Greșelile de securitate cibernetică pe care le fac startup-urile tehnologice, conform unui expert

Dacă există un lucru pe care startup-ul dvs. tehnologic ar trebui să-l rețină din 2025, acela este că nicio afacere nu este prea mică pentru a fi o țintă pentru infractorii cibernetici. De fapt, IMM-urile sunt acum perspective mai atractive pentru ransomware decât întreprinderile tradiționale, datorită resurselor lor limitate și datelor valoroase ale clienților.

Adesea, startup-urile nu dispun de cunoștințele sau resursele de care au nevoie pentru a lua decizii bune încă de la începutul afacerii. Am contactat un expert în securitate IT care lucrează frecvent cu startup-uri tehnologice pentru a obține informații despre ceea ce trebuie să știe companiile atunci când sunt la început de drum.

Gary Power, COO și Director de Servicii pentru Clienți la Power Consulting(fereastră nouă), are 25 de ani de experiență în industria IT externalizată. Power Consulting lucrează îndeaproape cu companii de toate mărimile din toate industriile, oferind servicii inclusiv servicii IT gestionate, planificare strategică IT și audituri și servicii de securitate cibernetică.

Am discutat cu Gary pentru a înțelege unde fac greșeli startup-urile tehnologice la începutul afacerilor lor.

Afacerea dvs. nu este prea mică pentru măsuri de securitate cibernetică

Utilizând Data Breach Observatory al nostru, Proton a urmărit datele de afaceri divulgate pe dark web pentru a înțelege pe cine vizau hackerii și cum erau încălcate afacerile. Am descoperit 794 de încălcări, totalizând peste 300 de milioane de înregistrări divulgate, și a devenit evident că organizațiile mai mici sunt din ce în ce mai expuse riscului.

Afacerea dvs. poate beneficia de examinarea modului și motivului pentru care alte afaceri au fost afectate de încălcări ale datelor. Informațiile obținute de la Data Breach Observatory, precum și recomandările noastre de securitate cibernetică pentru startup-urile tehnologice, pot fi găsite în cel mai recent eBook al nostru, The breaches that broke 2025.

Descărcați eBook-ul

Fie că gestionarea acreditărilor lor a lăsat de dorit, fie că nu au reușit să utilizeze măsuri de protecție precum criptarea de la un capăt la altul, se pare că IMM-urile fac greșeli cruciale în practicile lor de securitate. Și dacă micile afaceri rămân vulnerabile la amenințările cibernetice, acest lucru va dăuna în cele din urmă industriilor și inovației din întreaga lume prin limitarea creșterii afacerilor.

Gary notează că o parte cheie a protejării adecvate a afacerii dvs. este schimbarea mentalității atunci când vine vorba de măsurile de securitate pe care le utilizați.

„La început, fondatorii pun de obicei întrebări reactive precum «Avem nevoie de asta?» sau «Este exagerat pentru mărimea noastră?». Pe măsură ce se maturizează, întrebările se schimbă în «Ce ne-ar opri de fapt să fim încălcați?» și «Cum scalăm în siguranță fără a încetini afacerea?»”

În loc să omiteți pași pe măsură ce afacerea dvs. se stabilește, investiți de la început în securitatea cibernetică. La urma urmei, așa cum spune Gary: „Cei mai de succes fondatori realizează că securitatea este un factor de facilitare, nu un obstacol.”

Instrumentele originale nu sunt automat sigure

Când vine momentul să alegeți instrumentele, cum ar fi soluțiile de e-mail, unitate și manager de parole pe care le va folosi afacerea dvs., alegerea face o mare diferență. Gary avertizează împotriva presupunerii că soluțiile populare și moderne vor fi automat cea mai sigură opțiune.

„Cel mai mare punct mort este presupunerea că securitatea este «implicită» deoarece folosesc instrumente moderne sau platforme cloud. Fondatorii cred adesea că Microsoft 365, Google Workspace sau AWS înseamnă automat securitate. În realitate, majoritatea încălcărilor provin din configurări greșite, controale slabe ale identității, igienă precară a accesului și lipsa monitorizării — nu din tehnici exotice de hacking.”

Acest lucru poate să nu sune pozitiv, dar este: Este mult mai greu de prezis și prevenit tehnici sofisticate de hacking decât să construiți practici puternice de gestionare a identității și monitorizare în cadrul rețelei dvs. Problemele pe care le subliniază Gary pot fi abordate folosind următoarele:

• Practici riguroase de securitate a aplicațiilor web care vă permit să identificați și să atenuați potențialele amenințări la adresa mediului dvs.
• Măsuri de gestionare a identității, cum ar fi single sign-on (SSO) și autentificarea cu doi factori (A2F) care vă protejează rețeaua de afaceri, făcând în același timp mai ușoară și mai sigură accesarea rețelei de afaceri de către membrii echipei.
• Monitorizarea dark web este un instrument util care vă poate informa dacă oricare dintre datele afacerii dvs. apar pe dark web, permițându-vă să acționați rapid și să preveniți o încălcare a datelor.

Eroarea umană este o amenințare serioasă

Nu contează dacă instrumentele dvs. sunt sigure dacă nu sunt utilizate în siguranță. Eroarea umană este de fapt una dintre cele mai mari amenințări de securitate cibernetică ale afacerii dvs. Suprafețele de atac cresc exponențial datorită complexității rețelelor moderne de afaceri, necesitând ca membrii echipei să creeze zeci de conturi cu parole unice și să acceseze potențial aceste conturi de pe dispozitivele lor personale.

„O altă greșeală majoră este subestimarea riscului uman: phishing-ul, reutilizarea acreditărilor și dispozitivele negestionate sunt de obicei ușa din față.”

Aceste riscuri pot fi atribuite lipsei de conștientizare în securitatea cibernetică și așteptărilor neclare cu privire la modul în care sau dacă rețeaua de afaceri poate fi accesată prin intermediul dispozitivelor personale ale membrilor echipei. Din fericire, acestea pot fi abordate cu ușurință printr-o abordare duală de politici și educație:

• Educația la nivel de companie despre cum să depistați înșelătoriile de tip phishing și alte tipuri de malware(fereastră nouă) va ajuta fiecare membru al echipei să vă protejeze rețeaua de afaceri
• O politică de lucru la distanță și o politică bring your own device (BYOD) dacă este relevantă pentru afacerea dvs.
• Un manager de parole de afaceri sigur va asigura aplicarea politicilor dvs. de parole și stocarea acreditărilor sensibile într-un loc central, și chiar partajabile în siguranță dacă este necesar.

„Deciziile timpurii devin valori implicite permanente”, spune Gary. „Modelele de identitate, locațiile datelor, accesarea de administrator și standardele dispozitivelor sunt incredibil de greu de anulat mai târziu — mai ales odată ce sunt implicați clienții, investitorii și autoritățile de reglementare. Datoria de securitate se compune exact ca datoria tehnică. Este mult mai ieftin și mai puțin perturbator să stabiliți bariere bune devreme decât să modernizați controalele după o încălcare, un eșec de audit sau un refuz de asigurare cibernetică.”

Fundamentele securității sunt mai importante decât instrumentele

Instrumentele nu sunt singurul aspect pe care afacerile trebuie să îl ia în considerare pe măsură ce intră pe piață. Infrastructura dvs. IT va dicta cât de sigur pot lucra membrii echipei, cât de bine puteți detecta riscurile și cât de repede puteți atenua problemele.

Gary explică modul în care experții de la Power Consulting abordează configurarea infrastructurii IT și de securitate cibernetică pentru startup-uri. „Ne concentrăm pe fundamente înainte de instrumente strălucitoare.”

• Configurați politici puternice de gestionare a identității și accesului, inclusiv MFA și „cel mai mic privilegiu”, ceea ce înseamnă că oamenii ar trebui să aibă accesare doar la sistemele de care au nevoie.
• Securizați-vă punctele finale, inclusiv dispozitivele personale ale angajaților, din prima zi. Software-ul de gestionare a dispozitivelor vă poate ajuta să țineți evidența cine se conectează la rețeaua dvs. și de unde.
• Utilizați jurnalizarea și monitorizarea centralizată, astfel încât probleme precum accesarea neautorizată sau încălcările de cont să nu treacă neobservate.
• Pregătiți-vă pentru un eveniment cu instrumente adecvate de backup și recuperare, cum ar fi backup-uri imuabile (care nu pot fi modificate după ce au fost create) sau protecție offsite unde datele critice sunt trimise și stocate departe de site-ul principal al afacerii.

Construindu-vă afacerea pe fundamente solide, în cele din urmă investiți într-o afacere mai sigură pentru viitorul dvs. Timpul pe care îl petreceți construind o infrastructură sigură merită banii pe care îi veți salva și riscul pe care îl veți evita pe termen lung.

Acordați-vă timp pentru a configura corect

Gary recomandă să vă concentrați pe arhitectura de identitate, deoarece aceasta este zona cu cel mai mare impact asupra securității. Fiecare membru al echipei are o identitate digitală care îi permite accesarea datelor și instrumentelor de care are nevoie în rețeaua de afaceri, iar configurarea corectă a acesteia face toată diferența pe viitor.

„Arhitectura slabă a identității este cel mai greu de anulat — conturile partajate, adoptarea slabă a MFA și prea mulți administratori creează riscuri pe termen lung”, explică Gary. „Extinderea necontrolată a datelor nestructurate este o altă problemă majoră; odată ce datele sensibile sunt împrăștiate pe unități personale, căsuțe de e-mail și aplicații SaaS negestionate, recâștigarea controlului este dureroasă. În cele din urmă, lipsa documentației și a proprietății la început duce la confuzie și puncte moarte pe măsură ce echipele cresc.”