對于初創(chuàng)公司而言，如何平衡業(yè)務(wù)目標(biāo)與網(wǎng)絡(luò)安全之間的關(guān)系是他們面臨的一大難題，特別是當(dāng)創(chuàng)始人及其管理團(tuán)隊認(rèn)為安全是一個障礙時尤其如此，他們也通常認(rèn)為網(wǎng)絡(luò)安全方面的投資是沒有明顯收益的。然而，在當(dāng)今注重安全的市場中，即使是處于早期階段的初創(chuàng)公司也需要證明他們對安全的承諾。

　　初創(chuàng)公司在網(wǎng)絡(luò)安全方面

　　犯的最大錯誤是什么？

　　很多時候，初創(chuàng)公司有多個理由把安全放在次要位置，從特定時間和角度來看這些理由似乎對公司有利，但從長遠(yuǎn)來看這些理由就會讓公司陷入危險之中。

　　例如，許多初創(chuàng)公司（以及一般的中小企業(yè)）認(rèn)為它們太小而不會被攻擊者注意到，因此他們不需要遵循安全最佳實踐。然而，一些安全事件表明，擁有大客戶的小公司是網(wǎng)絡(luò)攻擊者的絕佳目標(biāo)。此外，許多攻擊是由不區(qū)分大小組織的機(jī)器人引起的，它們會攻擊任何在其雷達(dá)范圍內(nèi)的公司。

　　此外，當(dāng)初創(chuàng)公司是少數(shù)幾個分散在世界各地使用筆記本電腦工作的人時，并非所有安全要求都有意義，但它很快就會失控，在他們知道之前，公司里有 30 個人都擁有管理權(quán)限使用中的每個系統(tǒng)的權(quán)利，無論他們是否需要。

　　如上所述，在當(dāng)今的供應(yīng)商安全保障環(huán)境中，初創(chuàng)企業(yè)不僅需要有可靠的安全控制措施，而且還需要能夠向潛在客戶展示這些控制措施，有時甚至是在客戶環(huán)境中進(jìn)行首次概念驗證之前。因此，初創(chuàng)企業(yè)應(yīng)致力于通過設(shè)計和默認(rèn)方式將安全控制納入其組織。

　　最后，從實現(xiàn)正確的控制開始要比從根本上解決問題容易得多。從一開始就在組織中建立安全性的初創(chuàng)公司完全有能力從一開始就將安全性作為其業(yè)務(wù)的核心部分，隨著公司的發(fā)展，他們的安全措施也在不斷增長。

　　如果您的預(yù)算有限

　　該如何確保用戶數(shù)據(jù)安全？

　　優(yōu)先考慮哪些領(lǐng)域？

　　為了保障安全投入的有效性，這需要基于對初創(chuàng)公司面臨的威脅、風(fēng)險以及業(yè)務(wù)或客戶期望的特定組合的了解。這對于預(yù)算有限的初創(chuàng)公司尤其重要。畢竟，他們沒有資源可以浪費(fèi)在與他們的業(yè)務(wù)無關(guān)的安全措施上。

　　接下來是將安全性與業(yè)務(wù)路線圖聯(lián)系起來。如果尚未向客戶銷售，則并非所有安全措施都是相關(guān)的。初創(chuàng)公司應(yīng)該準(zhǔn)備好根據(jù)公司現(xiàn)在的情況以及未來一年到一年半的時間來確定安全活動的優(yōu)先級。

　　確定易于實施的速贏方案。從確保工作環(huán)境安全的安全開始。實施訪問控制，應(yīng)用最小權(quán)限原則（一個常見的錯誤是一開始就讓每個人都可以訪問所有內(nèi)容），并在隔離環(huán)境中進(jìn)行開發(fā)。

　　確保從正確的、有信譽(yù)的 IT 和開發(fā)人員工具開始，甚至鼓勵團(tuán)隊集體選擇他們的工具，從而減少他們使用影子 IT（公司 IT 批準(zhǔn)產(chǎn)品之外的應(yīng)用程序）的機(jī)會。

　　此外，優(yōu)先對員工進(jìn)行安全責(zé)任培訓(xùn)。在組織中灌輸安全文化的成本相對較低，并且可以節(jié)省資金。此外，初創(chuàng)公司的員工大多對公司進(jìn)行了投資，所以現(xiàn)在是讓他們買單保證公司安全的好時機(jī)。

　　初創(chuàng)公司內(nèi)部的安全團(tuán)隊是什么樣的？

　　這些團(tuán)隊成員最重要的角色是什么？

　　對于大多數(shù)初創(chuàng)公司來說，擁有一個專門的安全人員是不現(xiàn)實的，但話雖如此，從公司成立之初就需要有人負(fù)責(zé)安全，而客戶會尋找那個負(fù)責(zé)的人。

　　最好的建議是確定被歸類為“安全”的不同職責(zé)。例如，產(chǎn)品安全（確保將安全應(yīng)用于所有已開發(fā)的應(yīng)用程序和產(chǎn)品）、合規(guī)性、采購等。盡可能將這些安全角色整合到相關(guān)人員的日常工作中。例如，誰負(fù)責(zé)為新系統(tǒng)付費(fèi)，誰就負(fù)責(zé)采購安全?；蛘?，負(fù)責(zé)確保員工遵守公司行為準(zhǔn)則的人，負(fù)責(zé)安全培訓(xùn)和教育。

　　最后，必要的時候可以向?qū)I(yè)人士尋求幫助。你不需要自己做所有的事情，但無論如何都必須做。

　　初創(chuàng)公司什么時候應(yīng)該聘請 CISO？

　　這取決于初創(chuàng)公司的類型、規(guī)模和所在行業(yè)。如果初創(chuàng)公司在受到嚴(yán)格監(jiān)管的行業(yè)（例如金融服務(wù)或衛(wèi)生部門）運(yùn)營，并且經(jīng)常處理大量敏感或個人數(shù)據(jù)，那么他們可能會考慮早點(diǎn)而不是晚點(diǎn)聘用 CISO。同樣，還有一些創(chuàng)造性的方式來雇傭 CISO，例如在“即服務(wù)”的基礎(chǔ)上利用外部 CISO。

　　在聘請 CISO 之前還有幾個步驟。安全工程師、研究人員、顧問等都能夠處理組織內(nèi)的日常安全操作。

　　初創(chuàng)公司的安全處理方式與企業(yè)的

　　安全處理方式有何不同？

　　初創(chuàng)公司的安全性與企業(yè)的安全性截然不同。

　　初創(chuàng)公司可以承擔(dān)更多的創(chuàng)造力，并研究旨在解決其特定安全問題的新技術(shù)。初創(chuàng)公司通?？梢愿`活、更快速地在他們的組織中做出真正的改變。

　　預(yù)算的差異也意味著初創(chuàng)公司必須更聰明。他們買不起錯誤的產(chǎn)品或很快就會過時的產(chǎn)品，他們更買不起價格昂貴或具有高限制度的產(chǎn)品。他們需要可以從小處著手并擴(kuò)大規(guī)模的解決方案。

　　初創(chuàng)公司應(yīng)該購買網(wǎng)絡(luò)保險嗎？

　　答案是是的，網(wǎng)絡(luò)安全保險可以幫助初創(chuàng)公司迅速建立起抵御網(wǎng)絡(luò)安全風(fēng)險的閉環(huán)能力。但是，初創(chuàng)公司也需要意識到，僅僅擁有保險并不意味著他們會自動獲得安全。

　　網(wǎng)絡(luò)安全保險在國內(nèi)處于初級發(fā)展階段，開拓階段尚無法以大數(shù)法則進(jìn)行具體實踐，這對于初創(chuàng)公司而言，他們需要通過保險公司一系列的安全評估才能獲得保單，反倒成為了一種安全建設(shè)捷徑。另外勒索軟件攻擊形式不斷加劇，也推動了公司購買網(wǎng)絡(luò)安全保險的意愿。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<