初创公司的网络安全建设平衡之道

对于初创公司而言，如何平衡业务目标与网络安全之间的关系是他们面临的一大难题，特别是当创始人及其管理团队认为安全是一个障碍时尤其如此，他们也通常认为网络安全方面的投资是没有明显收益的。然而，在当今注重安全的市场中，即使是处于早期阶段的初创公司也需要证明他们对安全的承诺。

很多时候，初创公司有多个理由把安全放在次要位置，从特定时间和角度来看这些理由似乎对公司有利，但从长远来看这些理由就会让公司陷入危险之中。

例如，许多初创公司（以及一般的中小企业）认为它们太小而不会被攻击者注意到，因此他们不需要遵循安全最佳实践。然而，一些安全事件表明，拥有大客户的小公司是网络攻击者的绝佳目标。此外，许多攻击是由不区分大小组织的机器人引起的，它们会攻击任何在其雷达范围内的公司。

此外，当初创公司是少数几个分散在世界各地使用笔记本电脑工作的人时，并非所有安全要求都有意义，但它很快就会失控，在他们知道之前，公司里有 30 个人都拥有管理权限使用中的每个系统的权利，无论他们是否需要。

如上所述，在当今的供应商安全保障环境中，初创企业不仅需要有可靠的安全控制措施，而且还需要能够向潜在客户展示这些控制措施，有时甚至是在客户环境中进行首次概念验证之前。因此，初创企业应致力于通过设计和默认方式将安全控制纳入其组织。

最后，从实现正确的控制开始要比从根本上解决问题容易得多。从一开始就在组织中建立安全性的初创公司完全有能力从一开始就将安全性作为其业务的核心部分，随着公司的发展，他们的安全措施也在不断增长。

为了保障安全投入的有效性，这需要基于对初创公司面临的威胁、风险以及业务或客户期望的特定组合的了解。这对于预算有限的初创公司尤其重要。毕竟，他们没有资源可以浪费在与他们的业务无关的安全措施上。

接下来是将安全性与业务路线图联系起来。如果尚未向客户销售，则并非所有安全措施都是相关的。初创公司应该准备好根据公司现在的情况以及未来一年到一年半的时间来确定安全活动的优先级。

确定易于实施的速赢方案。从确保工作环境安全的安全开始。实施访问控制，应用最小权限原则（一个常见的错误是一开始就让每个人都可以访问所有内容），并在隔离环境中进行开发。

确保从正确的、有信誉的 IT 和开发人员工具开始，甚至鼓励团队集体选择他们的工具，从而减少他们使用影子 IT（公司 IT 批准产品之外的应用程序）的机会。

此外，优先对员工进行安全责任培训。在组织中灌输安全文化的成本相对较低，并且可以节省资金。此外，初创公司的员工大多对公司进行了投资，所以现在是让他们买单保证公司安全的好时机。

对于大多数初创公司来说，拥有一个专门的安全人员是不现实的，但话虽如此，从公司成立之初就需要有人负责安全，而客户会寻找那个负责的人。

最好的建议是确定被归类为“安全”的不同职责。例如，产品安全（确保将安全应用于所有已开发的应用程序和产品）、合规性、采购等。尽可能将这些安全角色整合到相关人员的日常工作中。例如，谁负责为新系统付费，谁就负责采购安全。或者，负责确保员工遵守公司行为准则的人，负责安全培训和教育。

最后，必要的时候可以向专业人士寻求帮助。你不需要自己做所有的事情，但无论如何都必须做。

这取决于初创公司的类型、规模和所在行业。如果初创公司在受到严格监管的行业（例如金融服务或卫生部门）运营，并且经常处理大量敏感或个人数据，那么他们可能会考虑早点而不是晚点聘用 CISO。同样，还有一些创造性的方式来雇佣 CISO，例如在“即服务”的基础上利用外部 CISO。

在聘请 CISO 之前还有几个步骤。安全工程师、研究人员、顾问等都能够处理组织内的日常安全操作。

初创公司的安全性与企业的安全性截然不同。

初创公司可以承担更多的创造力，并研究旨在解决其特定安全问题的新技术。初创公司通常可以更灵活、更快速地在他们的组织中做出真正的改变。

预算的差异也意味着初创公司必须更聪明。他们买不起错误的产品或很快就会过时的产品，他们更买不起价格昂贵或具有高限制度的产品。他们需要可以从小处着手并扩大规模的解决方案。

答案是是的，网络安全保险可以帮助初创公司迅速建立起抵御网络安全风险的闭环能力。但是，初创公司也需要意识到，仅仅拥有保险并不意味着他们会自动获得安全。

网络安全保险在国内处于初级发展阶段，开拓阶段尚无法以大数法则进行具体实践，这对于初创公司而言，他们需要通过保险公司一系列的安全评估才能获得保单，反倒成为了一种安全建设捷径。另外勒索软件攻击形式不断加剧，也推动了公司购买网络安全保险的意愿。

THE END