首页科技快讯 “合规”不等于安全，它只是初创公司的“第一步”

“合规”不等于安全，它只是初创公司的“第一步”

来源：晰数塔互联网快讯时间：2021年07月30日 10:36

神译局是36氪旗下编译团队，关注科技、商业、职场、生活等领域，重点介绍国外的新技术、新观点、新风向。

编者按：安全和合规常常被放在一起讨论，就好像它们是一个词汇一样，实际上安全与合规有很大的不同。安全与合规最主要的区别是，安全是使用有效的技术手段来保护资产免遭攻击，是不断动态变化的；合规则是为了满足各类监管单位的监管要求，保证业务正常运作。对于初创公司而言，满足合规要求是否就能保证企业信息安全?本文编译自geektime.com，原文标题为Compliance ≠ Security: Why compliance is just 'step one' for startups，作者是纪源资本(GGV Capital)风险投资人欧伦•永格(Oren Yunger)，希望通过他的见解对您有所启发。

对于许多初创公司来说，这是当头棒喝，但纪源资本(GGV Capital)的投资者欧伦•永格(Oren Yunger)解释说，运营合规并不允许他们只是打安全牌。

在符合合规标准方面，许多初创公司占据了主导地位。从GDPR和CCPA，到SOC 2, ISO27001, PCI-DSS和HIPAA，这些公司一直在对各自所辖领域内的合规标准收费。如今，每个医疗保健行业的创始人都知道，他们的产品必须符合HIPAA法规，例如，任何在消费者领域工作的公司都很清楚GDPR。

但许多快速增长的公司犯的一个错误是，它们把合规视为一个包括安全在内的包罗万象的词语，这样思考的话，可能会是一个昂贵而痛苦的错误。在现实中，合规意味着公司满足最少的控制标准。另一方面，安全包括大量能帮助解决与公司运营相关的风险的最佳实践和软件。

初创公司希望首先解决合规问题，这是有道理的。在公司向受监管市场的地域扩张，以及渗透到金融或医疗等新行业的过程中，合规都发挥着重要作用。因此，在很多方面，实现合规是初创公司进入市场所需的工具之一。事实上，企业买家希望初创公司在签约成为他们的客户之前，先在合规方面过关，所以初创公司理所当然地会与买家的期望保持一致。因此，我们看到这样一种趋势也就不足为奇了：初创公司从很早的时候就实现了合规，并且通常会优先考虑这一行动，而不是开发一个令人兴奋的功能，或者发起一场新的活动来吸引客户。

对于一家年轻的公司来说，合规是一个重要的里程碑，推动了网络安全行业的发展。它迫使创业者戴上安全帽子，去考虑保护他们的公司和客户。与此同时，在与新兴供应商打交道时，合规性为企业买方的法律和安全团队打上了放心针。那么，为什么仅合规还不够呢?

首先，合规并不意味着安全（尽管它是朝着正确方向迈出的一步）。通常情况下，年轻的公司是合规的，但安全方面却做得不够完善。但这看起来像什么呢? 例如，一家软件公司可能已经达到了要求所有员工在其设备上安装端点保护的SOC 2标准，但它可能没有办法强制员工实际激活和更新软件。此外，该公司可能缺乏一个集中管理的工具，用于监控和报告是否发生了端点违规，在哪里、是谁和为什么违规。最后，该公司可能没有快速响应和修复数据泄露或攻击的专业知识。因此，尽管符合了合规标准，但仍存在一些安全失误。最终结果是，初创公司可能会遭遇安全漏洞，最终付出代价。根据IBM的一项研究，对于员工人数在500人以下的公司来说，安全漏洞造成的平均损失估计为770万美元，更不用说品牌受损和失去现有和潜在客户的信任等损失了。

其次，对初创公司来说，一个隐藏的危险是，合规可能会造成一种虚假的安全感。从客观的审核员和著名的组织那里获得一份合规证书会让他们觉得这里面包含安全。一旦初创公司开始获得吸引力并签约高端客户，这种安全感就会增强。他们认为，如果这家初创公司成功地从500强那里获得了有安全意识的客户，那么现在合规就足够了，而且这家初创公司可能通过关联获得了安全。在达成交易收费时，是买方的期望推动初创企业达到SOC 2或ISO27001要求以满足企业安全阈值。但在很多情况下，企业买家不会问复杂的问题，也不会深入了解供应商带来的风险，所以初创公司从来没有真正被要求去负责他们的安全系统。

第三，合规只处理已知的风险。自上个版本的法规要求编写以来，又出现了许多未知的、新的东西，这些新东西是不在合规范畴之内的。例如，API的使用正在增加，但是法规规章标准并未亦步亦趋地跟上。因此，电子商务公司必须按照PCI-DSS规章要求接受信用卡支付，但它也可能利用多个具有弱身份验证或业务逻辑缺陷的API。在编写PCI标准的时候，API还不常见，因此并未被包含在法规内，但现在，大多数金融科技公司都非常依赖它们。因此，商家可能符合PCI-DSS规章要求，但使用的是不安全的API，而这可能会使客户面临信用卡违约的风险。

合规和安全之间的混淆不能怪初创公司。任何公司都很难做到既合规又安全，对于预算、时间或安全知识有限的初创公司来说，这尤其具有挑战性。虽然在最理想地情况下，初创公司从一开始就应该既合规又安全，但指望初创公司花数百万美元在安全基础设施上是不现实的。但是初创公司可以做一些事情来变得更安全。

初创公司应对安全问题的最好方法之一就是尽早雇佣安全人员。你不要认为只有公司发展到一定规模并获得巨大收益时，才去考虑配备安全团队，但我认为早期一定要雇佣一个安全负责人，因为这个人的工作重点在于分析威胁，识别、部署和监控安全等操作上。此外，初创公司要确保他们的技术团队具有安全觉悟，并在设计产品和产品时将安全放在首位，这样一来，公司必将从中受益。

初创公司可以采取的另一种策略是调用正确的工具来增强安全性。好消息是，初创公司不用倾其所有便可做到这一点。有很多安全公司提供开源、免费或相对便宜的解决方案供新兴公司使用，包括Snyk、Auth0、HashiCorp、CrowdStrike和Cloudflare。完整的安全部署将包括用于身份和访问管理、基础设施、应用程序开发、市场弹性和管理的软件和最佳实践，但大多数初创公司都不太可能有充足的时间和预算来部署稳健的安全基建的所有设施。幸运的是，有像Security4Startups这样的资源，为初创公司提供了一个免费的、开源的框架，让他们知道该先做什么。该指南帮助创业者识别和解决每个阶段最常见和重要的安全挑战，提供入门级解决方案列表作为建立长期安全计划的坚实开端。此外，合规自动化工具可以帮助持续监控，以确保这些控制器坚守阵地。

很明显，对于初创公司来说，合规对于与合作伙伴和客户建立信任至关重要。但如果这种信任在一次安全事件后被打破，便几乎不可能重新获得。安全，不仅仅是合规，将帮助初创公司把信任提升到一个全新的水平，不仅有助于推动市场动力，还确保他们的产品在市场上站稳脚跟。因此，不要将合规与安全之间划等号，我建议扩展这个等式——合规+安全=信任。信任等于商业成功和经久不衰。

译者：秀儿妈