對(duì)于初創(chuàng)公司而言，如何平衡業(yè)務(wù)目標(biāo)與網(wǎng)絡(luò)安全之間的關(guān)系是他們面臨的一大難題，特別是當(dāng)創(chuàng)始人及其管理團(tuán)隊(duì)認(rèn)為安全是一個(gè)障礙時(shí)尤其如此，他們也通常認(rèn)為網(wǎng)絡(luò)安全方面的投資是沒(méi)有明顯收益的。然而，在當(dāng)今注重安全的市場(chǎng)中，即使是處于早期階段的初創(chuàng)公司也需要證明他們對(duì)安全的承諾。

　　初創(chuàng)公司在網(wǎng)絡(luò)安全方面

　　犯的最大錯(cuò)誤是什么？

　　很多時(shí)候，初創(chuàng)公司有多個(gè)理由把安全放在次要位置，從特定時(shí)間和角度來(lái)看這些理由似乎對(duì)公司有利，但從長(zhǎng)遠(yuǎn)來(lái)看這些理由就會(huì)讓公司陷入危險(xiǎn)之中。

　　例如，許多初創(chuàng)公司（以及一般的中小企業(yè)）認(rèn)為它們太小而不會(huì)被攻擊者注意到，因此他們不需要遵循安全最佳實(shí)踐。然而，一些安全事件表明，擁有大客戶的小公司是網(wǎng)絡(luò)攻擊者的絕佳目標(biāo)。此外，許多攻擊是由不區(qū)分大小組織的機(jī)器人引起的，它們會(huì)攻擊任何在其雷達(dá)范圍內(nèi)的公司。

　　此外，當(dāng)初創(chuàng)公司是少數(shù)幾個(gè)分散在世界各地使用筆記本電腦工作的人時(shí)，并非所有安全要求都有意義，但它很快就會(huì)失控，在他們知道之前，公司里有 30 個(gè)人都擁有管理權(quán)限使用中的每個(gè)系統(tǒng)的權(quán)利，無(wú)論他們是否需要。

　　如上所述，在當(dāng)今的供應(yīng)商安全保障環(huán)境中，初創(chuàng)企業(yè)不僅需要有可靠的安全控制措施，而且還需要能夠向潛在客戶展示這些控制措施，有時(shí)甚至是在客戶環(huán)境中進(jìn)行首次概念驗(yàn)證之前。因此，初創(chuàng)企業(yè)應(yīng)致力于通過(guò)設(shè)計(jì)和默認(rèn)方式將安全控制納入其組織。

　　最后，從實(shí)現(xiàn)正確的控制開(kāi)始要比從根本上解決問(wèn)題容易得多。從一開(kāi)始就在組織中建立安全性的初創(chuàng)公司完全有能力從一開(kāi)始就將安全性作為其業(yè)務(wù)的核心部分，隨著公司的發(fā)展，他們的安全措施也在不斷增長(zhǎng)。

　　如果您的預(yù)算有限

　　該如何確保用戶數(shù)據(jù)安全？

　　優(yōu)先考慮哪些領(lǐng)域？

　　為了保障安全投入的有效性，這需要基于對(duì)初創(chuàng)公司面臨的威脅、風(fēng)險(xiǎn)以及業(yè)務(wù)或客戶期望的特定組合的了解。這對(duì)于預(yù)算有限的初創(chuàng)公司尤其重要。畢竟，他們沒(méi)有資源可以浪費(fèi)在與他們的業(yè)務(wù)無(wú)關(guān)的安全措施上。

　　接下來(lái)是將安全性與業(yè)務(wù)路線圖聯(lián)系起來(lái)。如果尚未向客戶銷(xiāo)售，則并非所有安全措施都是相關(guān)的。初創(chuàng)公司應(yīng)該準(zhǔn)備好根據(jù)公司現(xiàn)在的情況以及未來(lái)一年到一年半的時(shí)間來(lái)確定安全活動(dòng)的優(yōu)先級(jí)。

　　確定易于實(shí)施的速贏方案。從確保工作環(huán)境安全的安全開(kāi)始。實(shí)施訪問(wèn)控制，應(yīng)用最小權(quán)限原則（一個(gè)常見(jiàn)的錯(cuò)誤是一開(kāi)始就讓每個(gè)人都可以訪問(wèn)所有內(nèi)容），并在隔離環(huán)境中進(jìn)行開(kāi)發(fā)。

　　確保從正確的、有信譽(yù)的 IT 和開(kāi)發(fā)人員工具開(kāi)始，甚至鼓勵(lì)團(tuán)隊(duì)集體選擇他們的工具，從而減少他們使用影子 IT（公司 IT 批準(zhǔn)產(chǎn)品之外的應(yīng)用程序）的機(jī)會(huì)。

　　此外，優(yōu)先對(duì)員工進(jìn)行安全責(zé)任培訓(xùn)。在組織中灌輸安全文化的成本相對(duì)較低，并且可以節(jié)省資金。此外，初創(chuàng)公司的員工大多對(duì)公司進(jìn)行了投資，所以現(xiàn)在是讓他們買(mǎi)單保證公司安全的好時(shí)機(jī)。

　　初創(chuàng)公司內(nèi)部的安全團(tuán)隊(duì)是什么樣的？

　　這些團(tuán)隊(duì)成員最重要的角色是什么？

　　對(duì)于大多數(shù)初創(chuàng)公司來(lái)說(shuō)，擁有一個(gè)專(zhuān)門(mén)的安全人員是不現(xiàn)實(shí)的，但話雖如此，從公司成立之初就需要有人負(fù)責(zé)安全，而客戶會(huì)尋找那個(gè)負(fù)責(zé)的人。

　　最好的建議是確定被歸類(lèi)為“安全”的不同職責(zé)。例如，產(chǎn)品安全（確保將安全應(yīng)用于所有已開(kāi)發(fā)的應(yīng)用程序和產(chǎn)品）、合規(guī)性、采購(gòu)等。盡可能將這些安全角色整合到相關(guān)人員的日常工作中。例如，誰(shuí)負(fù)責(zé)為新系統(tǒng)付費(fèi)，誰(shuí)就負(fù)責(zé)采購(gòu)安全?；蛘?，負(fù)責(zé)確保員工遵守公司行為準(zhǔn)則的人，負(fù)責(zé)安全培訓(xùn)和教育。

　　最后，必要的時(shí)候可以向?qū)I(yè)人士尋求幫助。你不需要自己做所有的事情，但無(wú)論如何都必須做。

　　初創(chuàng)公司什么時(shí)候應(yīng)該聘請(qǐng) CISO？

　　這取決于初創(chuàng)公司的類(lèi)型、規(guī)模和所在行業(yè)。如果初創(chuàng)公司在受到嚴(yán)格監(jiān)管的行業(yè)（例如金融服務(wù)或衛(wèi)生部門(mén)）運(yùn)營(yíng)，并且經(jīng)常處理大量敏感或個(gè)人數(shù)據(jù)，那么他們可能會(huì)考慮早點(diǎn)而不是晚點(diǎn)聘用 CISO。同樣，還有一些創(chuàng)造性的方式來(lái)雇傭 CISO，例如在“即服務(wù)”的基礎(chǔ)上利用外部 CISO。

　　在聘請(qǐng) CISO 之前還有幾個(gè)步驟。安全工程師、研究人員、顧問(wèn)等都能夠處理組織內(nèi)的日常安全操作。

　　初創(chuàng)公司的安全處理方式與企業(yè)的

　　安全處理方式有何不同？

　　初創(chuàng)公司的安全性與企業(yè)的安全性截然不同。

　　初創(chuàng)公司可以承擔(dān)更多的創(chuàng)造力，并研究旨在解決其特定安全問(wèn)題的新技術(shù)。初創(chuàng)公司通常可以更靈活、更快速地在他們的組織中做出真正的改變。

　　預(yù)算的差異也意味著初創(chuàng)公司必須更聰明。他們買(mǎi)不起錯(cuò)誤的產(chǎn)品或很快就會(huì)過(guò)時(shí)的產(chǎn)品，他們更買(mǎi)不起價(jià)格昂貴或具有高限制度的產(chǎn)品。他們需要可以從小處著手并擴(kuò)大規(guī)模的解決方案。

　　初創(chuàng)公司應(yīng)該購(gòu)買(mǎi)網(wǎng)絡(luò)保險(xiǎn)嗎？

　　答案是是的，網(wǎng)絡(luò)安全保險(xiǎn)可以幫助初創(chuàng)公司迅速建立起抵御網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的閉環(huán)能力。但是，初創(chuàng)公司也需要意識(shí)到，僅僅擁有保險(xiǎn)并不意味著他們會(huì)自動(dòng)獲得安全。

　　網(wǎng)絡(luò)安全保險(xiǎn)在國(guó)內(nèi)處于初級(jí)發(fā)展階段，開(kāi)拓階段尚無(wú)法以大數(shù)法則進(jìn)行具體實(shí)踐，這對(duì)于初創(chuàng)公司而言，他們需要通過(guò)保險(xiǎn)公司一系列的安全評(píng)估才能獲得保單，反倒成為了一種安全建設(shè)捷徑。另外勒索軟件攻擊形式不斷加劇，也推動(dòng)了公司購(gòu)買(mǎi)網(wǎng)絡(luò)安全保險(xiǎn)的意愿。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<