بالنسبة للمبتدئين ، يتجاوز الأمان الموثوق به معايير الامتثال – TechCrunch

عندما يتعلق الأمر بتلبية معايير الامتثال ، فإن العديد من الشركات الناشئة تهيمن على الأبجدية. تفرض الشركات من القانون العام لحماية البيانات (GDPR) و CCPA إلى SOC2 و ISO200001 و PCI DSS و HIPAS رسومًا لتلبية معايير الامتثال المطلوبة لتشغيل أعمالها.

اليوم ، يعرف كل مؤسس للرعاية الصحية أن منتجاتهم يجب أن تفي بالامتثال لقانون HIPAA ، وستكون أي شركة تعمل في مجال المستهلك على دراية جيدة بالناتج المحلي الإجمالي.

لكن الخطأ الذي ترتكبه العديد من الشركات عالية النمو هو أنها تتعامل مع الامتثال على أنه عبارة شاملة تتضمن الأمن. قد يكون هذا خطأ مكلفًا ومؤلمًا للتفكير فيه. في الواقع ، تعني الطاعة أن الشركة تلبي مجموعة من الضوابط الدنيا. من ناحية أخرى ، يتضمن الأمان مجموعة واسعة من أفضل الممارسات والبرامج التي يمكن أن تساعد في معالجة المخاطر المرتبطة بعمليات الشركة.

من المنطقي أن الشركات الناشئة تريد مواجهة الامتثال أولاً. يلعب الامتثال دورًا كبيرًا في التوسع الجغرافي لأي شركة في الأسواق المنظمة والدخول في صناعات جديدة مثل التمويل أو الرعاية الصحية. لذلك ، من نواحٍ عديدة ، يعد تحقيق الامتثال جزءًا من مجموعة أدوات الانتقال إلى السوق الخاصة بالشركة الناشئة. وفي الواقع ، يتوقع المشترون من المؤسسات أن تقوم الشركات الناشئة بفحص مربع الامتثال قبل الاشتراك كعميل ، لذلك فإن الشركات الناشئة تتماشى بشكل مناسب مع توقعات المشترين.

واحدة من أفضل الطرق للبدء هي التعامل مع السلامة المبكرة.

مع وضع كل هذا في الاعتبار ، فليس من المستغرب أن نرى اتجاهًا حيث يكتسب المبتدئين الامتثال في الأيام الأولى وغالبًا ما يقودون هذه الوتيرة لتطوير ميزة رومانسية أو بدء حملة جديدة ، على سبيل المثال.

يعد الامتثال علامة فارقة مهمة لشركة ناشئة وصناعة الأمن السيبراني. إنه يجبر مؤسسي الشركات الناشئة على ارتداء قبعات الأمان والتفكير في سلامة شركتهم وكذلك عملائهم. في الوقت نفسه ، يوفر الامتثال الراحة للفريق القانوني والأمني ​​للمشتري الريادي أثناء التعامل مع البائع الناشئ. فلماذا لا يكون الامتثال وحده؟

أولا، الامتثال لا يعني الأمن (على الرغم من أن هذه خطوة في الاتجاه الصحيح). لا تضعف الشركات الناشئة في كثير من الأحيان في وضعها الآمن.

كيف تبدو؟ على سبيل المثال ، قد تفي شركة برمجيات بمعايير SOC 2 التي يجب على جميع الموظفين من أجلها تثبيت أمان نقطة النهاية على أجهزتهم ، لكن هذا لا ينطبق على الموظفين لتنشيط البرنامج وتحديثه. بالإضافة إلى ذلك ، قد تفتقر الشركة إلى أدوات مُدارة مركزيًا للرصد والإبلاغ في حالة انتهاك نقطة النهاية ، وأين ، ولمن ولماذا. وأخيرًا ، قد لا تتمتع الشركة بالخبرة اللازمة للرد بسرعة وتصحيح انتهاكات البيانات أو الهجمات.

وبالتالي ، بينما يتم استيفاء معايير الامتثال ، لا يزال هناك العديد من الأخطاء الأمنية. والنتيجة النهائية هي أن الشركات الناشئة قد تعاني من ثغرات أمنية تنتهي بتكلفتها حزمة. بالنسبة للشركات التي يقل عدد موظفيها عن 50000 موظف ، يقدر متوسط ​​خرق الأمان بـ 77 7.7 مليون ، وفقًا لدراسة أجرتها شركة IBMناهيك عن فقدان العلامة التجارية وفقدان الثقة من العملاء الحاليين والمحتملين.

ثانيًا ، يتمثل الخطر غير المتوقع للمبتدئين في أن الامتثال يمكن أن يخلق إحساسًا زائفًا بالأمان. الأهداف يمكن أن يعطي الحصول على شهادة امتثال من المدققين والمؤسسات ذات السمعة الطيبة انطباعًا بأن واجهة الأمان مغطاة.

بمجرد أن تبدأ الشركة الناشئة في اكتساب زخم وتسجيل عملاء راقٍ ، يزداد الشعور بالأمان ، لأنه إذا تمكنت الشركة الناشئة من الحصول على عملاء مهتمين بالأمان من F-50000 ، فيجب أن يكون الامتثال كافياً في الوقت الحالي ويمكن أن تكون الشركة الناشئة آمنة. عندما يتم فرض رسوم على اتفاقيات المؤسسة ، فإن توقعات المشتري هي التي تدفع الشركة الناشئة لتحقيق الامتثال SOC 2 أو ISO27001 لتلبية حد أمان المؤسسة. ولكن في معظم الحالات ، لا يفهم المشترون من المؤسسات المخاطر التي تطرحها الأسئلة المعقدة أو البائعون العميقون ، لذلك لا يُطلب من الشركات الناشئة أبدًا التصرف وفقًا لأنظمتها الأمنية.

ثالثًا ، يتعامل الامتثال فقط مع المجموعة المحددة من المعروف. لا يغطي أي شيء غير معروف وجديد منذ كتابة النسخة النهائية من المتطلبات التنظيمية.

على سبيل المثال ، واجهات برمجة التطبيقات آخذة في الارتفاع ، ولكن لا يزال هناك اتجاه نحو القواعد ومعايير الامتثال. لذلك يجب أن تكون شركات التجارة الإلكترونية متوافقة مع PCI-DSS لقبول مدفوعات بطاقات الائتمان ، ولكن يمكن أن تأخذ أيضًا واجهات برمجة تطبيقات متعددة مع وجود أخطاء متعددة في المصادقة أو منطق الأعمال. عندما تمت كتابة معيار PCI ، لم تكن واجهات برمجة التطبيقات شائعة ، لذا لم يتم تضمينها في القواعد ، ومع ذلك فإن معظم شركات التكنولوجيا المالية تعتمد عليها بشكل كبير. لذلك قد يكون التاجر متوافقًا مع PCI-DSS ، ولكنه يستخدم واجهات برمجة تطبيقات غير آمنة ، مما قد يعرض العملاء للاحتيال على بطاقات الائتمان.

لا يمكن إلقاء اللوم على الشركات الناشئة بسبب الاختلاط بين الامتثال والأمان. من الصعب على أي شركة أن تكون متسقة وآمنة ، وهذا يمثل تحديًا خاصًا للشركات الناشئة ذات الميزانيات المحدودة أو الوقت أو المعرفة بالأمان. في عالم مثالي ، ستكون الشركات الناشئة مصممة ومصممة بشكل آمن ؛ من غير الواقعي أن نتوقع أن تنفق الشركات المبكرة ملايين الدولارات على حماية البنية التحتية الأمنية الخاصة بها. ولكن هناك بعض الأشياء التي يمكن للشركات الناشئة القيام بها لتكون أكثر أمانًا.

واحدة من أفضل الطرق للبدء هي التعامل مع السلامة المبكرة. قد يبدو عضو الفريق هذا “جيدًا” إذا توقفت حتى تصل الشركة إلى عدد كبير من الموظفين أو معلم رئيسي في الإيرادات ، لكنني أزعم أن رئيس الأمن هو مجند مهم لأن وظيفة هذا الشخص ستركز بالكامل على تحليل وتحديد التهديدات ، ونشرها و مراقبة ممارسات السلامة. بالإضافة إلى ذلك ، ستستفيد الشركات الناشئة من ضمان حصول فرقها الفنية على الأمان الكافي مع مراعاة السلامة عند تصميم المنتجات والعروض.

يمكن أن تكون البداية الإستراتيجية الأخرى لتحسين أمنهم باستخدام الأدوات المناسبة. والخبر السار هو أن الشركات الناشئة يمكنها القيام بذلك دون كسر البنك ؛ هناك العديد من شركات الأمان التي تقدم إصدارات مفتوحة المصدر ومجانية أو غير مكلفة نسبيًا للاستخدام من قبل الشركات الناشئة بما في ذلك Snyk و Auth0 و HashiCorp و CrodStrike و Cloudflare.

يتضمن طرح الأمان الكامل أفضل الممارسات للبرامج وإدارة الهوية والوصول ، والبنية التحتية ، وتطوير التطبيقات ، والمرونة والحوكمة ، ولكن معظم الشركات الناشئة لا تتطلب الوقت والميزانية لنشر جميع ركائز البنية التحتية الأمنية القوية.

لحسن الحظ ، هناك موارد بدء تشغيل الأمان يقدم إطارًا مجانيًا مفتوح المصدر للمبتدئين لمعرفة ما يجب فعله أولاً. يساعد الدليل المؤسسين على تحديد ومعالجة التحديات الأمنية الأكثر شيوعًا والأهمية في كل مرحلة ، ويوفر قائمة بالحلول على مستوى الدخول كبداية قوية لبناء برنامج أمان طويل الأجل. بالإضافة إلى ذلك ، تساعد أدوات أتمتة الامتثال في ضمان بقاء عناصر التحكم هذه في مكانها من خلال المراقبة المستمرة.

بالنسبة للمبتدئين ، يعد الامتثال أمرًا أساسيًا لبناء الثقة مع الشركاء والعملاء. ولكن إذا فقدت هذه الثقة بعد حادث أمني ، فسيكون من المستحيل استعادتها. يساعد البقاء في أمان ، وليس مجرد الامتثال ، الشركات الناشئة على اكتساب الثقة على جميع المستويات الأخرى ولا يعزز زخم السوق فحسب ، بل يضمن بقاء منتجاتها هنا.

لذا بدلاً من مساواة الامتثال بالأمن ، أقترح توسيع المعادلة للنظر في هذا الامتثال. و الأمن يساوي الثقة. والثقة تعادل نجاح الأعمال وطول العمر.

Leave a Comment

x