselijke fouten zijn eigenlijk een van de grootste cyberbedreigingen voor uw bedrijf. Aanvalsoppervlakken groeien exponentieel dankzij de complexiteit van moderne bedrijfsnetwerken, waardoor teamleden tientallen accounts met unieke wachtwoorden moeten aanmaken en mogelijk vanaf hun persoonlijke apparaten toegang moeten krijgen tot deze accounts.

“Een andere grote misser is het onderschatten van menselijk risico: phishing, hergebruik van inloggegevens en onbeheerde apparaten zijn meestal de voordeur.“

Deze risico’s kunnen worden toegeschreven aan een gebrek aan bewustzijn op het gebied van cyberbeveiliging en onduidelijke verwachtingen over hoe of of uw bedrijfsnetwerk toegankelijk is via persoonlijke apparaten van teamleden. Gelukkig kunnen ze gemakkelijk worden aangepakt met een tweeledige aanpak van beleid en educatie:

• Bedrijfsbrede educatie over het herkennen van phishingfraude en andere soorten malware(nieuw venster) zal elk teamlid helpen uw bedrijfsnetwerk te beschermen
• Een beleid voor werken op afstand en een bring your own device (BYOD)-beleid indien relevant voor uw bedrijf
• Een veilige zakelijke wachtwoordbeheerder zorgt ervoor dat uw wachtwoordbeleid wordt gehandhaafd en dat gevoelige inloggegevens op een centrale locatie worden opgeslagen en indien nodig zelfs veilig deelbaar zijn.

“Vroege beslissingen worden permanente standaarden,” zegt Gary. “Identiteitsmodellen, datalocaties, beheerderstoegang en apparaatstandaarden zijn ongelooflijk moeilijk later terug te draaien — vooral als er eenmaal klanten, investeerders en toezichthouders bij betrokken zijn. Beveiligingsschuld stapelt zich op, net als technische schuld. Het is veel goedkoper en minder verstorend om vroeg goede vangrails in te stellen dan controles achteraf in te bouwen na een schending, auditfout of weigering van een cyberverzekering.”

Beveiligingsfundamenten zijn belangrijker dan tools

Tools zijn niet de enige overweging die bedrijven moeten maken als ze de markt op gaan. Uw IT-infrastructuur bepaalt hoe veilig teamleden kunnen werken, hoe goed u risico’s kunt signaleren en hoe snel u problemen kunt beperken.

Gary legt uit hoe de experts bij Power Consulting het instellen van IT- en cybersecurity-infrastructuur voor startups aanpakken. “We richten ons op de basis voordat we naar glimmende tools kijken.”

• Stel sterke beleidsregels voor identiteits- en toegangsbeheer in, inclusief MFA en “least privilege”, wat betekent dat mensen alleen toegang moeten hebben tot de systemen die ze nodig hebben.
• Beveilig uw endpoints, inclusief persoonlijke apparaten van werknemers, vanaf dag één. Software voor apparaatbeheer kan u helpen bij te houden wie er inlogt op uw netwerk en waar.
• Gebruik gecentraliseerde logging en monitoring zodat problemen zoals ongeoorloofde toegang of accountschendingen niet onopgemerkt blijven.
• Bereid u voor op een incident met de juiste back-up- en hersteltools, zoals onveranderlijke back-ups (die niet kunnen worden gewijzigd nadat ze zijn gemaakt) of bescherming op afstand waarbij kritieke gegevens worden verzonden en opgeslagen buiten uw hoofdvestiging.

Door uw bedrijf op solide fundamenten te bouwen, investeert u uiteindelijk in een veiliger bedrijf voor uw toekomst. De tijd die u besteedt aan het bouwen van een veilige infrastructuur is het geld dat u bespaart en het risico dat u op de lange termijn vermijdt waard.

Neem de tijd om het goed in te stellen

Gary raadt aan om u te concentreren op uw identiteitsarchitectuur, omdat dit het gebied is met de grootste impact op de beveiliging. Elk teamlid heeft een digitale identiteit die hem toegang geeft tot de gegevens en tools die hij nodig heeft in uw bedrijfsnetwerk, en dit goed configureren maakt later al het verschil.

“Slechte identiteitsarchitectuur is het moeilijkst ongedaan te maken — gedeelde accounts, zwakke MFA-adoptie en te veel beheerders creëren risico’s op lange termijn,” legt Gary uit. “Ongestructureerde wildgroei van gegevens is een ander groot probleem; zodra gevoelige gegevens verspreid zijn over persoonlijke drives, e-mailinboxen en onbeheerde SaaS-apps, is het pijnlijk om de controle terug te krijgen. Tot slot leidt een gebrek aan documentatie en eigenaarschap in het begin tot verwarring en blinde vlekken naarmate teams groeien.”