Das Leben jedes Unternehmens hat einen Übergangspunkt, und dann müssen sie engagiert sein [cyber]Sicherheitspersonal. Dies geschieht jedoch selten zu Beginn des Lebenszyklus des Unternehmens. Wie erwartet kommt es reaktiv und ist zu spät, um größere Probleme zu vermeiden.
Wann planen Unternehmen, Sicherheitspersonal einzustellen? Während sicherlich domänenspezifisch ist, ist die Sicherheitsbeschäftigung scharf und bedarfsgerechter als andere Rollen. Wenn ein Unternehmen davon ausgeht, dass die Beschäftigung von Marketing die Nachfrage -Gen verbessern könnte, experimentieren sie mit solchen Rollen. Die meisten Menschen sehen die Sicherheitsbeschäftigung jedoch als eine „Just-in-Time“ -Rolle, in der sie beschäftigt ist.
Dies erfolgt normalerweise aus zwei Gründen.
- Die Gründer haben schlechte Erfahrungen mit früheren Unternehmenssicherheitsteams gemacht und befürchten, wie die Beweglichkeit ihres Unternehmens durch die Einbringung solcher Funktionen behindert werden kann.
- Gründer glauben nicht, dass Sicherheitsteams einen positiven Wert haben. Es ist nur erforderlich, Unternehmenstransaktionen zu sichern.
Der erste Grund ist schmerzhaft und dankenswerterweise eine neue Generation von Cybersicherheitsoperatoren, die sich die Zähne schneiden, sodass es sich langsam verbessert. Letzteres ist grundsätzlich falsch und glaubt an ein tiefes Missverständnis von Gewinnen, die alle Funktionen bringen können, die auf den Markt gehören.
Lassen Sie uns heute darüber sprechen, welche Kernsicherheit ein Skalierungsunternehmen benötigt, und in einem Rahmen, mit dem Kunden konsultieren, um Wege zusammenzustellen, um sie effektiv mit ihnen umzugehen, ohne dass ein idealerweise teurer CISO eingestellt werden muss.
Ein Freund erzählte mir kürzlich, dass alle SaaS -Unternehmen in letzter Zeit SOC 2 benötigen, um an jeden zu verkaufen. Egal wie frustrierend Sie sind, das ist ein gültiger Punkt (bitte lassen Sie Ihre Sicherheitspraktiken nicht schwächen, insbesondere durch die Commoditisierung der Sicherheitsauthentifizierung in Soc 2).
Es ist jedoch wichtig, SOC 2 als Capstone-Ausgabe von Sicherheitspraktiken aus vorteilhaften Merkmalen (und wirkungsvollere, aber weniger bekannte Cousin ISO 27001) abzubauen, die den Geist von Soc 2 untermauert.
Sicherheit kann abgebaut werden, um drei Hauptdomänen bereitzustellen:
- Schutz des Unternehmens (d. H. Mitarbeiter)
- Schützen Sie Ihre Plattform
- Kunden schützen (durch Schutz des Produkts)
Diese können in Kategorien der zweiten Ebene unterteilt werden.
Dieser Satz von Sekundärkernbedürfnissen gilt auf unterschiedliche Weise für verschiedene Domänen (Betrug und Plattformmissbrauch müssen ab Beginn des Unternehmens auf Fintech angegangen werden). Einige sind für Unternehmen mit Differentialstadien völlig unnötig (Saatgut -Unternehmen ohne Produkte müssen keine Infrastruktur sichern).
Dies bietet einen losen Rahmen für das, was für die verschiedenen Phasen des Unternehmens am relevantesten ist. Die Erinnerung, dass dieser Rahmen gemäß der Domäne und der Ebene der Entwicklungsreife des Gründungsteams geändert werden sollte (dies ist noch relevanter, wenn Sie dies verhindern).
Bevor der Finanz Mitbegründer den Kaffee erstickt, bedeutet dies nicht, auszugehen und den Cloud -Streik zu kaufen (ehrlich gesagt, nicht in den meisten Phasen – es gibt eine bessere Option).
Das bedeutet Geld ausgeben. In diesen Phasen gibt es hervorragende und kostengünstige Lösungen. Sie können Okta für 60 US -Dollar pro Person und Jahr kaufen, sollten Ihre Budgetprognose nicht brechen. Für eine 5-Personen-Saatgut-Bühnenfirma wurden diese 300 US-Dollar über eines von Ihnen und alle Dokumente gestohlen.
In Ihrer Artenphase müssen Sie Ihr Team und Ihr Team, einen vollständigen Stopp, sichern. Dies verleiht Ihrem Sicherheitsniveau und Ihrer Kultur, die weiterhin als Ihre Größe bezahlt werden, finanzielle Strenge. Kostenloser betrachten wir normalerweise einige weitere Softwarelizenzen. 100 Dollar pro Jahr Für jeden Mitarbeiter (verwandte Akronyme – EDR, SSO, Scim).
Serie A muss sich darauf konzentrieren, die Sicherheit Ihres Produkts richtig zu machen. Dies sollte schwer zu handhaben sein, bevor Sie neun Monate lang wieder eine funktionale Fabrik sind. Dies wird Sie vor der Erstellung von Löchern schützen, die viele andere Unternehmen beeinflusst haben und sie anfällig machen. Dies wird etwas teurer, aber es ist genauso wertvoll wie zuvor. Einige der Kosten, die Sie sehen sollten, sind:
- Mindestens einer Ihrer Entwickler schult Sie zu einer Sicherheit, die fließend ist – (einmal einmal) $ 2K- $ 4K
- Verwundbarkeitsverwaltung (Software, Maschinen) – (jedes Jahr wiederholt) $ 2k – $ 5k
- Sicherheitsbewertung/Stifttest – (jedes Jahr wiederholt) $ 10k – $ 80k (Der Bereich hängt von der Anzahl der Clients und der Größe der Codebasis ab. Zum Beispiel Web+Mobile+IoT)
- Cloud -Sicherheitstools – (monatliche Zahnräder Impact) $ 500 – $ 5K (Auch hier hängt es tatsächlich vom Infrastruktur -Fußabdruck ab)
Es gibt eine Cottage -Industrie für andere Nischen -Tools, aber dies ist ein grundlegendes Toolset für die Bekämpfung Ihrer Serie A CORE -Anforderungen (verwandte Akronyme – CNApp, Asm).
Serie B beginnt oft das Beste, um sicherheitsorientierte Mitarbeiter einzustellen. Dies liegt daran, dass es sich um einen Trefferpunkt handelt und es genügend Arbeit gibt, um die Rolle eines Vollzeit-Sicherheitsbetreibers zu rechtfertigen. Wenn Sie sich in einer reifen Missbrauchsbranche (Zahlungsverarbeitung, Kommunikation usw.) befinden, sollten Sie in Sicherheitssysteme investieren, die einen solchen Betrug erkennen und schützen. Wenn Sie nicht erkennen, dass dies oft die Phase ist, in der das kollektive Hacking einen Nachrichtenwarnungsauslöser aufstellt (ja, sehen sie Unternehmen an, die Kapital aufbauen, um zu wissen, wer das beste Ziel ist. Die Schätzung der erwarteten Kosten hier ist unglaublich, aber wir werden davon ausgehen, dass Sie normalerweise ein oder zwei Sicherheitsbetreiber einstellen. Mitte der Mitte des Stufe beträgt normalerweise ~ 10.000 US-Dollar.
Alle oben genannten Aggregation:
- Saatgutstufe – Erwarten Sie, 100 US -Dollar pro Jahr pro Person auszugeben
- Serie a – Erwarten Sie, 20.000 US -Dollar auszugeben – $ 100Ka (wenn Sie eine engere Reichweite wünschen, verbinden Sie sich mit uns!)
- Serie b – Erwarten Sie 300ka -Zusatz.
Soll ich einen Ciso einstellen?
Wir wissen, dass das durchschnittliche CISO -Vergütungspaket zwischen 300.000 und 650.000 US -Dollar liegt. Wahrscheinlich nicht In diesen Phasen (wieder gibt es in der Regel Ausnahmen auf der Grundlage der Domäne).
Stattdessen konzentrieren wir uns darauf, jeden der oben genannten Anforderungen in einem systematischen Prozess zu befriedigen. Bedeutet das, dass Sie niemanden mit Sicherheitskompetenz einstellen sollten, wenn Sie möchten? Nein, sie sind Experten, Sie sind es nicht. Aber es gibt ein feines Fenster, wenn Sie Ihre erste Sicherheitsbeschäftigung durchführen müssen. Dies kann verzögert werden, indem die Best Practices (häufig fraktionelle CISOs oder Sicherheitsunternehmen) die Sicherheitsverbindlichkeiten vermitteln.
