Dalam hal memenuhi standar kepatuhan, banyak startup yang mendominasi alfabet. Mulai dari GDPR dan CCPA hingga SOC 2, ISO27001, PCI DSS, dan HIPAA, perusahaan telah berupaya memenuhi standar kepatuhan yang diperlukan untuk mengoperasikan bisnis mereka.
Saat ini, setiap pendiri layanan kesehatan mengetahui bahwa produk mereka harus memenuhi kepatuhan HIPAA, dan perusahaan mana pun yang bekerja di bidang konsumen akan sangat menyadari GDPR, misalnya.
Namun kesalahan yang dilakukan oleh banyak perusahaan dengan pertumbuhan tinggi adalah mereka memperlakukan kepatuhan sebagai frase umum yang mencakup keamanan. Berpikir ini bisa menjadi kesalahan yang mahal dan menyakitkan. Pada kenyataannya, kepatuhan berarti perusahaan memenuhi serangkaian kontrol minimum. Keamanan, di sisi lain, mencakup berbagai praktik terbaik dan perangkat lunak yang membantu mengatasi risiko yang terkait dengan operasi perusahaan.
Masuk akal jika startup ingin menangani kepatuhan terlebih dahulu. Menjadi patuh memainkan peran besar dalam ekspansi geografis perusahaan mana pun ke pasar yang diatur dan dalam penetrasinya ke industri baru seperti keuangan atau perawatan kesehatan. Jadi, dalam banyak hal, mencapai kepatuhan adalah bagian dari kit masuk pasar startup. Dan memang, pembeli perusahaan mengharapkan perusahaan rintisan untuk mencentang kotak kepatuhan sebelum mendaftar sebagai pelanggan mereka, sehingga perusahaan rintisan berhak menyesuaikan dengan harapan pembeli mereka.
Salah satu cara terbaik startup dapat mulai menangani keamanan adalah dengan menyewa keamanan awal.
Dengan mempertimbangkan semua ini, tidak mengherankan bahwa kami telah menyaksikan tren di mana perusahaan rintisan mencapai kepatuhan sejak awal dan sering kali memprioritaskan gerakan ini daripada mengembangkan fitur yang menarik atau meluncurkan kampanye baru untuk mendatangkan prospek, misalnya.
Kepatuhan adalah tonggak penting bagi perusahaan muda dan perusahaan yang memajukan industri keamanan siber. Ini memaksa pendiri startup untuk memakai topi keamanan dan berpikir untuk melindungi perusahaan mereka, serta pelanggan mereka. Pada saat yang sama, kepatuhan memberikan kenyamanan bagi tim hukum dan keamanan pembeli perusahaan saat terlibat dengan vendor baru. Jadi mengapa kepatuhan saja tidak cukup?
Pertama, kepatuhan tidak berarti keamanan (meskipun itu adalah langkah ke arah yang benar). Lebih sering daripada tidak, perusahaan-perusahaan muda patuh tetapi rentan dalam postur keamanan mereka.
Seperti apa bentuknya? Misalnya, perusahaan perangkat lunak mungkin telah memenuhi standar SOC 2 yang mengharuskan semua karyawan memasang perlindungan endpoint di perangkat mereka, tetapi mungkin tidak memiliki cara untuk memaksa karyawan agar benar-benar mengaktifkan dan memperbarui perangkat lunak. Selain itu, perusahaan mungkin kekurangan alat yang dikelola secara terpusat untuk memantau dan melaporkan untuk melihat apakah ada pelanggaran titik akhir yang terjadi, di mana, kepada siapa, dan mengapa. Dan, terakhir, perusahaan mungkin tidak memiliki keahlian untuk merespons dan memperbaiki pelanggaran atau serangan data dengan cepat.
Oleh karena itu, meskipun standar kepatuhan terpenuhi, beberapa kelemahan keamanan tetap ada. Hasil akhirnya adalah bahwa startup dapat mengalami pelanggaran keamanan yang pada akhirnya merugikan mereka. Untuk perusahaan dengan karyawan di bawah 500, rata-rata pelanggaran keamanan menelan biaya sekitar $7,7 juta, menurut sebuah studi oleh IBM, belum lagi kerusakan merek dan hilangnya kepercayaan dari pelanggan yang ada dan calon pelanggan.
Kedua, bahaya yang tidak terduga untuk startup adalah bahwa kepatuhan dapat menciptakan rasa aman yang salah. Menerima sertifikat kepatuhan dari auditor objektif dan organisasi terkenal dapat memberi kesan bahwa bagian depan keamanan tertutup.
Begitu startup mulai mendapatkan daya tarik dan merekrut pelanggan kelas atas, rasa aman itu tumbuh, karena jika startup berhasil mendapatkan pelanggan yang berpikiran keamanan dari F-500, kepatuhan harus cukup untuk saat ini dan startup tersebut mungkin aman melalui asosiasi. Saat menagih setelah kesepakatan perusahaan, harapan pembelilah yang mendorong startup untuk mencapai kepatuhan SOC 2 atau ISO27001 untuk memenuhi ambang batas keamanan perusahaan. Namun dalam banyak kasus, pembeli perusahaan tidak mengajukan pertanyaan rumit atau memahami lebih dalam tentang risiko yang dibawa oleh vendor, sehingga startup tidak pernah benar-benar dipanggil untuk menangani sistem keamanan mereka.
Ketiga, kepatuhan hanya berurusan dengan seperangkat yang diketahui. Itu tidak mencakup apa pun yang tidak diketahui dan baru sejak versi terakhir dari persyaratan peraturan ditulis.
Misalnya, API semakin banyak digunakan, tetapi peraturan dan standar kepatuhan belum mengikuti tren. Jadi perusahaan e-niaga harus mematuhi PCI-DSS untuk menerima pembayaran kartu kredit, tetapi juga dapat memanfaatkan beberapa API yang memiliki otentikasi lemah atau kelemahan logika bisnis. Ketika standar PCI ditulis, API tidak umum, sehingga tidak termasuk dalam peraturan, namun sekarang sebagian besar perusahaan fintech sangat bergantung pada mereka. Jadi, pedagang mungkin mematuhi PCI-DSS, tetapi menggunakan API yang tidak aman, yang berpotensi membuat pelanggan terkena pelanggaran kartu kredit.
Startup tidak bisa disalahkan atas campuran antara kepatuhan dan keamanan. Sulit bagi perusahaan mana pun untuk patuh dan aman, dan untuk startup dengan anggaran, waktu, atau pengetahuan keamanan yang terbatas, ini sangat menantang. Di dunia yang sempurna, startup akan patuh dan aman sejak awal; tidak realistis untuk mengharapkan perusahaan tahap awal menghabiskan jutaan dolar untuk melindungi infrastruktur keamanan mereka. Tetapi ada beberapa hal yang dapat dilakukan startup untuk menjadi lebih aman.
Salah satu cara terbaik startup dapat mulai menangani keamanan adalah dengan menyewa keamanan awal. Anggota tim ini mungkin tampak seperti “baik untuk dimiliki” yang dapat Anda tunda sampai perusahaan mencapai jumlah karyawan atau tonggak pendapatan utama, tetapi saya berpendapat bahwa kepala keamanan adalah perekrutan awal yang penting karena pekerjaan orang ini adalah fokus. sepenuhnya untuk menganalisis ancaman dan mengidentifikasi, menerapkan, dan memantau praktik keamanan. Selain itu, startup akan mendapat manfaat dari memastikan tim teknis mereka paham keamanan dan selalu mengutamakan keamanan saat merancang produk dan penawaran.
Taktik lain yang dapat diambil startup untuk meningkatkan keamanan mereka adalah menggunakan alat yang tepat. Kabar baiknya adalah startup dapat melakukannya tanpa merusak bank; ada banyak perusahaan keamanan yang menawarkan versi sumber terbuka, gratis, atau relatif terjangkau dari solusi mereka untuk digunakan oleh perusahaan baru, termasuk Snyk, Auth0, HashiCorp, CrowdStrike, dan Cloudflare.
Peluncuran keamanan penuh akan mencakup perangkat lunak dan praktik terbaik untuk manajemen identitas dan akses, infrastruktur, pengembangan aplikasi, ketahanan dan tata kelola, tetapi sebagian besar startup tidak mungkin memiliki waktu dan anggaran yang diperlukan untuk menerapkan semua pilar infrastruktur keamanan yang kuat.
Untungnya, ada sumber daya seperti Security 4 Startups yang menawarkan kerangka kerja sumber terbuka gratis bagi para pemula untuk mencari tahu apa yang harus dilakukan terlebih dahulu. Panduan ini membantu para pendiri mengidentifikasi dan memecahkan tantangan keamanan yang paling umum dan penting di setiap tahap, memberikan daftar solusi tingkat pemula sebagai awal yang kokoh untuk membangun program keamanan jangka panjang. Selain itu, alat otomatisasi kepatuhan dapat membantu pemantauan berkelanjutan untuk memastikan kontrol ini tetap diterapkan.
Untuk startup, kepatuhan sangat penting untuk membangun kepercayaan dengan mitra dan pelanggan. Tetapi jika kepercayaan ini terkikis setelah insiden keamanan, hampir tidak mungkin untuk mendapatkannya kembali. Menjadi aman, tidak hanya patuh, akan membantu startup membawa kepercayaan ke tingkat yang lebih tinggi dan tidak hanya meningkatkan momentum pasar, tetapi juga memastikan produk mereka tetap ada.
Jadi, alih-alih menyamakan kepatuhan dengan keamanan, saya sarankan memperluas persamaan untuk mempertimbangkan kepatuhan tersebut Dan keamanan sama dengan kepercayaan. Dan kepercayaan sama dengan kesuksesan bisnis dan umur panjang.
