Kysymys:
Onko käynnistysjohtajaa vastaan ​​asetettava vahva haaste, joka uskoo, että turvallisuutta on lykättävä?
Tate Hansen
2011-05-15 12:50:30 UTC
view on stackexchange narkive permalink

Aloittelevien johtajien yleinen lausunto turvallisuudesta on se, että he ovat kilpailussa markkinoiden kanssa, ja jos he tietoisesti päättävät rakentaa turvallisuutta alusta alkaen, se voi hidastaa heitä niin paljon kuin ottaa heidät ulos rotu.

Siksi he päättävät tehdä vähän tai ei lainkaan turvallisuutta aikaisin (tai usean vuoden ajan) - ottavat riskin vastaan ​​toivoen, että yritys ensin tekee sen.

Onko tätä ajattelutapaa vastaan ​​asetettava vahva haaste?

Tämä on samanlainen kuin toinen kysymyksesi - http://security.stackexchange.com/questions/157/what-are-a-few-good-lists-of-threats-to-use-to-kick-off-conversations - muiden kanssa - mitä muuta etsit?
Toivottavasti vastaukset tähän kysymykseen saavat johtajat puhumaan enemmän siitä, mitä linkitetyssä kysymyksessä kysytään. Tämä kysymys ei oleta, että he ovat vielä kiinnostuneita tekemään mitään.
Osa tästä vastauksesta voi riippua siitä, millaisella alalla start-up on. Onko se terveyttä / rahoitusta? Tähän voi liittyä merkittäviä sääntelyrikkomuksia.
Johtaja voi olla oikea tai väärä. Tähän kysymykseen ei ole erityisen hyödyllistä yleistä vastausta, ellet halua vielä yhtä hölynpölyä essettä siitä, miten turvallisuus on riskienhallintaa, ja startup-yrityksiä. Voitko tehdä siitä tarkemman, esim. tietylle kentälle, jossa on tyypillinen sekoitus varoja, uhkia, tekniikoita ja haavoittuvuuksia?
Mielestäni meidän pitäisi pyrkiä löytämään sopiva tasapaino tämän kysymyksen ja [liiketoimintariskin välillä - Kuinka hoidat turvallisuuteen liittyvän OCD: n (eli vainoharhaisuuden)? - IT-turvallisuus - Pinoaminen] (http://security.stackexchange.com/questions/3339/how-do-you-manage-security-related-ocd-i-e-paranoia)
Tämä johtaja ei selvästikään ymmärrä hyökkääjän mieltä, ja siitä on nyt tullut saalis.
@nealmcb En halua tehdä kysymyksestä täsmällistä - uskoisin, että useat jo tarjolla olevista vastauksista ovat hyviä.
Viisitoista vastused:
#1
+14
Eric Falsken
2011-05-15 14:27:40 UTC
view on stackexchange narkive permalink

Kuten kommentoin alun perin toisessa kysymyksessä, turvallisuus ei voi olla ensisijainen eikä edes periaatteellinen huolenaihe. Joskus käynnistämisen tietyissä vaiheissa sinun on todella keskityttävä tuotteen ajamiseen tarvittavien ominaisuuksien nopeaan kehittämiseen ja tarvittaessa korjattava tietoturva. Turvallisuus voi helposti estää toiminnan, työntekijöiden tuottavuuden ja hidastaa kehitystä. Vaikka sinun omaisuutesi onkin turvallisuuteen liittyvä tuote tai yritys, saatat varmasti tarvita luodinkestävää suojausta alusta alkaen, et todellakaan voi yleistää ja sanoa, että kaikkien yritysten tulisi keskittyä turvallisuuteen alusta alkaen. (Sonyn on oltava riittävän suuri, ja sen on opittava paljon opetuksia ohjelmistokehityksestä uudella vuosisadalla, ei pelkästään tietoturvasta.)

Tästä huolimatta tietoturvakäytäntöjen ja käytännön turvallisuuden tulisi olla mielessä vaikuttavia tekijöitä kaikista teknisistä työntekijöistä. Mihin voit lisätä turvallisuutta joutumatta ihmisten tielle? Ei ole olemassa 100% suojattua, joten kuinka paljon turvallisuutta riittää?

Olen täysin samaa mieltä tämän kanssa. Haitallinen tulos on kuitenkin varhaisessa vaiheessa pehmeämpi tietoturva, mutta muille tärkeä tieto menetetään. Yrityksen virkailijat saattavat saada mustan silmän tai käynnistys voi epäonnistua rikkomuksen jälkeen, mutta muille tuntema kipu voi olla huomattava - negatiivinen ulkoistumistilanne. Kolmen miehen käynnistys, joka menettää PHI: n (henkilökohtaiset terveystietosi) ja CC-tiedot, voivat yksinkertaisesti heittää kätensä ilmaan ja sanoa hups. Ratkaisut tähän todennäköisesti leviävät yhdessä sen kanssa, miten taloustiede käsittelee ulkoisvaikeuksien ongelmia.
+1, lisäisin tähän paitsi turvallisuuteen liittyvän liiketoiminnan, mutta myös muilla on oltava turvallisuus keskeisenä piirteenä jo varhaisessa vaiheessa. Esim. talous- / CC-sovellukset, PHI jne. Ja silti, tämä on silti punnittava muihin ominaisuuksiin, yrityksen / tuotteen PoV: stä.
Ohitat, että saatavuus on edelleen turvallisuuden osa.Turvallisuus _ on tärkein asia jokaiselle organisaatiolle, koska se sisältää "toiminnan estämisen".Olisi oikeampi sanoa, että _luottamuksellisuus ja eheys_ eivät voi olla ensisijainen huolenaihe.
#2
+13
Nam Nguyen
2011-05-15 15:07:14 UTC
view on stackexchange narkive permalink

Onko turvallisuuden viivästyttämiselle asetettu vahva haaste? Ei, en usko. Ellei alaa säännellä lailla.

Siksi tietoturva on toisinaan samanlainen kuin riskienhallinta. Pienennät riskin parhaalla mahdollisella tavalla (se tarkoittaa yleensä budjetin rajoissa), et poista sitä kokonaan.

Joten turvallisuuden viivästyminen on muoto riskin hyväksymisestä. Toivottavasti tämä hyväksyntä kestää vain hetken, koska kun avainhenkilöt tekevät niin, he todella ottavat lainaa tulevaisuudesta. Kun eräpäivä tulee, sanotaan vain, että se olisi kiusallista, sotkuista ja joskus jopa tuhoisaa.

Lisätietoja tästä ajattelutavasta löytyy Veracodesta:

http://www.veracode.com/blog/2011/02/application-security-debt-and-application-interest-rates/

http: //www.veracode.com/blog/2011/03/a-financial-model-for-application-security-debt/

Kyllä, suostu, luulen, että kommenttini @EricFalsken: lle pätee myös tähän.
Tämä on hyvä vastaus. Onko "start-up" -tuotantolaitosten ja kemiantehtaiden hyvä pumpata vaarallisia kemikaaleja ilmaan? Ei, EPA sulkee laitokset, jos ne eivät täytä asetuksia. Kyllä, säännösten noudattaminen maksaa rahaa ja vahingoittaa aloittelijaa. Yritystoiminnan kustannukset! Mutta mitkä ovat ihmiskunnan kustannukset? Mikä on pitkän aikavälin elinkelpoisuus / kestävyys?
@atdre,: n kustannukset ihmiskunnalle ovat yksi ulkoisvaikutuksista Tate Hansenin kommentissa. Pitkän aikavälin elinkelpoisuus on kysymys siitä, voitko maksaa velkasi myöhemmin. Tämä on kuin luottokortin käyttö. Otat tavarat ensin ja maksat myöhemmin. Jos epäonnistut, peritään kova korko.
Huomautukseni on, että tarvitsemme EPA-ekvivalentin IT-aloittelijoille, jotka sanovat: "Uh, lopeta niin paljon huonojen koodien pumppaaminen maailmaan - tai joudumme sulkemaan sinut". Luottokorttien ja asuntolainojen osalta - tämä on ilmeistä kaikille paitsi Yhdysvaltain hallitukselle: Ihmiset eivät saisi sallia mennä paljon yli heidän mahdollisuuksiensa; Lainanantajien ei pitäisi sallia heidän osallistujiensa menevän yli mahdollisuuksiensa. Riskiyhtälöiden, kuten vakuudellisten velkojen (CDO), on toimittava kunnolla ja niiden on oltava hyvin säänneltyjä. Ja niin myös käynnistysohjelmisto. Ohh, tulevaisuuden olemme ...
#3
+10
D.W.
2011-05-15 22:59:36 UTC
view on stackexchange narkive permalink

Olen samaa mieltä johtajan kanssa. Jos tarkastelet tietoturvaloukkauksen vuoksi epäonnistuneiden startupien määrää verrattuna niiden startupien lukumäärään, jotka ovat epäonnistuneet kilpailun häviämisen vuoksi, on mielestäni selvää, että jälkimmäiset ovat huomattavasti suuremmat kuin edelliset.

Startup-yritysten tehtävänä on ottaa riskejä päästäkseen isoon voittoon. On niin monia tapoja, että käynnistys voi epäonnistua. Sanominen, että hyväksymme pienen todennäköisyyden siitä, että käynnistys epäonnistuu tietoturvaloukkauksen takia, ei ole kovin iso juttu, jos etu on, että saamme vähentää merkittävästi käynnistymisen epäonnistumisen riskiä muista syistä.

Luulen, että johtaja ehdottaa uskottavaa strategiaa: hän sanoo, hyväksymme nyt jonkin verran velkaa, vastineeksi siitä, että pääsemme maalille nopeammin. Tämä maksaa yritykselle myöhemmin: yrityksen on joko maksettava vakuusvelka myöhemmin, rakentamalla järjestelmät uudelleen tai ottamalla ne uudelleen käyttöön, tai muuten yhtiö ottaa myöhemmin suuren riskin vakavasta tietoturvaloukkauksesta. Mutta monet startupit hyväksyisivät mielellään tämän kompromissin. "Maksa myöhemmin, jos käynnistys on menestys" todennäköisesti työntää "maksaa nyt ja saattaa käynnistyksen epäonnistua.

Tässä on neuvoni. Sen sijaan, että yrität saada execin muuttamaan mieltään, ehdotan, että teet kaksi asiaa:

  • Asenna käsite "turvallisuusvelka". Valmista pohjatyöt niin, että jos yritys menestyy, sinulla on myöhemmin sisäänostot vakuusvelan maksamiseksi ja yrityksen järjestelmien turvallisuuden parantamiseksi.

  • Juuri nyt, keskity halvaisiin turvamekanismeihin, jotka eivät hidasta yrityksen kykyä päästä maaliin. Puhun yksinkertaisista asioista, kuten palomuureista, automaattisista päivityksistä, varmuuskopioista jne. Voit myös ajatella ja kehittää kehittyneempiä tietoturvaratkaisuja tai malleja rinnakkain tiimin kehitystyöhön, joten se ei hidasta muuta toimintaa. tiimi - olettaen, että yritys voi säästää sinua tällaisesta työstä.

+1 arvopaperivelalle tai arvopaperisijoitukselle. Mielestäni tämä on avainkonsepti myyntiin, ei pelkästään startup-yrityksille, mutta suuryrityksissä se olisi projektitiimi tai vastaava. Kaikki on hyvin riskin ottamista ja tuotteen / palvelun nopea toimitus, mutta sinun on budjetoitava sen lajitteleminen jälkikäteen, ei vain jätettävä "lähetetty - valmis"
+1, ja haluaisin jatkaa napsautusta jonkin aikaa ... Tiedän, että olen myöhässä peliin täällä, mutta katoit melkein kaikki kohdat, joihin aioin vastata. Vakuutit jopa "vakuusvelan", kuten "tekninen velka", joka oli pääasiani riskienhallinnan ohella.
Btw, "halvat turvamekanismit" voivat olla myös sovelluskerroksessa - lähinnä koulutuksen ja korkean tason uhkamallinnuksen ympärillä.
#4
+9
atdre
2011-05-15 13:17:42 UTC
view on stackexchange narkive permalink

Loiset eivät vain tuhoa potentiaalisia tuotevirtojasi tuotteista / palveluista, vaan myös pilaa varhaisen tuotemerkkisi / maineesi ja tuhoavat kyvyn markkinoida tuotteitasi / palveluitasi. Ne rikkovat hakukoneoptimointisi, AdWordsisi ja vastaavat Internet-markkinointikonseptisi - jotka ovat välttämättömiä läsnäolosi rakentamiseksi.

Vastustajat automatisoivat verkkosivustojen loisinfektiot botnet-verkkoilla ja muilla automaatioilla - tekemällä jokaisesta verkkosivustosta potentiaalinen kohde, etenkin käynnistystilassa olevat (koska he luottavat usein kolmannen osapuolen ylläpitoon / CMS: ään / blogiin / foorumiin / verkkokaupan paketteihin, komponentteihin, palveluihin jne.).

Paholaisen asianajajan pelaaminen - eikö tämä heitä FUD-korttia? Startup, jonka tiedän tekevän lähes nolla turvallisuutta, eikä ole vielä kokenut mitään pahaa. Heidän näkökulmastaan ​​he pelasivat oikein. Yrityskilpailun johtamisesta saatavaa rahaa voidaan käyttää turvallisuuden vahvistamiseen myöhemmin - on vaikea saada heidät vakuuttamaan tämän tilauksen kääntämisestä.
Itse asiassa se on helppoa - sinun tarvitsee vain odottaa katastrofia.
@Systemsninja - Olen täysin samaa mieltä, hyväksyn "yhden rikkomuksen pois budjetin korotuksesta" -tavan :)
#5
+6
hamishmcn
2011-05-15 14:07:09 UTC
view on stackexchange narkive permalink

Asensin äskettäin FTP-palvelimen kotoa, koska työskentelen etänä ja halusin tapaa, jolla kollegat ja asiakkaat voisivat siirtää minulle suuria tiedostoja yön yli (muualla maailmassa). Olin todella järkyttynyt huomatessani, kuinka monta (automatisoitua?) Yritystä viikossa yritetään murtautua FTP-palvelimelleni - vain pieni kotipalvelin ilman mainontaa. Se on vakuuttanut minut siitä, ettet voi olla tarpeeksi vainoharhainen - ihmiset yrittävät murtautua sisään ja varastaa sinun tai asiakkaasi tiedot. Kaikki vähemmän kuin parhaan mahdollisen turvallisuuden takaaminen on epäonnistuminen

Todellakin. Käytän SSH-palvelinta ja olen havainnut erittäin suuren määrän hyökkäyksiä sille, mikä ei ole oikein mainostettua kohdetta. +1, ei riitä olettaa, ettei sinua kohdella.
En usko, että tämä vastaus todistaa mitään. Ne ovat sokeita, tyhmiä hyökkäyksiä, ja ne voidaan helposti pysäyttää hyvin alkeellisilla turvamenetelmillä - perustaa palomuuri. Epäilen, että exec sanoisi varmasti, että se on asettanut palomuurin, joka kestää noin 30 minuuttia IT-tukihenkilöstölle - mutta älä viettää paljon aikaa turvallisuuden rakentamiseen käynnistyksen kehittämässä uudessa ohjelmistossa.
#6
+6
Ben
2011-05-15 17:22:48 UTC
view on stackexchange narkive permalink

Turvallisuudessa on kyse riskienhallinnasta, joka on viime kädessä yrityspäätös.

Sinun on autettava startup-yritystäsi ymmärtämään paitsi riskit myös siitä, mitkä toteutuskustannukset eroavat sen tekemisen välillä. ja myöhemmin. Yritä upottaa tietoturva ohjelmistoihin sen julkaisemisen jälkeen on vaikeaa ja paljon kalliimpaa.

Jos tämä on kilpailu maaliin, tarjoa ratkaisuja, jotka eivät estä heidän etenemistä. Kehittäjät ja insinöörit voivat silti rakentaa ohjelmistoja, kun työskentelet heidän rinnalla. Yritä löytää kompromissiratkaisu, joka:

  • käyttää kaupallisia hyllyltä suojautumisia tai valmiita paketteja (esimerkiksi verkkosovellusten palomuureja)
  • antaa sinun integroida tietoturva tehokkaammin myöhemmin alkuvaiheen arkkitehtonisten päätösten avulla (erityisesti tietäen, mihin puolustuskoodi menee, kun sinulla on aikaa toteuttaa se)
En ole nähnyt startup-johtajan muuttavan vakavasti kurssia, kun heille annettaisiin neuvoja siitä, että "tietoturvan yrittäminen upottaa ohjelmistoon sen julkaisemisen jälkeen on vaikeaa ja paljon kalliimpaa". Itse asiassa se usein ruokkii heidän vastustustaan, koska sen sävy pelottaa heitä taloudellisesti (eli turvallisuus on kallista - en voi mitenkään tehdä turvallisuutta juuri nyt). Se on hieno asia, mutta se ei voi todella resonoida.
Olen samaa mieltä, se toimii harvoin, mutta se onnistuu myös todennäköisimmin kaikista lähestymistavoista, jos sinulla on startup exec, joka ei ole kiinnostunut järkevistä argumenteista tai FUD: n vaikutuksesta. Tämä tietysti edellyttää aikaa, eikä raha ole ensisijainen rajoitus.
#7
+6
Rory Alsop
2011-05-15 19:29:11 UTC
view on stackexchange narkive permalink

Yksi toistaiseksi jäänyt vastaus on turvallisuuden asettaminen asialistalle lisäarvoa käynnistettäessä. Tämä voi olla tehokasta etenkin aloilla, joihin on viime aikoina kohdistettu paljon julkisuutta. Jos riskikeskukset tai sidosryhmät ymmärtävät, kuinka parempi tietoturva voi auttaa heitä myymään tuotteen r-palvelua, siitä tulee heidän ymmärtämänsä argumentti: voitto!

Kyllä, heitä voi olla hyvin vaikea suostutella ja paljon tulee alas ajoitukseen; kuten sanoin, on paljon helpompaa heti PSN-halkeaman jälkeen työntää turvallisuuskäsite arvonlisäaineeksi verkkopelejä harjoittavalle yritykselle, mutta valitettavasti ei ole yhtä helppoa käyttää samaa esimerkkiä eri toimialoilla, tosiasiasta huolimatta että kyse oli henkilötietojen vaarantamisesta asiakastietokannasta, jonka pitäisi olla merkityksellistä kaikille!

+1 turvallisuudelle markkinoinniksi ... valitettavasti todellisuus ei usein heijasta turvallisuuden markkinointia, joten hyödyt ovat mahdollisia todellisilla kustannuksilla.
#8
+3
Steve
2011-05-15 16:34:02 UTC
view on stackexchange narkive permalink

Onko johtaja viileä yrityksen johtamisessa ilman vakuutuksia? Jos kyllä, kuuntele, mitä kaikki muut ovat toistaiseksi sanoneet (ja pakene tältä yritykseltä - nopeasti), jos ei, kysy heiltä, ​​miksi he tekevät sen sitten ajattelematta turvallisuutta.

#9
+3
john
2011-05-15 17:03:19 UTC
view on stackexchange narkive permalink

Voit käyttää käytännönläheistä lähestymistapaa. Ota lupa ja vuokraa (mieluiten) nuorempi tunkeutumistestari ja anna hänen "varastaa" suurin yrityksesi salaisuus, tai sinulla on muita merkittäviä virheitä tai jopa tehdä sosiaalisen suunnittelun hyökkäys ( kuten haitallisen pdf-tiedoston lähettäminen sihteerille). Esitä sitten johtajalle havainnot ja keskity mainehaittoihin (juuri startupit loukkaavat eniten).

Pen & -paperiskenaariot eivät ole yhtä tehokkaita epävarmuuden osoittamisessa kuin salaisuutesi ulkona. Sen pitäisi saada heidät vakuuttamaan ainakin ajattelemasta jonkin verran rahaa turvallisuuteen.

Tässä esitettävä väite ei ole, että olet epävarma, vaan helppous, johon joku, jolla on vähän kokemusta, voi murtautua tai löytää suuren vika, joka olisi voitu välttää minimaalisilla turvallisuusinvestoinneilla.

Pentesting ei ole taloudellinen prioriteetti useimmille startup-yrityksille - ne viivästyttävät melkein kaikkea turvallisuustyötä. Ainoat käynnistysyritykset, jotka näen ostavan tuholaisia, ovat ne, jotka ovat kärsineet tapahtumasta, joita liiketoimintasopimus edellyttää tai joihin sovelletaan lakia tai asetusta.
Olen samaa mieltä. Tarkoituksena ei ollut ostaa kaupallista, kallista, täysimittaista pentestiä, vaan palkata yksittäinen junioripentesteri tekemään esittelyhyökkäys todisteena konseptista epävarmuuden korostamiseksi. Olen nähnyt sen tapahtuvan, ja olen tehnyt sen itse: työskentelin startupissa järjestelmänvalvojana ja kun halusin turvallisuuden budjettia, toimiin itseni ulkoisena katkerina, löysin joitain puutteita ja esitin ne esimiehilleni. (Minulla oli riittävä pätevyys, joten en palkannut toista henkilöä). Heidät sukattiin ja sijoitettiin pieneen ylimääräiseen turvallisuussummaan vuosibudjetissa.
#10
+2
Brandon
2011-05-15 14:40:25 UTC
view on stackexchange narkive permalink

Sinulla voi olla tasapaino.

Älä avaa MITÄÄN turhia portteja ja pidä "järjestelmänvalvojasi" rajoitettuina lähiverkkoon tai tiettyihin tunnettuihin järjestelmänvalvojan IP-osoitteisiin. Näin ainakin pikavalintoja käyttävästä aineistosta tulee vain sisäistä.

Jokaisen käynnistyksen pitäisi odottaa noudattavan käytännön turvallisuusperiaatteita. Jos et pysty investoimaan turvallisuuteen haluamallasi tavalla, voit luottaa yksinkertaisuuteen ja pieniin haittoihin vähentääksesi hyökkäyspinta-alaa.

Onneksi tämä ei vain sovellu nopeaan käynnistykseen markkinoille @Tate: n esittämistä syistä. monissa tapauksissa ainoa asia, jonka heidän on osoitettava riskipääoma-alan yrityksille, on se, että tuotetta voidaan myydä nopeasti.
@rory Olen kunnioittavasti eri mieltä. Tämä on aivan yksinkertaista ja käytännöllistä eikä se vaikuta tuottavuuteen. "Sijoitus" turvallisuuteen on pieni, eikä sen pitäisi edes näkyä taseessa. Voit myös osoittaa sen myyntipisteeksi riskipääomaasi. VC ei ole onnellinen, jos he menettävät sijoituksensa, koska joku botti juurrutti palvelimen, johon kaikki on tallennettu, ja viikkoja tai kuukausia työ menetetään.
Monilla startup-yrityksillä ei ole edes kokopäiväistä järjestelmäsuunnittelijaa / järjestelmänvalvojaa, eikä heillä ole aavistustakaan järjestelmän perusparannuksen tekemisestä ...
@Rory, mitä, erityisesti ei sovellu? Avaatko vain tarvittavat portit? : - /
@Tate,, se ei ota koko ajan kantaa ymmärtääksesi, että julkinen Internet on vihollinen täällä, ja viettää muutaman tunnin vartioidaksesi palomuuriasi sitä vastaan.
@routeNpingme - hyväksy, että se ei vaadi kokopäiväistä henkilöä, mutta palomuuri ei juurikaan suosittuja uhkavektoreita (esim. Sqli, asiakaspuoli, wifi mitm) vastaan ​​ja execit eivät puhu tällä teknisten yksityiskohtien tasolla
#11
+2
kindofwhat
2011-05-15 19:28:19 UTC
view on stackexchange narkive permalink

Jos johtajasi ei kykene ymmärtämään IT-turvallisuuden käsitettä liiketoimintariskikysymykseksi, hän ei joko ole oikea itselleen (koska riskienhallinnan pitäisi olla alusta alkaen keskeinen asia), tai kukaan ei pystynyt tekemään häntä Hän on tietoinen tästä asiasta.

Riskien tunteminen ja hyväksyminen on pätevä lähestymistapa kaikille yrityksille.

toinen kappaleesi näyttää olevan ristiriidassa ensimmäisen kanssa ...?
@AviD: No, vastaukseni oli joka tapauksessa melko tyhmä: Halusin sanoa, että riskin hyväksyminen on hyväksyttävää käyttäytymistä, kunhan riski on arvioitu asianmukaisella tavalla. Luulen, että startupin pääkysymys on: "kuinka paljon turvallisuuden ohittaminen alussa maksaa meille tulevaisuudessa?" Kova kysymys, mutta se on esitettävä ...
#12
+2
Aaron Digulla
2011-05-16 01:50:26 UTC
view on stackexchange narkive permalink

Riskien hallinta on johtajan tehtävä. Jos hän katsoo, että turvallisuutta tulisi lykätä, hänen on tehtävä päätös.

Siitä huolimatta sinun on varmistettava, että se on koulutettu päätös. Kuten aina, tämä vaatii mahdollisimman perusteellisen luettelon mahdollisista uhista, todennäköisyydestä ja mahdollisista vahingoista. Joten esimerkiksi joku voi varastaa asiakastietokannan. Tai tuotteisiisi voidaan asentaa takaovi.

Ongelmana on, että todennäköisyyttä ei useimmiten tunneta tai olet N * M-tilanteessa, jossa N on todennäköisyys ja M on vahinko ja N on monta suuruusluokkaa pienempi kuin M. Se on kuin ydinvoimalat Japanissa: Mahdolliset vahingot ovat valtavat, mutta tapahtuman todennäköisyys on todella, todella pieni. "Kerran 100'000 vuodessa". Se "kerran" voi olla huomenna (ja se tapahtui monissa tapauksissa, kuten olemme kaikki nähneet). Joten tässä tapauksessa tuloksena oleva luku, jos se on melko arvoton.

Aion tehdä varmistaakseni, että johtaja tekee koulutetun päätöksen: Yhdistäisin hänen palkkansa riskiin. Jos hänellä on oikeus, hän saa rasvaisen bonuksen. Jos hän on väärässä, vahingonkorvauksen tulisi olla ensin hänen henkilökohtaisen vaurautensa vastainen.

Tällainen turvaverkko varmistaa yleensä, että ihmiset eivät ota liikaa riskiä. Mutta se voi myös tappaa aloittelusi, koska johtaja saattaa lopettaa riskien ottamisen.

#13
+2
Bell
2011-05-16 18:13:55 UTC
view on stackexchange narkive permalink

Kuten muissa vastauksissa ja kommenteissa todettiin, kaksi yleisintä argumenttia turvallisuuden rakentamiseksi alusta alkaen - todennäköisesti pätevästi - voidaan hylätä aikapaineisessa käynnistysympäristössä:

  • Se on takuuvarmuus on taatusti kalliimpi kuin aloittaa siitä - teknisen start-up-liiketoimintamallin oletetaan, että yrityksen kääntöpisteessä on käytettävissä suuruusluokkia enemmän rahaa kuin sen aloittamisen yhteydessä.
  • Rikkomuksesta johtuvat maineelliset vahingot tai kustannukset voivat upottaa yrityksen - jos ensimmäinen markkinoille tuleva on ainoa etu, sinulla ei ole mitään syytä rikkoa, jos alkuperäistä kehitysprosessia jatketaan.

Tämä ei ole vain turvallisuuskysymys - se vaikuttaa myös muihin laatumittareihin, kuten käytettävyyteen ja ylläpidettävyyteen.

On yksi argumentti, joka on ominaista startup-yrityksille - ja se voi osoittaa, missä on oikea tasapaino. tälle ympäristölle: Entä jos tietoturvaongelmat vaativat sinua tekemään tunkeilevia muutoksia, kun tuot uct oli hankkinut huomattavan määrän käyttäjiä?

Tiedämme, että ohjelmistoja käytetään usein eri tavalla kuin sisällöntuottajat kuvittelivat. Tästä seuraa, että mitä suunnittelijat pitivät avainkohteina, käyttäjät eivät välttämättä sovi. Tämän vuoksi on vaikea arvioida, häiritseekö muutos tahmeutta vai käyttäjän hankintaa. Suunnittelupäätös, jonka käyttäjät olisivat täysin hyväksyneet osana alkuperäistä tuotetta, voi jopa aiheuttaa vastahyökkäyksen, jos se pudotetaan tuotteen nykyisille käyttäjille.

Tarkistuksella minimoidaan tarvittavat muutokset sen jälkeen, kun tuotteella on käyttäjiä. olla myytävissä tällä väitteellä. Se on todennäköisesti myös asianmukainen turvallisuustaso, jotta startup, joka harjoittaa pitkää kiirettä, on ensimmäinen markkinoilla.

Hyvä asia.
#14
+1
Doug Harris
2011-05-15 17:04:28 UTC
view on stackexchange narkive permalink

Pelkääkö tämä johtaja huonoa lehdistöä?

Katso mitä Dropboxilla tapahtuu viime aikoina: Dropbox valehteli käyttäjille tietoturvasta, valitus FTC: n väitteistä.

Olen varma, etteivät he ole tyytyväisiä tällaiseen huomioon.

Harkitse startupisi liiketoimintamallia ja maalaa muutama huono tapaus, jossa tietoturvan puute ei mahdollisesti pelkästään tuo huonoa lehdistöä, mutta pudota liike.

Ainoat tiedän, että todella pelkäävät pahaa lehdistöä ovat johtajat, joilla on paljon rahaa / mainetta menetettävissä (eli heillä on riittävä omistusoikeus saadakseen heidät tuntemaan / toimimaan kuin yritys omistaa) Muuten se on vain yksi työ, ja he eivät yleensä halua näyttää hullulta hallitukselle ehdottamalla, että he käyttävät arvokkaita resursseja turvaostojen ostamiseen "mitä jos".
#15
+1
VerSprite
2011-05-15 17:20:13 UTC
view on stackexchange narkive permalink

Kun perustat uuden yrityksen, sinulla ei ole mainetta niiden johtajien ulkopuolella, joilla voi olla aikaisemmat tunnustukset tekniikassa. Tämän seurauksena, jos käynnistysyrityksessä on, että tietoturvaloukkauskortti putoaa sen eteen, sen maineelle aiheutuva vahinko on huomattava. Paikat, kuten Sony, TJX, Michael's, ovat valtavia yrityksiä, jotka saattavat pystyä kestämään tällaisen iskun, mutta jos startupin johtaja tuntee voivansa selviytyä rikkomuksesta startupina, heillä on naiivi ja likinäköinen näkemys perusriskien hallinnasta. Pohjimmiltaan tällaisessa tapauksessa pieni startup olisi heidän kilpailunsa ja lehdistön armoilla, mikä voisi helposti hukuttaa mahdollisten ostajiensa mielet pilaamalla heidän mielikuvan startupin kyvystä suojata asiakkaita tai säänneltyjä tietoja tai yksinkertaisesti pääsy heidän infrastruktuuri.

Monet aloittelijoista, joihin olen törmännyt, eivät aio selviytyä rikkomuksesta varhaisessa vaiheessa - se ei vain ole prioriteetti tilanteen tyypillisen taloustieteen vuoksi. Itse asiassa en ole henkilökohtaisesti nähnyt yhtään käynnistystä, joka olisi kärsinyt siitä, miten kuvailit - tiedätkö esimerkkejä?
AilivkoxqoCMT Dropbox?


Tämä Q & A käännettiin automaattisesti englanniksi.Alkuperäinen sisältö on saatavilla stackexchange-palvelussa, jota kiitämme cc by-sa 3.0-lisenssistä, jolla sitä jaetaan.
Loading...