Когда дело доходит до соблюдения стандартов соответствия, многие в алфавите доминируют стартапы. От GDPR и CCPA до SOC 2, ISO27001, PCI DSS и HIPAA, компании взимают плату за соблюдение стандартов соответствия, необходимых для ведения их бизнеса.

Сегодня каждый основатель здравоохранения знает, что их продукт должен соответствовать требованиям HIPAA, и любая работающая компания в потребительском пространстве, например, будут хорошо осведомлены о GDPR.

Но многие быстрорастущие компании совершают ошибку, считая, что соответствие нормативным требованиям является общей фразой, включающей безопасность. Думать, что это может быть дорогостоящей и болезненной ошибкой. В действительности соответствие означает, что компания соблюдает минимальный набор средств контроля. Безопасность, с другой стороны, включает в себя широкий спектр передовых методов и программного обеспечения, которые помогают устранять риски, связанные с операциями компании.

Логично, что стартапы в первую очередь хотят заняться соблюдением нормативных требований. Соответствие требованиям играет большую роль в географическом расширении любой компании на регулируемые рынки и в ее проникновении в новые отрасли, такие как финансы или здравоохранение. Так что во многих отношениях соблюдение нормативных требований является частью набора стартапа по выходу на рынок. И действительно, корпоративные покупатели ожидают, что стартапы проверят соответствие требованиям перед тем, как стать их клиентами, поэтому стартапы по праву соответствуют ожиданиям своих покупателей.

Учитывая все это, неудивительно, что мы стали свидетелями тенденции, когда стартапы достигают соответствия с самых первых дней и часто отдают предпочтение этому движению, а не разработке захватывающей функции или запуску новой кампании для привлечения потенциальных клиентов, поскольку Например.

Соблюдение нормативных требований – важная веха для молодой компании, которая продвигает индустрию кибербезопасности вперед. Это заставляет основателей стартапов надевать шляпы безопасности и думать о защите своей компании, а также своих клиентов. В то же время соблюдение нормативных требований обеспечивает удобство юридическим отделам и службам безопасности корпоративного покупателя при взаимодействии с новыми поставщиками. Так почему одного соответствия недостаточно?

Во-первых, соблюдение не означает безопасности (хотя это шаг в правильном направлении). Чаще всего молодые компании подчиняются требованиям, но при этом уязвимы с точки зрения безопасности.

Как это выглядит? Например, компания-разработчик программного обеспечения могла соответствовать стандартам SOC 2, которые требуют, чтобы все сотрудники устанавливали защиту конечных точек на своих устройствах, но у нее может не быть способа заставить сотрудников фактически активировать и обновлять программное обеспечение. Кроме того, у компании может отсутствовать централизованно управляемый инструмент для мониторинга и отчетности, чтобы узнать, произошли ли какие-либо нарушения конечных точек, где, кому и почему. И, наконец, у компании может не быть опыта, чтобы быстро реагировать на утечку данных или атаку и устранять их.

Таким образом, несмотря на соблюдение стандартов соответствия, некоторые недостатки безопасности остаются. Конечным результатом является то, что стартапы могут столкнуться с нарушениями безопасности, которые в конечном итоге обходятся им дорого. Согласно исследованию IBM, для компаний с численностью сотрудников менее 500 человек в среднем обходится в 7,7 миллиона долларов, не говоря уже о повреждении бренда и потере доверия со стороны существующих и потенциальных клиентов.

Во-вторых, для стартапов возникает непредвиденная опасность. такое соответствие может создать ложное чувство безопасности. Получение сертификата соответствия от объективных аудиторов и известных организаций может создать впечатление, что фронт безопасности покрыт.

Как только стартапы начинают набирать обороты и подписывают клиентов на более высокий уровень, это чувство безопасности возрастает, потому что, если стартапу удалось приобрести ориентированный на безопасность клиентов из F-500, на данный момент должно быть достаточно соблюдения требований, и запуск, вероятно, будет защищен ассоциацией. При взимании платы после корпоративных сделок ожидания покупателя подталкивают стартапы к достижению соответствия SOC 2 или ISO27001 порогу безопасности предприятия. Но во многих случаях корпоративные покупатели не задают сложных вопросов и не углубляются в понимание риска, который несет поставщик, поэтому стартапам никогда не приходится заниматься своими системами безопасности.

В-третьих, соблюдение требований касается только определенного набора знает. Он не охватывает ничего неизвестного и нового с момента написания последней версии нормативных требований.

Например, API-интерфейсы используются все чаще, но нормативные требования и стандарты соответствия еще не успели догнать тенденцию. Таким образом, компания электронной коммерции должна быть совместима с PCI-DSS, чтобы принимать платежи по кредитным картам, но она также может использовать несколько API-интерфейсов, которые имеют слабую аутентификацию или недостатки бизнес-логики. Когда был написан стандарт PCI, API-интерфейсы не были обычным явлением, поэтому они не были включены в правила, но сейчас большинство финтех-компаний в значительной степени полагаются на них. Таким образом, продавец может быть совместимым с PCI-DSS, но использовать небезопасные API-интерфейсы, потенциально подвергая клиентов взлому кредитных карт.

Стартапы не виноваты в путанице между соответствием и безопасностью. Любой компании сложно одновременно соответствовать требованиям и обеспечивать безопасность, а для стартапов с ограниченным бюджетом, временем или ноу-хау в области безопасности это особенно сложно. В идеальном мире стартапы были бы совместимы и безопасны с самого начала; Нереально ожидать, что компании на ранних этапах развития потратят миллионы долларов на пуленепробиваемую защиту своей инфраструктуры безопасности. Но есть кое-что, что стартапы могут сделать, чтобы стать более защищенными.

Один из лучших способов, с помощью которого стартапы могут начать заниматься безопасностью, – это раннее наем сотрудников службы безопасности. Может показаться, что этого члена команды «приятно иметь», и вы могли бы отложить его до тех пор, пока компания не достигнет значительного показателя численности персонала или выручки, но я бы сказал, что руководитель службы безопасности – это ключевой ранний найм, потому что его работа будет заключаться в сосредоточении внимания. полностью на анализе угроз и выявлении, развертывании и мониторинге методов обеспечения безопасности. Кроме того, стартапам было бы полезно убедиться, что их технические команды хорошо разбираются в вопросах безопасности и заботятся о безопасности при разработке продуктов и предложений.

Еще одна тактика, которую стартапы могут использовать для повышения своей безопасности, – это развертывание правильных инструментов. Хорошая новость заключается в том, что стартапы могут делать это, не нарушая банкротства; Есть много компаний, занимающихся безопасностью, которые предлагают открытые, бесплатные или относительно доступные версии своих решений для новых компаний, включая Snyk, Auth0, HashiCorp, CrowdStrike и Cloudflare.

Полное развертывание безопасности будет включать программное обеспечение и передовые методы идентификации. и управление доступом, инфраструктура, разработка приложений, отказоустойчивость и управление, но у большинства стартапов вряд ли будет время и бюджет, необходимые для развертывания всех компонентов надежной инфраструктуры безопасности.

К счастью, есть ресурсы, такие как Security 4 Startups, которые предлагают бесплатный фреймворк с открытым исходным кодом для стартапов, чтобы понять, что делать в первую очередь. Руководство помогает учредителям выявлять и решать наиболее распространенные и важные проблемы безопасности на каждом этапе, предоставляя список решений начального уровня в качестве надежного начала для создания долгосрочной программы безопасности. Кроме того, инструменты автоматизации соответствия могут помочь в непрерывном мониторинге, чтобы гарантировать, что эти средства контроля остаются на месте.

Для стартапов соблюдение требований имеет решающее значение для установления доверия с партнерами и клиентами. Но если это доверие подорвется после инцидента, связанного с безопасностью, восстановить его будет практически невозможно. Безопасность, а не только соответствие требованиям, поможет стартапам вывести доверие на совершенно другой уровень и не только ускорит рыночный импульс, но и обеспечит сохранение их продуктов.

Поэтому вместо того, чтобы приравнивать соблюдение требований к безопасности, я предлагаю расширить уравнение, чтобы считать, что соответствие и безопасность равны доверию. А доверие означает успех в бизнесе и долголетие.