初创公司往往是由那些有想法并希望尽快付诸行动的人创造的。资金通常很紧张,费用很高,产品开发,促销以及其他所有产品都是如此。在管理优先事项时,新兴企业往往忽视与信息安全相关的问题。这篇文章是关于为什么不应该那样做的。
黑客的肉是初创公司的毒药
许多创业公司试图节省安全性,相信资源有限的小公司对网络犯罪分子不感兴趣。事实是,任何人都可能成为网络犯罪的受害者。首先,因为许多网络威胁规模庞大,他们的发起者瞄准范围广泛,试图尽可能多地打击,希望至少有一些能产生回报。其次,创业公司通常受到弱保护,为网络犯罪分子提供了有吸引力的目标。
虽然公司有时会花费数月时间从网络攻击中恢复过来,但一家小公司可能根本无法生存。2014年,敌对的网络犯罪行动导致一家名为Code Spaces的初创公司关闭,该公司是一家提供联合项目管理工具的托管服务提供商。攻击者访问了公司的云资源,并摧毁了相当一部分客户的数据。服务所有者尽可能多地恢复了数据,但他们无法恢复正常运行。
可能会让您失去业务的几个错误
为了正确保护您的启动,在预算有限的情况下,您可能需要在启动之前构建威胁模型 - 以确定哪些风险与您的业务相关。在这里,我们通过报道许多首次创业者的典型错误来帮助您。
1.缺乏有关个人数据存储和处理法律的知识
许多政府试图维护其公民的安全。欧洲有GDPR,在美国有不同行业和州的多种行为。无论您是否阅读过这些法律,所有这些法律都适用。
违反相关法律要求的惩罚可能会有所不同,但疏忽很可能会给你带来相当大的损失:至少是罚款 - 也是一个很大的罚款。在最坏的情况下,您必须暂停操作,直到您消除了与相关法律有关的任何不符合。
一个更重要的细节:有时法律覆盖范围比您预期的要宽。例如,GDPR适用于处理欧洲公民数据的所有公司,甚至是来自俄罗斯或美国的公司。因此,最好的政策是研究您的国内法规以及您的合作伙伴和客户的法规。
2.云资源保护不力
许多初创公司依赖公共云服务,例如亚马逊AWS或谷歌云,但并非所有初创公司都对这些存储空间使用适当的安全设置。在许多情况下,具有客户端数据或Web应用程序代码的容器最终只受弱密码保护 - 内部公司文档可以通过直接链接访问,并且对搜索引擎可见。因此,任何人都可以掌握关键数据。有时,为了保持简单,创业公司将重要文件留给Google Docs中的任何人 - 只是因为他们忘记限制访问这些文档。
3.面对DDoS攻击时毫无准备
DDoS是一种有效的网络资源下载方式。在暗网上,这种服务相对便宜,因此对于竞争对手和网络犯罪分子而言都是相当实惠的,他们需要它们作为更复杂的敌对企图的掩护。
2016年,由于持续的DDoS攻击,一项名为Coinkite的加密货币电子钱包服务被迫关闭。根据它的开发人员的说法,他们推出这项服务后并没有及时的平静。在坚持了几年后,该公司放弃并重新专注于硬件钱包。
4.员工意识不强
人们往往是任何特定企业的薄弱环节。攻击者完全了解它并使用社交工程技巧来渗透企业网络或剔除机密信息。
对于雇用自由职业者的公司而言,意识不强对于双重危险:控制他们用于工作的设备和网络可能是一项挑战。因此,激励和引导所有工人走向以安全为中心的态度是非常重要的。
你的创业公司如何能够维持下去?
为了避免让自己暴露于网络犯罪分子并继续经营,在制定业务计划时应适当考虑网络安全:
- 找出哪些资源首先需要保护,以及您可以在最早阶段提供哪些安全工具。事实上,许多保障措施不会涉及太多费用。
- 使用强大的密码来保护您的工作设备和帐户。我们的卡巴斯基小型办公室安全解决方案包括Kaspersky Password Manager实用程序,可生成强大的密码并将其存储在加密容器中。不要忽视双因素身份验证 - 这些天你几乎可以找到它,它确实有效。
- 彻底检查您计划运营的国家/地区的数据存储法律,并确保您公司的个人信息存储和处理工作流程与这些法律兼容。如果可能的话,请向律师咨询有关每个市场的陷阱和陷阱。
- 密切关注第三方服务和软件的安全性。您使用的协作开发系统受到多大程度的保护?您的托管服务提供商安全吗 您使用的开源库中是否存在任何已知漏洞?这些问题至少应该与最终产品的消费者属性一样令您感兴趣。
- 提高员工的网络安全意识,鼓励他们自己深入研究这一主题。如果您的公司没有网络安全专业人员(通常是初创公司),请找一个至少对此事有兴趣的人,可以从我们的博客开始。
- 不要忘记计算机基础设施保护。我们为预算有限的新兴公司提供解决方案。它将有助于自动化对工作站和服务器的安全监督,并在线进行安全支付。不需要管理技能。