初創公司的網絡安全建設平衡之道

對於初創公司而言,如何平衡業務目標與網絡安全之間的關係是他們面臨的一大難題,特別是當創始人及其管理團隊認爲安全是一個障礙時尤其如此,他們也通常認爲網絡安全方面的投資是沒有明顯收益的。然而,在當今注重安全的市場中,即使是處於早期階段的初創公司也需要證明他們對安全的承諾。

很多時候,初創公司有多個理由把安全放在次要位置,從特定時間和角度來看這些理由似乎對公司有利,但從長遠來看這些理由就會讓公司陷入危險之中。

例如,許多初創公司(以及一般的中小企業)認爲它們太小而不會被攻擊者注意到,因此他們不需要遵循安全最佳實踐。然而,一些安全事件表明,擁有大客戶的小公司是網絡攻擊者的絕佳目標。此外,許多攻擊是由不區分大小組織的機器人引起的,它們會攻擊任何在其雷達範圍內的公司。

此外,當初創公司是少數幾個分散在世界各地使用筆記本電腦工作的人時,並非所有安全要求都有意義,但它很快就會失控,在他們知道之前,公司裡有 30 個人都擁有管理權限使用中的每個系統的權利,無論他們是否需要。

如上所述,在當今的供應商安全保障環境中,初創企業不僅需要有可靠的安全控制措施,而且還需要能夠向潛在客戶展示這些控制措施,有時甚至是在客戶環境中進行首次概念驗證之前。因此,初創企業應致力於通過設計和默認方式將安全控制納入其組織。

最後,從實現正確的控制開始要比從根本上解決問題容易得多。從一開始就在組織中建立安全性的初創公司完全有能力從一開始就將安全性作爲其業務的核心部分,隨着公司的發展,他們的安全措施也在不斷增長。

爲了保障安全投入的有效性,這需要基於對初創公司面臨的威脅、風險以及業務或客戶期望的特定組合的瞭解。這對於預算有限的初創公司尤其重要。畢竟,他們沒有資源可以浪費在與他們的業務無關的安全措施上。

接下來是將安全性與業務路線圖聯繫起來。如果尚未向客戶銷售,則並非所有安全措施都是相關的。初創公司應該準備好根據公司現在的情況以及未來一年到一年半的時間來確定安全活動的優先級。

確定易於實施的速贏方案。從確保工作環境安全的安全開始。實施訪問控制,應用最小權限原則(一個常見的錯誤是一開始就讓每個人都可以訪問所有內容),並在隔離環境中進行開發。

確保從正確的、有信譽的 IT 和開發人員工具開始,甚至鼓勵團隊集體選擇他們的工具,從而減少他們使用影子 IT(公司 IT 批准產品之外的應用程序)的機會。

此外,優先對員工進行安全責任培訓。在組織中灌輸安全文化的成本相對較低,並且可以節省資金。此外,初創公司的員工大多對公司進行了投資,所以現在是讓他們買單保證公司安全的好時機。

對於大多數初創公司來說,擁有一個專門的安全人員是不現實的,但話雖如此,從公司成立之初就需要有人負責安全,而客戶會尋找那個負責的人。

最好的建議是確定被歸類爲“安全”的不同職責。例如,產品安全(確保將安全應用於所有已開發的應用程序和產品)、合規性、採購等。儘可能將這些安全角色整合到相關人員的日常工作中。例如,誰負責爲新系統付費,誰就負責採購安全。或者,負責確保員工遵守公司行爲準則的人,負責安全培訓和教育。

最後,必要的時候可以向專業人士尋求幫助。你不需要自己做所有的事情,但無論如何都必須做。

這取決於初創公司的類型、規模和所在行業。如果初創公司在受到嚴格監管的行業(例如金融服務或衛生部門)運營,並且經常處理大量敏感或個人數據,那麼他們可能會考慮早點而不是晚點聘用 CISO。同樣,還有一些創造性的方式來僱傭 CISO,例如在“即服務”的基礎上利用外部 CISO。

在聘請 CISO 之前還有幾個步驟。安全工程師、研究人員、顧問等都能夠處理組織內的日常安全操作。

初創公司的安全性與企業的安全性截然不同。

初創公司可以承擔更多的創造力,並研究旨在解決其特定安全問題的新技術。初創公司通常可以更靈活、更快速地在他們的組織中做出真正的改變。

預算的差異也意味着初創公司必須更聰明。他們買不起錯誤的產品或很快就會過時的產品,他們更買不起價格昂貴或具有高限制度的產品。他們需要可以從小處着手並擴大規模的解決方案。

答案是是的,網絡安全保險可以幫助初創公司迅速建立起抵禦網絡安全風險的閉環能力。但是,初創公司也需要意識到,僅僅擁有保險並不意味着他們會自動獲得安全。

網絡安全保險在國內處於初級發展階段,開拓階段尚無法以大數法則進行具體實踐,這對於初創公司而言,他們需要通過保險公司一系列的安全評估才能獲得保單,反倒成爲了一種安全建設捷徑。另外勒索軟件攻擊形式不斷加劇,也推動了公司購買網絡安全保險的意願。