Cuando se trata de cumplir con los estándares de cumplimiento, muchas empresas emergentes dominan el alfabeto. Desde GDPR y CCPA hasta SOC 2, ISO27001, PCI DSS y HIPAA, las empresas han estado cobrando por cumplir con los estándares de cumplimiento requeridos para operar sus negocios.
Hoy en día, todos los fundadores de la atención médica saben que su producto debe cumplir con el cumplimiento de HIPAA, y cualquier empresa que trabaje en el espacio del consumidor conocerá bien el GDPR, por ejemplo.
Pero un error que cometen muchas empresas de alto crecimiento es que tratan el cumplimiento como una frase general que incluye seguridad. Pensar que esto podría ser un error costoso y doloroso. En realidad, el cumplimiento significa que una empresa cumple con un conjunto mínimo de controles. La seguridad, por otro lado, abarca una amplia gama de mejores prácticas y software que ayudan a abordar los riesgos asociados con las operaciones de la empresa.
Tiene sentido que las startups quieran abordar el cumplimiento primero. El cumplimiento juega un papel importante en la expansión geográfica de cualquier empresa a los mercados regulados y en su penetración en nuevas industrias como las finanzas o la salud. Entonces, de muchas maneras, lograr el cumplimiento es parte del kit de lanzamiento al mercado de una startup. Y, de hecho, los compradores de empresas esperan que las nuevas empresas marquen la casilla de cumplimiento antes de registrarse como sus clientes, por lo que las nuevas empresas se alinean legítimamente con las expectativas de sus compradores.
Una de las mejores formas en que las empresas emergentes pueden comenzar a abordar la seguridad es contratar un equipo de seguridad temprano.
Con todo esto en mente, no es sorprendente que hayamos sido testigos de una tendencia en la que las startups logran el cumplimiento desde los primeros días y, a menudo, priorizan este movimiento sobre el desarrollo de una función emocionante o el lanzamiento de una nueva campaña para atraer clientes potenciales, por ejemplo.
El cumplimiento es un hito importante para una empresa joven y uno que hace avanzar la industria de la ciberseguridad. Obliga a los fundadores de nuevas empresas a ponerse sombreros de seguridad y pensar en proteger a su empresa, así como a sus clientes. Al mismo tiempo, el cumplimiento brinda comodidad a los equipos legales y de seguridad del comprador empresarial al interactuar con proveedores emergentes. Entonces, ¿por qué el cumplimiento por sí solo no es suficiente?
Primero, el cumplimiento no significa seguridad (aunque es un paso en la dirección correcta). Es más frecuente que las empresas jóvenes cumplan con las normas y, al mismo tiempo, sean vulnerables en su postura de seguridad.
Cómo se ve? Por ejemplo, una empresa de software puede haber cumplido con los estándares SOC 2 que requieren que todos los empleados instalen protección de punto final en sus dispositivos, pero puede que no tenga una forma de obligar a los empleados a activar y actualizar el software. Además, la empresa puede carecer de una herramienta administrada de forma centralizada para monitorear e informar para ver si se ha producido alguna infracción en los terminales, dónde, a quién y por qué. Y, por último, es posible que la empresa no tenga la experiencia para responder rápidamente y solucionar una violación de datos o un ataque.
Por lo tanto, aunque se cumplen los estándares de cumplimiento, persisten varias fallas de seguridad. El resultado final es que las startups pueden sufrir brechas de seguridad que terminan costándoles un paquete. Para las empresas con menos de 500 empleados, la brecha de seguridad promedio cuesta aproximadamente $ 7.7 millones, según un estudio de IBM, sin mencionar el daño a la marca y la pérdida de confianza de los clientes actuales y potenciales.
En segundo lugar, un peligro imprevisto para las nuevas empresas es que el cumplimiento puede crear una falsa sensación de seguridad. Recibir un certificado de cumplimiento de auditores objetivos y organizaciones de renombre podría dar la impresión de que el frente de seguridad está cubierto.
Una vez que las startups comienzan a ganar tracción y a contratar clientes de alto nivel, esa sensación de seguridad crece, porque si la startup logró adquirir clientes preocupados por la seguridad de la F-500, cumplir con las normas debe ser suficiente por ahora y la startup probablemente sea segura por asociación. Al cobrar después de acuerdos empresariales, son las expectativas del comprador las que impulsan a las nuevas empresas a lograr el cumplimiento de SOC 2 o ISO27001 para satisfacer el umbral de seguridad empresarial. Pero en muchos casos, los compradores empresariales no hacen preguntas sofisticadas ni profundizan en la comprensión del riesgo que conlleva un proveedor, por lo que las empresas emergentes nunca son realmente llamadas a trabajar en sus sistemas de seguridad.
En tercer lugar, el cumplimiento solo se ocupa de un conjunto definido de conocimientos. No cubre nada que sea desconocido y nuevo desde que se redactó la última versión de los requisitos reglamentarios.
Por ejemplo, las API están aumentando en uso, pero las regulaciones y los estándares de cumplimiento aún tienen que ponerse al día con la tendencia. Por lo tanto, una empresa de comercio electrónico debe cumplir con PCI-DSS para aceptar pagos con tarjeta de crédito, pero también puede aprovechar varias API que tienen una autenticación débil o fallas en la lógica comercial. Cuando se escribió el estándar PCI, las API no eran comunes, por lo que no están incluidas en las regulaciones, pero ahora la mayoría de las empresas de tecnología financiera dependen en gran medida de ellas. Por lo tanto, un comerciante puede cumplir con PCI-DSS, pero usar API no seguras, lo que podría exponer a los clientes a violaciones de tarjetas de crédito.
Las startups no tienen la culpa de la confusión entre cumplimiento y seguridad. Es difícil para cualquier empresa cumplir con las normas y ser segura, y para las nuevas empresas con un presupuesto, tiempo o conocimientos de seguridad limitados, es especialmente desafiante. En un mundo perfecto, las empresas emergentes cumplirían las normas y serían seguras desde el principio; No es realista esperar que las empresas en etapa inicial gasten millones de dólares en blindar su infraestructura de seguridad. Pero hay algunas cosas que las startups pueden hacer para ser más seguras.
Una de las mejores formas en que las empresas emergentes pueden comenzar a abordar la seguridad es contratar un equipo de seguridad temprano. Este miembro del equipo puede parecer “agradable de tener” que podría posponer hasta que la empresa alcance una gran cantidad de personal o un hito de ingresos, pero yo diría que un jefe de seguridad es una contratación temprana clave porque el trabajo de esta persona será concentrarse totalmente en analizar amenazas e identificar, implementar y monitorear prácticas de seguridad. Además, las nuevas empresas se beneficiarían de asegurarse de que sus equipos técnicos sean expertos en seguridad y tengan en cuenta la seguridad al diseñar productos y ofertas.
Otra táctica que pueden tomar las empresas emergentes para reforzar su seguridad es implementar las herramientas adecuadas. La buena noticia es que las startups pueden hacerlo sin arruinarse; Hay muchas empresas de seguridad que ofrecen versiones de código abierto, gratuitas o relativamente asequibles de sus soluciones para que las utilicen empresas emergentes, como Snyk, Auth0, HashiCorp, CrowdStrike y Cloudflare.
Una implementación de seguridad completa incluiría software y mejores prácticas para la administración de identidades y acceso, infraestructura, desarrollo de aplicaciones, resiliencia y gobernanza, pero es poco probable que la mayoría de las nuevas empresas tengan el tiempo y el presupuesto necesarios para implementar todos los pilares de una infraestructura de seguridad sólida.
Afortunadamente, existen recursos como Seguridad 4 Startups que ofrecen un marco de trabajo gratuito y de código abierto para que las nuevas empresas averigüen qué hacer primero. La guía ayuda a los fundadores a identificar y resolver los desafíos de seguridad más comunes e importantes en cada etapa, proporcionando una lista de soluciones de nivel de entrada como un comienzo sólido para construir un programa de seguridad a largo plazo. Además, las herramientas de automatización del cumplimiento pueden ayudar con el monitoreo continuo para garantizar que estos controles permanezcan en su lugar.
Para las nuevas empresas, el cumplimiento es fundamental para establecer la confianza con socios y clientes. Pero si esta confianza se erosiona después de un incidente de seguridad, será casi imposible recuperarla. Ser seguro, no solo compatible, ayudará a las nuevas empresas a llevar la confianza a un nivel completamente diferente y no solo a impulsar el impulso del mercado, sino también a asegurarse de que sus productos estén aquí para quedarse.
Entonces, en lugar de equiparar el cumplimiento con la seguridad, sugiero expandir la ecuación para considerar que el cumplimiento y seguridad igual confianza. Y la confianza es sinónimo de éxito empresarial y longevidad.