本文作者仅代表个人观点。狗万官方
许多小型企业,尤其是预算有限的初创企业,倾向于把信息安全视为事后考虑,在资金允许的情况下再加进来。这种态度在二三十年前可能是合理的,但现代网络犯罪、数据安全和隐私的格局使这种态度在现在变得不可能了。
保护公司信息、知识产权、客户数据和物理IT系统是现代公司(无论大小)的基本业务功能。数据泄露很常见,代价高昂,可能会损害企业的声誉长达数年。
作为一名网络狗万官方安全行业的创业者,我深知年轻的创业公司在形成初期评估自己的信息安全状况,以确定要实现的重点和预算的适当比例是多么重要。
企业家为狗万官方什么推迟网络安全
创业的世界就像狂野的西部。这是一个混乱、竞争激烈的世界,你做得很好往往只是为了生存。根据考夫曼基金会(Kauffman Foundation)的数据,美国约有22%的初创公司在第一年就倒闭了。在一些州,第一年的失败率高达37%。无论是自筹资金还是利用风险投资,第一年的每一分钱都对公司的短期生存至关重要。
初创公司的预算与老牌公司的年度预算构成不同。通常,第一年预算中更大的一部分用于初始基础设施和IT采购、员工招聘、广告宣传、借款成本和其他必要支出。由于不清楚何时或有多少利润会开始出现,预算很紧张,在无关的事情上几乎没有浪费。
许多创业者狗万官方在创业初期并没有把信息安全作为优先考虑的事项。如果它不被认为是一个直接的威胁或费用,那么它很容易在未来的道路上解决。一家不知名、客户基础有限的小公司可能觉得自己不需要太多保护,以防范潜伏在暗处的黑客。但这种说法可能会反过来伤害一家年轻的公司。
相关:什么是DARKSIDE,让世界警惕的网络犯罪勒索软件组织?
数字隐私的新时代
这个问题正在变得更糟,而不是更好,而且在可预见的未来,这种情况可能会继续下去。不良行为者正在利用封锁造成的新安全漏洞,以及Covid-19大流行导致的远程工作增加。
遏制网络犯罪如此困难的原因之一是,它发展迅速,并以不可预测的方式适应安全措施。当恶意软件攻击的数量由于更好的安全性和意识而下降时,网络钓鱼计划就会上升并取代它们的位置。当大公司和政府机构开始加强他们的IT基础设施时,黑客就会把注意力转向更小、更脆弱的目标。
根据行业和每个业务的性质,年度网络安全预算占公司整体IT预算的比例可能低至2%,高至20%。他们通常在5%到10%之间。然而,随着威胁的演变,这一比例在总美元和预算的比例上都在增加。成为数据泄露受害者的消费者开始要求与他们有业务往来的公司提高安全性和隐私性,这使得信息安全每年都变得更加重要。
等待的成本和风险
除了支持系统抵御攻击的成本增加之外,减轻IT安全漏洞后果的成本也在上升。代价取决于泄露的性质和泄露的数据量,但在最糟糕的情况下,它可能会持续增长数年。近年来,在遭受重大网络攻击后,一些较大的公共和私人实体被迫花费数百万美元用于事件响应活动。应对事件或漏洞的成本、管理公关后果的成本,以及不得不花费资本清理灾难所带来的机会成本,都使维持足够的年度信息安全预算的成本相形见绌。
黑客们并没有因为这场大流行而休息——事实上,他们正在加紧行动。今年1月,黑客通过一个共享的中文数据库窃取了约2.14亿脸书、Instagram和领英用户的信息。一个月后,被黑客劫持T-Mobile SIM卡通过社会工程,在过程中披露客户信息。战术上的差异使得挫败攻击成为一个持续的挑战。公司能够也确实在这些事件中幸存下来,并最终恢复业务,但在失去利润、市场份额和声誉之前——其中一些可能永远无法恢复。
虽然没有什么信息安全计划是牢不可破的,但一个强大的、最新的、管理良好的安全态势可以阻止大多数攻击,减轻确实发生的攻击造成的损害,并显著降低未来的事件响应和恢复成本。在企业加大运营力度后,对系统进行改造或增加安全措施的成本也会高得多。
让保安进入一楼
保持强大网络安全态势的最佳方法之一是采取全面的方法。从一开始,安全就应该成为企业心态和文化的一部分,特别是对于与技术相关的公司或那些必须处理大量客户数据的行业。这并不意味着安全问题会超出年轻初创公司的预算,但一点计划和一些相对便宜的措施可以最大限度地利用早期的IT支出,并在以后节省资金。
年轻的企业应该在开始之前评估其行业和特定IT基础设施面临的现实网络威胁形势。专业的网络安全顾问可以帮助您清楚地了解短期和长期需要什么。确保在员工和管理层之间建立一种安全和最佳实践的文化,强调一些简单的黑客入侵,如网络钓鱼和其他社会工程技术。实施定期培训和评估,并在最高级别树立好榜样。
如果最初不具备专门的IT安全团队或个人,可以考虑外包虚拟首席信息安全官(vCISO)服务。对于许多小企业来说,vCISO是一种负担得起的选择,随着企业的发展,它可以为您提供宝贵的安心。
数据泄露在很多层面上都代价高昂。来自公司的信件和电子邮件告诉客户,他们的信息已经或可能已经被泄露,这已变得司空见惯。这些沟通通常会提供一段免费的身份盗窃监控时间,或者其他“橄榄枝”来缓解痛苦。但损害已经造成。数据泄露不仅会损害一家公司在消费者中的声誉,而且未来的投资者可能会犹豫是否要与一家被视为数据负担沉重的公司合作。当您的公司刚刚起步时,似乎很难证明在信息安全方面投入资金是合理的,但是等待的时间越长,在您最需要的时候将其构建到您的组织中就越困难和昂贵。