स्टार्टअप्स एसएएस के लिए चुप्पी से इकट्ठा होने वाला कर्ज
स्टार्टअप्स एसएएस के जीवन चक्र में एक पैटर्न है जो लगभग यांत्रिक सटीकता के साथ दोहराता है: तकनीकी टीम सुरक्षा प्रबंधन के लिए संसाधनों की मांग करती है, CEO अगले स्प्रिंट में उसे प्राथमिकता देने की बात करते हैं, और अगला स्प्रिंट कभी नहीं आता। छह महीने बाद, कंपनी में चालीस कर्मचारी, अस्सी कॉर्पोरेट लैपटॉप, तीन अलग-अलग ऑपरेटिंग सिस्टम होते हैं, और किसी को बिल्कुल स्पष्टता नहीं होती कि किस मशीन पर कौन सा सॉफ्टवेयर संस्करण चल रहा है। यह लापरवाही नहीं है। यह एक इकट्ठा किया गया कर्ज है, और जैसे हर कर्ज, उस पर ब्याज लगता है।
एंडपॉइंट प्रबंधन, यानी उन उपकरणों का केंद्रीय नियंत्रण जो कंपनी के प्रणालियों तक पहुंचते हैं, अक्सर एक आईटी के मुद्दे के रूप में प्रस्तुत किया जाता है। यह एक श्रेणी में गलती है जो महंगी पड़ती है। जब एक हमलावर बिना पैच किए गए उपकरण की एक सुरक्षा कमजोरी का लाभ उठाता है, तो समस्या तकनीकी नहीं रह जाती और इससे सीधे राजस्व, अनुबंध और प्रतिष्ठा पर नकारात्मक प्रभाव पड़ता है। एक एसएएस स्टार्टअप के लिए जो अपने B2B ग्राहकों के विश्वास पर निर्भर करता है, यह घटना घातक हो सकती है।
डिज़ाइन के कारण बनने वाली कमजोरियों के साथ विकास मॉडल
स्टार्टअप्स एसएएस के शुरुआती चरणों में एंडपॉइंट सुरक्षा की अनदेखी करने के लिए एक संरचनात्मक प्रोत्साहन होता है। यह तर्क समझ में आता है: हर इंजीनियर जो मैन्युअल रूप से सिस्टम को अपडेट करने में समय बिताता है, वह एक इंजीनियर है जो उत्पाद कोड नहीं लिख रहा है। एक ऐसे बाजार में जहां लॉन्च की गति तय करती है कि कौन पहले ग्राहकों को प्राप्त करता है, यह गणना क्षणिक रूप से समझदारी लगती है।
हालांकि, इस गणना में सभी लागतें शामिल नहीं हैं। पचास लोगों की टीम में एंडपॉइंट्स का मैन्युअल पैचिंग हर हफ्ते पंद्रह से बीस घंटे तकनीकी काम ले सकता है, जिसमें कमजोरियों की पहचान करना, अपडेट की योजना बनाना, उन्हें लागू करना और परिणामों की जांच करना शामिल है। यह, सावधानीपूर्वक कहें तो, एक डेवलपर सीनियर के आधे समय के बराबर है जो एक ऐसी कार्य में लगे हैं जो ग्राहक के लिए एक भी मूल्य नहीं जोड़ता। एक स्टार्टअप के लिए जो इस प्रोफ़ाइल के लिए वार्षिक औसत वेतन अस्सी से एक सौ बीस हजार डॉलर है, बिना स्वचालन के वास्तविक लागत पूरी तरह से गणना की जा सकती है, और यह शायद ही निवेशकों के सामने किसी प्रस्तुति में दिखाई देती है।
जो अंततः सामने आता है, वो है घटना का खर्च। बिना अपडेट किए गए उपकरण से उत्पन्न हुई एक सुरक्षा चूक खर्चों की एक श्रृंखला को सक्रिय करता है, जिसमें फॉरेंसिक प्रतिक्रिया, ग्राहकों को कानूनी रूप से सूचित करना, SOC 2 या ISO 27001 जैसी प्रमाणन का संभावित उल्लंघन, और सबसे कठिन चीज़ जो मापने में होती है: हर बिक्री बातचीत में उत्पन्न होने वाली घर्षण जो अगले बारह महीनों के दौरान होगी। कोई भी मध्यम आकार की कंपनी का खरीद डायरेक्टर एक स्टार्टअप के साथ एसएएस अनुबंध पर हस्ताक्षर नहीं करेगा जिसमें एक दस्तावेज़ित सुरक्षा घटना हुई है, बिना कोई अतिरिक्त गारंटी, बाहरी ऑडिट, या छूटों की मांग किए, जो मार्जिन को नष्ट कर देती हैं।
जब ऑपरेशनल प्रयास perceived value को परे कर देता है
यहां पर तकनीकी समस्या एक पहले क्रम के व्यावसायिक समस्या में बदल जाती है। एक स्टार्टअप एसएएस, मूल रूप से, एक वादा बेचता है: कि उनके सिस्टम उपलब्ध होंगे, सुरक्षित रहेंगे और उनके ग्राहकों के डेटा की रक्षा करेंगे। यह वादा उनके मूल्य प्रस्ताव का केंद्रीय हिस्सा है। जब एंडपॉइंट प्रबंधन मैन्युअल और प्रतिक्रियात्मक होता है, तो कंपनी एक ऐसे वादे के साथ काम कर रही होती है जिसे वह लगातार सुनिश्चित नहीं कर सकती।
एंडपॉइंट प्रबंधन का स्वचालन एक बुनियादी ढांचे के खर्च नहीं है: यह वह तंत्र है जो व्यावसायिक वादे को विश्वसनीय बनाता है। एक B2B ग्राहक जो एक स्टार्टअप एसएएस का मूल्यांकन कर रहा है, उसके लिए परिवर्तन लागत बहुत अधिक होती है। यदि वह अपने डेटा और प्रक्रियाओं को एक मंच में स्थानांतरित करता है और फिर एक घटना का सामना करता है, तो लागत केवल वित्तीय नहीं होती, बल्कि राजनीतिक भी होती है: उस कंपनी के अंदर किसी ने इस निर्णय को मंजूरी दी और उसे स्पष्टीकरण देना होगा। इसलिए, यह धारणा कि प्रदाता अपने सिस्टम को नियंत्रण में रखता है, खरीद निर्णय में एक निर्णायक कारक होता है, विशेष रूप से उन क्षेत्रों में जहां नियम हैं या जहां उनके अपने कॉर्पोरेट ग्राहक होते हैं।
एक स्टार्टअप जो यह साबित कर सकता है, तकनीकी प्रमाणों के साथ, कि उसके उपकरण अपडेट हैं, उसकी सुरक्षा नीतियां स्वचालित रूप से लागू होती हैं और उसके सिस्टम बिना घर्षण के ऑडिट पास करते हैं, वह अपने प्रतिस्पर्धियों की तुलना में गुणात्मक रूप से अलग चीज़ बेच रहा है जो इसका प्रबंधन स्प्रेडशीट और अच्छी नीयत से करते हैं। वह निश्चितता बेच रहा है। और निश्चितता, B2B बाजारों में, सुविधाओं की तुलना में अधिक कीमत में होती है।
एंडपॉइंट्स का स्वचालित प्रबंधन समाधान, जैसे केंद्रीकृत उपकरण शासन प्लेटफार्म, छोटे टीमों को उस स्तर पर नियंत्रण की अनुमति देते हैं जो पहले एक बीस लोगों के आईटी विभाग की आवश्यकता होती थी। इसे अपनाने का तर्क रक्षात्मक नहीं है: यह आक्रामक है। यह कमजोरियों पर प्रतिक्रिया के समय को दिनों से घंटों तक कम करता है, मैन्युअल प्रक्रियाओं की निर्भरताओं को समाप्त करता है जो मानव त्रुटि के प्रति संवेदनशील होती हैं, और ऑडिट के रिकॉर्ड उत्पन्न करता है जो कॉर्पोरेट ग्राहकों की आवश्यकता होती है जब वे छह अंकों के अनुबंधों पर हस्ताक्षर करते हैं।
आंतरिक आदेश के प्रतिस्थापन के रूप में बाहरी पूंजी का जाल
कुछ स्टार्टअप्स के चक्रों में एक कथा बहुत आराम से चलती है: विचार कि ऑपरेशनल समस्याओं का समाधान वित्तपोषण के अगले दौर से होता है। यदि सुरक्षा एक समस्या है, तो सीरीज ए आने पर किसी को काम पर रखा जाता है। यदि तकनीकी कर्ज विकास को रोकता है, तो इसे ताजा पूंजी से चुकाया जाता है।
यह कहानी एक वित्तीय इंजीनियरी में स्पष्ट दोष है। सीरीज ए के निवेशक उस आदेश को वित्तपोषित नहीं करते जो शुरू से होना चाहिए था; वे उस आधार पर वृद्धि को वित्तपोषित करते हैं जो पहले से काम कर चुका है। एक स्टार्टअप जो केंद्रित शासन के बिना अस्सी उपकरणों के साथ ड्यू डिलिजेंस में आता है, बिना सुसंगत ऑडिट रिकॉर्ड, और प्रतिक्रिया पैचिंग के इतिहास के साथ, वह एक ऐसा मुद्दा पेश कर रहा है जो पैसे से हल नहीं किया जा सकता। यह अपने ऑपरेशनल मॉडल की जोखिम संरचना का प्रमाण प्रस्तुत कर रहा है जो पूंजी को बाजार मूल्य पर नहीं खरीद सकता।
विकल्प यह है कि शुरुआत से एक ऑपरेशनल आर्किटेक्चर बनाया जाए जो सुरक्षित रहने के लिए बाहरी पूंजी की आवश्यकता न हो। एंडपॉइंट्स के स्वचालन के उपकरणों की मासिक लागत, बीस से पचास लोगों की टीम के लिए, एक अच्छी संरचित एसएएस मॉडल के मार्जिन के भीतर पूरी तरह से अवशोषित होती है। सही गणना यह नहीं है कि आज उपलब्ध बजट के साथ उस लागत की तुलना करें। बल्कि, इसे एक एकल सुरक्षा घटना की लागत या एक एंटरप्राइज अनुबंध को खोने की लागत के साथ तुलना करना चाहिए क्योंकि ग्राहक के सुरक्षा टीम ने अपनी तकनीकी समीक्षा के दौरान बिना पैच किए गए एक एंडपॉइंट का पता लगाया।
सुरक्षा को संचालन लागत के रूप में नहीं, मूल्य तर्क के रूप में
जिन स्टार्टअप्स को यह जल्द समझ आते हैं वो एंडपॉइंट्स की सुरक्षा को संचालन खर्च के रूप में मानना बंद कर देते हैं और इसका इस्तेमाल मूल्य तर्क के रूप में करने लगते हैं। जब एक कंपनी प्रमाणित कर सकती है, स्वचालित रूप से उत्पन्न रिकॉर्ड के माध्यम से, कि उनके सिस्टम सटीक सुरक्षा मानकों को पूरा करते हैं, उनके पास एक भिन्नात्मक तत्व होता है जो प्रतिस्पर्धियों के मुकाबले उच्च मार्जिन की औचित्य करता है जो समान सुविधाएं प्रदान करते हैं लेकिन उसी स्तर पर नियंत्रण को प्रकट नहीं कर सकते।
यह कीमत पर प्रतिस्पर्धा करने के विपरीत है। एक स्टार्टअप जो एंडपॉइंट्स का स्वचालन करता है, जो कमजोरियों के प्रति प्रतिक्रिया के समय को घंटों में माप सकता है और जो बिना घर्षण के सुरक्षा ऑडिट पास कर सकता है, वह निश्चितता की एक प्रकार की धारणा पैदा कर रहा है जो व्यावसायिक बातचीत को मासिक लागत से संचालन की शांति के मूल्य की ओर स्थानांतरित करती है। वही निश्चितता है जो उसे अधिक शुल्क वसूलने, बेहतर बनाए रखने, और बिना हर नए कॉर्पोरेट ग्राहक को बातचीत के एक प्रक्रिया में पिछले अनुभवों के बिना बढ़ाने की अनुमति देती है।
विकल्प विकास मॉडल जो एंडपॉइंट्स की अनदेखी करता है, अंततः ग्राहकों पर जोखिम को निर्यात करता है। और परिपक्व B2B बाजारों में, उस जोखिम का एक मूल्य होता है: ग्राहक इसे अनुबंध से कम करता है, इसे प्रदाता को जिम्मेदारी के प्रावधानों के माध्यम से स्थानांतरित करता है, या बस किसी अन्य का चयन करता है। एक स्टार्टअप जो समझता है कि आंतरिक संचालन में घर्षण को कम करना वही तंत्र है जो बाहरी भुगतान की इच्छा को बढ़ाता है, उसके पास एक संरचनात्मक लाभ है जिसे कोई उत्पाद की सुविधा मुआवजा नहीं दे सकता।
