セキュリティに関して新興企業の幹部がする一般的な声明は、彼らが市場に参入していることであり、意識的に最初からセキュリティを組み込むことを選択した場合、彼らを競争から脱落させるほど遅くする可能性があります。
したがって、彼らは早い段階(または数年間)でセキュリティをほとんどまたはまったく行わないことを選択します-ビジネスが最初にそれを行うことを期待してリスクを受け入れます。
この考え方に対抗するための強い挑戦はありますか?
他の質問で最初にコメントしたように、セキュリティは主要な、または主要な懸念でさえあり得ません。場合によっては、スタートアップの特定の段階で、製品の駆動に必要な機能の迅速な開発に集中し、必要に応じてセキュリティにパッチを適用する必要があります。セキュリティは、運用や従業員の生産性を簡単に妨げ、開発の速度を低下させる可能性があります。セキュリティ関連の製品やビジネスの場合、最初から完全なセキュリティが必要になることは確かですが、一般化してすべてのビジネスを最初からセキュリティに集中すべきだと言うことはできません。 (十分な規模のソニーは、セキュリティだけでなく、新世紀のソフトウェア開発に関する多くの教訓を学ぶ必要があります。)
とはいえ、セキュリティの実践と実用的なセキュリティは、すべての技術者の心の要素であるべきです。人々の邪魔をせずにどこにセキュリティを追加できますか? 100%安全なものなどないので、どれだけのセキュリティで十分ですか?
セキュリティの遅延に対して強い課題はありますか?いいえ、そうは思いません。業界が法律によって規制されていない限り。
そのため、情報セキュリティはリスク管理に似ている場合があります。リスクをできる限り最小限に抑え(通常は予算内であることを意味します)、リスクを完全に排除するわけではありません。
したがって、セキュリティを遅らせることは、リスクを受け入れることの一種です。うまくいけば、幹部がそうしているとき、彼らは実際に未来から借りているので、この受け入れはしばらくの間続くだけです。期日が来たら、まあ、それは恥ずかしくて厄介で、時には破壊的なものになるだろうとしましょう。
この考え方の詳細については、Veracodeで確認できます。
http://www.veracode.com/blog/2011/02/application-security-debt-and-application-interest-rates/
http://www.veracode.com/blog/2011/03/a-financial-model-for-application-security-debt/
役員に同意します。セキュリティ違反で失敗したスタートアップの数と、最初にレースに負けたために失敗したスタートアップの数を比較すると、後者が前者を大幅に上回っているのは明らかだと思います。
スタートアップはすべて、大きな勝利を収めるためにリスクを取ることです。スタートアップが失敗する方法はたくさんあります。他の理由でスタートアップが失敗するリスクを大幅に減らすことができるという利点がある場合、セキュリティ違反が原因でスタートアップが失敗する可能性はわずかでもあると考えても、それほど大きな問題ではありません。
幹部はもっともらしい戦略を提案していると私は思います。彼は、フィニッシュラインに早く到達することと引き換えに、現在、ある程度のセキュリティ債務を受け入れていると述べています。これにより、後で会社にコストがかかります。会社は、システムを再構築/再実装することにより、後でセキュリティ債務を返済する必要があります。そうしないと、会社は後で深刻なセキュリティ侵害の大きなリスクを負うことになります。しかし、多くの新興企業はそのトレードオフを喜んで受け入れます。 「後で支払う、スタートアップが大成功の場合」はおそらく「今すぐ支払う、そしておそらくスタートアップを失敗させる」よりも優先されます。
これが私のアドバイスです。幹部に考えを変えさせるのではなく、次の2つのことを行うことをお勧めします。
「セキュリティ債務」の概念を植え付けます。会社が成功した場合に、後でセキュリティ債務を返済し、会社のシステムのセキュリティを向上させるための賛同を得られるように、基礎を準備します。
現時点では、会社の最終ラインに到達する能力を低下させない安価なセキュリティメカニズムに焦点を当てます。ファイアウォール、自動更新、バックアップなどの簡単なことについて話している。また、チームの開発作業と並行して、より洗練されたセキュリティソリューションまたは設計をブレインストーミングして開発することができるので、残りの作業が遅くなることはないチーム-会社がそのような努力のためにあなたを救うことができると仮定します。
Parasites は、製品/サービスの潜在的な収益源を台無しにするだけでなく、初期のブランド/評判を台無しにし、製品/サービスをマーケティングする能力を破壊します。彼らはあなたのSEO、AdWords、および同様のインターネットマーケティングの概念を壊します-あなたのオンラインプレゼンスを構築するために必要です。
敵対者はボットネットや他の形式の自動化によるWebサイトの寄生感染を自動化します-すべてのWebサイトを潜在的なターゲットにします(特に起動モードのWebサイトはサードパーティのホスティング/ CMS /ブログ/フォーラム/ eコマースパッケージに依存することが多いため) 、コンポーネント、サービスなど)。
最近、自宅からFTPサーバーをセットアップしました。リモートで作業していて、同僚や顧客が大きなファイルを夜間(世界の反対側)に転送できるようにしたかったからです。私のFTPサーバーに侵入する(自動化された)試みが毎週何回行われているかを知ることに本当にショックを受けました。それはあなたが十分に妄想的であることができないことを私に確信させました-人々will侵入してあなたのデータまたはあなたの顧客のデータを盗もうとします。セキュリティに関して最善のセキュリティを実行することよりも小さなことはすべて失敗です
セキュリティとは、最終的にはビジネス上の決定であるリスク管理に関するものです。
スタートアップの幹部がリスクとは何かを理解するだけでなく、現在と後で実行する場合の実装コストの違いを理解できるようにする必要があります。ソフトウェアのリリース後にセキュリティをソフトウェアに埋め込もうとすることは難しく、はるかにコストがかかります。
これがフィニッシュラインへの競争である場合は、進行を妨げないソリューションを提供します。開発者とエンジニアは、並行して作業している間もソフトウェアをビルドできます。次のような妥協案を見つけてください。
これまで見逃されてきた答えの1つは、新興企業の付加価値としての議題にセキュリティを確保することです。これは、特に最近非常に公表された攻撃があった業界では効果的です。 VCまたは利害関係者が、セキュリティの向上が製品およびサービスの販売にどのように役立つかを理解できる場合、それは彼らが理解できる議論になります。利益です!
はい、それらを説得することは非常に困難である場合があり、多くはタイミングにかかっています。私が言ったように、PSNクラックのようなものの直後に、オンラインゲームを行う会社に付加価値としてセキュリティの概念をプッシュする方がはるかに簡単ですが、残念ながら、別の業界で同じ例を使用するのは簡単ではありません。問題は顧客データベースからの個人データの侵害に関するものであり、それはすべての人に関係があるはずです!
経営者は保険なしで会社を運営することに冷静ですか?はいの場合は、これまでに誰もが言ったことに耳を傾け(そしてこの会社から逃げる-すぐに)、そうでない場合は、セキュリティについて考えずに、なぜそれをしているのか尋ねてください。
あなたは実用的なアプローチを取ることができます。許可を得て、(できれば)ジュニアペネトレーションテスターを雇って、あなたが持っている最も大きな会社の秘密を「盗み」、または他の重大な欠陥を見つけさせたり、ソーシャルエンジニアリング攻撃(悪意のあるpdfファイルを秘書に送るなど)をさせたりする。次に、調査結果を経営幹部に提示し、評判の低下に焦点を合わせます(スタートアップが最も傷つけるところです)。
ペンと紙のシナリオは、秘密を公開するよりも不安を示すのに効果的ではありません。それは彼らに少なくともいくらかのお金を安全に置くことを考えるように彼らを説得するべきです。
ここでの議論は、あなたが安全でないということではありませんが、経験の浅い誰かが侵入したり、最小限のセキュリティ投資で回避できたであろう大きな欠点を見つけたりすることの容易さです。
リスクを管理するのは経営者の仕事です。セキュリティを遅らせるべきだと彼が思うなら、それは彼の決定です。
とはいえ、それが知識に基づいた決定であることを確認する必要があります。いつものように、これには、起こり得る脅威、可能性、および起こり得る損害の可能な限り完全なリストが必要です。たとえば、誰かが顧客データベースを盗む可能性があります。または、製品にバックドアがインストールされている可能性があります。
ここでの問題は、可能性がほとんど不明であるか、Nが可能性であり、Mが損傷であり、NがMよりも桁違いに小さいN * M状況にあることです。これは日本の原子力発電所のようなものです。起こり得る被害は甚大ですが、インシデントの可能性は本当に非常に小さいものです。 「10万年に1回」。その「1回」は明日になる可能性があります(私たち全員が見たように、いくつかのケースではそれがありました)。したがって、この場合、結果の数値はかなり価値がありません。
私がやろうとしていることは、幹部が教育を受けた決定を下していることを確認することです。私は彼の賃金とリスクを関連付けます。彼が正しければ、彼は太ったボーナスを得る。彼が間違っている場合、損害賠償は最初に彼の個人的な富に逆らうべきです。
この種のセーフティネットは、通常、人々があまりリスクを取らないようにします。しかし、マネージャーがリスクを取るのをやめるかもしれないので、それはあなたのスタートアップを殺すこともできます。
他の回答やコメントで指摘されているように、最初からセキュリティを構築するための最も一般的な2つの引数は、時間の制約を受ける起動環境では拒否される可能性があります。
これはセキュリティの問題だけではありません。使いやすさや保守性などの他の品質指標にも影響します。
スタートアップに固有の議論が1つあります。これは、この環境の適切なバランスがどこにあるかを示している可能性があります。製品がかなりの数のユーザーを獲得した後で、セキュリティ上の懸念から侵入的な変更を行う必要がある場合はどうでしょうか。
ソフトウェアは、多くの場合、クリエイターが想定していた方法とは異なる方法で使用されることになります。したがって、デザイナーが主な機能と見なしたものは、ユーザーが参加したものとは異なる場合があります。これにより、変更によって粘着性が損なわれるかユーザーの獲得が妨げられるかを判断することが非常に困難になります。最初の製品の一部としてユーザーに完全に受け入れられたであろう設計決定は、それが製品の既存のユーザーに落とされた場合、バックラッシュを引き起こす可能性さえあります。
製品がユーザーに提供された後に必要な変更を最小限に抑えるためのレビューは、この議論で売れるべきです。それはおそらく、真っ先にRushに従事しているスタートアップが最初に市場に出るのに適切なレベルのセキュリティ活動でもあります。
バランスをとることができます。
不要なポートを開かないでください。また、「管理者」のものはLANまたは特定の既知の管理IPに制限してください。そうすれば、少なくともあなたが近道をしているものは内部だけになります。
すべてのスタートアップは、基本的で実用的なセキュリティ原則に従う必要があります。思い通りの方法でセキュリティに投資できない場合は、単純さと、ある程度の不便さを利用して、攻撃対象領域を減らしてください。
経営幹部がITセキュリティの概念をビジネスリスクの問題として把握できない場合、彼はそのポジション自体に適切ではない(最初からリスク管理が重要な問題であるため)、または誰も彼/彼女を認識させることができなかったこの問題の。
リスクを把握して受け入れることは、すべての企業にとって有効なアプローチです。
この幹部は悪い報道を恐れていますか?
最近Dropboxで何が起こっているかを見てください: Dropboxはデータセキュリティについてユーザーに嘘をつきました、FTC申し立て への苦情)。
彼らはこの種の注意に満足していないと確信しています。
スタートアップのビジネスモデルを検討し、セキュリティの欠如が悪い報道をもたらすだけでなくビジネスをダウンさせる可能性があるいくつかの悪いケースシナリオを描く。
あなたが新しい会社を始めるとき、あなたはtech/bizで彼らの以前の称賛を持っているかもしれないリーダー以外の評判を持っていません。その結果、スタートアップがセキュリティ違反カードをその前に置いた場合、その評判へのダメージはかなりのものになります。 Sony、TJX、Michael'sのような場所は、そのような打撃に耐えることができる巨大な会社ですが、スタートアップの幹部がスタートアップとしての違反に耐えることができると感じた場合、基本的なリスク管理について素朴で近視的な見方をします。基本的に、そのようなイベントでは、小規模な新興企業は競争や報道に翻弄され、クライアントや規制されたデータを保護する、または単にアクセスするだけの新興企業の能力のイメージを損なうことで、見込み客の心を簡単に圧倒する可能性があります。インフラ。