Все, что стартапам нужно знать о создании программы по обеспечению безопасности
Основы программы безопасности для стартапов все, что нужно знать о ее создании
С учетом возрастания киберпреступности по всему Великобритании и увеличения числа атак на малые и средние предприятия, безопасность стала важнее, чем когда-либо.
Даже если вы считаете, что ваш бизнес защищен от утечек данных и кибератак, если вы не можете продемонстрировать это потенциальным клиентам, ваша команда по продажам может упустить возможность заключения сделок, способных приносить рост. Это особенно важно для крупных клиентов, которые часто требуют, чтобы потенциальные партнеры демонстрировали соответствие некоторым ключевым мерам, таким как ISO 27001 и SOC 2.
Все это означает, что соблюдение требований безопасности больше не может быть просто плюсом для стартапов в Великобритании startups.
Программы соблюдения требований безопасности помогают вашей организации идентифицировать, внедрять и поддерживать соответствующие меры безопасности, чтобы защитить конфиденциальные данные, соблюдать законы и контрактные обязательства, а также соответствовать стандартам, регулирующим требованиям и рамкам, необходимым для защиты клиентов и обеспечения успеха бизнеса.
Шаги для начала работы
Шаг 1: Определите свои организационные цели и потребности
Вы начинаете программу для закрытия сделок? Хотите активно демонстрировать доверие или соответствие? Что вы пытаетесь достичь и почему? После ответа на эти вопросы мы рекомендуем определить желаемое конечное состояние, привлечь ключевых заинтересованных сторон и выстроить с ними согласование. Чем подробнее вы сможете сказать о своих целях и желаемом конечном состоянии, тем легче будет работать в обратном направлении к достижению целей и привлекать других.
- Сэм Бэнкман-Фрид не обманул всех – только технологическую эли...
- DeepMind говорит, что новый искусственный интеллект – самый т...
- Превратите свой iPad с помощью Магической клавиатуры за меньше чем ...
Перед тем, как беспокоиться о том, какой стандарт внедрить или какие инструменты купить, важно убедиться, что эти цели делают больше для организации, чем просто разблокирование сделок или решение одной проблемы.
В Vanta мы используем наши усилия по соблюдению требований безопасности как множитель сил везде, где это возможно. Например, известный процесс соблюдения в одной бизнес-единице может быть адаптирован для работы в другой, что может упростить межфункциональную работу и согласование между разными проектами.
Шаг 2: Определите свою дорожную карту и сроки
Разбейте свою дорожную карту на конкретные вехи, которые можно отслеживать и к которым можно стремиться. Кроме того, обдумайте, есть ли какие-либо зависимости, которые нужно учесть и как они взаимосвязаны.
В этом шаге следует определить ответы на вопросы, такие как:
- Какие известные технологические потребности или пробелы у нас есть?
- Предполагаем ли мы, что нам придется инвестировать в дополнительные инструменты или поддержку?
- Понимаем ли мы технические требования того, чего мы хотим достичь?
- Строим, покупаем или ищем партнера?
Например, если вы хотите построить и планируете нанять сотрудника на эту должность, обратите внимание на то, нужен ли вам менеджер, способный выставлять направление, или исполнитель, готовый взяться за дело. Это особенно важно для ключевой роли, такой как первый сотрудник по соблюдению требований безопасности.
Если вы решите купить или найти партнера, обратите внимание, могут ли услуги виртуального CISO (виртуального главного специалиста по информационной безопасности), управляющего по эксплуатации (MSP) или других неполных ресурсов решить ваши потребности и задачи более эффективно с точки зрения затрат. Это особенно важно, если у вас очень широкая технологическая платформа или сложные операции, так как у фирмы MSP или виртуального CISO обычно есть доступ к большему количеству экспертных ресурсов, чем у одного человека.
Если вы создаете программу с нуля или в первый раз, возможно, более эффективным будет использовать доверенное третье лицо для дополнения ваших работ, а не нанимать одного или нескольких сотрудников на полную ставку для создания программы внутри компании. В любом случае вам, скорее всего, потребуется человек или команда, имеющие знания в области конфиденциальности и/или соблюдения требований, а также технические знания в области инженерии.
Определение ваших целей также включает измерение прогресса и обеспечение того, чтобы то, что вы измеряете, было связано с вашими намеченными результатами. В процессе разработки программы обязательно определите ключевые показатели, которые помогут вашей организации понять и сообщить о достижениях и результатах вашей программы обеспечения безопасности.
Помните, что вам придется определить приоритеты в создании их последовательности. Это особенно важно, учитывая то, что у вас, скорее всего, есть длинный список задач, а также больше инструментов и потребностей, чем у вас есть бюджета. Мы в Vanta подходим к этому, согласовывая нашу программу соблюдения требований безопасности со стратегическими целями нашего бизнеса, что также позволяет нам удовлетворять потребности наших клиентов и обеспечить успех всего бизнеса.
Как подсказку, наша команда любит ссылаться на пять ограничений организационной компетентности Verizon, описанных в их Отчете о платежной безопасности за 2019 год, чтобы структурировать наш подход к программе соответствия. Эта рамка выделяет важность емкости, способности, компетентности, приверженности и коммуникации как ключевых элементов здоровой и эффективной программы по защите данных. Мы рекомендуем ознакомиться с ним, если вам интересно!
Шаг 3: Определите приоритеты и начните строить
Теперь, когда вы понимаете свои потребности и сроки, настало время определить приоритеты ваших усилий на основе потребностей и ограничений вашего бизнеса. Вы можете начать с выполнения следующих шагов:
- Проконтролируйте соответствие с бизнес-целями—ваш план все еще соответствует потребностям бизнеса или возникли некоторые изменения, которые могут привести к лишнему трению?
- Установите официальные сроки на основе вашего нового понимания целей проекта и официально начните реализацию вашей программы.
Помните, что без контекста безопасность и соответствие являются бесконечными черными дырами. Убедитесь, что то, что вы планируете делать для соответствия, имеет ограничения, чтобы гарантировать, что вы тратите время и усилия на места, которые приносят измеримые бизнес-результаты.
Наконец, понимание, определение и коммуникация того, почему вы работаете над этими задачами — будь то удовлетворение потребностей клиентов, достижение целей по доходам или сокращение внутренних рисков — также позволит привлечь других.
Дополнительные моменты: заинтересованные стороны и ресурсы
Не забывайте, что спонсорство руководства, приверженность и бюджет являются одними из самых важных компонентов сильной программы соответствия безопасности. Мы рекомендуем искать их поддержку как можно раньше и продолжать строить этот мост, подчеркивая риски, воздействие (включая положительное!) и общий путь вашей компании по соблюдению безопасности.
Когда вы определите свои цели и потребности в инструментах и технологиях, полезно знать, какие инструменты доступны и какие из них лучше всего соответствуют вашим потребностям. Посмотреть на тенденции в отрасли и получить обратную связь можно, а также взаимодействовать с другими участниками отрасли, которые решали или решают похожие проблемы.
Советы и рекомендации по созданию программы соответствия безопасности
Хотя каждая команда и компания немного по-своему подходят к созданию программ соответствия безопасности, вот несколько советов, которые мы бы хотели дать:
- Сделайте процесс повторяемым: Вместо того, чтобы стремиться к быстрым победам, сосредоточьтесь на повторяемых процессах и результате в рамках вашей программы. Помните, что пожарные тревоги часто являются признаком неработающих процессов.
- Начните с прочной основы: Сосредоточьтесь на фундаментальных аспектах и хорошо выполняйте базовые вещи — независимо от степени зрелости вашей программы, фундаментальные аспекты всегда имеют значение.
- Избегайте симптомов блескающего объекта: Инструменты и технологии могут помочь, но только усилят неработающие процессы.
Готовы начать создание сильной программы соответствия безопасности?
Ознакомьтесь с руководством Vanta для стартапов в Великобритании, чтобы узнать больше о различиях и сходствах между ISO 27001 и SOC 2 и определить, какая из них подходит вашей организации. Вы также узнаете, как использовать автоматизацию соответствия, чтобы упростить процесс сертификации и поддерживать ваш бизнес во время международного расширения.
