Ganska ofta vi stöter på företag, särskilt nystartade företag och små och medelstora företag som inte har någon kontroll över sina digitala tillgångar. Enbart för att det skapades av en anställd som inte längre är med i organisationen, eller inte lämnats tillbaka till företagets digitala silo, vilket påverkar tid, kostnader och kontroll för verksamheten och ibland utgör flaskhalsar under mycket avgörande situationer när en förändring behövs. För företag är tid pengar och allt som kan få dig att förlora tid är i själva verket KRITISKT. Motivationen och syftet med att skriva denna artikel, drivs av detta behov, att definiera en "Hygiene Checklista för hantering av digitala tillgångar" , så att du som företag inte gör samma misstag och kan vara bättre rustad för detsamma.
Eftersom sammanhanget för digitala tillgångar kan vara enormt, låt mig hålla mig till de som hänför sig till webb- och mobilapplikationer som du kör, och låt oss hålla undan alla andra digitala tillgångar för tillfället, såsom IT-tillgångar, digitala fysiska tillgångar etc.
Vilka är de digitala tillgångar som webbapplikationer använder och vad är det bästa sättet att hantera ägandet av detta. Vilka är frågorna du bör känna till som företagsägare när du äger dessa digitala tillgångar, och vad finns det att göra och inte göra här.
- Hosting och DNS
Din app kan vara värd i en delad värdmiljö som GoDaddy, eller en dedikerad VPS-hosting som DigitalOcean eller Linode, eller en molnmiljö som AWS Ec2 eller Azure. Oavsett vilken miljö det är, är det viktigt att ROOT-kontot för hosting är under ägandet av en vanlig företags-e-post, med 2-faktorsautentisering kopplad till ett mobilnummer som tillhör företaget. Företagets intressenter bör få ALLA meddelanden från värdkontot hela tiden, för om det finns faktureringsfel under tre månader i följd kan ditt konto avslutas, eller data raderas och det är en ENORM risk. I grund och botten måste e-postmeddelandet som konfigurerats här övervakas hela tiden, och uppgifterna är för kritiska om du inte gör det.
Och lika viktig som kontrollen på hosting, är kontrollen på DNS- eller domännamnsleverantören (kan vara GoDaddy, Mercaba eller någon annan). Det primära kontot hos domänregistratorn måste finnas under den vanliga affärse-postadressen, inklusive mobilnumret som är kopplat till det för 2-faktors autentisering. Aviseringarna för utgången av domännamn måste ställas in korrekt så att du får varningar i tid, och måste spåras för att undvika oväntade driftstopp eller avbrott.
- Din webbapplikation och API-gränssnitt
Webbapplikationen kommer att finnas i din värdmiljö men det är viktigt att känna till
- Hur många instanser kör du och faktureras för ?
- Vad är den tekniska stacken varje instans kör, till exempel om dess PHP eller Nod eller Reagera eller en kombination av stack för backend och frontend.
- Var finns databasen värd och hur många databaser kör du.
- Vilka är 3:e parts integrationer för appen, och har du kontroll över kontona som används för var och en av dessa.
- Använder applikationen några andra tjänster som Elastic Search, S3 eller något annat som extra debiteras/faktureras och på vilken grund faktureras det.
- Viktigast av allt, vem som har tillgång till värdmiljön, hur kontrolleras den och vilken process används för att bevilja/återkalla åtkomst. Helst ska du ALDRIG dela root-kontots inloggning, det bästa sättet är att lägga till användare/bjuda in dem att använda kontot som en specifik typ av användare baserat på den åtkomstnivå som krävs. Eller ge åtkomst på en ssh eller specifik nivå för det arbete som krävs för att göras.
- Web Application Code Base
Det är viktigt när du kör en webb eller mobil-app att du har ett källkodsförrådskonto för ditt företag, oavsett om det är Github eller Bitbucket eller liknande tjänster. E-postadressen som används för att skapa kontot MÅSTE ägas av företaget, och för varje projekt kan den nödvändiga åtkomstnivån ges till utvecklarna. Det måste finnas en process för att lägga till användare/återkalla användare baserat på inträde/utgångar till projekt. Och det är också möjligt att ge läsbehörighet till någon att se koden, om du vill arbeta med ett nytt utvecklingsföretag och ge dem tillgång att kontrollera koden.
För ytterligare skydd är det bra att lägga till ytterligare skyddslager för huvud-/huvudgrenen som har produktionskoden, så att den kräver godkännande för eventuell kodsammanfogning till denna gren, och skydda grenen från radering etc. Om du ser sätt att aktivera filialskydd för Git, du får bra insikter om detta.
- Tredje parts integrationer
De flesta webbapplikationer har många tredjepartsintegrationer idag, de vanligaste av dem är Google Maps, Google Analytics, Payment Gateways, SMS Gateways för OTP-validering, Mailchimp för nyhetsbrevprenumerationer etc. Det är viktigt att se till att alla konton som används av företaget är från den vanliga affärse-posten, med 2-faktorsautentisering kopplad till ett mobilnummer som tillhör företaget . För att också säkerställa att alla API-nycklar som används för integration genereras med det specifika projektnamnet och ges till utvecklings-/integrationsteamet. Det kommer att vara ett problem om du tillåter utvecklare att använda sina konton, skapa dessa referenser och låter dem användas, även i fall av en Google-karta eller en gratistjänst. Vid någon tidpunkt kommer företaget att behöva byta till de betalda kontona baserat på användning, och det kommer att vara jobbigt att sömlöst byta eller uppgradera kontot.
- Google Analytics, sociala inloggningar eller andra
Det är bra att alltid planera och integrera analyser på alla digitala tillgångar du driver, särskilt om dess kund vänder sig till. Och företaget bör äga Google Analytics-kontot som du skulle använda, på samma sätt som företaget bör äga alla sociala mediekonton som det använder för alla sina integrationer.
- Säkerhetskopiering och ögonblicksbilder
Även om säkerhetskopior och ögonblicksbilder är en del av värdstrategin, beroende på typen av värd är det viktigt att kontrollera om du har dessa tillgängliga hela tiden. Molnplattformar som AWS och Azure, underhåller ögonblicksbilder men inte alla värdleverantörer kanske upprätthåller kontinuerliga säkerhetskopieringar av data, och det är alltid en bra strategi att underhålla regelbundna FJÄRR-säkerhetskopior.
När det kommer till mobilappar
- Inloggningsuppgifter för PlayStore och Apple Store
Dessa är referenser som används av utvecklare för att publicera apparna i Google Play Store eller Apples App Store, och de måste ägas av företaget och inte tillåta utvecklare att använda sina egna. På så sätt har du alltid kontroll över appanalyser och uppdateringar, och du får meddelande om eventuella föråldrade versioner och uppgraderingar som kan behövas för apparna. Respektive utvecklare kan endast ges åtkomst genom inbjudan till de projekt de arbetar med och inget mer behövs här.
- Push-meddelanden – inloggningsuppgifter
De flesta mobilappar använder en tredjepartstjänst för push-meddelanden, till exempel Firebase eller andra. Vilken du än använder är det viktigt att ha kontroll över kontot som används här.
- Kodbas för mobilapplikationer
Mobile App Code Base precis som webbapplikationer kodbas måste underhållas i ett kodversionskontrollverktyg som Git eller Bit hink. Samma regler som gäller för webbkodshantering kommer att gälla även här.
I den här eran kan vi inte ta lätt på digitala tillgångar eftersom de är livlinan för verksamheten hela tiden, och det är oerhört viktigt att förstå hur man skyddar och skyddar dem hela tiden. Ovanstående är bara en början, ur ett hygieniskt och måste-göra-perspektiv och när vi gräver djupare finns det ytterligare bästa praxis och standarder som kan följas. Men det viktigaste KONTROLLERA är att se till att vi har detta på plats till att börja med!
VILL SAMRÅDGA MED OSS….KONTAKTA OSS NU!
Swedish 
English 
Spanish (Mexico) 
Italian 
French 
German 
Japanese 
Dutch 
Finnish 
Spanish (Spain) 