Oren Yunger es inversor en GGV Capital, donde lidera la vertical de ciberseguridad e impulsa inversiones en TI empresarial, infraestructura de datos y herramientas para desarrolladores. Anteriormente fue director de seguridad de la información en una empresa SaaS y una institución financiera pública.
Más publicaciones de este colaborador Los equipos de ventas empresariales ganadores saben cómo persuadir al director de objeciones 6 CISO comparten sus planes de juego para un mundo pospandémico
Cuando se trata de cumplir con los estándares de cumplimiento, muchas nuevas empresas dominan el alfabeto. Desde GDPR y CCPA hasta SOC 2, ISO27001, PCI DSS e HIPAA, las empresas han cobrado para cumplir con los estándares de cumplimiento requeridos para operar sus negocios.
Hoy en día, todos los fundadores de atención médica saben que su producto debe cumplir con HIPAA, y cualquier empresa que trabaje en el espacio del consumidor conocerá bien el RGPD, por ejemplo.
Pero un error que cometen muchas empresas de alto crecimiento es que tratan el cumplimiento como una frase general que incluye seguridad. Pensar que esto podría ser un error costoso y doloroso. En realidad, el cumplimiento significa que una empresa cumple con un conjunto mínimo de controles. La seguridad, por otro lado, abarca una amplia gama de mejores prácticas y software que ayudan a abordar los riesgos asociados con las operaciones de la empresa.
Tiene sentido que las nuevas empresas quieran abordar primero el cumplimiento. Cumplir con las normas juega un papel importante en la expansión geográfica de cualquier empresa a los mercados regulados y en su penetración en nuevas industrias como las finanzas o la atención médica. Entonces, en muchos sentidos, lograr el cumplimiento es parte del kit de lanzamiento al mercado de una startup. Y, de hecho, los compradores empresariales esperan que las empresas emergentes marquen la casilla de cumplimiento antes de registrarse como su cliente, por lo que las empresas emergentes se están alineando legítimamente con las expectativas de sus compradores.
Una de las mejores maneras en que las nuevas empresas pueden comenzar a abordar la seguridad es con una contratación temprana de seguridad.
Con todo esto en mente, no sorprende que hayamos sido testigos de una tendencia en la que las nuevas empresas logran el cumplimiento desde los primeros días y, a menudo, priorizan este movimiento sobre el desarrollo de una función interesante o el lanzamiento de una nueva campaña para atraer clientes potenciales, por ejemplo.
El cumplimiento es un hito importante para una empresa joven y que hace avanzar la industria de la ciberseguridad. Obliga a los fundadores de startups a ponerse sombreros de seguridad y pensar en proteger a su empresa, así como a sus clientes. Al mismo tiempo, el cumplimiento brinda comodidad a los equipos legales y de seguridad del comprador empresarial cuando interactúan con proveedores emergentes. Entonces, ¿por qué el cumplimiento por sí solo no es suficiente?
Primero, el cumplimiento no significa seguridad (aunque es un paso en la dirección correcta). La mayoría de las veces, las empresas jóvenes cumplen y son vulnerables en su postura de seguridad.
Cómo se ve? Por ejemplo, una empresa de software puede haber cumplido con los estándares SOC 2 que requieren que todos los empleados instalen la protección de punto final en sus dispositivos, pero es posible que no tenga una forma de obligar a los empleados a activar y actualizar el software. Además, la empresa puede carecer de una herramienta administrada centralmente para monitorear e informar para ver si se han producido infracciones de puntos finales, dónde, a quién y por qué. Y, por último, es posible que la empresa no tenga la experiencia para responder rápidamente y corregir una violación o ataque de datos.
Por lo tanto, aunque se cumplen los estándares de cumplimiento, persisten varias fallas de seguridad. El resultado final es que las nuevas empresas pueden sufrir violaciones de seguridad que terminan costándoles un dineral. Para las empresas con menos de 500 empleados, la brecha de seguridad promedio cuesta aproximadamente $ 7.7 millones, según un estudio de IBM, sin mencionar el daño a la marca y la pérdida de confianza de los clientes actuales y potenciales.
En segundo lugar, un peligro imprevisto para las empresas emergentes es que el cumplimiento puede crear una falsa sensación de seguridad. Recibir un certificado de cumplimiento de auditores objetivos y organizaciones de renombre podría dar la impresión de que el frente de seguridad está cubierto.
Una vez que las startups comienzan a ganar terreno y a registrar clientes de alto nivel, esa sensación de seguridad crece, porque si la startup logró adquirir clientes preocupados por la seguridad de la F-500, ser compatible debe ser suficiente por ahora y la startup probablemente sea segura por asociación. Cuando se cobra después de acuerdos empresariales, son las expectativas del comprador las que impulsan a las nuevas empresas a lograr el cumplimiento de SOC 2 o ISO27001 para satisfacer el umbral de seguridad empresarial. Pero en muchos casos, los compradores empresariales no hacen preguntas sofisticadas ni profundizan en la comprensión del riesgo que conlleva un proveedor, por lo que las empresas emergentes nunca son realmente llamadas a trabajar en sus sistemas de seguridad.
En tercer lugar, el cumplimiento solo trata con un conjunto definido de conocimientos. No cubre nada que sea desconocido y nuevo desde que se escribió la última versión de los requisitos reglamentarios.
Por ejemplo, las API están creciendo en uso, pero las regulaciones y los estándares de cumplimiento aún tienen que ponerse al día con la tendencia. Por lo tanto, una empresa de comercio electrónico debe cumplir con PCI-DSS para aceptar pagos con tarjeta de crédito, pero también puede aprovechar múltiples API que tienen fallas de autenticación débil o lógica comercial. Cuando se escribió el estándar PCI, las API no eran comunes, por lo que no están incluidas en las regulaciones; sin embargo, ahora la mayoría de las empresas de tecnología financiera dependen en gran medida de ellas. Por lo tanto, un comerciante puede cumplir con PCI-DSS, pero usar API no seguras, lo que podría exponer a los clientes a infracciones de tarjetas de crédito.
Las startups no tienen la culpa de la confusión entre cumplimiento y seguridad. Es difícil para cualquier empresa cumplir con las normas y ser segura, y para las nuevas empresas con presupuesto, tiempo o conocimientos de seguridad limitados, es especialmente desafiante. En un mundo perfecto, las nuevas empresas serían tanto compatibles como seguras desde el principio; no es realista esperar que las empresas en etapa inicial gasten millones de dólares en proteger su infraestructura de seguridad. Pero hay algunas cosas que las startups pueden hacer para volverse más seguras.
Una de las mejores maneras en que las nuevas empresas pueden comenzar a abordar la seguridad es con una contratación temprana de seguridad. Este miembro del equipo puede parecer “agradable de tener” que podría posponer hasta que la empresa alcance un hito importante en el número de empleados o los ingresos, pero diría que un jefe de seguridad es una contratación anticipada clave porque el trabajo de esta persona será concentrarse enteramente en analizar amenazas e identificar, implementar y monitorear prácticas de seguridad. Además, las nuevas empresas se beneficiarían de garantizar que sus equipos técnicos sean expertos en seguridad y tengan en cuenta la seguridad al diseñar productos y ofertas.
Otra táctica que pueden tomar las empresas emergentes para reforzar su seguridad es implementar las herramientas adecuadas. La buena noticia es que las nuevas empresas pueden hacerlo sin arruinarse; Hay muchas empresas de seguridad que ofrecen versiones de código abierto, gratuitas o relativamente asequibles de sus soluciones para que las utilicen las empresas emergentes, incluidas Snyk, Auth0, HashiCorp, CrowdStrike y Cloudflare.
Una implementación de seguridad completa incluiría software y mejores prácticas para la gestión de acceso e identidad, infraestructura, desarrollo de aplicaciones, resiliencia y gobernanza, pero es poco probable que la mayoría de las empresas emergentes tengan el tiempo y el presupuesto necesarios para implementar todos los pilares de una infraestructura de seguridad sólida.
Por suerte, hay recursos como Seguridad 4 Startups que ofrecen un marco gratuito de código abierto para que las nuevas empresas descubran qué hacer primero. La guía ayuda a los fundadores a identificar y resolver los desafíos de seguridad más comunes e importantes en cada etapa, proporcionando una lista de soluciones de nivel de entrada como un comienzo sólido para construir un programa de seguridad a largo plazo. Además, las herramientas de automatización del cumplimiento pueden ayudar con el monitoreo continuo para garantizar que estos controles permanezcan en su lugar.
Para las nuevas empresas, el cumplimiento es fundamental para establecer la confianza con socios y clientes. Pero si esta confianza se erosiona después de un incidente de seguridad, será casi imposible recuperarla. Ser seguro, no solo cumplir, ayudará a las nuevas empresas a llevar la confianza a otro nivel y no solo impulsará el impulso del mercado, sino que también se asegurará de que sus productos estén aquí para quedarse.
Entonces, en lugar de equiparar cumplimiento con seguridad, sugiero expandir la ecuación para considerar que cumplimiento y seguridad equivalen a confianza. Y la confianza es igual al éxito comercial y la longevidad.
Source link