الرئيس التنفيذي لشركة Drata آدم ماركويتز حول خلق ثقافة الأمن السيبراني

مع تخزين المزيد والمزيد من البيانات في السحابة ، فإن إثبات قدرتك على حماية بيانات عملائك ليس مجرد شيء ممتع - إنه ضروري.

هناك قصص كافية لخروقات البيانات والهجمات الإلكترونية لتهدئة أعظم مهندسي الأمن حتى النخاع. ارتفعت الهجمات الإلكترونية بنسبة 125٪ عن العام السابق ، ومع تحول الشركات إلى الإعدادات الجزئية أو البعيدة تمامًا ، لا تظهر أي علامة على التباطؤ. في مشهد SaaS القائم على البيانات اليوم ، يمكن أن تؤثر هذه على مئات الملايين من المستخدمين وتتسبب في أضرار بمليارات الدولارات ، وبما أن أطر الامتثال أصبحت متطلبات للقيام بالأعمال التجارية ، فإن الشركات تتجه إلى خدمات الجهات الخارجية التي يمكن أن تساعد في تسريع وتسهيل معالجة. وهنا يأتي دور أناس مثل آدم ماركويتز.

آدم هو المؤسس المشارك والرئيس التنفيذي لشركة Drata ، وهي شركة تساعد الشركات على حماية بيانات عملائها ، ومراقبة وضعهم الأمني ​​باستمرار ، ومواكبة SOC 2 و ISO 27001 وبرامج الامتثال الأخرى تلقائيًا. على الرغم من أن Drata لم تبلغ من العمر عامين ، فقد أغلقت بالفعل 100 مليون دولار من السلسلة B ، مما دفعها إلى وضع يونيكورن وجعلها واحدة من أسرع الشركات التي حققت تقييمًا بقيمة مليار دولار. اتضح أن الأمن السيبراني والامتثال مطلوبان.

مهندس طيران تحول إلى رائد أعمال ، تعلم آدم مبكرًا أن أفضل طريقة لكسب الثقة هي إثبات أنك تستحقها. بعد العمل في محرك مكوك الفضاء الرئيسي التابع لوكالة ناسا ، واصل تطوير Portfolium ، وهي عبارة عن منصة للتواصل الاجتماعي تتيح للطلاب والخريجين عرض مهارات تتجاوز السيرة الذاتية التقليدية لأصحاب العمل المحتملين. لكن قبل أن تتعامل الجامعات معهم ، كانوا بحاجة إلى ضمانات بشأن وضعهم الأمني. فجأة ، تعرف الفريق على تقارير SOC 2 جيدًا وأدرك مدى العبء الذي يمكن أن تصبح عليه هذه التقارير وغير قابلة للتطوير ، خاصة بالنسبة للشركات الناشئة عالية النمو. تم الاستحواذ على Portfolium في النهاية ، لكن الفريق الذي يقف وراءها لم يتوقف عن التفكير في طريقة أفضل للقيام بذلك. بعد أقل من عام ، تم إطلاق Drata.

في هذه الحلقة ، جلسنا مع آدم لنتعلم كل شيء عن إطار عمل SOC 2 ، وكيفية إنشاء ثقافة أمان من الصفر ، وكيف أن الأتمتة هي المفتاح لتحويل الصداع إلى عملية سلسة.

فيما يلي بعض النقاط السريعة المفضلة لدينا من المحادثة:

1. لقد أصبح الحد الأدنى

لا يمكنك تنمية عملك إذا كان عملاؤك لا يثقون بك بشأن بياناتهم الحساسة. وبقدر ما تبدو التأكيدات اللفظية والمصافحة أمرًا لطيفًا ، فبينما تنمو وتحاول التوقيع مع شركات أكثر رسوخًا على مستوى المؤسسات ، ستجد نفسك أكثر فأكثر مضطرًا إلى تقديم أدلة على الامتثال قبل إتمام الصفقة:

التحول إلى السحابة ، المزيد والمزيد من خروقات البيانات - إنها حقًا تضع عدسة مكبرة على مخاطر الطرف الثالث. وقد أدى ذلك إلى دفع الكثير مما نراه هنا ، الانتقال من هذا الشيء اللطيف إلى ما هو ضروري. إذا كنت على وشك القيام بأعمال تجارية مع شركتك وسوف يصل برنامجك إلى بيانات عملائي ، فإن مسؤوليتي هي التأكد من أن لديك الضوابط المناسبة لحمايتها.

2. ابدأ مبكرًا

وجد تحليل Verizon لحوادث الأمن السيبراني أن التصيد الاحتيالي كان وراء 90٪ من الهجمات الناجحة ، مما يعني أنه 9 مرات من أصل 10 ، يمكن تفاديها بدرجة كبيرة. ابدأ في تدريب موظفيك على ممارسات الامتثال وكيفية اكتشاف رسائل البريد الإلكتروني الضارة هذه من اليوم الأول - وكلما أسرعوا في تبني عقلية الأمان أولاً ، كلما أصبحت جزءًا من الثقافة في وقت أقرب.

كنت أجري هذه المحادثة قبل أيام ، وقد لا يكون هذا أفضل تشبيه ، لكن كان هناك جيل كامل نشأ وهو يقود سيارات بدون أحزمة أمان. وبعد ذلك ، في الخمسينيات من القرن الماضي ، قدموا هذا الشيء الجديد ، وكانت هناك مقاومة. لكن اليوم ، بعد أن كبرت نفسي منذ اليوم الأول ، لا أفكر في الأمر حتى عندما أركب السيارة. حزام الأمان يمضي وهو يشبه التنفس.

3. لا تخطي الأتمتة

يؤثر الأمان في كل وظيفة في شركتك: بدءًا من التهيئة وإلغائها إلى تشفير البيانات وإدارة نقاط النهاية. من تجربة آدم ، هناك ما بين 100 إلى 200 عنصر تحكم لتتبع الدخول في تدقيق SOC 2 ، لذلك إذا كنت لا تستفيد من الأتمتة ، فقد تقضي مئات الساعات سنويًا على الامتثال:

إذا كنت لا تستخدم الأتمتة ، فهذا يعني أن الفرق في شركتك مكلفون بجمع كل دليل بشكل مستمر ومتكرر ، ثم تخزينه لعمليات تدقيق مستقبلية. وبعد ذلك ، إذا وجدوا فجوات على طول الطريق ، لأن الفجوات يمكن أن تتكون في أي يوم من أيام السنة ، فعليهم معالجتها. يعيش الكثير من الأشخاص في جداول البيانات والمجلدات المشتركة ولقطات الشاشة.

اشتعلت اهتمامك؟ لقد قمنا بتجميع قائمة بالمقالات ومقاطع الفيديو والبودكاست التي يمكنك التحقق منها:

• سجل استعداد شركتك لمعيار SOC 2
• الامتثال SOC 2: دليل المبتدئين
• يقلق كبير مسؤولي التكنولوجيا في Evernote بشأن أكبر مخاوف الأمان لديك من 3 إلى 300 موظف
• حادثة LinkedIn

هذا هو Scale ، سلسلة البودكاست الخاصة بـ Intercom حول دفع نمو الأعمال من خلال العلاقات مع العملاء. إذا كنت تستمتع بالمحادثة ولا تريد تفويت الحلقات المستقبلية ، فما عليك سوى النقر على "متابعة" على iTunes أو Spotify أو الحصول على موجز RSS في المشغل الذي تختاره. يمكنك أيضًا قراءة النص الكامل للمقابلة ، والذي تم تحريره قليلاً من أجل التوضيح أدناه.

الأمان على الطيار الآلي

حسام جراجتي: شكراً جزيلاً لك يا آدم على انضمامك إلينا. اهلا وسهلا بكم في العرض.

آدم ماركويتز: شكرا لاستضافتي.

حسام: أولاً ، التهاني جيدة. جمعت دراتا مؤخرًا 100 مليون دولار من تمويل رأس المال الاستثماري ، وهو ما أعتقد أنه يجعلها أحدث شركة ناشئة في سان دييغو بتقييم قدره مليار دولار. كيف تشعر؟

آدم: شكرًا لك ، إنه شعور سريالي بعض الشيء ، ويرجع ذلك أساسًا إلى مدى سرعة انتقال الشركة من بذرة إلى سلسلة ، كل ذلك في أقل من 12 شهرًا. لكن من الرائع والمكافئ للغاية أن تصل إلى هذا الإنجاز وأن تفعل ذلك هنا في سان دييغو. تأسست شركتنا السابقة هنا في سان دييغو منذ ما يقرب من 10 سنوات ، وكان نظامًا بيئيًا تقنيًا مختلفًا تمامًا في ذلك الوقت. لذا فإن رؤيتها تتطور وأن تكون جزءًا منها طوال الوقت يعد أمرًا مجزيًا للغاية. وأيضًا ، وُلدت دراتا نفسها في منتصف الوباء. لقد شعرنا بأننا محظوظون لأننا كنا في وضع يسمح لنا ببدء الشركة عندما فعلنا ذلك ، وقد أدى هذا التقدير للتو إلى تغذية هذا العام غير المسبوق حقًا.

"لا توجد فترة منحدر ، لا نتعرف على بعضنا البعض - لقد كان الأمر فقط ، اذهب ، انطلق ، انطلق"

حسام: كيف كان ذلك؟

آدم: لقد كان الأمر ، مرة أخرى ، في وضع نشعر فيه بالراحة للقيام بذلك. لم نفقد هذا الأمر فيما كان يحدث في العالم. في اليوم الأول ، كان هناك عدد غير قليل منا جميعًا خرجوا من تلك الشركة. لقد عملنا جميعًا معًا لفترة طويلة لدرجة أنها كانت نوعًا من ميزة لطيفة وغير عادلة. لا توجد فترة منحدر ، لا نتعرف على بعضنا البعض - لقد كان الأمر مجرد ذهاب ، اذهب ، انطلق.

حسام: ماذا تفعل دراتا؟

آدم: تساعد Drata الشركات على وضع الأمان والامتثال على الطيار الآلي ، كما نسميها ، من خلال أتمتة المراقبة وجمع الأدلة لضوابطها الأمنية. تبسيط عمليات التدقيق مثل SOC 2 و ISO 27001 و HIPAA وغيرها. يسمح للشركات بإثبات موقفها الأمني ​​في الوقت الفعلي في أي يوم من أيام السنة تقريبًا ، لذلك فهو يسرع من دورات المبيعات والمراجعات الأمنية. بالطبع ، يجعل عمليات التدقيق تتم بشكل أسرع وتكلفة أقل. وبعد ذلك ، يسمح للشركات بأن تكون أكثر استعدادًا للمؤسسات.

حسام: المنطقة كلها مساحة جديدة. كيف يبدو أن تتنقل فيه في الوقت الحالي؟

آدم: الفضاء نفسه جديد ، لكن تم افتراضه لبعض الوقت. كان الوعد بالامتثال المستمر يتجول منذ سنوات. وهكذا ، فإن الوفاء بهذا الوعد أمر مثير للغاية. وبالطبع يمثل تحديًا - كما ينبغي أن يكون. أنا شخصياً أحب أن أكون مبكرًا وأن أغتنم الفرصة لوضع معايير عالية حقًا في السوق. ومجرد الاستمرار في دفعها للأعلى مع الفريق.

من علم الصواريخ إلى الامتثال

حسام: بالرغم من ذلك ، لم تبدأ العمل في الأمن. هل أنا محق في القول بأنك عالم صواريخ سابق؟

آدم: نعم ، هذا مضحك. لعنة أن يُطلق عليك لقب عالم الصواريخ هو أنه يتم رفع المستوى فورًا لأي شيء وكل شيء تفعله في الحياة. لن تبدأ السيارة على الفور ، أصلحها - "هذا ليس علم الصواريخ أو أي شيء."

حسام: كيف كان ذلك؟ كيف قمت بالانتقال إلى تقنية الامتثال؟

آدم: بدأت مسيرتي المهنية كمهندس في برنامج مكوك الفضاء ، وتحديداً في فريق MCC ، فريق غرفة الاحتراق الرئيسية. تم إطلاق المكوك الأخير منذ أكثر من عقد ، لذلك قد لا يتذكر بعض الناس رؤية إطلاق مكوك ، لكن إذا فعلت ذلك ، سترى الصاروخ على المنصة ، لديك معززان للصواريخ ، ثم هناك هذا العملاق خزان برتقالي. هذا هو خزان الوقود الذي يغذي هذه المحركات الثلاثة الرئيسية ، وهذا ما عملت عليه للخروج من الجامعة. أفضل طريقة لوصف كيفية عمل محرك الصاروخ هي مجرد انفجار محكوم. لذلك فهو حلم / كابوس هندسي ، اعتمادًا على الطريقة التي تنظر بها إليه.

"هذه هي الطريقة التي حصلت بها على هذه الوظيفة من خلال العمل في برنامج مكوك الفضاء - لقد أدخلت ملفًا في مقابلات العمل الخاصة بي لمساعدتي في التميز وإثبات مهاراتي التي تتجاوز المعدل التراكمي فقط"

حسام: ما هو شعورك عندما تشاهد الإطلاق بالفعل؟ هل انت متوتر هل أنت متحمس نوعًا ما؟

آدم: إثارة متوترة ، هذه طريقة جيدة لوضعها. أحب الجميع ما كنا نفعله. أردت أن أصبح رائد فضاء منذ أن كنت طفلاً صغيرًا وأن يكون لدي رائد فضاء حقيقي يسير عبر المكتب ، وشكر المهندسين على مساعدتهم في العودة بأمان إلى المنزل ، خاصة وأن وظيفتك الأولى التي تخرجت من الجامعة ، أمر لا يصدق على الإطلاق.

حسام: لقد قاطعتك نوعًا ما هناك ، لكنك كنت تخبرني كيف أجريت هذا الانتقال نوعًا ما.

"لمساعدة الطلاب على كسب ثقة أصحاب العمل ، كان علينا أولاً إثبات وضعنا الأمني ​​للجامعات"

آدم: انتهت التجربة في عام 2011 عندما توقف برنامج المكوك ، وقمت بالقفزة من الفضاء إلى ريادة الأعمال. لقد أخذت زمام المبادرة ، كما يقولون. لقد تعلمت البرمجة وإنشاء MVP الذي كنت أسميه Portfolium ، والتي كانت عبارة عن شبكة ePortfolio شبيهة بـ LinkedIn للطلاب ، وظهرت الفكرة. إنها الطريقة التي حصلت بها على هذه الوظيفة بالفعل في برنامج مكوك الفضاء - لقد أدخلت ملفًا في مقابلات العمل الخاصة بي لمساعدتي في التميز وإثبات مهاراتي بما يتجاوز مجرد المعدل التراكمي. وهكذا ، أردت أن أفعل ذلك للطلاب في كل مكان وأن أساعدهم في الحصول على وظائف أحلامهم بناءً على مهاراتهم المثبتة فقط. أنا من أشد المؤمنين بكسب الثقة من خلال إثبات أنك تستحقها أولاً. في هذه الحالة ، كان هذا دليلًا على المهارات في هذه المحافظ الإلكترونية ، والتي كانت غنية بالبيانات التي يمكننا استخدامها لمطابقة الطلاب مع أصحاب العمل بطريقة أكثر وضوحا.

لقد طورنا الشركة وشبكة الملايين من الطلاب ، وقمنا بذلك عن طريق بيع وحدة تقييم التعلم في جامعات الكلية. وذلك عندما تعلمنا بسرعة أهمية إثبات وضعنا الأمني. لأنه قبل أن توقع الجامعة معنا وتزودنا بمعلومات حساسة عن الطلاب ، كانوا بحاجة إلى ضمانات بشأن وضعنا الأمني. المعيار الذهبي لإثبات أنه كان ولا يزال تقرير SOC 2. لذلك ، ترى نوعًا ما هذا الموضوع هنا ، ويكسب الثقة مع الدليل. لذلك ، لمساعدة الطلاب على كسب ثقة أصحاب العمل ، كان علينا أولاً إثبات وضعنا الأمني ​​للجامعات ، وكان الدليل هو تقرير SOC 2. تم الاستحواذ على Portfolium في فبراير من عام 2019 ، وعاد فريقنا معًا في العام الماضي في عام 2020 لبناء Drata ، لمساعدة الشركات على الوقوف والحفاظ على موقف الامتثال الأمني ​​وإثباته من خلال نهج التشغيل الآلي أولاً.

SOC 2110

حسام: حسنًا ، دعنا ندخل إلى الامتثال SOC 2 ، والذي أعرف أنه يشبه إلى حد ما قول "لنتحدث عن الضرائب" ، أو "لنتحدث عن الفواتير". لكنها مهمة للغاية. هل يمكنك أن تعطينا مقدمة عن ماهية الامتثال SOC 2 حقًا؟

آدم: بالتأكيد ، سعيد! إذن ، SOC 2 هو إطار عمل. تم إنشاؤه وصيانته بواسطة AICPA ، وهو المعهد الأمريكي للمحاسبين القانونيين المعتمدين. لذلك ، يقوم المدققون من شركات CPA بالفعل بإجراء عمليات تدقيق SOC 2 ، ونتيجة أي تدقيق SOC 2 هو تقرير SOC 2. SOC 2 ليست شهادة نجاح ، وهو أمر مهم حقًا وهو مفهوم خاطئ شائع. تقرير SOC 2 هذا ، هو شهادة ، وهو موثوق به لأنه صادر عن مدقق خارجي معتمد ومستقل. وبشكل أساسي ، يختبر التصميم وفعالية التشغيل لعناصر التحكم الأمنية لشركتك عندما يتعلق الأمر بحماية بيانات عملائك. بمعنى آخر ، تقرير SOC 2 هو تقرير يوضح بالتفصيل مدى جودة حماية شركتك لبيانات عملائها. إذا كنت تبيع برامج اليوم ، فهناك احتمال بنسبة 99.9٪ أنك تقوم بتخزين البيانات أو معالجتها في السحابة. ولهذا السبب ، فإن الأمر مجرد مسألة وقت قبل أن يُطلب منك تقديم تقرير SOC 2 لعملائك ، أو لعملائك المحتملين كجزء من عملية مراجعة الأمان الخاصة بهم.

"إذا كنت على وشك القيام بأعمال تجارية مع شركتك وسوف يصل برنامجك إلى بيانات عملائي ، فإن مسؤوليتي هي التأكد من أن لديك الضوابط المناسبة لحمايتها"

حسام: وهل هو المعيار لشركات B2B؟

آدم: نعم من نواحٍ عديدة. خاصة هنا في الولايات المتحدة ، ويرجع ذلك جزئيًا إلى أن SOC 2 ينطبق على أي شركة تخزن البيانات أو تعالجها في السحابة ، وهذه هي كل شركة هذه الأيام ، جميع شركات SaaS تمامًا. لذلك ، من نواح كثيرة ، أصبح المعيار الذهبي الآن. أكثر من ذلك مثل الحد الأدنى للشريط لإثبات وضعك الأمني. لقد شهدنا هذا مباشرة في Portfolium بيع للجامعات ؛ خلال فترة قصيرة جدًا ، تحولت هذه الطلبات الخاصة بتقرير SOC 2 سريعًا إلى مطالب لتقرير SOC 2 الخاص بنا. وبعد ذلك ، تم خبزه للتو في كل RFP صادفناه. التحول إلى السحابة ، المزيد والمزيد من خروقات البيانات - إنها حقًا تضع عدسة مكبرة على مخاطر الطرف الثالث. وقد أدى ذلك إلى دفع الكثير مما نراه هنا ، الانتقال من هذا الشيء اللطيف إلى ما هو ضروري.

حسام: لماذا من المهم جدًا أن تكون شركات B2B متوافقة مع معيار SOC 2 أثناء توسعها؟ وهل تؤثر عليهم في جذب عملاء أكبر والاحتفاظ بهم؟

"إذا كنت لا تستفيد من الأتمتة ، عادةً ما تقضي الشركات مئات الساعات سنويًا في الامتثال"

آدم: نعم بالتأكيد. إذا كنت على وشك القيام بأعمال تجارية مع شركتك وسوف يصل برنامجك إلى بيانات عملائي ، فإن مسؤوليتي هي التأكد من أن لديك الضوابط المناسبة لحمايتها. إذا أعطيتني كلمتك ، فهذا رائع ، لكن مراسل التدقيق المستقل سيتحمل الوزن اللازم ليؤكد لي أن لديك برنامج أمان مناسب. سيرغب المدققون في التأكد من حصولي على هذا التأكيد قبل تزويدك بأي بيانات. وإلا فأنا لا أتبع سيطرتى.

حسام: لقد قرأت كثيرًا عن الصعوبات التي تواجه الشركات الناشئة في أن تصبح متوافقة مع معيار SOC 2. لماذا حدث ذلك ، وهل تغير ذلك؟

آدم: نعم ، بالتأكيد. لقد جربنا هذا مباشرة. إذا كنت لا تستفيد من الأتمتة ، عادةً ما تقضي الشركات مئات الساعات سنويًا في الامتثال. للمساعدة في توضيح السبب ، يتكون الإطار نفسه من خمسة مبادئ خدمة ثقة مختلفة: الأمان والتوافر والسرية والخصوصية وتكامل المعالجة. الأمان ، إلى حد بعيد ، هو الأكبر من بين الخمسة وهو الوحيد المطلوب من الناحية الفنية للتدقيق والتقرير. لكن لكل من المعايير الخمسة معاييره الخاصة التي تحتاج شركتك إلى تلبيتها أو تلبيتها من خلال تصميم عناصر التحكم ثم تنفيذها عبر الشركة. في كثير من الأحيان ، عندما أقول ذلك ، يسأل الناس ما أعنيه بالسيطرة. يمكنك التفكير في السيطرة على أنها سياسة أو عملية أو أداة تضعها للمساعدة في منع حدوث شيء سيء أو ضمان حدوث شيء جيد. هكذا أعرّفها دائمًا. وهي تغطي كل وظيفة عبر شركتك: كيف يمكنك إعداد الموظفين وتدريبهم وخارجه ، وكيفية إدارة نقاط النهاية وتشفير بيانات النسخ الاحتياطي ، وكيفية توفير الوصول والمصادقة في التطبيقات ، ومراجعة التعليمات البرمجية ... يمكنني المضي قدمًا.

"هذا يعني أنه يتم تكليف الفرق عبر شركتك بجمع كل دليل بشكل مستمر ومتكرر ، ثم تخزينه لعمليات تدقيق مستقبلية"

الشركات لديها ما بين 100 و 200 ضوابط مطبقة في تدقيق SOC 2. وبعد ذلك ، يمكن أن يستغرق التدقيق نفسه وقتًا طويلاً لأنه يتعين عليك أن تثبت للمدقق بشكل أساسي أن هذه الضوابط موجودة ، والأهم من ذلك أنها تظل سارية خلال فترة التدقيق. إنه ليس شيئًا يمكنك أن تحشره نوعًا ما لكل 11 شهرًا ، إذا كنت في فترة الـ 12 شهرًا. إذا كنت لا تستخدم الأتمتة ، فهذا يعني أن الفرق في شركتك مكلفون بجمع كل دليل بشكل مستمر ومتكرر ، ثم تخزينه لعمليات تدقيق مستقبلية. وبعد ذلك ، إذا وجدوا فجوات على طول الطريق ، لأن الفجوات يمكن أن تتكون في أي يوم من أيام السنة ، فعليهم معالجتها. ونعم ، هناك الكثير من الأشخاص الذين يعيشون في جداول البيانات والمجلدات المشتركة ولقطات الشاشة. من الواضح أنها جاهزة جدًا للاضطراب ، وقد جاء ذلك في شكل أتمتة. هذا ما تغير حقًا. تقدم Drata هذا الحل الأوتوماتيكي الأول لتوفير مئات الساعات للشركات سنويًا ، ثم تزودهم بلوحات معلومات الاستعداد في الوقت الفعلي ، حتى تكون جاهزًا للتدقيق بسرعة وتظل جاهزًا للتدقيق كل يوم من أيام السنة.

حسام: هذا مهم جدًا لأنه ، كما ذكرت سابقًا ، جزء مهم من الثقة بين الشركة وعملائها.

آدم: بالضبط. وهذا هو الموضوع عبر الشركة الأخيرة أيضًا. يمكنك أن تأخذ كلمة شخص ما من أجلها ، يمكنك قراءة نقطة في سيرته الذاتية ، لكننا نريدها لمساعدة الناس على إثبات مهاراتهم. وبالمثل ، هنا ، نريد للناس أن يثبتوا بالأدلة ، ليس فقط أثناء عمليات التدقيق ، ولكن في أي يوم من أيام السنة ، كيف تعمل الضوابط الخاصة بهم. يمكن أن يكون هذا تقريرًا داخليًا لفريقهم ، ولمجلس إدارتهم ، وسلامة عقولهم ، ولكن بعد ذلك خارجيًا أيضًا. هذا هو المكان الذي نرى فيه الطريق يسير.

افعلها مبكرًا ، افعلها كثيرًا

حسام: كيف يمكن للشركات الشروع في إنشاء ثقافة الأمن السيبراني في مؤسستها؟ لأنه كما نعلم جميعًا ، لم يعد الأمان مجرد شيء ممتع.

آدم: أعتقد أن تمكين الأفراد هو المفتاح. إذا كان الموظفون يفهمون مدى أهميتهم في حماية شركتهم ، فهذا شيء يمكنهم أن يفخروا به ، بدلاً من مجرد الشعور وكأنه أمر غير مرغوب فيه. لأنه لا يوجد شيء يمكن أن يكون أكثر صحة. لا تزال هجمات التصيد الاحتيالي هي الأسباب الأكثر شيوعًا لانتهاكات البيانات في عام 2021. إنها ما يقرب من 90٪ - كان علي إعادة قراءتها فقط للتأكد من أنها ليست خطأ مطبعي. يعد تدريب موظفيك على كيفية اكتشاف رسائل البريد الإلكتروني الضارة هذه ثم اختبارها على مدار العام أحد الأمثلة على كيفية تمكين الموظفين من تولي ملكية أمانهم. وستتمتع الشركة بموقف أمني أقوى بسبب ذلك. لذلك أعتقد أن هذا هو المفتاح.

"تم وضع ضوابط سابقة في شركتك ، وكلما أسرعت في أن تصبح جزءًا من المؤسسة"

أعتقد أنه ربما يكون الأهم هو القيام بذلك مبكرًا. إذا قمت بخبزها من اليوم الأول أو بالقرب من اليوم الأول قدر الإمكان ، فإنها تصبح طبيعة ثانية. إنه ليس شيئًا جديدًا ومختلفًا فيما بعد عندما يكون هناك الكثير من الجمود أو مقاومة التغيير. كنت أجري هذه المحادثة قبل أيام ، وقد لا يكون هذا أفضل تشبيه ، لكن كان هناك جيل كامل نشأ وهو يقود سيارات بدون أحزمة أمان. ثم في الخمسينيات ، قدموا هذا الشيء الجديد ، وكانت هناك مقاومة. لكن اليوم ، بعد أن كبرت نفسي منذ اليوم الأول ، لا أفكر في الأمر حتى عندما أركب السيارة. حزام الأمان يمضي وهو يشبه التنفس. أنا فقط لا أفكر في ذلك. لذلك تم وضع ضوابط سابقة في شركتك ، وكلما أسرعت في أن تصبح جزءًا من المؤسسة.

حسام: ما الذي يحتاج الناس إلى معرفته إذا طُلب من عملك تقرير SOC 2؟

آدم: أعتقد أن أول شيء هو معرفة أن هذا شيء جيد. كل من يسأل يفكر بجدية في التعامل مع شركتك ويحتاج الآن إلى التأكد من قيامك بالأشياء الصحيحة لحماية بياناتهم. ثانيًا ، إذا كانت هذه هي المرة الأولى التي يُطلب فيها منك تقرير SOC 2 ، فلن يكون الأخير ، ولا يجب أن يكون كذلك. إذا لم يكن لديك تقرير SOC 2 ، فقد حان الوقت بالتأكيد للبدء. ومرة أخرى ، كلما أسرعت في القيام بذلك ، كلما كان أسرع ، وكلما كان أرخص ، وكان من الأسهل الاستمرار في المضي قدمًا. كل ذلك ، بالطبع ، ليقول الاستفادة من الأتمتة للقيام بذلك.

حسام: و SOC 2 ليست شهادة. هل انا على حق؟

آدم: صحيح. إنها شهادة.

حسام: وهناك نوعان مختلفان: النوع 1 و 2. ما الفرق؟

آدم: لجعل الأمر أكثر إرباكًا ، هناك شيء مثل SOC 1 ثم SOC 2. أعتقد أنك تسأل عن SOC 2 Type 1 مقابل SOC 2 Type 2 ، وهو سؤال رائع وطرحه علينا الآفاق طوال الوقت . كلاهما متماثل من حيث الإطار نفسه. الفرق هو أن تدقيق SOC 2 Type 1 والتقرير يبحثان في تصميم عناصر التحكم الخاصة بك في نقطة زمنية محددة للغاية. مثل ، هل أنت ملتزم اليوم؟ يبحث SOC 2 Type 2 في تصميم عناصر التحكم الخاصة بك ، لكنه يبحث أيضًا في فعالية تشغيل عناصر التحكم هذه على مدار بعض الوقت ، عادةً 12 شهرًا.

بناءً على ذلك ، يمكنك أن تتخيل أن SOC 2 Type 2 هو بالتأكيد شريط أعلى. يستغرق وقتا أطول عادة ما تكون أكثر تكلفة ؛ لقد تم ذلك على مدار فترة زمنية. يمكنك إجراء النوع 1 في طريقك إلى النوع 2. ونحن نرى العملاء يفعلون ذلك عندما يحتاجون إلى تقرير في أقرب وقت ممكن ، والنوع 1 أفضل بالتأكيد من عدم وجود تقرير على الإطلاق. وأنت لا تخسر أي وقت أو عمل لأنهما ، مرة أخرى ، هما نفس الإطار. أنت تحصل بشكل أساسي على جميع عناصر التحكم الخاصة بك التي تم تنفيذها من خلال إجراء تدقيق من النوع 1 ، وفي نفس الوقت ، تبدأ الفترة الممتدة من أربعة إلى 12 شهرًا للنوع 2. في الواقع ، تقوم بعض شركات التدقيق التي نتشارك معها بتجميع أسعارها من أجل النوع 1 والنوع 2 ، وهذا يجعله أكثر فعالية من حيث التكلفة في هذا السيناريو المحدد. ولكن مرة أخرى ، يمكنك الانتقال مباشرة إلى النوع 2 ، نظرًا لأن هذا هو المعيار الذهبي.

"إنه تدريب رائع ، وهم يقومون بمحاكاة هجمات التصيد الاحتيالي. لذلك نصادف موظفينا عمدًا بشكل عشوائي "

حسام: وفقًا لـ Statista ، بلغ الضرر المالي الناجم عن الجرائم الإلكترونية المبلغ عنها 4.2 مليار دولار في عام 2020 ، أي أربعة أضعاف ما حدث في عام 2015.

آدم: إنه جنون.

حسام: نعم ، إنه مجنون. إذن ما هي النقاط العمياء المنتشرة في أنظمة أمن الشركات؟

آدم: إنه سؤال جيد. هناك المزيد من البيانات في السحابة التي يمكن الكشف عنها اليوم أكثر من أي وقت مضى. أعتقد أن ما قد يفاجئ الناس هو أن الكثير منها لا يزال نفس الحيل القديمة ، مثل هجمات التصيد الاحتيالي. كما قلت ، لا تزال هجمات التصيد الاحتيالي تمثل 90٪ من خروقات البيانات في عام 2021. معظم مزودي تدريب التوعية الآمنة لديهم وحدات ودورات تدريبية حول كيفية اكتشاف رسائل البريد الإلكتروني المخادعة وما يجب فعله وما لا يجب فعله عند تلقيها. وهو عنصر تحكم مشترك يجب أن يكون لدى أي شركة تمر عبر SOC 2 ، تدريب للتوعية الأمنية. نحن نستخدم أداة رائعة - تتكامل معها Drata - تسمى المناهج الدراسية. إنه مثال واحد. لكنه تدريب رائع ، وهم يقومون بمحاكاة هجمات التصيد الاحتيالي. لذلك نحن نصادق موظفينا عمدًا بشكل عشوائي.

"كل ما يتطلبه الأمر هو بريد إلكتروني واحد وموظف واحد"

حسام: أراهن أنهم يحبون ذلك.

آدم: لا أعرف حتى ما إذا كان ذلك حقيقيًا أم لا ، وهو جزء من التمرين. لكنها طريقة لاستمرار ثني تلك العضلات داخليًا في الشركة لأنه مثل كل الأشياء ، لم يتم فعلها أبدًا. أنت لا تضغط على أصابعك فقط وأنت آمن. يجب عليك أن تتمرن. وبالتالي ، إذا نقر شخص ما على أحد هذه الروابط ورسائل البريد الإلكتروني المزيفة ، فسيخبره على الفور ، "مرحبًا ، لقد تم خداعك للتو ، هيا ، تذكر تدريبك" ، لكنه لا يزال ذا قيمة في تلك اللحظة ، أليس كذلك؟

لقد فوجئت. كان لدينا واحدة منذ وقت ليس ببعيد. بدا الأمر وكأنه رسالة بريد إلكتروني قادمة من كارتا. وقد قال بشكل أساسي ، "تهانينا على آخر منحة لك لخيار الأسهم. لقد تمت الموافقة عليه للتو من قبل المجلس ، وقع هنا ". ونعم ، إنها تدخل مباشرة إلى مركز الإشباع الفوري للدماغ. ستندهش من عدد الأشخاص الذين سينقرون على هذا الرابط دون التحقق حقًا للتأكد من شرعيته. هكذا ، مرة أخرى ، تحدث 90٪ من هذه الانتهاكات. كل ما يتطلبه الأمر هو بريد إلكتروني واحد وموظف واحد. يعود ذلك إلى النقطة الأصلية المتعلقة بخبزها في مؤسستك وثقافتك. هذا هو مدى أهمية حصول كل فرد في الشركة على ملكية الأمن. إنها ليست وظيفة أي شخص ، إنها وظيفة الجميع.

توسيع نطاق الأمن كشركة ناشئة

حسام: أعلم أن لدينا الكثير من المستمعين من الشركات الناشئة ، وكنت سأطلب منك النصيحة التي ستقدمها للشركات الناشئة على وجه الخصوص حول أن تصبح متوافقة مع SOC 2. من الذي يجب أن يدير عملية SOC 2 في الشركات الناشئة الأصغر؟

آدم: إنه سؤال جيد. وواحد أعتقد أنه يحتل مكانة خاصة في قلوبنا لأنه ، أولاً ، ما زلنا شركة ناشئة ، لكن هذه Drata جاءت من حاجتنا الشخصية كشركة ناشئة تبيع في الجامعات ، في حالتنا. لذلك تحدثنا إلى الكثير من الشركات الناشئة. النصيحة التي نقدمها هي ، بالطبع ، لا تنتظر. كما قلت سابقًا ، ابدأ قريبًا. كلما قمت بذلك مبكرًا ، كانت الصيانة أسرع وأرخص وأسهل. بالتأكيد استفد من الأتمتة. ستوفر مئات الساعات الهندسية ، والتي ، خاصةً عندما تكون شركة ناشئة ، يجب أن تنفقها على المنتجات والأولويات الأخرى.

"مع نمو شركتك ، المزيد من الموظفين ، المزيد من الأصول ، المزيد لتتبعه"

وأعتقد أن الآخر هو التفكير على المدى الطويل. من السهل جدًا الوقوع في فخ ، "حسنًا ، يجب أن أضع علامة في هذا المربع ، أو لن تنتهي هذه الصفقة الكبيرة ، وهذه الصفقة الكبيرة ستغير قواعد اللعبة ووجودية لشركتنا الناشئة." هناك طريقة للقيام بذلك بسرعة ، ولكن طريقة ستساعدك على المدى الطويل. هذا ليس شيئًا ناجحًا. تذكر ذلك. حسنًا ، إنه تقرير تحصل عليه في نهاية التدقيق ، وتريد أن يكون تقريرًا نظيفًا وجيدًا. عندما تسلم شخصًا هذا التقرير ، فأنت تريده أن يسلط الضوء عليك. يمكن أن يضيع الكثير من ذلك ، خاصةً عندما تكون شركة ناشئة ، في الضوضاء والضغط للحصول على الامتثال أو إغلاق هذه الصفقة.

حسام: وماذا تحتاج شركات التوسع إلى معرفته؟ أفترض أنه يمكن أن تكون هناك تحديات مختلفة تمامًا.

آدم: إذا كان لديك بالفعل تقرير SOC 2 وكنت تستخدم جداول بيانات أو تعيش في جداول بيانات ولقطات شاشة ، فأنت تشعر بالفعل بألم عدم قابلية ذلك للتطوير. مع نمو شركتك ، المزيد من الموظفين ، المزيد من الأصول ، المزيد لتتبعها. تصبح الأتمتة في الواقع أكثر قيمة بمرور الوقت لأن لديك المزيد من الأصول ضمن نطاق تدقيقك. وبالتالي ، هناك سبب إضافي للاستفادة من الأتمتة وتطبيق المراقبة المستمرة بحيث لا تقوم بجمع الأدلة بأثر رجعي ويدويًا. أنت تعرف في الوقت الفعلي أين تتشكل الفجوات عندما يأتي الموظفون ويذهبون ، أو تقوم بتدوير الأصول أو تدويرها تلقائيًا. حسنًا ، إنها حالة استخدام مختلفة ، لكنها متشابهة جدًا.

"هذا هو الشيء الفريد ، لمراقبة عناصر التحكم باستمرار ثم تحديد وتنبيه عند تشكل الفجوات في الوقت الفعلي"

حسام: أود أن أسمع كيف تساعد Drata في تبسيط عملية SOC 2 وأتمتتها للأشخاص.

آدم: نعم ، بالتأكيد. لذلك ، قمنا ببنائه كحل شامل. يمكن أن يستغرق الأمر الشركات من البداية ، وصولاً إلى الاستعداد للتدقيق ، والتدقيق نفسه ، ثم مجرد الصيانة المستمرة للمضي قدمًا في الأتمتة. تتصل Drata بمكدس التكنولوجيا الخاص بعملائها. هذا هو الشيء الفريد ، لمراقبة عناصر التحكم بشكل مستمر ثم تحديد وتنبيه عند تشكل الفجوات في الوقت الفعلي. وستجمع تلقائيًا أدلة على كل عناصر التحكم هذه والتي تم تعيينها مسبقًا بعد ذلك عبر أطر مثل SOC 2 و ISO 27001 و HIPAA والمزيد. لذلك إذا كنت تبدأ من الصفر ، فيمكنك الاستفادة من إطار عمل التحكم المشترك في Drata ، بالإضافة إلى قوالب سياسة الأمان لإعداد مؤسستك بسرعة كبيرة. لدينا شركات تقل عن 50 موظفًا تنتقل حرفياً من الصفر إلى جاهزة للتدقيق في غضون أسابيع فقط. هذه هي قوة الأتمتة.

بعد ذلك ، تشارك Drata أيضًا مع شركات التدقيق المدربة على إجراء التدقيق باستخدام Drata بطريقة مبسطة للغاية. هذا يوفر الوقت على الجميع ، وينتج عنه عمليات تدقيق منخفضة السعر. لقد كانت رحلة مجزية بشكل خاص. إنه شيء يأتي من احتياجاتنا الشخصية. ثم فريقنا ، وخاصة فريق نجاح العملاء ، الذي يعمل مع كل عميل من عملائنا. لدينا مدققون سابقون ومتخصصون في الأمن وموظفون للمساعدة في توجيه عملائنا خلال الرحلة. إنها ليست كل البرامج فقط ، من الواضح أن الأتمتة هي المفتاح.

مستقبل أمن البيانات

حسام: قبل أن نختتم مباشرةً ، ما هو مستقبل أمان البيانات؟ هل سيكون دائمًا صراعًا شاقًا؟

"أعتقد أن الشركات ستكون أكثر شفافية بشأن المشاركة ، ليس فقط تقارير SOC 2 هذه ، ولكن حرفيًا بين التقارير في الوقت الفعلي"

آدم: سأخرج كرة الكريستال الخاصة بي. مع وجود المزيد والمزيد من البيانات في السحابة ، يصبح أمان البيانات أكثر أهمية بمرور الوقت. أعتقد أنك سترى الشركات تفعل ذلك في وقت سابق ، كما نرى بالفعل ، يُطلب منك الحصول على شهادات الامتثال والتصديق في كثير من الأحيان. وسوف يتم دمجها في ثقافة الشركة منذ اليوم الأول. هناك الكثير من المهن والصناعات التي تتطلب تدريبًا أمنيًا إضافيًا ولا أحد يهتم لأنه مفهوم فقط. هناك مخاطر حقيقية للغاية هنا. ويمكن قول الشيء نفسه بالنسبة لأي شركة برمجيات تحتفظ ببيانات في السحابة.

أعتقد أننا سنشهد المزيد من المراقبة المستمرة ، مجرد عرض في الوقت الفعلي من الداخل إلى الخارج ، وأعتقد أن الشركات ستكون أكثر شفافية بشأن المشاركة ، ليس فقط تقارير SOC 2 هذه ، ولكن حرفيًا بين التقارير الواقعية -الوقت. بنفس الطريقة التي نتباهى بها بحالة الجهوزية لدينا - إليك حالة وضع الأمان لدينا. وبعد ذلك ، بالطبع ، لا أعتقد أنني سأكون مؤسسًا مشاركًا ومديرًا تنفيذيًا في Drata إذا لم أكن أعتقد أن الأتمتة ستكون الطريقة القياسية للشركات التي تحافظ على وضع الامتثال الأمني ​​هذا. لذلك سنرى.

حسام: من الواضح أنه وقت مثير حقًا لكم جميعًا. ماذا بعد؟ هل لديك أي خطط أو مشاريع كبيرة في الطريق؟

آدم: نعم ، إنه لأمر مدهش مدى السرعة التي مرت بها السنة. أطلقنا رسميًا في 15 يناير ، لذلك وصلنا إلى وضع وحيد القرن بسرعة كبيرة. لكننا ما زلنا شركة ناشئة إلى حد كبير. سيتضاعف حجم فريقنا ثلاث مرات في عام 2022. لذلك نحن نوظف في جميع المجالات ، جميع الإدارات. إذا كان الأشخاص الذين يستمعون هناك مهتمين بالأتمتة والأمان ، فإن قيمنا الأساسية موجودة على موقعنا على الإنترنت. وإذا كان لهم صدى معك ، يسعدنا أن تلقي نظرة على صفحة الوظائف لدينا ، ونود التواصل معك

حسام: متألق. عام جديد ، وظيفة جديدة. تدور هذه السلسلة حول سماع كيفية قيام الشركات بتوسيع نطاق نموها. قبل أن ننتهي ، أود أن أعرف ، هل كان هناك حدث رئيسي في حياتك المهنية ساعدك على التوسع المهني؟

"إنه نوع مختلف من الصواريخ ، أليس كذلك؟ كلاهما مكثف للغاية "

آدم: نتعلم الكثير كل يوم ، وكل ما لدينا هو التكرار والتحسين المستمر. لذا ، فإن النصيحة المبكرة ، كانت مجرد إحاطة نفسي بالموجهين والمستشارين والأشخاص الذين كانوا هناك ويمكننا التعلم منهم ، والانفتاح على ذلك. بعد انتهاء برنامج مكوك الفضاء وكنت أتعلم الترميز وبناء الإصدار الأول من Portfolium ، كنت أعمل في برنامج تسريع هنا في سان دييغو يسمى EvoNexus. وهذا دفع الأشياء حقًا إلى زيادة السرعة. لقد وضع هؤلاء الأشخاص حولي على الفور ، وتعلمت منهم. لقد ساعدت حقًا في وضع القطع في مكانها للتحضير لكل شيء في المستقبل. لا أعتقد أن أي شيء يمكن أن يعدك على الإطلاق ، لكنه يساعد بالتأكيد.

حسام: ما هو الأكثر توتراً وإثارة؟ عالم الصواريخ أم يدير شركة؟

آدم: إنه نوع مختلف من الصواريخ ، أليس كذلك؟ كلاهما مكثف للغاية.

حسام: وأخيرًا ، أين يمكن أن يذهب مستمعونا لمواكبة عملك؟

آدم: نعم ، يرجى مراجعة موقعنا drata.com. Feel free to schedule a live demo with our team and see the product in action. We'd love to show it. On LinkedIn, it's easy to find and follow; just search Drata. And then, on Twitter, at @DrataHQ.

Liam: Perfect. And thank you so much for joining us today.

Adam: Thank you so much for having me.