您的公司在什么阶段需要考虑网络安全和数据隐私？

我经常被问到：在什么时候开始考虑早期或较小公司的网络安全和数据隐私？作为信息安全公司的首席执行官，我通常会看到公司在客户首次提出要求时会处理这些问题。为时已晚。

多年前，我在活动行业的上一家初创公司中经历了这一经历。我们正在经历惊人的增长。我们刚登陆了两个主要的音乐节，然后出现了欧洲最大的音乐节推广者之一。他们测试并喜欢我们的软件。我们通过谈判达成了协议，并且我们即将庆祝这将是我们迄今为止最大的一笔交易。

但是随后，安全评估调查表出现了。文档中有太多我们没有考虑或解决的问题。我们花了深夜进行研究，并花了很长时间与安全专家通电话，并与发起人的安全审核员来回交流。最后，我们无法足够快地缩小差距，从而恶化了他们对我们的信心。我们输了。

安全和隐私将花费更多，并且等待时间越长，花费的时间就越多。等到您完成有史以来最大一笔交易的门口时，现在还不该花时间进行安全审核。它使您看起来便宜，老练和非法。您需要先通过客户的安全评估，然后才能将其进入收件箱。

确定安全和隐私投资时，应考虑以下五个因素：

1.公司的阶段和规模：在安全行业，人们普遍认为您的投资将与公司的规模和预算保持一致。一家刚刚结束了25万美元的种子轮融资并且几乎没有收入的公司，通常不会期望每年在安全性和隐私方面花费100,000美元。如果一家公司的年收入为1亿美元，而每年仅在安全性和隐私方面花费10万美元，那么这很可能成为问题。

2.行业：对某些行业的要求更高。有时，这些法规是由立法规定的，而其他时候则是由与该行业相关的信息的成熟度，复杂性和敏感性决定的。在安全性和隐私合规性方面通常较为严格的行业示例包括医疗保健，金融服务和国防。最好研究您所针对的行业内客户的期望，以确保您充分了解期望和要求。

3.客户位置：隐私和网络安全法规在不断发展。当您进入各种市场时，您必须确保自己了解联邦，州和地方法规。请记住，对于像软件公司这样的企业，确保您符合客户法规也很重要。例如，如果您出售给在加利福尼亚州有客户的纽约银行，而您的软件要在加利福尼亚州处理或存储该银行客户的信息，则您的公司可能必须遵守加利福尼亚州的隐私法。

4.存储或处理的数据：您存储的数据的性质可以创建即时需求。例如，如果您的公司要处理和存储信用卡信息，则它将需要遵守支付卡行业数据安全标准（或PCI-DSS）。如果有美国公民的健康信息，则您需要遵守HIPAA。做研究，确保您有要处理或存储的数据清单，并且了解这些数据的期望和法律要求。

5.风险简介：通常，在网络安全社区中，这被认为是确定安全工作的最重要因素之一。这通常是通过进行风险评估来建立的，网络安全专业人员可以在该评估中查看对您业务的威胁以及对公司的定量和定性影响。建议您在公司从概念发展到成长阶段时进行定期风险评估，并在您进行支配，推出新产品和服务或进入新市场时进行定期评估。

总而言之，对于您的公司何时应该考虑网络安全并没有灵丹妙药，因为您需要在业务的每个阶段都考虑网络安全和隐私。以上五个注意事项将帮助您指导整个过程。从您所在行业的人员，网络安全专业人员和律师那里获得外界的建议几乎总是有帮助的。

不认真对待安全性和隐私权会影响您的销售，甚至更糟；如果您有违规行为并且没有积极主动地进行网络安全工作，则可能最终会面临诉讼和重大品牌损失。这会对您的业务产生不利影响。