Cuando se trata de cumplir con los estándares de cumplimiento, muchas empresas emergentes dominan el alfabeto. Desde GDPR y CCPA hasta SOC 2, ISO27001, PCI DSS y HIPAA, las empresas se han esforzado por cumplir con los estándares de cumplimiento requeridos para operar sus negocios.

Hoy en día, todos los fundadores de la industria de la salud saben que su producto debe cumplir con la HIPAA, y cualquier empresa que trabaje en la industria del consumidor conocerá bien el RGPD, por ejemplo.

Pero un error de muchas empresas de alto crecimiento es pensar en el cumplimiento como una frase general que incluye seguridad. Pensando que esto podría ser un error costoso y doloroso. En realidad, el cumplimiento significa que una empresa cumple con un conjunto mínimo de controles. La seguridad, por otro lado, abarca una amplia gama de mejores prácticas y software que ayudan a abordar los riesgos asociados con las operaciones comerciales.

Tiene sentido que las startups quieran abordar el cumplimiento primero. El cumplimiento juega un papel importante en la expansión geográfica de cualquier negocio a los mercados regulados y en su penetración en nuevas industrias como las finanzas o la salud. Entonces, en muchos sentidos, el cumplimiento es parte del kit de lanzamiento al mercado de una startup. Y, de hecho, los compradores de negocios esperan que las nuevas empresas marquen la casilla de cumplimiento antes de iniciar sesión como cliente, por lo que las nuevas empresas se alinean correctamente con las expectativas de sus compradores.

Una de las mejores formas para que las nuevas empresas comiencen a abordar la seguridad es contratar servicios de seguridad con anticipación.

Con todo eso en mente, no es de extrañar que hayamos visto una tendencia en la que las nuevas empresas están cumpliendo desde los primeros días y, a menudo, priorizan este movimiento sobre el desarrollo de una función emocionante o el lanzamiento de una nueva campaña para atraer prospectos, por ejemplo.

LEER  Cómo Expensify se está deshaciendo de la arrogancia de Silicon Valley para lograr sus ambiciones globales - TechCrunch

El cumplimiento es un gran paso para la puesta en marcha y un paso que hace avanzar la industria de la ciberseguridad. Obliga a los fundadores de nuevas empresas a ponerse sombreros de seguridad y pensar en proteger su negocio, así como a sus clientes. Al mismo tiempo, el cumplimiento permite que los equipos legales y de seguridad del comprador de la empresa se relacionen con los proveedores emergentes. Entonces, ¿por qué el cumplimiento por sí solo no es suficiente?

Primero, el cumplimiento no significa seguridad (aunque este es un paso en la dirección correcta). La mayoría de las veces, las empresas jóvenes cumplen con las normas y, al mismo tiempo, son vulnerables en su postura de seguridad.

Cómo se ve? Par exemple, une société de logiciels peut avoir satisfait aux normes SOC 2 qui exigent que tous les employés installent une protection des points de terminaison sur leurs appareils, mais elle peut ne pas avoir un moyen de forcer les employés à activer et mettre à jour le software. Además, es posible que la empresa no cuente con una herramienta administrada de manera centralizada para monitorear e informar si, dónde, a quién y por qué se han producido infracciones en los terminales. Y, por último, es posible que la empresa no tenga la experiencia necesaria para responder y solucionar rápidamente una violación de datos o un ataque.

Por lo tanto, aunque se cumplen los estándares de cumplimiento, quedan varios agujeros de seguridad. El resultado final es que las startups pueden experimentar brechas de seguridad que terminan costándoles mucho. Para las empresas con menos de 500 empleados, la brecha de seguridad promedio cuesta alrededor de $ 7.7 millones, según un estudio de IBM, sin mencionar el daño a la marca y la pérdida de confianza de los clientes existentes y potenciales.

En segundo lugar, un peligro imprevisto para las nuevas empresas es que el cumplimiento puede crear una falsa sensación de seguridad. Recibir un certificado de cumplimiento de auditores objetivos y organizaciones de renombre podría dar la impresión de que el frente de seguridad está cubierto.

Una vez que las startups comienzan a ganar tracción y reclutan clientes de alto nivel, esa sensación de seguridad crece, porque si la startup tiene éxito en la adquisición de clientes conscientes de la seguridad de la F-500, el cumplimiento debe ser suficiente por el momento y la startup probablemente esté asegurada. por asociación. Al facturar después de acuerdos corporativos, son las expectativas del comprador las que impulsan a las nuevas empresas a lograr el cumplimiento de SOC 2 o ISO27001 para cumplir con el umbral de seguridad de la empresa. Pero en muchos casos, los compradores de negocios no hacen preguntas sofisticadas ni profundizan su comprensión del riesgo que presenta un proveedor, por lo que nunca se pide a las empresas emergentes que aborden la seguridad de sus sistemas.

LEER  Para ahorrar tiempo para un inicio fallido, vuelva a crear el proceso de ingeniería - TechCrunch

En tercer lugar, el cumplimiento se refiere solo a un conjunto definido de datos conocidos. No cubre nada nuevo y desconocido desde que se redactó el último borrador de los requisitos reglamentarios.

Por ejemplo, las API se utilizan cada vez más, pero las regulaciones y los estándares de cumplimiento aún tienen que ponerse al día con la tendencia. Por lo tanto, una empresa de comercio electrónico debe cumplir con PCI-DSS para aceptar pagos con tarjeta de crédito, pero también puede aprovechar varias API que tienen fallas débiles en la autenticación o la lógica comercial. Cuando se redactó PCI por primera vez, las API no eran comunes, por lo que no están incluidas en la regulación, pero ahora la mayoría de las empresas de tecnología financiera dependen en gran medida de ellas. Por lo tanto, un comerciante puede cumplir con PCI-DSS, pero usar API inseguras, lo que podría exponer a los clientes a violaciones de tarjetas de crédito.

Las startups no tienen la culpa de la confusión entre cumplimiento y seguridad. Es difícil para una empresa cumplir con las normas y ser segura, y para las empresas emergentes con un presupuesto, tiempo o experiencia en seguridad limitados, es especialmente difícil. En un mundo perfecto, las startups serían compatibles y seguras desde el principio; No es realista esperar que las empresas emergentes gasten millones de dólares en proteger su infraestructura de seguridad. Pero hay algunas cosas que las startups pueden hacer para ser más seguras.

Una de las mejores formas para que las nuevas empresas comiencen a abordar la seguridad es contratar servicios de seguridad con anticipación. Este miembro del equipo puede parecer un ‘bueno para tener’ que podría posponer hasta que la empresa alcance un hito en términos de fuerza laboral o ingresos, pero yo diría que un gerente de seguridad es una parte clave de la contratación temprana, ya que el trabajo de esa persona se centrará por completo en el análisis de amenazas y la identificación, implementación y supervisión de las prácticas de seguridad. Además, las startups se beneficiarían de asegurarse de que sus equipos técnicos dominen la seguridad y tengan en cuenta la seguridad al diseñar productos y ofertas.

LEER  El reciclaje de residuos nucleares es un camino crítico para la innovación energética - TechCrunch

Otra táctica que pueden adoptar las empresas emergentes para aumentar su seguridad es implementar las herramientas adecuadas. La buena noticia es que las startups pueden hacer esto sin arruinarse; muchas empresas de seguridad ofrecen versiones de código abierto, gratuitas o relativamente asequibles de sus soluciones a empresas emergentes, como Snyk, Auth0, HashiCorp, CrowdStrike y Cloudflare.

Una implementación de seguridad completa incluiría software y las mejores prácticas para la administración de identidades y accesos, infraestructura, desarrollo de aplicaciones, resiliencia y gobernanza, pero es poco probable que la mayoría de las nuevas empresas tengan el tiempo y el presupuesto necesarios para implementar todos los pilares de una infraestructura de seguridad sólida.

Afortunadamente, existen recursos como Security 4 Startups que ofrecen un marco de código abierto gratuito para que las startups descubran qué hacer primero. La guía ayuda a los fundadores a identificar y resolver los desafíos de seguridad más comunes e importantes en cada paso, proporcionando una lista de soluciones de nivel de entrada como un punto de partida sólido para construir un programa de seguridad. Además, las herramientas de automatización del cumplimiento pueden ayudar con el monitoreo continuo para garantizar que estos controles permanezcan en su lugar.

Para las nuevas empresas, el cumplimiento es clave para generar confianza con socios y clientes. Pero si esa confianza se erosiona después de un incidente de seguridad, será casi imposible recuperarla. Ser seguro, no solo compatible, ayudará a las nuevas empresas a llevar la confianza a un nivel completamente nuevo y no solo impulsará la dinámica del mercado, sino que también garantizará que sus productos estén aquí para quedarse.

Entonces, en lugar de equiparar el cumplimiento con la seguridad, sugiero ampliar la ecuación para considerar el cumplimiento y seguridad es igual a confianza. Y la confianza es sinónimo de éxito empresarial y longevidad.