在過去一年中，相當多的風險投資資金流入網絡安全初創公司，特別是在云計算安全市場。但是，我們都知道，這些初創公司可能突然倒閉或者被其他公司收購，企業過多依靠初創公司是否有風險？CISO/CIO在選擇初創公司之前是否應該按照某些政策或準則來審查網絡安全初創公司？

Cybersecurity Ventures發布了2016年值得關注的前500強網絡安全公司清單，其中包括品牌名稱已經存在多年的網絡安全公司，還有些公司還不為人所知，但他們都有一個共同點：他們開始都是初創公司。然而，并非所有初創公司都可登上這個榜單。

自2010年以來，風險投資家一直愿意投資于網絡安全初創公司，但最近，投資者已經開始遠離這個市場。在2014年和2015年，私人投資者投入46億美元到229家網絡安全公司，而他們的投資并沒有得到有吸引力的回報。

盡管CISO選擇可能突然倒閉的安全初創公司面臨風險，但并非所有網絡安全初創公司都屬于這一類。下面讓我們看看CIO/CISO在考慮使用初創公司的專業服務或產品之前應該考慮哪些問題：

該網絡安全初創公司是否提供比其他更資深競爭對手更有競爭力或更好的產品或服務？否則的話，企業為什么要考慮他們？

該初創公司經營多久了？企業應該查看其客戶列表。企業應該不會想成為該初創公司的第一個客戶吧。

誰是該初創公司的創始人？創始人應該是該領域的權威人士、杰出人物或經驗豐富的專家，但請記住，專家并不一定意味著他們可以運營一家公司。

獲取有關該初創公司的企業基本信息。誰管理公司的運營？組織結構如何？有多少名員工？公司位置？

該公司去年的收入是多少？有時候這個數據很難獲取，特別是當初創公司不是上市公司時。

該公司是否已經由第三方進行獨立評估？如果該公司需要遵守支付卡行業數據安全標準，則需要該公司提供Attestation of Compliance。SSAE 16 SOC 2也很有幫助，但如果沒有經過獨立評估，企業應謹慎考慮是否選擇該初創公司。

該初創公司是否有足夠的網絡保險來涵蓋提供的服務？在確定所需要的保險金額時應該參照法律要求。

條款和條件應該包含雙方責任限制條款、終止條款、審核權利條款、源代碼交由第三方托管、服務水平協議以及保密協議。

要求提供客戶參考。這意味著請求與該初創公司的一位客戶進行電話會議，企業可詢問該客戶與服務或產品滿意度相關的問題，成本是否與服務或產品的價值相稱以及如果他們重頭來過，是否仍然會選擇這個初創公司。

通常情況下，企業考慮選擇網絡安全初創公司是因為他們的產品或服務滿足或超過品牌公司提供的水平，并且，他們的價格通常低于其競爭對手。但有些初創公司會試圖找到區分自身的商機，并非常希望快速增長，提供更高的投資回報，以及足夠的市場份額，其目的是為了擴大或最終由更大的競爭對手收購。為了控制風險，企業在決定選擇初創公司前應該對其進行適當的盡職調查。