La situación: Un inicio de SaaS establecido con < 100 empleados, un gran equipo de desarrollo y varios ingenieros de redes autodidactas. Nuestro negocio implica el manejo tanto de la PII como de los datos de pago.
A medida que crecimos y dado el enfoque creciente en infosec, hemos estado recibiendo más demandas de los clientes de conformidad con ISO y NIST, informes SOC 2 y la amenaza inminente de PCI.
En este punto, nuestra infraestructura es razonablemente segura, pero las políticas y los procedimientos son muy ecológicos y la mayoría de ellos se ponen en práctica para satisfacer la demanda de un cliente.
Mi pregunta es: ¿Cómo debería una compañía enfocar el desarrollo de un programa de cumplimiento de seguridad más maduro y qué costos son razonables para que una empresa de este tamaño gaste?
La mayoría de los consultores recomiendan comenzar con una evaluación de riesgos de seguridad, luego realizar un análisis de brechas y luego consultar según sea necesario para desarrollar una política hasta que sea compatible.
Los abogados recomiendan trabajar directamente con una empresa para todo. En este tamaño, ¿debería una empresa comenzar a pensar en contratar a un especialista en cumplimiento de seguridad dedicado en más de $ 120,000 por año? ¿O es simplemente una cuestión de decirle a los ingenieros de la red que abandonen sus proyectos y comiencen a deshacerse de ISO y NIST durante los próximos meses?
TLDR: ¿Cuál es un enfoque sensato para comenzar a crear un programa de cumplimiento de seguridad maduro para una empresa pequeña o mediana? ¿Son los consultores una necesidad o solo se necesita grasa para el codo? ¿Dónde debe gastarse el dinero , dónde es una buena idea gastar y qué es un desperdicio?