Frage:
Gibt es eine große Herausforderung gegen den Startup-Manager, der glaubt, dass die Sicherheit verzögert werden muss?
Tate Hansen
2011-05-15 12:50:30 UTC
view on stackexchange narkive permalink

Eine häufige Aussage von Start-up-Führungskräften in Bezug auf Sicherheit ist, dass sie sich in einem Wettlauf um den Markt befinden. Wenn sie sich bewusst dafür entscheiden, Sicherheit von Anfang an einzubauen, kann dies sie so sehr verlangsamen, dass sie aus dem Markt genommen werden Rennen.

Daher entscheiden sie sich dafür, frühzeitig (oder für mehrere Jahre) wenig bis gar keine Sicherheit zu tun - und akzeptieren das Risiko in der Hoffnung, dass das Unternehmen es zuerst schafft.

Gibt es eine starke Herausforderung gegen diese Denkweise?

Dies ähnelt Ihrer anderen Frage - http://security.stackexchange.com/questions/157/what-are-a-few-good-lists-of-threats-to-use-to-kick-off-conversations -mit-anderen - suchen Sie noch etwas?
Hoffentlich führen die Antworten auf diese Frage dazu, dass Führungskräfte mehr darüber sprechen, was in der von Ihnen verlinkten Frage gestellt wird. Diese Frage setzt nicht voraus, dass sie daran interessiert sind, noch etwas zu tun.
Ein Teil der Antwort hier könnte davon abhängen, in welcher Branche sich das Start-up befindet. Ist es gesundheitlich / finanziell? Es könnte zu schwerwiegenden Verstößen gegen die Vorschriften kommen.
Die Exekutive kann richtig oder falsch sein. Es gibt keine besonders hilfreiche allgemeine Antwort auf diese Frage, es sei denn, Sie möchten noch einen langweiligen Aufsatz darüber, wie Sicherheit das Risikomanagement und Startups die Unternehmensführung betrifft. Können Sie es genauer machen, z. auf ein bestimmtes Gebiet mit einer typischen Mischung aus Ressourcen, Bedrohungen, Technologien und Schwachstellen?
Ich denke, wir sollten uns bemühen, ein angemessenes Gleichgewicht zwischen dieser Frage und [Geschäftsrisiko - Wie gehen Sie mit sicherheitsrelevanten Zwangsstörungen (d. H. Paranoia) um? - IT-Sicherheit - Stapelaustausch] (http://security.stackexchange.com/questions/3339/how-do-you-manage-security-related-ocd-i-e-paranoia)
Offensichtlich versteht diese Führungskraft den Verstand eines Angreifers nicht und ist jetzt zur Beute geworden.
@nealmcb Ich möchte die Frage lieber nicht spezifisch machen - ich denke, einige der bereits angebotenen Antworten sind großartig.
Fünfzehn antworten:
#1
+14
Eric Falsken
2011-05-15 14:27:40 UTC
view on stackexchange narkive permalink

Wie ich ursprünglich in der anderen Frage kommentiert habe, kann Sicherheit nicht das Hauptanliegen oder sogar ein Hauptanliegen sein. Manchmal müssen Sie sich in bestimmten Phasen des Startvorgangs wirklich darauf konzentrieren, die für die Steuerung des Produkts erforderlichen Funktionen schnell zu entwickeln und die Sicherheit nach Bedarf zu patchen. Sicherheit kann den Betrieb, die Produktivität der Mitarbeiter und die Verlangsamung der Entwicklung leicht beeinträchtigen. Wenn es sich bei Ihrem Produkt um ein sicherheitsrelevantes Produkt oder Unternehmen handelt, benötigen Sie möglicherweise von Anfang an kugelsichere Sicherheit. Sie können jedoch nicht verallgemeinern und sagen, dass sich alle Unternehmen von Anfang an auf Sicherheit konzentrieren sollten. (Da Sony groß genug ist, muss es viele Lektionen über die Softwareentwicklung im neuen Jahrhundert lernen, nicht nur über Sicherheit.)

Allerdings sollten Sicherheitspraktiken und praktische Sicherheit ein wichtiger Faktor sein aller technischen Mitarbeiter. Wo können Sie Sicherheit hinzufügen, ohne den Menschen in die Quere zu kommen? Es gibt keine 100% ige Sicherheit. Wie viel Sicherheit ist also genug?

Dem stimme ich voll und ganz zu. Das unangenehme Ergebnis, wenn die Sicherheit frühzeitig geringer wird, ist der Verlust von Daten, die für andere wichtig sind. Die leitenden Angestellten des Unternehmens können ein blaues Auge bekommen oder das Startup kann nach einem Verstoß scheitern, aber der Schmerz, den die anderen empfinden, kann beträchtlich sein - eine negative externe Situation. Das Drei-Mann-Startup, das Ihre PHI- (Personal Health Information) und CC-Informationen verliert, wirft möglicherweise einfach die Hände in die Luft und sagt oops. Lösungen dafür werden wahrscheinlich zusammen mit der Art und Weise fließen, wie die Wirtschaft die Probleme der externen Effekte angeht.
+1, möchte ich hinzufügen, dass nicht nur sicherheitsrelevante Geschäfte, sondern auch andere frühzeitig Sicherheit als Kernmerkmal benötigen. Z.B. Finanz- / CC-Apps, PHI usw. Dennoch muss dies gegen andere Funktionen eines Geschäfts- / Produkt-PoV abgewogen werden.
Sie ignorieren, dass Verfügbarkeit immer noch ein Zweig der Sicherheit ist.Sicherheit ist das Wichtigste für jedes Unternehmen, da es beinhaltet, "den Betrieb nicht zu behindern".Es wäre richtiger zu sagen, dass Vertraulichkeit und Integrität nicht das Hauptanliegen sein können.
#2
+13
Nam Nguyen
2011-05-15 15:07:14 UTC
view on stackexchange narkive permalink

Gibt es eine große Herausforderung gegen die Verzögerung der Sicherheit? Nein, das glaube ich nicht. Es sei denn, die Branche ist gesetzlich geregelt.

Deshalb ähnelt Informationssicherheit manchmal dem Risikomanagement. Sie minimieren das Risiko so gut Sie können (das bedeutet normalerweise innerhalb des Budgets), Sie eliminieren es nicht vollständig.

Die Verzögerung der Sicherheit ist also eine Form der Risikoübernahme. Hoffentlich hält diese Akzeptanz nur für kurze Zeit an, denn wenn die Führungskräfte dies tun, leihen sie sich tatsächlich Kredite aus der Zukunft. Wenn das Fälligkeitsdatum kommt, sagen wir einfach, es wäre peinlich, chaotisch und manchmal sogar verheerend.

Weitere Informationen zu dieser Denkweise finden Sie bei Veracode:

http://www.veracode.com/blog/2011/02/application-security-debt-and-application-interest-rates/

http: //www.veracode.com/blog/2011/03/a-financial-model-for-application-security-debt/

Ja, stimme zu, ich denke, mein Kommentar zu @EricFalsken gilt auch hier.
Das ist eine gute Antwort. Ist es für "Start-up" -Produktions- und Chemiefabriken in Ordnung, gefährliche Chemikalien in die Luft zu pumpen? Nein, die EPA wird die Anlagen stilllegen, wenn sie nicht den Vorschriften entsprechen. Ja, die Einhaltung der Vorschriften kostet Geld und schadet dem Start. Geschäftskosten! Aber was kostet die Menschheit? Was ist die langfristige Lebensfähigkeit / Nachhaltigkeit?
@atdre, Die Kosten für die Menschheit sind eine der externen Effekte in Tate Hansens Kommentar. Die langfristige Rentabilität ist die Frage, ob Sie Ihre Schulden später bezahlen können. Dies ist wie mit einer Kreditkarte. Sie nehmen zuerst die Ware und bezahlen später. Wenn Sie versagen, werden hohe Zinsen auferlegt.
Mein Punkt ist, dass wir ein EPA-Äquivalent für IT-Start-ups benötigen, die sagen: "Äh, bitte hör auf, so viel schlechten Code in die Welt zu pumpen - oder wir müssen dich abschalten." In Bezug auf Kreditkarten und Wohnungsbaudarlehen ist dies für alle außer der US-Regierung offensichtlich: Es sollte den Menschen nicht gestattet sein, weit über ihre Verhältnisse hinauszugehen. Kreditgeber sollten nicht zulassen, dass ihre Lendees über ihre Verhältnisse gehen. Risikogleichungen für Dinge wie Collateralized Debt Obligations (CDOs) müssen ordnungsgemäß funktionieren und gut reguliert sein. Und Startsoftware auch. Ohh, die Zukunft werden wir sein ...
#3
+10
D.W.
2011-05-15 22:59:36 UTC
view on stackexchange narkive permalink

Ich stimme der Exekutive zu. Wenn Sie sich die Anzahl der Startups ansehen, die aufgrund einer Sicherheitsverletzung gescheitert sind, im Vergleich zur Anzahl der Startups, die aufgrund des Verlusts des ersten Rennens gescheitert sind, ist es meiner Meinung nach klar, dass letztere die ersteren bei weitem überwiegen.

Bei Startups geht es darum, Risiken einzugehen, um den großen Gewinn zu erzielen. Es gibt so viele Möglichkeiten, wie ein Start fehlschlagen kann. Zu sagen, dass wir eine geringe Wahrscheinlichkeit akzeptieren, dass das Startup aufgrund einer Sicherheitsverletzung ausfällt, ist keine so große Sache, wenn der Vorteil darin besteht, dass wir das Risiko eines Ausfalls des Startups aus anderen Gründen erheblich reduzieren können.

Ich denke, die Exekutive schlägt eine plausible Strategie vor: Er sagt, wir akzeptieren jetzt einige Sicherheitsschulden, um schneller ins Ziel zu kommen. Dies wird das Unternehmen später kosten: Das Unternehmen muss entweder die Sicherheitsschulden später durch eine Neuarchitektur / Neuimplementierung seiner Systeme zurückzahlen, oder das Unternehmen geht später ein großes Risiko einer schwerwiegenden Sicherheitsverletzung ein. Aber viele Startups würden diesen Kompromiss gerne akzeptieren. "Zahlen Sie später, wenn das Startup ein großer Erfolg ist" übertrumpft wahrscheinlich "Jetzt zahlen und möglicherweise das Startup zum Scheitern bringen".

Hier ist mein Rat. Anstatt zu versuchen, den Geschäftsführer dazu zu bringen, seine Meinung zu ändern, würde ich vorschlagen, dass Sie zwei Dinge tun:

  • Vermitteln Sie den Begriff "Sicherheitsschuld". Bereiten Sie die Grundlagen so vor, dass Sie später ein Buy-In erhalten, wenn das Unternehmen erfolgreich ist, um die Sicherheitsschulden zu begleichen und die Sicherheit der Unternehmenssysteme zu verbessern.

  • Im Moment Konzentrieren Sie sich auf billige Sicherheitsmechanismen, die die Fähigkeit des Unternehmens, die Ziellinie zu erreichen, nicht verlangsamen. Ich spreche von einfachen Dingen wie Firewalls, automatischen Updates, Backups usw. Außerdem können Sie parallel zum Entwicklungsaufwand des Teams Brainstorming durchführen und anspruchsvollere Sicherheitslösungen oder -designs entwickeln, damit der Rest des Teams nicht langsamer wird Team - vorausgesetzt, das Unternehmen kann Ihnen diese Mühe ersparen.

+1 für Sicherheitsschulden oder Sicherheitsinvestitionen. Ich denke, dies ist ein Schlüsselkonzept für den Verkauf, nicht nur an Startups, sondern in großen Unternehmen wäre es ein Projektteam oder ähnliches. Es ist alles sehr gut, ein Risiko einzugehen und das Produkt / die Dienstleistung schnell zu versenden, aber Sie müssen das Budget für die anschließende Sortierung einplanen und es nicht einfach als "versandt - erledigt" belassen.
+1, und ich würde gerne noch eine Weile weiterklicken ... Ich weiß, dass ich hier zu spät zum Spiel komme, aber Sie haben so ziemlich alle Punkte abgedeckt, die ich beantworten wollte. Sie haben sogar "Sicherheitsschulden" im Sinne von "technischen Schulden" gedeckt, was neben dem Risikomanagement mein Hauptpunkt sein sollte.
Übrigens können sich auch "billige Sicherheitsmechanismen" auf der Anwendungsebene befinden - hauptsächlich im Bereich Training und Modellierung von Bedrohungen auf hoher Ebene.
#4
+9
atdre
2011-05-15 13:17:42 UTC
view on stackexchange narkive permalink

Parasiten ruinieren nicht nur Ihre potenziellen Einnahmequellen für Produkte / Dienstleistungen, sondern auch Ihre frühzeitige Marke / Ihren Ruf und Ihre Fähigkeit, Ihre Produkte / Dienstleistungen zu vermarkten. Sie brechen Ihre SEO-, AdWords- und ähnlichen Internet-Marketing-Konzepte - die zum Aufbau Ihrer Online-Präsenz erforderlich sind.

Gegner automatisieren die parasitäre Infektion von Websites mit Botnetzen und anderen Formen der Automatisierung - und machen jede Website zu einem potenzielles Ziel, insbesondere im Startmodus (da sie häufig auf Hosting- / CMS- / Blog- / Forum- / E-Commerce-Paketen, Komponenten, Diensten usw. von Drittanbietern angewiesen sind).

Devil's Advocate spielen - wirft das nicht die FUD-Karte? Ein Startup, von dem ich weiß, dass es fast keine Sicherheit bietet und noch nichts Schlimmes erlebt hat. Aus ihrer Sicht haben sie richtig gespielt. Das Geld, das aus der Führung des Geschäftsrennens stammt, kann später zur Stärkung der Sicherheit verwendet werden - es ist schwer, sie davon zu überzeugen, diese Reihenfolge umzukehren.
Eigentlich ist es einfach - man muss nur auf die Katastrophe warten.
@Systemsninja - stimme voll und ganz zu, ich unterschreibe den Managementstil „Ein Verstoß gegen eine Budgeterhöhung“ :)
#5
+6
hamishmcn
2011-05-15 14:07:09 UTC
view on stackexchange narkive permalink

Kürzlich habe ich einen FTP-Server von zu Hause aus eingerichtet, weil ich remote arbeite und wollte, dass Kollegen und Kunden über Nacht große Dateien an mich übertragen können (auf der anderen Seite der Welt). Ich war wirklich schockiert zu entdecken, wie viele (automatisierte?) Versuche pro Woche unternommen werden, in meinen FTP-Server einzudringen - nur ein kleiner Heimserver ohne Werbung. Es hat mich überzeugt, dass Sie nicht paranoid genug sein können - Leute werden versuchen, Ihre Daten oder die Daten Ihrer Kunden einzubrechen und zu stehlen. Alles andere als das Beste für Ihre Sicherheit zu tun, ist ein Fehlschlag

Tatsächlich. Ich betreibe einen SSH-Server und habe ein sehr hohes Angriffsvolumen für ein nicht wirklich gut beworbenes Ziel beobachtet. +1, es reicht nicht aus anzunehmen, dass Sie nicht als Ziel ausgewählt werden.
Ich glaube nicht, dass diese Antwort etwas beweist. Dies sind blinde, dumme Angriffe, und sie können leicht durch sehr elementare Sicherheitsmethoden gestoppt werden - richten Sie eine Firewall ein. Ich vermute, der Manager würde sagen, dass er eine Firewall einrichten würde, die für die IT-Support-Mitarbeiter etwa 30 Minuten dauert - aber verbringen Sie nicht viel Zeit damit, Sicherheit in die neue Software zu integrieren, die das Startup entwickelt.
#6
+6
Ben
2011-05-15 17:22:48 UTC
view on stackexchange narkive permalink

Bei Sicherheit geht es um Risikomanagement, das letztendlich eine Geschäftsentscheidung ist.

Sie müssen Ihrem Startup-Manager helfen, nicht nur die Risiken zu verstehen, sondern auch die Implementierungskosten, die sich zwischen diesen jetzt unterscheiden und später. Der Versuch, Sicherheit nach der Veröffentlichung in Software einzubetten, ist schwierig und weitaus teurer.

Wenn dies ein Wettlauf bis zur Ziellinie ist, bieten Sie Lösungen an, die ihren Fortschritt nicht behindern. Entwickler und Ingenieure können weiterhin Software erstellen, während Sie parallel zu ihnen arbeiten. Versuchen Sie, eine Kompromisslösung zu finden, die:

  • kommerzielle Standardverteidigungen oder vorgefertigte Pakete (z. B. Web-App-Firewalls) verwendet.
  • ermöglicht die Integration von Sicherheit in effektiver später durch frühzeitige Architekturentscheidungen (insbesondere wissen, wohin der Verteidigungscode gehen wird, wenn Sie Zeit haben, ihn zu implementieren)
Ich habe nicht gesehen, dass ein Startup-Manager den Kurs ernsthaft geändert hat, als er den Rat erhielt, dass "der Versuch, Sicherheit nach der Veröffentlichung in Software einzubetten, schwierig und weitaus teurer ist". Tatsächlich treibt es oft ihren Widerstand an, weil der Ton sie wirtschaftlich erschreckt (d. H. Sicherheit ist teuer - ich kann momentan keine Sicherheit bieten). Es ist ein großartiger Punkt, aber es kann nicht wirklich Resonanz finden.
Ich stimme zu, es funktioniert selten, aber es ist auch der wahrscheinlichste Erfolg aller Ansätze, wenn Sie einen Startup-Manager haben, der nicht an rationalen Argumenten interessiert ist oder von FUD beeinflusst wird. Dies setzt natürlich Zeit voraus und nicht Geld ist die Hauptbeschränkung.
#7
+6
Rory Alsop
2011-05-15 19:29:11 UTC
view on stackexchange narkive permalink

Eine Antwort, die bisher übersehen wurde, besteht darin, Sicherheit als Mehrwert für das Startup auf die Tagesordnung zu setzen. Dies kann insbesondere in Branchen effektiv sein, in denen in jüngster Zeit ein stark publizierter Angriff stattgefunden hat. Wenn die VCs oder Stakeholder verstehen, wie eine verbesserte Sicherheit ihnen helfen kann, das Produkt oder den Service zu verkaufen, wird dies zu einem Argument, das sie verstehen können: Gewinn!

Ja, es kann sehr schwierig sein, sie zu überzeugen, und vieles kommt auf das Timing an; Wie gesagt, es ist viel einfacher, gleich nach dem PSN-Crack das Konzept der Sicherheit als Mehrwert für ein Unternehmen, das Online-Spiele betreibt, voranzutreiben, aber leider ist es nicht so einfach, dasselbe Beispiel in einer anderen Branche zu verwenden, obwohl dies der Fall ist Das Problem bestand darin, dass personenbezogene Daten aus einer Kundendatenbank kompromittiert wurden, die für alle relevant sein sollten!

+1 für Sicherheit als Marketing ... Leider spiegelt sich das Marketing von Sicherheit oft nicht in der Realität wider, sodass die Vorteile mit den tatsächlichen Kosten möglich sind.
#8
+3
Steve
2011-05-15 16:34:02 UTC
view on stackexchange narkive permalink

Ist es für die Führungskraft cool, das Unternehmen ohne Versicherung zu führen? Wenn ja, hören Sie sich an, was alle anderen bisher gesagt haben (und rennen Sie schnell von dieser Firma weg). Wenn nicht, fragen Sie sie, warum sie das tun, indem Sie nicht an Sicherheit denken.

#9
+3
john
2011-05-15 17:03:19 UTC
view on stackexchange narkive permalink

Sie können den praktischen Ansatz wählen. Nehmen Sie die Erlaubnis und beauftragen Sie einen (vorzugsweise) Junior-Penetrationstester und lassen Sie ihn das größte Unternehmensgeheimnis "stehlen", einen anderen größeren Fehler finden oder sogar einen Social-Engineering-Angriff durchführen ( wie das Senden einer schädlichen PDF-Datei an eine Sekretärin). Präsentieren Sie dann der Führungskraft die Ergebnisse und konzentrieren Sie sich auf Reputationsschäden (hier schaden Startups am meisten).

Pen &-Papierszenarien sind nicht ganz so effektiv, um Unsicherheit zu demonstrieren, wie Ihre Geheimnisse im Freien. Das sollte sie überzeugen, zumindest darüber nachzudenken, etwas Geld in die Sicherheit zu stecken.

Das Argument hier ist nicht, dass Sie unsicher sind, sondern die Leichtigkeit, dass jemand mit wenig Erfahrung einbrechen oder einen großen finden kann Fehler, der mit minimalen Sicherheitsinvestitionen hätte vermieden werden können.

Pentesting ist für die meisten Startups keine wirtschaftliche Priorität - sie drängen darauf, fast alle Sicherheitsarbeiten zu verzögern. Die einzigen Startups, die ich beim Kauf von Pentests sehe, sind diejenigen, die einen Vorfall erlitten haben, aufgrund einer Geschäftsvereinbarung dazu verpflichtet sind oder einem Gesetz oder einer Verordnung unterliegen.
Genau. Mein Ziel war es nicht, ein kommerzielles, teures Pentest mit vollem Umfang zu kaufen, sondern einen einzelnen Junior-Pentester zu beauftragen, einen Demonstrationsangriff als Proof of Concept durchzuführen, um Unsicherheiten hervorzuheben. Ich habe es gesehen und es selbst gemacht: Ich habe in einem Startup als Administrator gearbeitet und als ich ein Budget für Sicherheit wollte, habe ich mich als externer Pentester verhalten, einige Mängel festgestellt und sie meinen Vorgesetzten vorgestellt. (Ich war qualifiziert genug, also habe ich keine andere Person eingestellt). Sie wurden gesackt und in eine kleine zusätzliche Summe für die Sicherheit im Jahresbudget investiert.
#10
+2
Brandon
2011-05-15 14:40:25 UTC
view on stackexchange narkive permalink

Sie können ein Gleichgewicht haben.

Öffnen Sie KEINE unnötigen Ports und beschränken Sie Ihre "Admin" -Stücke auf das LAN oder bestimmte bekannte Admin-IPs. Auf diese Weise wird zumindest das Material, für das Sie Verknüpfungen verwenden, nur intern.

Von jedem Startup sollte erwartet werden, dass er grundlegende, praktische Sicherheitsprinzipien befolgt. Wenn Sie nicht so in Sicherheit investieren können, wie Sie möchten, verlassen Sie sich auf Einfachheit und ein wenig Unannehmlichkeiten, um die Angriffsfläche zu verringern.

Leider ist dies aus den von @Tate genannten Gründen nicht für eine schnelle Markteinführung geeignet. In vielen Fällen müssen sie VCs nur beweisen, dass sich das Produkt schnell verkaufen lässt.
@rory Ich bin mit Respekt anderer Meinung. Dies ist absolut einfach und praktisch und hat keinen Einfluss auf die Produktivität. Die "Investition" in Sicherheit ist winzig und sollte nicht einmal in einer Bilanz ausgewiesen werden. Sie können Ihre VCs auch als Verkaufsargument darauf hinweisen. Ein VC wird nicht glücklich sein, wenn er seine Investition verliert, weil ein Bot den Server verwurzelt hat, auf dem alles gespeichert ist, und Wochen oder Monate Arbeit verloren gehen.
Viele Startups haben nicht einmal einen Vollzeit-Systemingenieur / Administrator und keine Ahnung, wie man eine grundlegende Systemhärtung durchführt.
@Rory, was speziell ist nicht geeignet? Nur notwendige Ports öffnen? : - /
@Tate, Es braucht keine Vollzeitstelle, um zu verstehen, dass das öffentliche Internet hier der Feind ist, und einige Stunden damit zu verbringen, Ihre Firewall davor zu schützen.
@routeNpingme - Ich bin damit einverstanden, dass keine Vollzeitkraft benötigt wird, aber eine Firewall tut wenig gegen beliebte Bedrohungsvektoren (z. B. sqli, clientseitig, wifi mitm) und Execs sprechen nicht auf dieser technischen Detailebene
#11
+2
kindofwhat
2011-05-15 19:28:19 UTC
view on stackexchange narkive permalink

Wenn Ihr Manager das Konzept der IT-Sicherheit nicht als Geschäftsrisikoproblem verstehen kann, ist er entweder nicht der richtige für die Position selbst (da Risikomanagement von Anfang an ein zentrales Thema sein sollte) oder niemand konnte ihn dazu bringen Sie ist sich dieses Problems bewusst.

Das Erkennen und Akzeptieren von Risiken ist ein gültiger Ansatz für alle Unternehmen.

Ihr zweiter Absatz scheint dem ersten zu widersprechen ...?
@AviD: Nun, meine Antwort war sowieso ziemlich dumm: Was ich sagen wollte, dass das Akzeptieren des Risikos ein akzeptables Verhalten ist, solange das Risiko in angemessener Weise bewertet wurde. Ich denke, die Hauptfrage für ein Startup lautet: "Wie viel kostet uns die Umgehung der Sicherheit am Anfang in Zukunft?" Schwierige Frage, muss aber gestellt werden ...
#12
+2
Aaron Digulla
2011-05-16 01:50:26 UTC
view on stackexchange narkive permalink

Es ist die Aufgabe einer Führungskraft, Risiken zu managen. Wenn er der Meinung ist, dass die Sicherheit verzögert werden sollte, muss er diese Entscheidung treffen.

Das heißt, Sie sollten sicherstellen, dass es sich um eine fundierte Entscheidung handelt. Wie immer erfordert dies eine möglichst gründliche Liste der Bedrohungen, Wahrscheinlichkeiten und möglichen Schäden, die auftreten können. So könnte zum Beispiel jemand die Kundendatenbank stehlen. Oder es könnte eine Hintertür in Ihren Produkten installiert sein.

Das Problem hierbei ist, dass die Wahrscheinlichkeit meistens unbekannt ist oder Sie sich in einer N * M-Situation befinden, in der N die Wahrscheinlichkeit und M der Schaden und N ist ist viele Größenordnungen kleiner als M. Es ist wie bei den Atomkraftwerken in Japan: Der mögliche Schaden ist riesig, aber die Wahrscheinlichkeit eines Vorfalls ist wirklich sehr, sehr gering. "Einmal in 100'000 Jahren". Das "einmal" kann morgen sein (und es war in mehreren Fällen, wie wir alle gesehen haben). In diesem Fall ist die resultierende Zahl also ziemlich wertlos.

Ich würde sicherstellen, dass die Führungskraft eine fundierte Entscheidung trifft: Ich würde seinen Lohn mit dem Risiko in Verbindung bringen. Wenn er Recht hat, bekommt er einen fetten Bonus. Wenn er sich irrt, sollten die Schäden zunächst seinem persönlichen Vermögen zuwiderlaufen.

Diese Art von Sicherheitsnetz stellt normalerweise sicher, dass die Menschen nicht zu viel Risiko eingehen. Es kann aber auch Ihren Start töten, da der Manager möglicherweise keine Risiken mehr eingeht.

#13
+2
Bell
2011-05-16 18:13:55 UTC
view on stackexchange narkive permalink

Wie in anderen Antworten und Kommentaren ausgeführt, können die beiden häufigsten Argumente für den Aufbau von Sicherheit von Anfang an - wahrscheinlich gültig - in einer Startumgebung mit Zeitdruck zurückgewiesen werden:

  • Dies ist der Fall Die Nachrüstung von Sicherheit ist garantiert teurer als der Start - das Geschäftsmodell des Tech-Start-ups geht davon aus, dass am Wendepunkt des Unternehmens um Größenordnungen mehr Geld zur Verfügung steht als zu Beginn.
  • Reputationsschäden oder Kosten aufgrund eines Verstoßes können das Geschäft beeinträchtigen. Wenn der einzige Vorteil, den Sie haben, die erstmalige Markteinführung ist, gibt es nichts, gegen das es sich zu verstoßen lohnt, wenn der anfängliche Entwicklungsprozess verlängert wird.

Dies ist nicht nur ein Problem der Sicherheit, sondern wirkt sich auch auf andere Qualitätsmetriken wie Benutzerfreundlichkeit und Wartbarkeit aus.

Es gibt ein Argument, das für Startups spezifisch ist - und es kann darauf hinweisen, wo das richtige Gleichgewicht liegt Für diese Umgebung: Was ist, wenn Sicherheitsbedenken erfordern, dass Sie nach dem Produkt aufdringliche Änderungen vornehmen? uct hatte eine beträchtliche Anzahl von Benutzern gewonnen?

Wir wissen, dass Software häufig anders verwendet wird, als die Entwickler es sich vorgestellt hatten. Daraus folgt, dass das, was die Designer als Hauptmerkmale angesehen haben, möglicherweise nicht das ist, wofür sich die Benutzer anmelden. Dies macht es sehr schwierig zu beurteilen, ob eine Änderung die Klebrigkeit oder die Benutzerakquise stört. Eine Entwurfsentscheidung, die für Benutzer als Teil des ursprünglichen Produkts völlig akzeptabel gewesen wäre, kann sogar zu einem Spiel führen, wenn sie auf vorhandene Benutzer des Produkts angewendet wird.

Eine Überprüfung, um Änderungen zu minimieren, die erforderlich sind, nachdem Benutzer des Produkts erforderlich sind auf dieses Argument verkaufsfähig sein. Es ist wahrscheinlich auch das angemessene Maß an Sicherheitsaktivität für ein Startup, das sich in einem kopflosen Ansturm befindet, als erstes auf den Markt zu kommen.

Guter Punkt.
#14
+1
Doug Harris
2011-05-15 17:04:28 UTC
view on stackexchange narkive permalink

Befürchtet diese Führungskraft schlechte Presse?

Sehen Sie sich an, was in letzter Zeit mit Dropbox passiert: Dropbox-Lied an Benutzer über Datensicherheit, Beschwerde gegen FTC-Vorwürfe.

Ich bin sicher, dass sie mit dieser Art von Aufmerksamkeit nicht zufrieden sind.

Betrachten Sie das Geschäftsmodell Ihres Startups und zeichnen Sie einige Szenarien für schlechte Fälle, in denen mangelnde Sicherheit möglicherweise nicht einfach sein könnte schlechte Presse bringen, aber das Geschäft zum Erliegen bringen.

Die einzigen Führungskräfte, von denen ich weiß, dass sie schlechte Presse wirklich fürchten, sind diejenigen mit erheblichem Geld- / Reputationsverlust (d. H. Sie haben eine ausreichende Eigentümerschaft, damit sie das Gefühl haben / handeln, dass das Unternehmen dort ist). Ansonsten ist es nur ein weiterer Job und sie möchten dem Vorstand nicht verrückt erscheinen, indem sie vorschlagen, wertvolle Ressourcen für den Kauf von Sicherheit für „Was wäre wenn“ auszugeben.
#15
+1
VerSprite
2011-05-15 17:20:13 UTC
view on stackexchange narkive permalink

Wenn Sie ein neues Unternehmen gründen, haben Sie keinen Ruf außerhalb der Führungskräfte, die möglicherweise ihre früheren Auszeichnungen im Bereich Technik / Geschäft erhalten haben. Wenn ein Startup diese Sicherheitsverletzungskarte vor sich hat, ist der Reputationsschaden daher erheblich. Orte wie Sony, TJX und Michael sind riesige Unternehmen, die einen solchen Schlag aushalten können. Wenn ein Manager eines Startups jedoch das Gefühl hat, als Startup einen Verstoß überleben zu können, hat er eine naive und kurzsichtige Sicht auf das grundlegende Risikomanagement. Im Wesentlichen wäre in einem solchen Fall ein kleines Startup der Konkurrenz und der Presse ausgeliefert, was die Meinung seiner potenziellen Käufer leicht überwältigen könnte, indem es ihr Image von der Fähigkeit des Startups beeinträchtigt, Kunden- oder regulierte Daten zu schützen oder einfach auf ihre zuzugreifen Infrastruktur.

Viele Startups, denen ich begegnet bin, planen nicht, einen Verstoß frühzeitig zu überleben - dies ist angesichts der typischen wirtschaftlichen Situation einfach keine Priorität. Eigentlich habe ich kein Startup persönlich gesehen, das so gelitten hat, wie Sie es beschrieben haben - kennen Sie Beispiele?
@TateHansen, Dropbox?


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...