在过去一年中，相当多的风险投资资金流入网络安全初创公司，特别是在云计算安全市场。但是，我们都知道，这些初创公司可能突然倒闭或者被其他公司收购，企业过多依靠初创公司是否有风险？CISO/CIO在选择初创公司之前是否应该按照某些政策或准则来审查网络安全初创公司？

Cybersecurity Ventures发布了2016年值得关注的前500强网络安全公司清单，其中包括品牌名称已经存在多年的网络安全公司，还有些公司还不为人所知，但他们都有一个共同点：他们开始都是初创公司。然而，并非所有初创公司都可登上这个榜单。

自2010年以来，风险投资家一直愿意投资于网络安全初创公司，但最近，投资者已经开始远离这个市场。在2014年和2015年，私人投资者投入46亿美元到229家网络安全公司，而他们的投资并没有得到有吸引力的回报。

尽管CISO选择可能突然倒闭的安全初创公司面临风险，但并非所有网络安全初创公司都属于这一类。下面让我们看看CIO/CISO在考虑使用初创公司的专业服务或产品之前应该考虑哪些问题：

• 该网络安全初创公司是否提供比其他更资深竞争对手更有竞争力或更好的产品或服务？否则的话，企业为什么要考虑他们？
• 该初创公司经营多久了？企业应该查看其客户列表。企业应该不会想成为该初创公司的第一个客户吧。
• 谁是该初创公司的创始人？创始人应该是该领域的权威人士、杰出人物或经验丰富的专家，但请记住，专家并不一定意味着他们可以运营一家公司。
• 获取有关该初创公司的企业基本信息。谁管理公司的运营？组织结构如何？有多少名员工？公司位置？
• 该公司去年的收入是多少？有时候这个数据很难获取，特别是当初创公司不是上市公司时。
• 该公司是否已经由第三方进行独立评估？如果该公司需要遵守支付卡行业数据安全标准，则需要该公司提供Attestation of Compliance。SSAE 16 SOC 2也很有帮助，但如果没有经过独立评估，企业应谨慎考虑是否选择该初创公司。
• 该初创公司是否有足够的网络保险来涵盖提供的服务？在确定所需要的保险金额时应该参照法律要求。
• 条款和条件应该包含双方责任限制条款、终止条款、审核权利条款、源代码交由第三方托管、服务水平协议以及保密协议。
• 要求提供客户参考。这意味着请求与该初创公司的一位客户进行电话会议，企业可询问该客户与服务或产品满意度相关的问题，成本是否与服务或产品的价值相称以及如果他们重头来过，是否仍然会选择这个初创公司。

通常情况下，企业考虑选择网络安全初创公司是因为他们的产品或服务满足或超过品牌公司提供的水平，并且，他们的价格通常低于其竞争对手。但有些初创公司会试图找到区分自身的商机，并非常希望快速增长，提供更高的投资回报，以及足够的市场份额，其目的是为了扩大或最终由更大的竞争对手收购。为了控制风险，企业在决定选择初创公司前应该对其进行适当的尽职调查。