Una declaración común que los ejecutivos inician con respecto a la seguridad es que están en una carrera hacia el mercado y si eligen conscientemente construir la seguridad desde el primer momento, puede frenarlos tanto como sacarlos de la carrera.
Por lo tanto, eligen hacer poco o nada de seguridad desde el principio (o durante varios años), aceptando el riesgo con la esperanza de que el negocio lo haga primero.
¿Se debe hacer un desafío fuerte contra esta línea de pensamiento?
Como comenté originalmente en la otra pregunta, la seguridad no puede ser la principal, ni siquiera una preocupación principal. A veces, durante ciertas fases de la puesta en marcha, realmente necesita concentrarse en desarrollar rápidamente las funciones necesarias para impulsar el producto y aplicar parches de seguridad según sea necesario. La seguridad puede interferir fácilmente con las operaciones, la productividad de los empleados y el desarrollo más lento. Aunque si el suyo es un producto o negocio relacionado con la seguridad, es posible que necesite una seguridad a prueba de balas desde el principio, realmente no puede generalizar y decir que todas las empresas deben centrarse en la seguridad desde el principio. (Sony, al ser lo suficientemente grande, necesita aprender muchas lecciones sobre el desarrollo de software en el nuevo siglo, no solo sobre seguridad).
Dicho esto, las prácticas de seguridad y la seguridad práctica deben ser un factor en la mente de todos los empleados técnicos. ¿Dónde puede agregar seguridad sin meterse en el camino de la gente? No existe el 100% de seguridad, entonces, ¿cuánta seguridad es suficiente?
¿Se debe hacer un fuerte desafío contra el retraso de la seguridad? No, no lo creo. A menos que la industria esté regulada por leyes.
Es por eso que la seguridad de la información a veces es similar a la administración de riesgos. Minimiza el riesgo lo mejor que puede (lo que generalmente significa dentro del presupuesto), no lo elimina totalmente.
Por lo tanto, retrasar la seguridad es una forma de aceptar el riesgo. Con suerte, esta aceptación solo dura poco tiempo porque cuando los ejecutivos hacen eso, en realidad están tomando préstamos del futuro. Cuando llegue la fecha de vencimiento, bueno, digamos que sería embarazoso, desordenado y, a veces, incluso devastador.
Más información sobre esta línea de pensamiento se puede encontrar en Veracode:
Estoy de acuerdo con el ejecutivo. Si nos fijamos en el número de startups que han fallado debido a una brecha de seguridad, en comparación con el número de startups que han fallado debido a la pérdida de la carrera para ser el primero, creo que está claro que este último supera ampliamente al primero.
Las empresas de nueva creación tienen que ver con tomar riesgos para llegar a la gran victoria. Hay tantas formas en que una startup puede fallar. Decir que aceptamos una pequeña probabilidad de que el inicio falle debido a una violación de la seguridad no es tan importante, si el beneficio es que conseguimos reducir significativamente el riesgo de que el inicio falle por otras razones.
Creo que el ejecutivo está proponiendo una estrategia plausible: está diciendo que aceptamos algunas deudas de seguridad ahora, a cambio de llegar a la meta más rápido. Esto le costará a la compañía más adelante: la compañía tendrá que pagar la deuda de seguridad más tarde, re-diseñando / reimplementando sus sistemas, o de lo contrario, la compañía estará tomando un gran riesgo de una violación grave de seguridad. Pero muchas nuevas empresas aceptarían felizmente esa compensación. "Pague más tarde, si el inicio es un gran éxito" probablemente triunfe "pague ahora, y posiblemente haga que el inicio falle".
Aquí está mi consejo. En lugar de intentar que el ejecutivo cambie de opinión, te sugiero que hagas dos cosas:
Inculque la noción de "deuda de seguridad". Prepare el trabajo de base para que, si la empresa tiene éxito, más adelante tendrá un compromiso para pagar la deuda de seguridad y mejorar la seguridad de los sistemas de la empresa.
En este momento, concéntrese en mecanismos de seguridad baratos que no frenen la capacidad de la empresa para llegar a la meta. Estoy hablando de cosas simples como cortafuegos, actualizaciones automáticas, copias de seguridad, etc. Además, puede generar ideas y desarrollar soluciones o diseños de seguridad más sofisticados en paralelo al esfuerzo de desarrollo del equipo, para que no ralentice el resto del equipo: suponiendo que la empresa pueda ahorrarle ese tipo de esfuerzo.
Parasites no solo arruinará sus flujos de ingresos potenciales para productos / servicios, sino que también arruine su marca / reputación temprana, y destruya su capacidad para comercializar sus productos / servicios. Romperán su SEO, AdWords y conceptos de marketing en Internet similares, que son necesarios para desarrollar su presencia en línea.
Los adversarios automatizan la infección parasitaria de sitios web con botnets y otras formas de automatización, lo que hace que cada sitio web sea un objetivo potencial, especialmente aquellos en modo de inicio (porque a menudo dependen del alojamiento de terceros / CMS / blog / forum / e -paquetes, componentes, servicios, etc).
Recientemente configuré un servidor FTP desde casa porque trabajo de forma remota y quería que los colegas y los clientes pudieran transferir archivos grandes durante la noche (otra parte del mundo). Me sorprendió mucho descubrir cuántos intentos (automatizados) se realizan cada semana para acceder a mi servidor FTP, solo un pequeño servidor doméstico sin publicidad. Me ha convencido de que no puedes ser lo suficientemente paranoico: la gente intentará entrar y robar tus datos o los datos de tus clientes. Cualquier cosa menos que hacer tu mejor seguridad en faltas es un error
La seguridad se trata de la gestión de riesgos, que en última instancia es una decisión empresarial.
Debe ayudar a su ejecutivo de inicio a comprender no solo cuáles son los riesgos, sino también los costos de implementación que se diferenciarán entre hacerlo ahora y más adelante. Tratar de integrar la seguridad en el software después de su lanzamiento es difícil y mucho más costoso.
Si esto es una carrera hacia la línea de meta, entonces ofrezca soluciones que no impidan su progreso. Los desarrolladores e ingenieros aún pueden crear software mientras trabajas en paralelo con ellos. Trate de encontrar una solución de compromiso que:
Una respuesta que se ha perdido hasta ahora es la de incluir la seguridad en la agenda como un valor agregado para el inicio. Esto puede ser efectivo, especialmente en industrias que recientemente han tenido un ataque altamente publicitado. Si los VC o las partes interesadas pueden entender cómo la seguridad mejorada puede ayudarlos a vender el servicio del producto, entonces se convierte en un argumento que pueden entender: ¡ganancias!
Sí, puede ser muy difícil persuadirlos, y mucho se reduce al tiempo; como dije, es mucho más fácil después de algo como el crack de PSN impulsar el concepto de seguridad como un valor agregado para una compañía que realiza juegos en línea, pero lamentablemente no es tan fácil de usar el mismo ejemplo en una industria diferente, a pesar de que ¡El problema se refería al compromiso de los datos personales de una base de datos de clientes, que debería ser relevante para todos!
¿El ejecutivo es bueno con la gestión de la empresa sin ningún tipo de seguro? Si es así, escuche lo que todos los demás han dicho hasta ahora (y huya de esta empresa, rápido), si no, pregúnteles por qué lo están haciendo y luego no piense en la seguridad.
Usted puede tomar el enfoque práctico. Tome el permiso y contrate a (preferiblemente) un probador de penetración junior y deje que "robe" el secreto de empresa más importante que tenga, o encuentre algún otro defecto importante, o incluso realice un ataque de ingeniería social (como enviar un archivo pdf malicioso a una secretaria) . Luego, presente al ejecutivo los hallazgos y concéntrese en los daños a la reputación (ahí es donde las startups son las que más perjudican).
Pen & los escenarios en papel no son tan efectivos para demostrar la inseguridad como sus secretos a la vista. Eso debería convencerlos de que al menos piensen en poner algo de dinero en seguridad.
El argumento que se debe presentar aquí no es que usted sea inseguro, sino la facilidad con la que alguien con poca experiencia puede incursionar o encontrar una falla grande que podría haberse evitado con una inversión de seguridad mínima.
Puedes tener saldo.
No abra CUALQUIER puerto innecesario, y mantenga sus cosas de "administrador" restringidas a la LAN o a ciertas IP de administrador conocidas. De esa manera, al menos las cosas sobre las que estás tomando atajos se convierten en internas solamente.
Se debe esperar que todas las startups sigan principios de seguridad prácticos y básicos. Si no puede invertir en seguridad de la manera que desea, confíe en la simplicidad y un pequeño inconveniente de su parte para reducir el área de superficie de ataque.
Si su ejecutivo no puede comprender el concepto de seguridad de TI como un problema de riesgo empresarial, no es el adecuado para la posición en sí (porque la gestión de riesgos debe ser un tema clave desde el principio) o nadie pudo hacerlo / Ella es consciente de este problema.
Conocer y aceptar riesgos es un enfoque válido para todas las empresas.
Es el trabajo de un ejecutivo para administrar los riesgos. Si cree que la seguridad debería retrasarse, es su decisión tomar esa decisión.
Dicho esto, debes asegurarte de que sea una decisión educada. Como siempre, esto necesita una lista tan completa como sea posible de amenazas, probabilidades y posibles daños que puedan ocurrir. Así, por ejemplo, alguien podría robar la base de datos de clientes. O se podría instalar una puerta trasera en sus productos.
El problema aquí es que la probabilidad es a menudo desconocida o estás en una situación N * M donde N es la probabilidad y M es el daño y N es mucho más pequeño que M. es como las plantas nucleares en Japón: el daño posible es enorme pero la probabilidad de un incidente es realmente muy pequeña. "Una vez en 100'000 años". Esa "una vez" puede ser mañana (y fue en varios casos como todos hemos visto). Entonces, en este caso, el número resultante es bastante inútil.
Lo que haría sería asegurarme de que el ejecutivo esté tomando una decisión educada: conectaría su salario con el riesgo. Si tiene razón, recibe una bonificación de grasa. Si se equivoca, los daños deben ir en contra de su riqueza personal, primero.
Este tipo de red de seguridad generalmente se asegura de que las personas no se arriesguen demasiado. Pero también puede detener su inicio ya que el administrador podría dejar de tomar riesgos.
Como se señaló en otras respuestas y comentarios, los dos argumentos más comunes para desarrollar la seguridad desde el principio pueden, probablemente, ser rechazados en un entorno de inicio presionado por el tiempo:
Esto no es solo un problema con la seguridad, también afecta a otros indicadores de calidad como la facilidad de uso y la capacidad de mantenimiento.
Hay un argumento que es específico para las startups, y puede indicar dónde se encuentra el equilibrio adecuado para este entorno: ¿Qué sucede si los problemas de seguridad requieren que realice cambios intrusivos una vez que el producto haya adquirido un número significativo de usuarios?
Sabemos que el software a menudo termina siendo utilizado de manera diferente a como lo habían previsto los creadores. De ello se deduce que lo que los diseñadores vieron como características clave puede no ser lo que los usuarios se unen para. Esto hace que juzgar si un cambio interrumpirá la adherencia o la adquisición del usuario será muy difícil. Una decisión de diseño que hubiera sido completamente aceptable para los usuarios como parte del producto inicial puede incluso causar una reacción negativa si se cae sobre los usuarios existentes del producto.
Una revisión para minimizar los cambios requeridos después de que el producto tenga usuarios debe poder venderse en este argumento. Es probable que también sea el nivel adecuado de actividad de seguridad para una startup comprometida en una carrera precipitada para ser el primero en el mercado.
¿Este ejecutivo teme la mala prensa?
Mire lo que está pasando con Dropbox últimamente: Dropbox mintió a los usuarios sobre la seguridad de los datos, la queja a la FTC .
Estoy seguro de que no están contentos con este tipo de atención.
Considere el modelo de negocios de su startup y dibuje algunos escenarios de mal caso en los que la falta de seguridad podría no solo traer mala prensa, sino también reducir el negocio.
Cuando inicias una nueva empresa, no tienes reputación fuera de los líderes que pueden tener sus elogios previos en tecnología / biz. Como resultado, si una empresa nueva tiene una tarjeta de infracción de seguridad frente a ella, el daño a la reputación será considerable. Lugares como Sony, TJX, Michael son grandes compañías que pueden soportar tal golpe, pero si un ejecutivo de una startup siente que puede sobrevivir a una brecha como una startup, tiene una visión ingenua y miope sobre la gestión básica de riesgos. Esencialmente, en tal caso, una pequeña empresa nueva quedaría a merced de su competencia y de la prensa, lo que fácilmente podría abrumar las mentes de sus posibles compradores al dañar su imagen de la capacidad de la empresa para proteger a los clientes o datos regulados o simplemente acceder a sus infraestructura.
Lea otras preguntas en las etiquetas business-risk