स्टार्टअप्स के लिए, भरोसेमंद सुरक्षा का अर्थ है अनुपालन मानकों से ऊपर और परे जाना – टेकक्रंच


जब अनुपालन मानकों को पूरा करने की बात आती है, तो कई स्टार्टअप वर्णमाला पर हावी हो रहे हैं। GDPR और CCPA से SOC 2, ISO27001, PCI DSS और HIPAA तक, कंपनियां अपने व्यवसायों को संचालित करने के लिए आवश्यक अनुपालन मानकों को पूरा करने के लिए शुल्क लगा रही हैं।

आज, प्रत्येक हेल्थकेयर संस्थापक जानता है कि उनके उत्पाद को एचआईपीएए अनुपालन पूरा करना होगा, और उपभोक्ता क्षेत्र में काम करने वाली कोई भी कंपनी जीडीपीआर से अच्छी तरह वाकिफ होगी, उदाहरण के लिए।

लेकिन कई उच्च-विकास कंपनियां एक गलती करती हैं कि वे अनुपालन को एक आकर्षक वाक्यांश के रूप में मानते हैं जिसमें सुरक्षा शामिल है। यह सोचना एक महंगी और दर्दनाक त्रुटि हो सकती है। वास्तव में, अनुपालन का अर्थ है कि एक कंपनी नियंत्रण के न्यूनतम सेट को पूरा करती है। दूसरी ओर, सुरक्षा में सर्वोत्तम प्रथाओं और सॉफ़्टवेयर की एक विस्तृत श्रृंखला शामिल है जो कंपनी के संचालन से जुड़े जोखिमों को दूर करने में मदद करती है।

यह समझ में आता है कि स्टार्टअप पहले अनुपालन से निपटना चाहते हैं। आज्ञाकारी होना किसी भी कंपनी के विनियमित बाजारों में भौगोलिक विस्तार और वित्त या स्वास्थ्य सेवा जैसे नए उद्योगों तक अपनी पैठ बनाने में एक बड़ी भूमिका निभाता है। तो कई मायनों में, अनुपालन हासिल करना स्टार्टअप के बाजार में जाने के किट का एक हिस्सा है। और वास्तव में, उद्यम खरीदार स्टार्टअप से अपने ग्राहक के रूप में साइन इन करने से पहले अनुपालन बॉक्स की जांच करने की अपेक्षा करते हैं, इसलिए स्टार्टअप अपने खरीदारों की अपेक्षाओं के अनुरूप सही ढंग से संरेखित कर रहे हैं।

शुरुआती सुरक्षा भाड़े के साथ स्टार्टअप सुरक्षा से निपटने के सर्वोत्तम तरीकों में से एक है।

इस सब को ध्यान में रखते हुए, यह आश्चर्य की बात नहीं है कि हमने एक ऐसी प्रवृत्ति देखी है जहां स्टार्टअप बहुत शुरुआती दिनों से अनुपालन प्राप्त करते हैं और उदाहरण के लिए, एक रोमांचक विशेषता विकसित करने या एक नया अभियान शुरू करने के लिए अक्सर इस गति को प्राथमिकता देते हैं।

अनुपालन एक युवा कंपनी के लिए एक महत्वपूर्ण मील का पत्थर है और एक है जो साइबर सुरक्षा उद्योग को आगे बढ़ाता है। यह स्टार्टअप संस्थापकों को सुरक्षा टोपी लगाने और अपनी कंपनी के साथ-साथ अपने ग्राहकों की सुरक्षा के बारे में सोचने के लिए मजबूर करता है। साथ ही, अनुपालन उभरते विक्रेताओं के साथ संलग्न होने पर उद्यम खरीदार की कानूनी और सुरक्षा टीमों को आराम प्रदान करता है। तो केवल अनुपालन ही पर्याप्त क्यों नहीं है?

प्रथम, अनुपालन का मतलब सुरक्षा नहीं है (हालांकि यह सही दिशा में एक कदम है)। अक्सर ऐसा होता है कि युवा कंपनियां अपनी सुरक्षा स्थिति में कमजोर होते हुए भी आज्ञाकारी होती हैं।

यह किस तरह का दिखता है? उदाहरण के लिए, एक सॉफ़्टवेयर कंपनी SOC 2 मानकों को पूरा कर सकती है जिसके लिए सभी कर्मचारियों को अपने उपकरणों पर समापन बिंदु सुरक्षा स्थापित करने की आवश्यकता होती है, लेकिन हो सकता है कि उसके पास सॉफ़्टवेयर को वास्तव में सक्रिय और अद्यतन करने के लिए कर्मचारियों को लागू करने का कोई तरीका न हो। इसके अलावा, कंपनी को यह देखने के लिए निगरानी और रिपोर्टिंग के लिए एक केंद्रीय रूप से प्रबंधित उपकरण की कमी हो सकती है कि क्या कोई समापन बिंदु उल्लंघन हुआ है, कहां, किसके लिए और क्यों। और, अंत में, कंपनी के पास डेटा उल्लंघन या हमले का तुरंत जवाब देने और उसे ठीक करने की विशेषज्ञता नहीं हो सकती है।

इसलिए, हालांकि अनुपालन मानकों को पूरा किया जाता है, फिर भी कई सुरक्षा खामियां बनी रहती हैं। अंतिम परिणाम यह है कि स्टार्टअप को सुरक्षा उल्लंघनों का सामना करना पड़ सकता है जो अंत में उन्हें एक बंडल की कीमत चुकानी पड़ती है। 500 से कम कर्मचारियों वाली कंपनियों के लिए, औसत सुरक्षा उल्लंघन की लागत अनुमानित $7.7 मिलियन है, आईबीएम के एक अध्ययन के अनुसार, मौजूदा और संभावित ग्राहकों से ब्रांड क्षति और खोए हुए विश्वास का उल्लेख नहीं करना।

दूसरा, स्टार्टअप के लिए एक अप्रत्याशित खतरा यह है कि अनुपालन सुरक्षा की झूठी भावना पैदा कर सकता है। वस्तुनिष्ठ लेखा परीक्षकों और प्रसिद्ध संगठनों से अनुपालन प्रमाणपत्र प्राप्त करने से यह आभास हो सकता है कि सुरक्षा मोर्चे को कवर किया गया है।

एक बार स्टार्टअप्स ने कर्षण प्राप्त करना और अपमार्केट ग्राहकों को साइन करना शुरू कर दिया, तो सुरक्षा की भावना बढ़ती है, क्योंकि अगर स्टार्टअप F-500 से सुरक्षा-दिमाग वाले ग्राहकों को प्राप्त करने में कामयाब रहा, तो अनुपालन होना अभी के लिए पर्याप्त होना चाहिए और स्टार्टअप शायद एसोसिएशन द्वारा सुरक्षित है। एंटरप्राइज़ सौदों के बाद चार्ज करते समय, यह खरीदार की अपेक्षाएं हैं जो उद्यम सुरक्षा सीमा को पूरा करने के लिए SOC 2 या ISO27001 अनुपालन प्राप्त करने के लिए स्टार्टअप को धक्का देती हैं। लेकिन कई मामलों में, उद्यम खरीदार परिष्कृत प्रश्न नहीं पूछते हैं या एक विक्रेता द्वारा लाए जाने वाले जोखिम को समझने में गहराई से जाते हैं, इसलिए स्टार्टअप को वास्तव में उनकी सुरक्षा प्रणालियों पर काम करने के लिए कभी नहीं बुलाया जाता है।

तीसरा, अनुपालन केवल ज्ञात के एक परिभाषित सेट से संबंधित है। नियामक आवश्यकताओं के अंतिम संस्करण के लिखे जाने के बाद से इसमें कुछ भी शामिल नहीं है जो अज्ञात और नया है।

उदाहरण के लिए, एपीआई उपयोग में बढ़ रहे हैं, लेकिन नियमों और अनुपालन मानकों को अभी तक इस प्रवृत्ति के साथ पकड़ना है। इसलिए एक ई-कॉमर्स कंपनी को क्रेडिट कार्ड से भुगतान स्वीकार करने के लिए पीसीआई-डीएसएस के अनुरूप होना चाहिए, लेकिन यह कई एपीआई का भी लाभ उठा सकती है जिनमें कमजोर प्रमाणीकरण या व्यावसायिक तर्क दोष हैं। जब पीसीआई मानक लिखा गया था, एपीआई आम नहीं थे, इसलिए वे नियमों में शामिल नहीं हैं, फिर भी अब अधिकांश फिनटेक कंपनियां उन पर बहुत अधिक भरोसा करती हैं। तो एक व्यापारी पीसीआई-डीएसएस के अनुरूप हो सकता है, लेकिन गैर-सुरक्षित एपीआई का उपयोग कर सकता है, संभावित रूप से ग्राहकों को क्रेडिट कार्ड उल्लंघनों के लिए उजागर कर सकता है।

अनुपालन और सुरक्षा के बीच मेल-मिलाप के लिए स्टार्टअप्स को दोष नहीं देना चाहिए। किसी भी कंपनी के लिए अनुपालन और सुरक्षित दोनों होना मुश्किल है, और सीमित बजट, समय या सुरक्षा जानकारी वाले स्टार्टअप के लिए, यह विशेष रूप से चुनौतीपूर्ण है। एक आदर्श दुनिया में, स्टार्टअप आज्ञाकारी और आरंभ से सुरक्षित दोनों होंगे; शुरुआती चरण की कंपनियों से यह उम्मीद करना यथार्थवादी नहीं है कि वे अपने सुरक्षा बुनियादी ढांचे को बुलेटप्रूफ करने पर लाखों डॉलर खर्च करें। लेकिन कुछ चीजें हैं जो स्टार्टअप अधिक सुरक्षित बनने के लिए कर सकते हैं।

शुरुआती सुरक्षा भाड़े के साथ स्टार्टअप सुरक्षा से निपटने के सर्वोत्तम तरीकों में से एक है। यह टीम का सदस्य एक “अच्छा है” की तरह लग सकता है जिसे आप तब तक बंद कर सकते हैं जब तक कि कंपनी एक प्रमुख हेडकाउंट या राजस्व मील के पत्थर तक नहीं पहुंच जाती, लेकिन मैं तर्क दूंगा कि सुरक्षा प्रमुख एक महत्वपूर्ण प्रारंभिक किराया है क्योंकि इस व्यक्ति का काम ध्यान केंद्रित करना होगा पूरी तरह से खतरों का विश्लेषण करने और सुरक्षा प्रथाओं की पहचान, तैनाती और निगरानी पर। इसके अतिरिक्त, स्टार्टअप्स को यह सुनिश्चित करने से लाभ होगा कि उनकी तकनीकी टीम सुरक्षा-प्रेमी हैं और उत्पादों और पेशकशों को डिजाइन करते समय सुरक्षा को ध्यान में रखते हैं।

एक और रणनीति स्टार्टअप अपनी सुरक्षा को मजबूत करने के लिए सही उपकरण तैनात कर सकते हैं। अच्छी खबर यह है कि स्टार्टअप बैंक को तोड़े बिना ऐसा कर सकते हैं; कई सुरक्षा कंपनियां उभरती हुई कंपनियों के उपयोग के लिए अपने समाधान के ओपन-सोर्स, मुफ्त या अपेक्षाकृत किफायती संस्करणों की पेशकश कर रही हैं, जिनमें Snyk, Auth0, HashiCorp, CrowdStrike और Cloudflare शामिल हैं।

एक पूर्ण सुरक्षा रोलआउट में पहचान और पहुंच प्रबंधन, बुनियादी ढांचे, अनुप्रयोग विकास, लचीलापन और शासन के लिए सॉफ्टवेयर और सर्वोत्तम अभ्यास शामिल होंगे, लेकिन अधिकांश स्टार्टअप के पास एक मजबूत सुरक्षा बुनियादी ढांचे के सभी स्तंभों को तैनात करने के लिए आवश्यक समय और बजट होने की संभावना नहीं है।

सौभाग्य से, ऐसे संसाधन हैं जैसे सुरक्षा 4 स्टार्टअप जो स्टार्टअप्स को पहले क्या करना है, यह पता लगाने के लिए एक मुक्त, मुक्त स्रोत ढांचा प्रदान करता है। गाइड संस्थापकों को हर चरण में सबसे आम और महत्वपूर्ण सुरक्षा चुनौतियों की पहचान करने और हल करने में मदद करता है, एक लंबी अवधि के सुरक्षा कार्यक्रम के निर्माण के लिए एक ठोस शुरुआत के रूप में प्रवेश स्तर के समाधानों की एक सूची प्रदान करता है। इसके अलावा, अनुपालन स्वचालन उपकरण इन नियंत्रणों को यथावत बनाए रखने के लिए निरंतर निगरानी में मदद कर सकते हैं।

स्टार्टअप के लिए, भागीदारों और ग्राहकों के साथ विश्वास स्थापित करने के लिए अनुपालन महत्वपूर्ण है। लेकिन अगर किसी सुरक्षा घटना के बाद यह भरोसा टूट जाता है, तो इसे फिर से हासिल करना लगभग असंभव होगा। सुरक्षित होने के नाते, न केवल अनुपालन, स्टार्टअप को एक दूसरे स्तर पर विश्वास करने में मदद करेगा और न केवल बाजार की गति को बढ़ावा देगा, बल्कि यह भी सुनिश्चित करेगा कि उनके उत्पाद यहां बने रहें।

इसलिए सुरक्षा के साथ अनुपालन की तुलना करने के बजाय, मैं उस अनुपालन पर विचार करने के लिए समीकरण का विस्तार करने का सुझाव देता हूं तथा सुरक्षा समान विश्वास। और विश्वास व्यापार की सफलता और दीर्घायु के बराबर है।

Leave a Reply

Your email address will not be published. Required fields are marked *