Kan dine kunder stole på, at du holder tæt?

Har dine kunder tillid til, at deres data er i sikre hænder hos dig? Ved at foretage et par enkelte initiativer som freelancer og udvikler kan du øge sikkerheden for dine kunders data. Og kommunikerer du det ud til kunderne, løfter du samtidig din egen forretning.

Af Kristian Just Iversen

02. FEB 2016

Nedenstående punkter bør du som minimum overveje, hvis du er freelancer med ansvar for kunders data. Måske er dine kunders projekter ubetydelige, eller de befinder sig ikke i et konkurrencepræget marked, hvilket sænker risikoen for, at nogen reelt vil finde dem interessante. Men er det op til dig at vurdere?

Krypteret drev

Det er ikke unormalt for en programmør at have arbejdskopier af projekter til en værdi af flere hundrede tusinde kroner liggende på sin bærbare computer.

Er din harddisk/SSD ikke krypteret vil disse projekter kunne hentes ud uden problemer, hvis nogen får fysisk adgang til computeren.

På et krypteret drev er dataene ulæselige, og vil kun kunne låses op med din kode (eller en evt. genoprettelsesnøgle, som du selvfølgelig opbevarer sikkert).

Både Windows og Mac har en indbygget krypteringsfunktion, hhv. BitLocker og FileVault. De sløver din computer en smule, men det er det hele værd.

Da min bærbar ved et indbrud i vores kontor blev stjålet, var jeg lykkelig for, at harddisken var krypteret.

Krypteret e-mail kommunikation

E-mail blev ikke designet med nogen form for privatliv eller sikkerhed for øje. PGP kryptering, der blev udviklet helt tilbage i 1991, kommer dig heldigvis til undsætning.

Stil ikke potentielle fremtidige kunder i en situation, hvor deres eneste alternativ er ikke at kontakte dig.

Projekter i webbranchen er tæt på aldrig et spørgsmål om national sikkerhed eller liv og død. Det kan alligevel være en beroligende omstændighed for din kunde, at de kan kommunikere sikkert med dig.

Undervurder heller ikke signalet det sender, at du har tænkt sikkerhed ind i hele din forretning.

Opsætning af krypteret e-mail kommunikation tager omkring 1 time, hvis du ikke har prøvet det før.

2-faktor godkendelse

Ved du, hvor mange af dine konti/services en person vil kunne få adgang til, hvis de blot knækker din kode et enkelt sted?

Eksempelvis kan koder til det meste nulstilles per e-mail. Det betyder følgende:

  • Dit online liv kan overtages, hvis en person får adgang til din e-mail konto.
  • Dit online liv kan overtages, hvis en person får adgang til kontrolpanelet, hvor man kan nulstille koden til din e-mail konto.
  • Dit online liv kan overtages, hvis en person får adgang til DNS administrationen, der styrer DNS’en for det domæne, som din e-mail konto er tilknyttet. Det var tilfældet for Naoki Hiroshima, der mistede hans Twitter-bruger til en værdi af 50.000 $.

Find selv på flere svage led i kæden.

Det er ikke sikkert, at du kan aktivere 2-faktor godkendelse for lige netop din e-mail. Min pointe er, at du kan gøre en indsats for at reducere antallet af svage led i kæden ved at aktivere 2-faktor godkendelse på så mange tjenester som muligt.

Tjek eksempelvis for 2-faktor godkendelse hos GitHub, BitBucket, DNS administrationer, webhotel kontrolpaneler, server kontrolpaneler, Dropbox, din Google-, din Apple- og din Microsoft-konto.

Arbejde i offentlig transport

Er du ikke diskret, når du arbejder med kundeprojekter i offentlig transport, kan det koste dig dyrt. Følg med her.

Du er som udvikler på farten udsat i forhold til, at andre personer kan kigge dig over skulderen. Et DSB tog eller et fly er som udgangspunkt ikke den perfekte flyverplads til din og din kundes forretning. Med din 15” Macbook Retina skærm er det stensikkert, at teksten står knivskarp for både dig, din sidemand og manden bag dig.

image

Overvej, om du risikerer følgende.

  • Kan du potentielt afsløre en fremtidig funktion eller ide, du er ved at implementere for din kunde?
  • Indtaster du kodeordet til en kundes server med frit udsyn til dit tastatur?
  • Arbejder du tilfældigvis i konfigurationsfilen på et projekt, hvor kodeordet til databasen, et salt til passwordhash el.lign. er synligt på skærmen?
  • Svarer du på en fortrolig e-mail?

Meget arbejde kan klares på farten, men der er også meget, der ikke kan.

Kommer du galt afsted kan den dalende kundetilfredshed (eller det der er værre) blive en dyr lærerstreg.

Aftale om fortrolighed

Der kan være forskellige forventninger til, hvad du og din kunde mener, det er rimeligt du deler med andre vedrørende dit arbejde. Nogle trækker stregen ved konkrete funktioner, andre forventer du end ikke fortæller, at du samarbejder med dem.

For begge parters skyld bør I forventningsafstemme, hvor grænsen omkring fortrolighed går. Dette behøver ikke være en formel aftale, men blot en snak. Hvis kunden er interesseret i den gratis omtale, er det også ærgerligt, hvis du selv har truffet beslutning om total diskretion.

Høst værdien

Sikkerhed er desværre en usynlig størrelse. Mange bemærker ikke dit hårde arbejde, medmindre du ikke havde lavet det.

Sørg for at kommunikere din høje sikkerhedsstandard ud til dine kunder. Du kan gøre opmærksom på det ved intromøder, på din hjemmeside, eller du kan simpelthen bare vente på, at dine kunder opdager det af sig selv.

Opdager de det ikke, kan du glæde dig over, at dine nye initiativer har reduceret risikoen ved at drive din virksomhed, og at dine egne såvel som dine kunders data nu kun er tilgængelige for de rigtige personer.

Materiale

http://www.digitaltrends.com/computing/can-email-ever-be-secure/

https://en.wikipedia.org/wiki/Pretty_Good_Privacy

https://medium.com/N/how-i-lost-my-50-000-twitter-username-24eb09e026dd