Si tienes leer el año pasado, ya sabes lo complicada que puede ser la seguridad.
Todos los días parece que hay un nuevo lapso de seguridad, una violación, un pirateo o una exposición inadvertida, como dejar un servidor de almacenamiento en la nube desprotegido sin una contraseña. Estas cosas suceden, pero no tienen que hacerlo; la seguridad no es tan difícil como parece, pero no existe una solución única para todos.
Nos sentamos con tres expertos en el Crujido extra etapa en Disrupt SF de TechCrunch a principios de este mes para ayudar a las nuevas empresas y a los fundadores a comprender qué deben hacer, cuándo y por qué.
Le preguntamos a Google Heather Adkins Dug Song de Duo y Jennifer Sunshine Steffens de IOActive por sus mejores consejos. Esto es lo que tenían que decir.
Las citas han sido editadas y condensadas para mayor claridad.
1. No pospongas la conversación de seguridad
El único mensaje rotundo del panel: no suspenda la seguridad.
"Básicamente, hay tres áreas en las que la gente debería comenzar a considerar cómo acumular esos riesgos", dijo la canción de Duo. “El primero es el riesgo corporativo al defender a los usuarios y las aplicaciones a las que acceden. El segundo es la seguridad de la aplicación y el riesgo del producto. Una tercera área es la producción, la seguridad y asegurarse de que la operación de su programa de seguridad sea algo que mantenga ese riesgo. Y luego un cuarto, un espacio nuevo y emergente, es la confianza, y no solo la privacidad, sino también la seguridad ”.
Es mejor ser proactivo con respecto a la seguridad que ser reactivo ante una violación de datos; no solo ayudará a su empresa a reforzar su postura de seguridad, sino que también servirá como un factor importante en futuras negociaciones de recaudación de fondos.
Song dijo que los fundadores tienen una "obligación muy directa" de pensar en la seguridad tan pronto como toman el dinero de otra persona, pero especialmente cuando una empresa comienza a recopilar datos de usuarios o clientes. "Tienes que ponerte en el lugar de esas personas cuyos datos tienes que proteger", dijo. "No son solo sus amenazas existenciales para su negocio, sino que usted tiene la responsabilidad, el derecho de descubrir cómo hacerlo bien".
Steffens de IOActive dijo que las nuevas empresas ya son un objetivo, simplemente porque se supone que muchos no habrán pensado mucho en la seguridad.
"Muchos atacantes perseguirán a las startups que tienen datos de alto valor, porque saben que la seguridad no es una prioridad y será mucho más fácil de conseguir", dijo. "Los datos en estos días son extraordinariamente valiosos".
2. Comience con los conceptos básicos de seguridad.
Adkins de Google, que dirige el equipo interno de seguridad de la información del gigante de búsqueda, se unió a la compañía hace casi dos décadas cuando era del tamaño de una gran startup. Su trabajo es mantener a salvo la red, los activos y los empleados de la empresa.
"Cuando llegué allí, ya eran tan fanáticos de la seguridad, que la mitad del trabajo ya estaba hecho", dijo. "Desde el momento en que [Google] realizó su primera consulta de búsqueda, estaba pensando en dónde se almacenan esos registros, quién tiene acceso a ellos y cuál es su responsabilidad para con sus usuarios", dijo.
"Las nuevas empresas que tienen éxito con la seguridad son aquellas en las que el director ejecutivo y los fundadores son fanáticos desde el primer día y entienden qué amenazas existen para el negocio y qué deben hacer para protegerlo", dijo.
Song dijo que muchos productos y tecnologías populares en estos días vienen con una fuerte seguridad por defecto, como iPhones, Chromebooks, claves de seguridad y Windows 10.
"Está mejor que el 90% de las grandes empresas", dijo. "Esa es una de esas pocas ventajas estratégicas que tiene como organización más pequeña y ágil que no tiene mucho legado", agregó. "Puedes hacer las cosas mejor desde el principio".
"Muchos de los conceptos básicos siguen siendo clave", dijo Steffens. "Incluso cuando salimos con la nueva tecnología brillante, que tiene cosas como firewalls y antivirus, y autenticación multifactor".
"La seguridad no siempre tiene que ser una cuestión de dinero", dijo. "Hay mucha tecnología de código abierto que es realmente genial".
3. Comience a considerar la seguridad como una inversión.
"Cuanto antes empiece a pensar en la seguridad, al final será menos costoso", dijo Steffens.
Esto se debe a que, según los expertos, la seguridad proactiva les da a las empresas una ventaja sobre los competidores que agregan soluciones de seguridad después de una violación. Es más fácil y rentable hacerlo bien la primera vez sin tener que llenar los vacíos años después.
Puede ser una venta difícil canalizar dinero en algo donde no verá activamente los rendimientos financieros, por lo que los fundadores deberían pensar en la seguridad como inversiones para el futuro. La idea es que si gasta un poco de dinero al principio, puede salvarlo de lo inevitable: un incidente de seguridad que le costará malos titulares, pérdida de confianza del cliente y potencialmente multas u otras sanciones.