Startups sem CISO: você está perdendo uma grande oportunidade de negócios

Muitas startups – e também pequenas empresas – não investem em um diretor de segurança da informação (CISO) ou equivalente. De fato, uma pesquisa recente da Navisite demonstra a lacuna de liderança em segurança cibernética das pequenas empresas, observando em seu “O estado da liderança e prontidão em segurança cibernética” relatório [subscription required]:

“Ao avaliar a falta de liderança em segurança cibernética por tamanho da organização: quanto menor a organização, maior a probabilidade de ela operar sem um CISO/CSO. Entre as maiores empresas com 5.000 ou mais funcionários, apenas 10% indicaram não ter um CISO/CSO, em comparação com organizações de médio porte com 52% e pequenas organizações com 64%.”

Se você já passou algum pace no mundo das startups ou pequenas empresas, isso provavelmente não será uma surpresa para você. Empresas desse porte estão focadas em uma coisa: levar seu produto ou serviço ao mercado da forma mais rápida e eficiente possível. Pace, recursos e orçamentos são dedicados ao desenvolvimento de produtos/serviços e estratégias de entrada no mercado (GTM), deixando a segurança cibernética para segundo plano.

E a segurança cibernética muitas vezes se torna um “complemento” posterior, porque muitas empresas erroneamente a veem como um centro de custo e inibidor de negócios, e não o que tem potencial para ser: um gerador de lucro.

Mas você deve saber que, se estiver administrando uma startup ou uma pequena empresa, mas não investindo em um CISO, estará fazendo mais mal do que bem à sua empresa.

Tornando a segurança cibernética um gerador de lucro

Os CISOs podem gerar lucro para as empresas apenas mantendo-as protegidas contra ataques cibernéticos. Hoje, startups e pequenas empresas são alvos de ataques tanto quanto as grandes empresas. E, independentemente do tamanho da empresa, as consequências podem ser devastadoras – perda financeira, perda de clientes, reputação prejudicada e muito mais.

Na verdade, após um ataque, muitas empresas desse porte fecham as portas ou lutam para permanecer no mercado. Pesquisar da Nationwide Cybersecurity Alliance revela que 60% das pequenas e médias empresas fecham as portas dentro de seis meses após um ataque cibernético. Por esse fato, um CISO tem o poder de manter seus negócios à tona – ou, inversamente, a falha em investir nessa função de liderança de segurança pode significar o fim da sua empresa.

Além disso, porém, os CISOs também podem gerar lucro de outras maneiras. Aqui estão três coisas que você pode começar hoje para habilitar o negócio.

1. Crie uma cultura de segurança desde o início.

A realidade dentro de muitas startups é que ninguém está pensando em segurança. Eles estão focados apenas em construir seu produto ou serviço e colocá-lo no mercado. Todos têm acesso a tudo, os ativos estão por toda parte e não há regras de segurança. Essencialmente, é o “Wild West” da segurança.

Mas isso é problemático porque os funcionários são a primeira linha de defesa contra ataques cibernéticos. E, se eles não forem treinados desde o início para priorizar a segurança e seguir uma boa higiene cibernética (por exemplo, pensar duas vezes antes de clicar em um hyperlink suspeito ou abrir um anexo de uma fonte desconhecida, evitar a reutilização de senha and many others.), ser extremamente difícil corrigir o curso quando sua empresa estiver pronta para o horário nobre.

Investir em um CISO desde o início elimina os desafios que cercam o “elemento humano”, oferecendo uma oportunidade para as startups construirem uma cultura de segurança desde o início, para que a segurança cibernética cresça junto com a organização. Isso significa garantir que os funcionários adotem uma mentalidade de “segurança em primeiro lugar” em tudo o que fazem, garantindo que os funcionários – da suíte executiva à sala de correspondência – entendam como suas decisões afetam a postura de segurança da empresa e implementam controles e processos de “segurança por design” que adaptar e crescer com o negócio.

Os CISOs que fazem seu trabalho bem irão enraizar a segurança cibernética na cultura da empresa desde o primeiro dia para reduzir o risco empresarial, garantir operações de negócios contínuas e perfeitas e posicionar a empresa para o sucesso a longo prazo.

2. Agilize os processos do GTM.

Convenhamos, há muitas conotações negativas associadas ao papel do CISO hoje. As equipes de negócios enfrentam os CISOs com resistência porque os veem como um inibidor de como eles operam. E os líderes da empresa pensam que os CISOs estão apenas no negócio de dizer “não”.

Ao contrário dessas percepções errôneas generalizadas, porém, os CISOs não estão lá para dizer “não podemos fazer isso”; mas sim, “nós podemos fazer isso, e é assim que podemos fazê-lo com segurança”. E, quando esse equilíbrio best entre agilidade de negócios e segurança é alcançado desde o início, os processos do GTM podem ser acelerados quando seu produto estiver pronto para o mercado.

Por exemplo, startups que oferecem um produto ou serviço podem ter os melhores engenheiros do mundo, mas carecem de profissionais de segurança experientes. Empregar um CISO pode dar à empresa a percepção necessária para melhorar a segurança do produto e o sucesso no estágio de desenvolvimento, para que os lançamentos de produtos não sejam atrasados ​​na fase GTM.

Da mesma forma, os CISOs podem identificar maneiras de agilizar a conformidade regulatória necessária, como com os requisitos SOC 2 ou PCI-DSS, para que não se tornem obstáculos ao negociar acordos iniciais.

3. Prevenir a dívida técnica.

Não é incomum que os líderes de startups e pequenas empresas continuem adicionando novas ferramentas ao seu arsenal de tecnologia sempre que acham que isso os ajudará a atingir suas metas de GTM. Mas, em vez de ajudar a empresa, essa abordagem pode resultar em infraestruturas de TI complexas que dificultam a execução dos processos de negócios e introduzem dívida técnica significativa, tirando dólares do produto.

O objetivo de longo prazo de qualquer startup ou pequena empresa é alcançar um crescimento em hiperescala e, embora inicialmente você possa sobreviver sem segurança cibernética, negligenciá-la não é uma opção sustentável. Em algum momento, você terá que dar um passo para trás e limpar a bagunça – e isso será uma tarefa difícil se sua empresa sofrer com a expansão tecnológica.

Empregar um CISO desde o início pode ajudar a manter sua empresa honesta, de modo que você esteja usando apenas o número mínimo de tecnologias necessárias para manter a agilidade dos negócios (enquanto seguro). Isso pode ter um grande impacto no resultado ultimate, porque evitar a dívida técnica nos estágios iniciais pode proporcionar economia de custos a curto e longo prazo. Se sua equipe está acostumada a operar com uma mentalidade minimalista quando se trata de tecnologia e processos necessários para realizar um trabalho, suas infraestruturas de TI e custos associados nunca ficarão fora de controle.

Cibersegurança e negócios estão interligados

Deixando tudo isso de lado, não vamos esquecer que, no ultimate das contas, a segurança é um problema de negócios. Portanto, se você não tiver um CISO para garantir uma area of expertise postura de segurança cibernética, terá não apenas problemas de segurança, mas também desafios de negócios. CISOs que ajudam sua empresa a movimentar a agulha dos negócios – sem comprometer a segurança – tornam-se o motor de lucro muito necessário que impulsiona o sucesso em todos os setores. E, à medida que mais CISOs demonstram valor comercial dessa maneira, esperamos que esse número de 64% representando o número de pequenas empresas sem um CISO diminua drasticamente.

Neal Bridges é CISO da Question.AI