Untuk pemula, keamanan yang dapat dipercaya berarti melampaui standar kepatuhan – TechCrunch


Dalam hal memenuhi standar kepatuhan, banyak perusahaan rintisan mendominasi alfabet. Dari GDPR dan CCPA hingga SOC 2, ISO27001, PCI DSS dan HIPAA, perusahaan telah mengenakan biaya untuk memenuhi standar kepatuhan yang diperlukan untuk menjalankan bisnis mereka.

Saat ini, setiap pendiri layanan kesehatan tahu bahwa produk mereka harus memenuhi kepatuhan HIPAA, dan perusahaan mana pun yang bekerja di ruang konsumen akan sangat mengetahui GDPR, misalnya.

Namun kesalahan yang dilakukan banyak perusahaan dengan pertumbuhan tinggi adalah bahwa mereka memperlakukan kepatuhan sebagai ungkapan umum yang mencakup keamanan. Berpikir bahwa ini bisa menjadi kesalahan yang mahal dan menyakitkan. Pada kenyataannya, kepatuhan berarti bahwa perusahaan memenuhi sekumpulan kontrol minimum. Keamanan, di sisi lain, mencakup berbagai praktik terbaik dan perangkat lunak yang membantu mengatasi risiko yang terkait dengan operasi perusahaan.

Masuk akal jika para pemula ingin menangani kepatuhan terlebih dahulu. Menjadi patuh memainkan peran besar dalam ekspansi geografis perusahaan mana pun ke pasar yang diatur dan dalam penetrasi ke industri baru seperti keuangan atau perawatan kesehatan. Jadi, dalam banyak hal, mencapai kepatuhan adalah bagian dari perlengkapan masuk ke pasar startup. Dan memang, pembeli perusahaan mengharapkan perusahaan rintisan untuk mencentang kotak kepatuhan sebelum masuk sebagai pelanggan mereka, sehingga perusahaan rintisan selaras dengan harapan pembeli mereka.

Salah satu cara terbaik bagi para pemula untuk mulai menangani keamanan adalah dengan menyewa keamanan lebih awal.

Dengan semua pemikiran ini, tidak mengherankan bahwa kami telah menyaksikan tren di mana startup mencapai kepatuhan sejak awal dan sering memprioritaskan gerakan ini daripada mengembangkan fitur yang menarik atau meluncurkan kampanye baru untuk mendatangkan prospek, misalnya.

Kepatuhan adalah tonggak penting bagi perusahaan muda dan yang memajukan industri keamanan siber. Ini memaksa pendiri startup untuk mengenakan topi keamanan dan berpikir untuk melindungi perusahaan mereka, serta pelanggan mereka. Pada saat yang sama, kepatuhan memberikan kenyamanan bagi tim hukum dan keamanan pembeli perusahaan saat berhubungan dengan vendor baru. Jadi mengapa kepatuhan saja tidak cukup?

Pertama, kepatuhan tidak berarti keamanan (meskipun itu adalah langkah ke arah yang benar). Lebih sering daripada tidak, perusahaan muda patuh meski rentan dalam postur keamanan mereka.

Seperti apa bentuknya? Misalnya, perusahaan perangkat lunak mungkin telah memenuhi standar SOC 2 yang mengharuskan semua karyawan untuk menginstal perlindungan titik akhir pada perangkat mereka, tetapi mungkin tidak memiliki cara untuk memaksa karyawan untuk benar-benar mengaktifkan dan memperbarui perangkat lunak. Selain itu, perusahaan mungkin kekurangan alat yang dikelola secara terpusat untuk memantau dan melaporkan untuk melihat apakah ada pelanggaran titik akhir yang terjadi, di mana, kepada siapa, dan mengapa. Dan, akhirnya, perusahaan mungkin tidak memiliki keahlian untuk menanggapi dan memperbaiki pelanggaran atau serangan data dengan cepat.

Oleh karena itu, meskipun standar kepatuhan terpenuhi, beberapa kelemahan keamanan tetap ada. Hasil akhirnya adalah bahwa startup dapat mengalami pelanggaran keamanan yang akhirnya menghabiskan banyak biaya. Untuk perusahaan dengan karyawan di bawah 500, pelanggaran keamanan rata-rata menelan biaya sekitar $ 7,7 juta, menurut sebuah studi oleh IBM, belum lagi kerusakan merek dan kehilangan kepercayaan dari pelanggan yang ada dan calon pelanggan.

Kedua, bahaya yang tidak terduga bagi para pemula adalah bahwa kepatuhan dapat menciptakan rasa aman yang palsu. Menerima sertifikat kepatuhan dari auditor objektif dan organisasi terkenal dapat memberi kesan bahwa bagian depan keamanan tertutup.

Begitu startup mulai mendapatkan daya tarik dan mendaftarkan pelanggan kelas atas, rasa keamanan itu tumbuh, karena jika startup berhasil mendapatkan pelanggan yang berpikiran keamanan dari F-500, kepatuhan harus cukup untuk saat ini dan startup mungkin aman oleh asosiasi. Saat menagih setelah kesepakatan perusahaan, ekspektasi pembelilah yang mendorong startup untuk mencapai kepatuhan SOC 2 atau ISO27001 untuk memenuhi ambang keamanan perusahaan. Namun dalam banyak kasus, pembeli perusahaan tidak mengajukan pertanyaan yang rumit atau memahami lebih dalam tentang risiko yang ditimbulkan vendor, sehingga para pemula tidak pernah benar-benar diminta untuk menjalankan sistem keamanan mereka.

Ketiga, kepatuhan hanya berurusan dengan sekumpulan informasi yang diketahui. Itu tidak mencakup apa pun yang tidak diketahui dan baru sejak versi terakhir dari persyaratan peraturan ditulis.

Misalnya, API semakin banyak digunakan, tetapi peraturan dan standar kepatuhan belum dapat mengikuti tren. Jadi, perusahaan e-niaga harus sesuai dengan PCI-DSS untuk menerima pembayaran kartu kredit, tetapi juga dapat memanfaatkan beberapa API yang memiliki otentikasi lemah atau kelemahan logika bisnis. Ketika standar PCI ditulis, API tidak umum, sehingga tidak termasuk dalam regulasi, namun sekarang sebagian besar perusahaan tekfin sangat bergantung padanya. Jadi, pedagang mungkin patuh pada PCI-DSS, tetapi menggunakan API yang tidak aman, yang berpotensi menyebabkan pelanggan mengalami pelanggaran kartu kredit.

Startup tidak bisa disalahkan atas campur aduk antara kepatuhan dan keamanan. Sulit bagi perusahaan mana pun untuk patuh dan aman, dan untuk perusahaan rintisan dengan anggaran, waktu, atau pengetahuan keamanan yang terbatas, ini sangat menantang. Dalam dunia yang sempurna, para pemula akan patuh dan aman sejak awal; tidaklah realistis mengharapkan perusahaan tahap awal menghabiskan jutaan dolar untuk antipeluru infrastruktur keamanan mereka. Tetapi ada beberapa hal yang dapat dilakukan oleh para pemula untuk menjadi lebih aman.

Salah satu cara terbaik bagi para pemula untuk mulai menangani keamanan adalah dengan menyewa keamanan lebih awal. Anggota tim ini mungkin tampak seperti “menyenangkan untuk dimiliki” yang dapat Anda tunda sampai perusahaan mencapai jumlah karyawan atau pencapaian pendapatan yang besar, tetapi saya berpendapat bahwa kepala keamanan adalah kunci perekrutan awal karena tugas orang ini adalah fokus sepenuhnya menganalisis ancaman dan mengidentifikasi, menerapkan, dan memantau praktik keamanan. Selain itu, para pemula akan mendapat manfaat dari memastikan tim teknis mereka paham akan keamanan dan selalu mengutamakan keamanan saat merancang produk dan penawaran.

Taktik lain yang dapat diambil oleh para pemula untuk meningkatkan keamanan mereka adalah dengan menggunakan alat yang tepat. Kabar baiknya adalah bahwa para pemula dapat melakukannya tanpa menghabiskan banyak uang; Ada banyak perusahaan keamanan yang menawarkan versi open-source, gratis, atau relatif terjangkau dari solusi mereka untuk digunakan oleh perusahaan baru, termasuk Snyk, Auth0, HashiCorp, CrowdStrike, dan Cloudflare.

Peluncuran keamanan penuh akan mencakup perangkat lunak dan praktik terbaik untuk manajemen identitas dan akses, infrastruktur, pengembangan aplikasi, ketahanan, dan tata kelola, tetapi sebagian besar perusahaan rintisan kemungkinan tidak memiliki waktu dan anggaran yang diperlukan untuk menerapkan semua pilar infrastruktur keamanan yang kuat.

Untungnya, ada sumber daya seperti Keamanan 4 Startup yang menawarkan kerangka kerja sumber terbuka gratis untuk pemula untuk mencari tahu apa yang harus dilakukan pertama kali. Panduan ini membantu para pendiri mengidentifikasi dan menyelesaikan tantangan keamanan yang paling umum dan penting di setiap tahap, memberikan daftar solusi tingkat awal sebagai awal yang kokoh untuk membangun program keamanan jangka panjang. Selain itu, alat otomatisasi kepatuhan dapat membantu pemantauan berkelanjutan untuk memastikan kontrol ini tetap berjalan.

Untuk pemula, kepatuhan sangat penting untuk membangun kepercayaan dengan mitra dan pelanggan. Tetapi jika kepercayaan ini terkikis setelah insiden keamanan, hampir tidak mungkin untuk mendapatkannya kembali. Menjadi aman, tidak hanya patuh, akan membantu para pemula membawa kepercayaan ke tingkat lain dan tidak hanya meningkatkan momentum pasar, tetapi juga memastikan produk mereka tetap ada.

Jadi, alih-alih menyamakan kepatuhan dengan keamanan, saya sarankan memperluas persamaan untuk mempertimbangkan kepatuhan itu dan keamanan kepercayaan yang sama. Dan kepercayaan sama dengan kesuksesan bisnis dan umur panjang.



Sumber

Related Articles

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Stay Connected

21,989FansLike
0FollowersFollow
0SubscribersSubscribe
- Advertisement -

Latest Articles