Hoy los datos son uno de los activos más importantes de todo startup. Esos datos son de clientes y en general son personales y son susceptibles de ser usados para perfilar pero también para individualizar personas. No sólo eso sino que las contraseñas entre servicios son, aunque esté mal hecho, compartidas varias veces. Y de todos los nuevos servicios que uno prueba, sean chicos o grandes, como mucho un 10% tiene alguien dedicado a seguridad y apenas la mitad puede responder con cierta coherencia sobre políticas e implementaciones de seguridad... y los datos son tuyos.
Entiendo, y lo digo sinceramente, que un ingeniero de seguridad interno tiene un coste elevado para un startup. También entiendo que cuando tenés un equipo de una decena de personas es complicado que un tipo esté dedicado a seguridad pero lamentablemente tienen que step-up y darse cuenta que la seguridad es un problema no sólo de hackers de película sino de cosas tan simples como empleados con accesos a bases de datos ¿recuerdan a Snowden? :)
Hace tiempo que todos los emprendedores que me vienen a hablar odian mis cuatro preguntas: ¿tenés políticas de seguridad? ¿tenés alguien dedicado a seguridad? ¿como proteges los datos? ¿las políticas de privacidad cumplen normas europeas?
Con lo que les tiro una idea, busquen un proveedor externo de seguridad como servicio al empezar, no les pido gran cosa sólo que entiendan que los datos son importantes y que a medida que los MAU [que son personas y no sólo números y todos parecen olvidarlo!] empiecen a valorar su privacidad esto va a ser no sólo una ventaja competitiva sino un riesgo legal al momento de querer tener un exit.
Y antes que me digan que "la seguridad es muy importante para tercerizarla" les cuento que muchos startups tercer izan desarrollo a empresas a las que ni siquiera les preguntan quien tiene acceso a sus plataformas, y en algunos casos tambien tercerizan sus plataformas de monetización, de distribución... con lo cual esto es una consecuencia natural de los tiempos.