如果你在一家初创企业工作,并一直在思考应该在何时开始研究安全注意事项和合规性?哪些技术债务应该推迟到以后,哪些系统应该马上强化?主要考虑因素是什么?
技术债务越堆越高,并且多数情况下比起现在偿还拖到以后会更容易。比如,如果你不是用用户名密码的方式使用ElasticSearch,你应该再三检查你的防火墙设置。等到B轮融资之后,你的初创企业很可能有了足够的人力物力来正确的保障ElasticSearch集群。
初创企业文化使得它更难“以后”再改。让我们举一个简单的例子:习惯于不做代码审查而直接提交的开发者,会抱怨说同行评审会拖慢整个开发,并让他们觉得这“太企业”。
那么早期应该做哪些安全方面的考虑?
-
产品中的哪些安全特性是客户愿意买单的?
-
你们产业(医疗,金融,企业)对安全的期待是什么?
-
目标市场(国家)法规(数据隐私,数据驻留)是什么?众所周知欧洲国家有更严格的法规。美国各州有不一样的法规。
-
哪些工具和政策不会伤害你的团队的士气。
-
您需要多长时间准备安全风险计划(参见本文档底部的示例)?
- 知识产权盗窃,商业计划盗窃,比特币/ec2盗窃,丢失所有数据的影响是什么?它将如何影响您的销售,客户,投资者?
- 如何防止数据泄露?
- 如何在数据泄露后减少损失?
我们归纳总结了一个初创企业在各个阶段所期待的安全建议,初创企业所掌握的资金和数据越多,那么对于安全的投资也要越多: