Welkom in de wereld van IT, die van het adagium "kennis is macht", waarbij dat regelmatig flink ingewreven wordt... Om te beginnen kan je nooit iets echt perfect veilig maken, er worden continu zwakheden ontdekt waardoor het hebben draaien van een (web)server niet moet worden gezien als een eenmalige 'install and forget', maar als een voortdurend proces. Iets kan wel veilig genoeg zijn, dan denk ik bijvoorbeeld aan (semi-)overheden en grote bedrijven die beducht moeten zijn voor statelijke actoren. Er van uitgaande dat je webserver ook gegevens verwerkt (is meestal zo) dien je je ook te kunnen verantwoorden naar derden en dus moet je altijd je papierwerk op orde hebben. Denk aan de AVG, doe aan dataminimalisatie, stel een DPIA op en ook hier geldt dat dit een terugkerend proces is. Bedenk van te voren wat je te doen staat als er ingebroken wordt en wat de schade wordt wanneer data gestolen en/of gegijzeld wordt. Bij het inrichten van een webserver begin je met het principe van least privilege. Alles wat ...