Una dichiarazione comune che i dirigenti di start-up fanno per quanto riguarda la sicurezza è che sono in una corsa al mercato e se consapevolmente scelgono di costruire in sicurezza fin dall'inizio possono rallentarli tanto da portarli fuori dal gara.
Quindi scelgono di fare poca o nessuna sicurezza all'inizio (o per diversi anni) - accettando il rischio nella speranza che l'azienda lo faccia per primo.
C'è una strong sfida da fare contro questa linea di pensiero?
Come ho commentato originariamente nell'altra domanda, la sicurezza non può essere la preoccupazione primaria, o anche di primaria importanza. A volte, durante determinate fasi dell'avvio, è necessario concentrarsi sullo sviluppo rapido delle funzionalità necessarie per guidare il prodotto e sulla sicurezza delle patch, se necessario. La sicurezza può facilmente interferire con le operazioni, la produttività dei dipendenti e rallentare lo sviluppo. Anche se il tuo è un prodotto o un'azienda legata alla sicurezza, potresti aver bisogno di sicurezza antiproiettile sin dall'inizio, non puoi davvero generalizzare e dire che tutte le aziende dovrebbero concentrarsi sulla sicurezza sin dall'inizio. (Sony, essendo abbastanza grande, ha bisogno di imparare molte lezioni sullo sviluppo del software nel nuovo secolo, non solo sulla sicurezza.)
Detto questo, le pratiche di sicurezza e la sicurezza pratica dovrebbero essere un fattore nella mente di tutti i dipendenti tecnici. Dove puoi aggiungere sicurezza senza entrare nelle persone? Non esiste il 100% di sicurezza, quindi quanta sicurezza è sufficiente?
C'è una strong sfida da fare contro il ritardare la sicurezza? No, non la penso così. A meno che il settore non sia regolato da leggi.
Ecco perché la sicurezza delle informazioni a volte è simile alla gestione del rischio. Minimizzi il rischio il meglio che puoi (che di solito significa nel budget), non lo elimini totalmente.
Quindi, ritardare la sicurezza è una forma di accettazione del rischio. Spero che questa accettazione duri solo per un po ', perché quando i dirigenti lo fanno, in realtà prendono a prestito dal futuro. Quando arriverà la data di scadenza, beh, diciamo che sarebbe imbarazzante, disordinato e talvolta persino devastante.
È possibile trovare ulteriori informazioni su questa linea di pensiero da Veracode:
Sono d'accordo con l'esecutivo. Se guardi al numero di startup che hanno fallito a causa di una violazione della sicurezza, contro il numero di startup che hanno fallito a causa della perdita della gara per essere il primo, penso che sia chiaro che quest'ultimo supera ampiamente il primo.
Le start-up si concentrano sui rischi per ottenere la grande vittoria. Ci sono tanti modi in cui un avvio può fallire. Dire che accettiamo una piccola probabilità che l'avvio non riesca a causa di una violazione della sicurezza non è un grosso problema, se il vantaggio è che possiamo ridurre in modo significativo il rischio di fallimento all'avvio per altri motivi.
Penso che l'esecutivo stia proponendo una strategia plausibile: sta dicendo che ora accettiamo qualche debito di sicurezza, in cambio di arrivare al traguardo più velocemente. Questo costerà alla società in seguito: la società dovrà pagare il debito di sicurezza più tardi, riprogettando / re-implementando i suoi sistemi, altrimenti la società rischierà seriamente una grave violazione della sicurezza. Ma molte start-up accetterebbero felicemente questo compromesso. "Paga più tardi, se l'avvio è un grande successo" probabilmente trionfa "paga ora, e probabilmente fa fallire l'avvio".
Ecco il mio consiglio. Piuttosto che cercare di far cambiare idea alla exec, ti suggerirei di fare due cose:
Instillare la nozione di "debito di sicurezza". Preparare le basi in modo che se la società avrà successo, in seguito si avrà un buy-in per pagare il debito di sicurezza e migliorare la sicurezza dei sistemi dell'azienda.
In questo momento, concentrati su meccanismi di sicurezza a basso costo che non rallenteranno la capacità dell'azienda di arrivare al traguardo. Sto parlando di cose semplici come firewall, aggiornamenti automatici, backup, ecc. Inoltre, potresti fare brainstorming e sviluppare soluzioni o progetti di sicurezza più sofisticati in parallelo allo sforzo di sviluppo del team, in modo da non rallentare il resto del team - presupponendo che l'azienda possa risparmiare per questo tipo di sforzo.
Parassiti non solo rovineranno i tuoi potenziali flussi di entrate per prodotti / servizi, ma faranno anche rovinare il tuo marchio / reputazione precoce e distruggere la tua capacità di commercializzare i tuoi prodotti / servizi. Romperanno i tuoi concetti di marketing su Internet SEO, AdWords e simili, necessari per costruire la tua presenza online.
Gli avversari automatizzano l'infezione parassitaria dei siti web con botnet e altre forme di automazione - rendendo ogni sito Web un potenziale bersaglio, specialmente quelli in modalità start-up (perché spesso fanno affidamento su hosting / CMS / blog / forum / e di terze parti -commerce pacchetti, componenti, servizi, ecc.
Recentemente ho installato un server FTP da casa perché lavoro in remoto e desideravo che colleghi e clienti potessero trasferire file di grandi dimensioni durante la notte (dall'altra parte del mondo). Sono rimasto davvero sorpreso di scoprire quanti tentativi (automatici?) Sono fatti ogni settimana per entrare nel mio server FTP - solo un piccolo server di casa senza pubblicità. Mi ha convinto che non si può essere abbastanza paranoici - le persone tenteranno di tentare di penetrare e rubare i dati o i dati del cliente. Qualsiasi cosa di meno che fare la tua migliore sicurezza di wrt è un fallimento
La sicurezza riguarda la gestione del rischio, che in definitiva è una decisione aziendale.
Devi aiutare il tuo exec startup a capire non solo quali sono i rischi, ma anche quali saranno i costi di implementazione tra farlo ora e dopo. Cercare di integrare la sicurezza nel software dopo il rilascio è difficile e molto più costoso.
Se questa è una corsa verso il traguardo, offri soluzioni che non ostacolino il loro progresso. Gli sviluppatori e gli ingegneri possono ancora creare software mentre si lavora in parallelo a loro. Prova a trovare una soluzione di compromesso che:
Una risposta mancata finora riguarda la sicurezza nell'agenda come valore aggiunto per l'avvio. Questo può essere efficace, specialmente nelle industrie che hanno recentemente avuto un attacco molto pubblicizzato. Se i VC o le parti interessate possono capire in che modo una maggiore sicurezza può aiutarli a vendere il servizio del prodotto, diventa un argomento che possono comprendere: profitto!
Sì, può essere molto difficile persuaderli e molto dipende dai tempi; come ho detto, è molto più facile, subito dopo qualcosa come il crack di PSN, spingere il concetto di sicurezza come valore aggiunto a una società che fa giochi online, ma purtroppo non è facile usare lo stesso esempio in un settore diverso, nonostante il fatto che il problema riguardava la compromissione dei dati personali da un database dei clienti, che dovrebbe essere pertinente per tutti!
L'esecutivo è cool con la gestione della compagnia senza alcuna assicurazione? Se sì, ascolta quello che tutti gli altri hanno detto finora (e scappa da questa azienda - veloce), se no, chiedi loro perché lo stanno facendo, quindi non pensando alla sicurezza.
Puoi seguire l'approccio pratico. Prendi il permesso e assumi un tester di penetrazione (preferibilmente) junior e fagli "rubare" il segreto più importante della compagnia che hai, o trova qualche altro difetto importante, o addirittura eseguire un attacco di ingegneria sociale (come inviare un file PDF dannoso a una segretaria) . Quindi presenta all'esecutivo i risultati e concentrati sul danno reputazionale (è lì che le startup fanno più male)
Pen & gli scenari cartacei non sono altrettanto efficaci nel dimostrare l'insicurezza come i tuoi segreti allo scoperto. Questo dovrebbe convincerli a pensare almeno a mettere un po 'di soldi in sicurezza.
L'argomentazione da fare qui non è che sei insicuro, ma la facilità con cui qualcuno con poca esperienza può irrompere o trovare un grosso errore che avrebbe potuto essere evitato con un minimo investimento di sicurezza.
Puoi avere un equilibrio.
Non aprire QUALSIASI porta non necessaria e mantieni la roba di "admin" limitata alla LAN o da determinati IP admin conosciuti. In questo modo, almeno le cose su cui stai prendendo scorciatoie diventano solo interne.
Ci si dovrebbe aspettare che ogni avvio segua principi di sicurezza di base e pratica. Se non puoi investire in sicurezza nel modo desiderato, affidati alla semplicità e a un piccolo inconveniente da parte tua per ridurre la superficie di attacco.
Se il tuo exec non riesce a cogliere il concetto di sicurezza IT come una questione di rischio aziendale, non è quello giusto per la posizione stessa (perché la gestione del rischio dovrebbe essere un problema chiave fin dall'inizio) o nessuno è stato in grado di farlo / a conoscenza di questo problema.
Conoscere e accettare i rischi è un approccio valido, per tutte le imprese.
È compito di un dirigente gestire i rischi. Se pensa che la sicurezza debba essere ritardata, è lui a prendere quella decisione.
Detto questo, dovresti assicurarti che sia una decisione istruita. Come sempre, questo richiede un elenco il più completo possibile di minacce, probabilità e possibili danni che potrebbero verificarsi. Quindi, ad esempio, qualcuno potrebbe rubare il database dei clienti. O una backdoor potrebbe essere installata nei tuoi prodotti.
Il problema qui è che la probabilità è più spesso sconosciuta o ci si trova in una situazione N * M dove N è la probabilità e M è il danno e N è di molti ordini di grandezza inferiore a M. È come le centrali nucleari in Giappone: il danno possibile è enorme, ma la probabilità di un incidente è davvero piccola. "Una volta in 100'000 anni". Quella "una volta" può essere domani (ed è stato in molti casi come tutti abbiamo visto). Quindi, in questo caso, il numero risultante è abbastanza inutile.
Quello che farei è assicurarmi che l'esecutivo stia prendendo una decisione istruita: collegherei il suo stipendio al rischio. Se ha ragione, ottiene un bonus grasso. Se ha torto, i danni dovrebbero andare contro la sua ricchezza personale, in primo luogo.
Questo tipo di rete di sicurezza di solito fa in modo che le persone non si assumano troppi rischi. Ma può anche uccidere il tuo start up dal momento che il gestore potrebbe smettere di correre rischi.
Come sottolineato in altre risposte e commenti, i due argomenti più comuni per la creazione di sicurezza dall'inizio possono - probabilmente validamente - essere respinti in un ambiente di avvio sotto pressione:
Questo non è solo un problema con la sicurezza: influisce anche su altre metriche di qualità come l'usabilità e la manutenibilità.
Esiste un argomento specifico per le startup - e potrebbe indicare dove si trova il giusto equilibrio per questo ambiente: cosa accadrebbe se i problemi di sicurezza richiedessero di apportare modifiche intrusive una volta che il prodotto avesse acquisito un numero significativo di utenti?
Sappiamo che spesso il software finisce per essere usato in modo diverso rispetto a quanto previsto dai creatori. Ne consegue che ciò che i designer hanno considerato come caratteristiche chiave potrebbe non essere quello a cui gli utenti si uniscono. Ciò rende più difficile giudicare se un cambiamento possa disturbare la viscosità o l'acquisizione da parte dell'utente. Una decisione di progettazione che sarebbe stata completamente accettabile per gli utenti come parte del prodotto iniziale potrebbe persino causare il gioco d'azzardo se viene eliminata dagli utenti esistenti del prodotto.
Una recensione per ridurre al minimo le modifiche richieste dopo che il prodotto deve essere vendibile agli utenti su questo argomento. Probabilmente è anche il livello appropriato di attività di sicurezza per una startup impegnata in una corsa precipitosa per essere il primo sul mercato.
Questo dirigente ha paura della stampa sbagliata?
Guarda cosa sta succedendo con Dropbox ultimamente: Dropbox di cui gli utenti sono a conoscenza della sicurezza dei dati, reclamo a FTC Alleges .
Sono sicuro che non sono contenti di questo tipo di attenzione.
Considera il modello di business della tua startup e dipingi alcuni scenari di casi errati in cui la mancanza di sicurezza potrebbe non solo portare cattiva stampa, ma abbattere il business.
Quando inizi una nuova società, non hai alcuna reputazione al di fuori dei leader che potrebbero avere i loro precedenti riconoscimenti in tech / biz. Di conseguenza, se un avvio ha la suddetta carta di violazione della sicurezza di fronte, il danno alla reputazione sarà sostanziale. Luoghi come Sony, TJX, Michael sono grandi aziende che potrebbero essere in grado di sostenere un simile colpo, ma se un dirigente per una startup crede di poter sopravvivere a una breccia come una startup, hanno una visione ingenua e miope sulla gestione del rischio di base. Essenzialmente, in tal caso, una piccola startup sarebbe in balia della concorrenza e della stampa che potrebbe facilmente travolgere le menti dei potenziali acquirenti contaminando la loro immagine della capacità della startup di proteggere i dati dei clienti o regolamentati o semplicemente di accedere ai loro infrastruttura.
Leggi altre domande sui tag business-risk