Для многих стартапов кибербезопасность и, в частности, пентесты — это темы, которые необходимо решать из-за требований клиентов или инвесторов.
Требования к безопасности и пентестированию, предъявляемые клиентами стартапов
В зависимости от профиля клиентов стартапов, требования к безопасности не одинаковы. Для стартапов, которые продают цифровые решения крупным клиентам, безопасность является важным элементом. Информационные системы крупных клиентов должны соответствовать стандартам кибербезопасности (в частности, ISO27001). Это означает выбор сторонних решений, обеспечивающих гарантии безопасности. Для многих стартапов это также означает, что в процессе покупки решения клиент может запросить отчет о пентестах или другие документы (PSSI, план реагирования на инциденты и т. д.).
Для стартапов, которые продают свое решение только VSE и МСП, требования к безопасности обычно ниже. Если клиенты не очень подкованы в этом вопросе и не проводят аудиты безопасности самостоятельно, они вряд ли будут требовать от поставщика услуг отчет по пентесту. Однако ситуация может измениться по мере повышения уровня безопасности малых предприятий. Например, стартапы, которые формализуют политику безопасности и проводят регулярные аудиты для удовлетворения требований своих клиентов, теперь будут более требовательны к своим поставщикам услуг в вопросах безопасности.
Для стартапов, предлагающих в основном услуги BtoC или CtoC, требования к безопасности в процессе покупки отсутствуют. Однако в зависимости от предлагаемых услуг и типа данных, обрабатываемых решением, факт предоставления гарантий безопасности и, прежде всего, предотвращения инцидентов помогает укрепить доверие пользователей и может подтолкнуть их к выбору одной платформы вместо другой.
Пентест, политики безопасности, план реагирования на инциденты…
Запросы по безопасности, выраженные клиентами стартапа, могут касаться различных типов документов, которые необходимо предоставить: анализ рисков, отчет об аудите безопасности, PSSI, план реагирования на инциденты и т. д. Не говоря уже о декларативных анкетах, которые необходимо заполнить.
Некоторые запросы могут сбить с толку, особенно если вас просят об этом впервые. От одного крупного клиента к другому, документы, которые необходимо подготовить, не одинаковы, а требования к безопасности не сосредоточены на одних и тех же аспектах.
Наличие сертификата ISO27001 или SOC2 позволяет вам ответить на многие вопросы и засвидетельствовать внедрение средств защиты, основанных на стандартах. Если вы не пройдете эти сертификации, наличие формализованного документа ISPP поможет показать, что различные вопросы хорошо решаются внутри компании. Кроме того, обмен отчетами об аудите безопасности по периметрам, которые интересуют клиентов (по крайней мере, решение, оцениваемое в рамках процесса покупки, или даже более широко — ИТ-системы издателя решения, потенциально подверженные атакам), конкретно показывает, что уровень безопасности был оценен третьей стороной, и свидетельствует о решении проблем безопасности, которые могли быть выявлены.