La situazione: Una startup SaaS affermata con 100 dipendenti, un grande team di sviluppo e diversi ingegneri di reti autodidatta. La nostra attività consiste nel gestire sia le informazioni personali che i dati di pagamento.
Poiché siamo cresciuti e dato il crescente focus su infosec, abbiamo ricevuto più richieste da parte dei clienti per conformità ISO e NIST, rapporti SOC 2 e la minaccia incombente di PCI.
A questo punto la nostra infrastruttura è ragionevolmente sicura, ma le politiche e le procedure sono molto verdi e la maggior parte viene implementata ad hoc per soddisfare una domanda dei clienti.
La mia domanda è: in che modo un'azienda deve avvicinarsi allo sviluppo di un programma di conformità per la sicurezza più maturo e quali sono i costi ragionevoli per un business di queste dimensioni da spendere?
La maggior parte dei consulenti consiglia di iniziare con una valutazione del rischio per la sicurezza, quindi l'analisi del gap e la consultazione, se necessario, per sviluppare la policy fino a quando non sono conformi.
Gli avvocati raccomandano di lavorare direttamente con un'azienda per tutto. A queste dimensioni, un'azienda dovrebbe iniziare a pensare di assumere uno specialista dedicato per la conformità della sicurezza a un massimo di $ 120.000 l'anno? O è solo questione di dire agli ingegneri di rete di abbandonare i loro progetti e iniziare a lavorare su ISO e NIST per i prossimi mesi?
TLDR: qual è un approccio ragionevole per iniziare a creare un programma di conformità per la sicurezza maturo per un'azienda di piccole e medie dimensioni? I consulenti sono un must o richiede solo olio di gomito? Dove devono essere spesi i soldi , dove è una buona idea da spendere e che spreco?