Dalam hal memenuhi standar kepatuhan, banyak startup mendominasi alfabet. Dari GDPR dan CCPA hingga SOC 2, ISO27001, PCI DSS, dan HIPAA, perusahaan telah mengenakan biaya untuk memenuhi standar kepatuhan yang diperlukan untuk menjalankan bisnis mereka.
Tetapi kesalahan yang dilakukan oleh banyak perusahaan dengan pertumbuhan tinggi adalah mereka memperlakukan kepatuhan sebagai frasa umum yang mencakup keamanan.
Pada kenyataannya, kepatuhan berarti bahwa perusahaan memenuhi sekumpulan kontrol minimum. Keamanan, di sisi lain, mencakup berbagai praktik terbaik dan perangkat lunak yang membantu mengatasi risiko yang terkait dengan operasi perusahaan.
Jadi mengapa kepatuhan saja tidak cukup?
Pertama, kepatuhan tidak berarti keamanan (walaupun ini adalah langkah ke arah yang benar). Lebih sering daripada tidak, perusahaan muda patuh meski rentan dalam postur keamanan mereka.
Oleh karena itu, meskipun standar kepatuhan terpenuhi, beberapa kelemahan keamanan tetap ada. Hasil akhirnya adalah bahwa startup dapat mengalami pelanggaran keamanan yang akhirnya menghabiskan banyak biaya.
Kedua, bahaya yang tidak terduga bagi para startup adalah bahwa kepatuhan dapat menciptakan rasa aman yang palsu. Menerima sertifikat kepatuhan dari auditor objektif dan organisasi terkenal dapat memberikan kesan bahwa bagian depan keamanan dilindungi.
Ketiga, kepatuhan hanya berurusan dengan apa yang diketahui. Itu tidak mencakup apa pun yang tidak diketahui dan baru sejak versi terakhir dari persyaratan peraturan ditulis.
Salah satu cara terbaik bagi para startup untuk mulai menangani keamanan adalah dengan menyewa keamanan lebih awal. Anggota tim ini mungkin tampak seperti “menyenangkan untuk dimiliki” yang dapat Anda tunda sampai perusahaan mencapai jumlah karyawan atau pencapaian pendapatan yang besar, tetapi saya berpendapat bahwa kepala keamanan adalah kunci perekrutan awal karena tugas orang ini adalah fokus sepenuhnya menganalisis ancaman dan mengidentifikasi, menerapkan, dan memantau praktik keamanan.
Selengkapnya: Tech Crunch
