Drata-CEO Adam Markowitz über die Schaffung einer Kultur der Cybersicherheit
Veröffentlicht: 2022-05-06Da immer mehr Daten in der Cloud gespeichert werden, ist der Beweis, dass Sie die Daten Ihrer Kunden schützen können, nicht nur ein nettes Extra – es ist unerlässlich.
Es gibt genug Geschichten über Datenschutzverletzungen und Cyberangriffe, um selbst den versiertesten Sicherheitsingenieur bis ins Mark zu erschüttern. Cyber-Angriffe sind im Vergleich zum Vorjahr um 125 % gestiegen, und da Unternehmen teilweise oder vollständig auf Remote-Einstellungen umstellen, gibt es keine Anzeichen einer Verlangsamung. In der heutigen datengesteuerten SaaS-Szene können diese Hunderte Millionen Benutzer betreffen und Schäden in Milliardenhöhe verursachen, und da Compliance-Frameworks zu Anforderungen für die Geschäftstätigkeit werden, wenden sich Unternehmen an Dienste von Drittanbietern, die dazu beitragen können, dies zu beschleunigen und zu erleichtern Prozess. Und da kommen Leute wie Adam Markowitz ins Spiel.
Adam ist Mitbegründer und CEO von Drata, einem Unternehmen, das Unternehmen dabei unterstützt, die Daten ihrer Kunden zu schützen, ihre Sicherheitslage kontinuierlich zu überwachen und automatisch mit SOC 2, ISO 27001 und anderen Compliance-Programmen Schritt zu halten. Obwohl Drata noch nicht einmal zwei Jahre alt ist, hat es bereits eine 100-Millionen-Dollar-Serie B abgeschlossen, was es zum Einhorn-Status gemacht hat und es zu einem der schnellsten Unternehmen macht, das eine Bewertung von 1 Milliarde US-Dollar erreicht. Wie sich herausstellt, sind Cybersicherheit und Compliance gefragt.
Als Luft- und Raumfahrtingenieur, der zum Unternehmer wurde, lernte Adam früh, dass der beste Weg, Vertrauen zu gewinnen, darin besteht, zu beweisen, dass man es verdient. Nachdem er an der Hauptmaschine des Space Shuttles der NASA gearbeitet hatte, entwickelte er Portfolium, eine soziale Netzwerkplattform, die es Studenten und Absolventen ermöglicht, potenziellen Arbeitgebern Fähigkeiten zu präsentieren, die über den traditionellen Lebenslauf hinausgehen. Aber bevor die Universitäten mit ihnen Geschäfte machen würden, brauchten sie Gewissheit über ihre Sicherheitslage. Plötzlich lernte das Team SOC 2 Reports nur allzu gut kennen und erkannte, wie mühsam und unskalierbar es werden konnte, insbesondere für wachstumsstarke Startups. Portfolium wurde schließlich erworben, aber das Team dahinter hat nie aufgehört, über einen besseren Weg nachzudenken. Weniger als ein Jahr später wurde Drata gestartet.
In dieser Folge haben wir uns mit Adam zusammengesetzt, um alles über das SOC 2-Framework zu erfahren, wie man von Grund auf eine Sicherheitskultur schafft und wie Automatisierung der Schlüssel ist, um Kopfschmerzen in einen reibungslosen Betrieb zu verwandeln.
Hier sind einige unserer Lieblingsmitnahmen aus dem Gespräch:
1. Es wird zum absoluten Minimum
Sie können Ihr Geschäft nicht ausbauen, wenn Ihre Kunden Ihnen ihre sensiblen Daten nicht anvertrauen. Und so schön mündliche Zusicherungen und ein Handschlag auch sein mögen, wenn Sie wachsen und versuchen, bei etablierteren Unternehmen auf Unternehmensebene zu unterschreiben, werden Sie immer öfter feststellen müssen, dass Sie Konformitätsnachweise vorlegen müssen, bevor Sie das Geschäft abschließen:
Die Verlagerung in die Cloud, immer mehr Datenschutzverletzungen – das hat wirklich ein Vergrößerungsglas auf das Risiko von Drittanbietern gelegt. Und das hat vieles von dem, was wir hier sehen, angetrieben, von diesem Nice-to-have zu einem Need-to-have. Wenn ich mit Ihrem Unternehmen Geschäfte tätigen möchte und Ihre Software auf die Daten meiner Kunden zugreift, liegt es in meiner Verantwortung, sicherzustellen, dass Sie die richtigen Kontrollen haben, um sie zu schützen.
2. Beginnen Sie früh
Die Analyse von Verizon zu Cybersicherheitsvorfällen ergab, dass Phishing hinter 90 % der erfolgreichen Angriffe steckt, was bedeutet, dass sie in 9 von 10 Fällen sehr gut vermeidbar sind. Beginnen Sie mit der Schulung Ihrer Mitarbeiter in Compliance-Praktiken und wie sie diese bösartigen E-Mails vom ersten Tag an erkennen können – je schneller sie eine sicherheitsorientierte Denkweise annehmen, desto eher wird sie Teil der Kultur.
Ich hatte dieses Gespräch neulich, und es ist vielleicht nicht die beste Analogie, aber es gab eine ganze Generation, die mit Autos ohne Sicherheitsgurte aufgewachsen ist. Und dann, in den 50er Jahren, haben sie dieses neue Ding eingeführt, und es gab Widerstand. Aber heute, da ich selbst vom ersten Tag an erwachsen geworden bin, denke ich nicht einmal daran, wenn ich ins Auto steige. Der Sicherheitsgurt geht weiter und es ist wie Atmen.
3. Überspringen Sie nicht die Automatisierung
Sicherheit betrifft alle Funktionen in Ihrem Unternehmen: vom Onboarding und Offboarding bis hin zur Verschlüsselung von Daten und der Verwaltung von Endpunkten. Nach Adams Erfahrung gibt es zwischen 100 und 200 Kontrollen, um den Überblick über die Durchführung eines SOC 2-Audits zu behalten. Wenn Sie also keine Automatisierung nutzen, verbringen Sie möglicherweise Hunderte von Stunden im Jahr mit der Einhaltung von Vorschriften:
Wenn Sie keine Automatisierung verwenden, bedeutet dies, dass Teams in Ihrem Unternehmen damit beauftragt werden, jedes Beweisstück kontinuierlich und wiederholt zu sammeln und es dann für zukünftige Audits aufzubewahren. Und wenn sie unterwegs Lücken finden, weil sich an jedem Tag des Jahres Lücken bilden können, müssen sie Abhilfe schaffen. Es sind viele Menschen, die in Tabellenkalkulationen, freigegebenen Ordnern und Screenshots leben.
Ihr Interesse geweckt? Wir haben eine Liste mit Artikeln, Videos und Podcasts zusammengestellt, die Sie sich ansehen können:
- Bewerten Sie die SOC 2-Bereitschaft Ihres Unternehmens
- SOC 2-Konformität: Ein Leitfaden für Anfänger
- Der CTO von Evernote über Ihre größten Sicherheitsbedenken von 3 bis 300 Mitarbeitern
- Der LinkedIn-Vorfall
Dies ist Scale, die Podcast-Serie von Intercom zur Förderung des Unternehmenswachstums durch Kundenbeziehungen. Wenn Ihnen das Gespräch gefällt und Sie keine zukünftigen Folgen verpassen möchten, klicken Sie einfach auf „Folgen“ auf iTunes, Spotify oder holen Sie sich den RSS-Feed in Ihrem Player Ihrer Wahl. Sie können auch das vollständige Transkript des Interviews lesen, das aus Gründen der Klarheit leicht bearbeitet wurde, unten.
Sicherheit auf Autopilot
Liam Geraghty: Adam, vielen Dank, dass Sie sich uns angeschlossen haben. Sie sind herzlich willkommen in der Show.
Adam Markowitz: Danke, dass du mich eingeladen hast.
Liam: Zunächst einmal sind Glückwünsche angebracht. Drata hat kürzlich 100 Millionen US-Dollar an Risikokapital eingeworben, was es meiner Meinung nach zu San Diegos neuestem Startup-Einhorn mit einer Bewertung von 1 Milliarde US-Dollar macht. Wie fühlt sich das an?
Adam: Danke, es fühlt sich immer noch ein bisschen surreal an, hauptsächlich weil das Unternehmen in weniger als 12 Monaten von der Keimzelle zur Serie übergegangen ist. Aber es fühlt sich großartig und super lohnend an, den Meilenstein zu erreichen, und zwar hier in San Diego. Unser vorheriges Unternehmen wurde vor fast 10 Jahren hier in San Diego gegründet und war damals ein ganz anderes Tech-Ökosystem. Zu sehen, wie es sich entwickelt und die ganze Zeit ein Teil davon gewesen zu sein, ist super lohnend. Und auch Drata selbst wurde mitten in der Pandemie geboren. Wir fühlten uns glücklich, dass wir überhaupt in der Lage waren, das Unternehmen zu diesem Zeitpunkt zu gründen, und diese Wertschätzung hat dieses wirklich beispiellose Jahr vorangetrieben.
„Keine Rampenzeit, keine Kennenlernzeit – es war nur Go, Go, Go“
Liam: Wie war das?
Adam: Es war wieder einmal einfach, in einer Position zu sein, in der wir uns wohl fühlten, es zu tun. Das ist uns bei dem, was in der Welt vor sich ging, nicht entgangen. Am ersten Tag verließen einige von uns alle diese Firma. Wir hatten alle so lange zusammengearbeitet, dass es eine Art netter, unfairer Vorteil war. Keine Rampenzeit, keine Kennenlernzeit – es war nur Go, Go, Go.
Liam: Was macht Drata?
Adam: Drata hilft Unternehmen, Sicherheit und Compliance auf Autopilot zu stellen, wie wir es nennen, indem sie die Überwachung und Sammlung von Beweisen für ihre Sicherheitskontrollen automatisieren. Optimierung von Audits wie SOC 2, ISO 27001, HIPAA und anderen. Es ermöglicht Unternehmen, ihre Sicherheitslage in Echtzeit an fast jedem Tag des Jahres nachzuweisen, wodurch ihre Verkaufszyklen und Sicherheitsüberprüfungen beschleunigt werden. Natürlich werden Audits dadurch auch schneller und kostengünstiger. Und dann ermöglicht es Unternehmen, unternehmenstauglicher zu werden.
Liam: Das ganze Gebiet ist ein neuer Raum. Wie ist es, gerade darin zu navigieren?
Adam: Der Raum selbst ist neu, aber es gibt schon seit einiger Zeit Hypothesen. Das Versprechen einer kontinuierlichen Compliance kursiert seit Jahren. Und deshalb ist es super spannend, dieses Versprechen einzulösen. Und natürlich herausfordernd – wie es sich gehört. Ich persönlich liebe es, früh da zu sein und die Gelegenheit zu nutzen, um die Messlatte im Markt wirklich hoch zu legen. Und mit dem Team einfach weiter nach oben zu treiben.
Von der Raketenwissenschaft bis zur Compliance
Liam: Du hast aber nicht im Sicherheitsbereich angefangen. Habe ich Recht, wenn ich sage, dass Sie ein ehemaliger Raketenwissenschaftler sind?
Adam: Ja, es ist lustig. Der Fluch, ein Raketenwissenschaftler genannt zu werden, besteht darin, dass die Messlatte für alles und jedes, was Sie im Leben tun, sofort höher gelegt wird. Das Auto springt nicht sofort an, repariere es – „es ist keine Raketenwissenschaft oder so.“
Liam: Wie war das? Wie haben Sie den Übergang zur Compliance-Technologie geschafft?
Adam: Ich begann meine Karriere als Ingenieur im Space-Shuttle-Programm, genauer gesagt im MCC-Team, dem Main Combustion Chamber-Team. Der letzte Shuttle-Start war vor über einem Jahrzehnt, also erinnern sich einige Leute da draußen vielleicht nicht daran, einen Shuttle-Start gesehen zu haben, aber wenn Sie es tun, sehen Sie die Rakete auf dem Pad, Sie haben die beiden Raketen-Booster und dann ist da dieser Riese orangefarbener Tank. Das ist der Kraftstofftank, der diese drei Hauptmotoren speist, und daran habe ich nach dem Studium gearbeitet. Der beste Weg, um zu beschreiben, wie ein Raketentriebwerk funktioniert, ist einfach eine kontrollierte Explosion. Es ist also ein technischer Traum/Albtraum, je nachdem, wie man es betrachtet.
„So habe ich diesen Job beim Space-Shuttle-Programm bekommen – ich habe ein Portfolio in meine Vorstellungsgespräche mitgebracht, um mir zu helfen, mich abzuheben und meine Fähigkeiten über den GPA hinaus unter Beweis zu stellen.“
Liam: Wie fühlt es sich an, wenn du den Start tatsächlich beobachtest? Bist du angespannt? Bist du irgendwie aufgeregt?
Adam: Eine angespannte Aufregung, so kann man es gut ausdrücken. Jeder liebte, was wir taten. Ich wollte Astronaut werden, seit ich ein kleines Kind war, und einen echten lebenden Astronauten zu haben, der durch das Büro geht und den Ingenieuren dafür dankt, dass sie ihnen geholfen haben, sicher nach Hause zu kommen, zumal Ihr erster Job nach dem Studium absolut unglaublich ist.
Liam: Ich habe dich da irgendwie unterbrochen, aber du hast mir erzählt, wie du diesen Übergang gemacht hast.
„Um den Studenten dabei zu helfen, das Vertrauen der Arbeitgeber zu gewinnen, mussten wir unsere Sicherheitslage zunächst gegenüber den Universitäten unter Beweis stellen.“
Adam: Die Erfahrung endete 2011, als das Shuttle-Programm eingestellt wurde und ich den Sprung von der Luft- und Raumfahrt zum Unternehmertum schaffte. Ich habe den Sprung gewagt, wie sie sagen. Ich lernte Programmieren und baute ein MVP, das ich Portfolio nannte, ein LinkedIn-ähnliches ePortfolio-Netzwerk für Studenten, und die Idee kam. So bin ich tatsächlich zu diesem Job im Space-Shuttle-Programm gekommen – ich brachte ein Portfolio in meine Vorstellungsgespräche, um mir zu helfen, mich abzuheben und meine Fähigkeiten über den GPA hinaus unter Beweis zu stellen. Und deshalb wollte ich das für Studenten überall tun und ihnen helfen, ihre Traumjobs nur auf der Grundlage ihrer nachgewiesenen Fähigkeiten zu finden. Ich glaube fest daran, Vertrauen zu verdienen, indem man zuerst beweist, dass man es verdient. In diesem Fall war es der Nachweis von Fähigkeiten in diesen ePortfolios, die reich an Daten waren, die wir nutzen konnten, um Studenten und Arbeitgeber auf sinnvollere Weise zusammenzubringen.
Wir haben das Unternehmen und das Netzwerk von Millionen von Studenten ausgebaut, und wir haben es geschafft, indem wir ein Lernbewertungsmodul an College-Universitäten verkauft haben. Und da haben wir schnell gelernt, wie wichtig es ist, unsere Sicherheitslage zu beweisen. Denn bevor die Universität mit uns unterschreibt und vertrauliche Studenteninformationen zur Verfügung stellt, musste sie sich unserer Sicherheitslage vergewissern. Der Goldstandard dafür war und ist ein SOC 2-Bericht. Sie sehen also dieses Thema hier und gewinnen Vertrauen mit Beweisen. Um den Studenten dabei zu helfen, das Vertrauen der Arbeitgeber zu gewinnen, mussten wir zunächst unsere Sicherheitslage gegenüber den Universitäten nachweisen, und der Beweis war der SOC 2-Bericht. Portfolio wurde im Februar 2019 übernommen, und unser Team kam letztes Jahr im Jahr 2020 wieder zusammen, um Drata aufzubauen, um Unternehmen dabei zu helfen, sich zu behaupten und ihre Sicherheitskonformität mit einem auf Automatisierung ausgerichteten Ansatz aufrechtzuerhalten und zu beweisen.
SOC 2 101
Liam: Kommen wir also zur SOC 2-Compliance, was, wie ich weiß, ein bisschen so ist, als würde man sagen „Reden wir über Steuern“ oder „Reden wir über Rechnungsstellung“. Aber es ist so wichtig. Können Sie uns eine Einführung geben, was SOC 2-Compliance wirklich ist?
Adam: Klar, gerne! SOC 2 ist also ein Framework. Es wird vom AICPA, dem American Institute of Certified Public Accountants, erstellt und gepflegt. Prüfer von CPA-Unternehmen führen also tatsächlich SOC-2-Audits durch, und das Ergebnis eines SOC-2-Audits ist ein SOC-2-Bericht. SOC 2 ist keine Pass-Fail-Zertifizierung, was wirklich wichtig und ein weit verbreitetes Missverständnis ist. Dieser SOC 2-Bericht ist eine Bescheinigung, und er ist vertrauenswürdig, weil er von diesem zertifizierten, unabhängigen externen Prüfer stammt. Und im Grunde geht es darum, das Design und die Wirksamkeit der Sicherheitskontrollen Ihres Unternehmens zu testen, wenn es um den Schutz der Daten Ihrer Kunden geht. Mit anderen Worten, der SOC 2-Bericht ist ein Bericht, der detailliert aufzeigt, wie gut Ihr Unternehmen die Daten seiner Kunden schützt. Wenn Sie heute Software verkaufen, besteht eine Wahrscheinlichkeit von 99,9 %, dass Sie Daten in der Cloud speichern oder verarbeiten. Aus diesem Grund ist es nur eine Frage der Zeit, bis Sie aufgefordert werden, Ihren Kunden oder potenziellen Kunden im Rahmen ihres Sicherheitsüberprüfungsprozesses einen SOC 2-Bericht zur Verfügung zu stellen.
„Wenn ich mit Ihrem Unternehmen Geschäfte machen möchte und Ihre Software auf die Daten meiner Kunden zugreift, liegt es in meiner Verantwortung, sicherzustellen, dass Sie die richtigen Kontrollen haben, um sie zu schützen.“
Liam: Und ist es der Standard für B2B-Unternehmen?
Adam: In vielerlei Hinsicht, ja. Besonders hier in den USA, auch weil SOC 2 für jedes Unternehmen gilt, das Daten in der Cloud speichert oder verarbeitet, und das ist heutzutage jedes Unternehmen, absolut alle SaaS-Unternehmen. In vielerlei Hinsicht ist es jetzt also zum Goldstandard geworden. Noch mehr wie die Mindestgrenze, um Ihre Sicherheitslage zu beweisen. Wir haben dies beim Portfolium-Verkauf an Universitäten aus erster Hand miterlebt; In sehr kurzer Zeit wurden diese Anfragen nach unserem SOC 2-Bericht schnell zu Anfragen nach unserem SOC 2-Bericht. Und dann wurde es einfach in jede Ausschreibung eingebaut, auf die wir stießen. Die Verlagerung in die Cloud, immer mehr Datenschutzverletzungen – das hat wirklich ein Vergrößerungsglas auf das Risiko von Drittanbietern gelegt. Und das hat vieles von dem, was wir hier sehen, angetrieben, von diesem Nice-to-have zu einem Need-to-have.
Liam: Warum ist es für B2B-Unternehmen so wichtig, bei der Skalierung SOC 2-konform zu sein? Und wirkt sich das auf die Gewinnung und Bindung größerer Kunden aus?
„Wenn Sie die Automatisierung nicht nutzen, verbringen Unternehmen in der Regel Hunderte von Stunden im Jahr mit der Einhaltung von Vorschriften“
Adam: Ja, auf jeden Fall. Wenn ich mit Ihrem Unternehmen Geschäfte tätigen möchte und Ihre Software auf die Daten meiner Kunden zugreift, liegt es in meiner Verantwortung, sicherzustellen, dass Sie die richtigen Kontrollen haben, um sie zu schützen. Wenn Sie mir Ihr Wort geben, ist das großartig, aber der unabhängige Prüfer wird wirklich das nötige Gewicht haben, um mir zu versichern, dass Sie über ein angemessenes Sicherheitsprogramm verfügen. Meine Wirtschaftsprüfer werden sicherstellen wollen, dass ich diese Zusicherung erhalten habe, bevor sie Ihnen irgendwelche Daten zur Verfügung stellen. Ansonsten folge ich nicht meiner eigenen Kontrolle.
Liam: Ich habe viel über Schwierigkeiten bei Startups gelesen, die SOC 2-konform werden. Warum war das so und hat sich das geändert?
Adam: Ja, absolut. Das haben wir am eigenen Leib erfahren. Wenn Sie die Automatisierung nicht nutzen, verbringen Unternehmen in der Regel Hunderte von Stunden im Jahr mit der Einhaltung von Vorschriften. Um zu erklären, warum, besteht das Framework selbst aus fünf verschiedenen Trust-Service-Prinzipien: Sicherheit, Verfügbarkeit, Vertraulichkeit, Datenschutz und Verarbeitungsintegrität. Sicherheit ist bei weitem die größte der fünf und technisch gesehen die einzige, die für ein Audit und einen Bericht erforderlich ist. Aber jede der fünf hat ihre eigenen Kriterien, die Ihr Unternehmen erfüllen oder erfüllen muss, indem es Kontrollen im gesamten Unternehmen entwirft und dann implementiert. Wenn ich das sage, fragen mich die Leute oft, was ich mit Kontrolle meine. Sie können sich Kontrolle als eine Richtlinie, einen Prozess oder ein Werkzeug vorstellen, das Sie einsetzen, um zu verhindern, dass etwas Schlimmes passiert, oder um sicherzustellen, dass etwas Gutes passiert. So definiere ich es immer. Und es umfasst alle Funktionen in Ihrem Unternehmen: wie Sie Mitarbeiter ein-, aus- und schulen, wie Sie Endpunkte verwalten und Backup-Daten verschlüsseln, wie Sie Zugriff gewähren und sich in Apps authentifizieren, Code überprüfen … Ich kann so weitermachen.
„Das bedeutet, dass Teams in Ihrem Unternehmen damit beauftragt werden, jedes Beweisstück kontinuierlich und wiederholt zu sammeln und es dann für zukünftige Audits aufzubewahren.“
Unternehmen haben zwischen 100 und 200 Kontrollen, die in ein SOC 2-Audit gehen. Und dann kann das Audit selbst lange dauern, weil Sie dem Auditor im Grunde nachweisen müssen, dass diese Kontrollen vorhanden sind und vor allem über einen Auditzeitraum bestehen bleiben. Es ist nicht etwas, das Sie für jeden 11. Monat irgendwie pauken könnten, wenn Sie sich in der 12-Monats-Periode befinden. Wenn Sie keine Automatisierung verwenden, bedeutet dies, dass Teams in Ihrem Unternehmen damit beauftragt werden, jedes Beweisstück kontinuierlich und wiederholt zu sammeln und es dann für zukünftige Audits aufzubewahren. Und wenn sie unterwegs Lücken finden, weil sich an jedem Tag des Jahres Lücken bilden können, müssen sie Abhilfe schaffen. Und ja, viele Leute leben in Tabellenkalkulationen, freigegebenen Ordnern, Screenshots. Es ist eindeutig sehr reif für Disruption, und das kam in Form von Automatisierung. Das hat sich wirklich geändert. Drata bringt diese Automation-First-Lösung, um Unternehmen Hunderte von Stunden pro Jahr einzusparen, und stellt ihnen dann diese Echtzeit-Bereitschafts-Dashboards zur Verfügung, damit Sie schnell auditbereit sind und jeden Tag im Jahr auditbereit bleiben.
Liam: Das ist so wichtig, weil es, wie Sie bereits erwähnt haben, ein so wichtiger Teil des Vertrauens zwischen einem Unternehmen und seinen Kunden ist.
Adam: Genau. Und das ist auch das Thema des letzten Unternehmens. Sie könnten jemandem beim Wort nehmen, Sie könnten einen Aufzählungspunkt in seinem Lebenslauf lesen, aber wir möchten, dass es den Menschen hilft, ihre Fähigkeiten unter Beweis zu stellen. Und in ähnlicher Weise möchten wir hier, dass die Leute in der Lage sind, nicht nur während Audits, sondern an jedem Tag des Jahres mit Beweisen nachzuweisen, wie ihre Kontrollen funktionieren. Das kann ein interner Bericht für ihr eigenes Team sein, für ihren Vorstand, für ihre eigene geistige Gesundheit, aber auch extern. Da sehen wir den Weg.
Mach es früh, mach es oft
Liam: Wie können Unternehmen vorgehen, um eine Kultur der Cybersicherheit in ihrer Organisation zu schaffen? Denn wie wir alle wissen, ist Sicherheit nicht mehr nur ein Nice-to-have.
Adam: Ich denke, die Befähigung einzelner Mitarbeiter ist der Schlüssel. Wenn die Mitarbeiter verstehen, wie wichtig sie beim Schutz ihres Unternehmens sind, können sie stolz darauf sein, anstatt sich nur wie ein Häkchen zu fühlen. Denn nichts könnte wahrer sein. Phishing-Angriffe sind auch im Jahr 2021 immer noch die häufigste Ursache für Datenschutzverletzungen. Es sind etwa 90 % – ich musste es noch einmal lesen, nur um sicherzugehen, dass es kein Tippfehler war. Ihre Mitarbeiter darin zu schulen, wie sie diese bösartigen E-Mails erkennen und sie dann das ganze Jahr über testen, ist ein Beispiel dafür, wie Sie Mitarbeiter dazu befähigen können, Verantwortung für ihre Sicherheit zu übernehmen. Und das Unternehmen wird dadurch eine stärkere Sicherheitshaltung haben. Also ich denke, das ist der Schlüssel.
„Je früher Kontrollen in Ihrem Unternehmen eingeführt werden, desto eher wird es Teil der Stiftung“
Ich denke, das Wichtigste ist vielleicht, es früh zu tun. Wenn Sie es vom ersten Tag an oder so nah wie möglich am ersten Tag backen, wird es einfach zur zweiten Natur. Es ist später nichts Neues und Anderes, wenn es einfach viel mehr Trägheit oder Widerstand gegen Veränderungen gibt. Ich hatte dieses Gespräch neulich, und es ist vielleicht nicht die beste Analogie, aber es gab eine ganze Generation, die mit dem Fahren in Autos ohne Sicherheitsgurte aufgewachsen ist. Und dann, in den 50er Jahren, haben sie dieses neue Ding eingeführt, und es gab Widerstand. Aber heute, da ich selbst vom ersten Tag an erwachsen geworden bin, denke ich nicht einmal daran, wenn ich ins Auto steige. Der Sicherheitsgurt geht weiter und es ist wie Atmen. Ich denke einfach nicht darüber nach. Je früher also Kontrollen in Ihrem Unternehmen eingeführt werden, desto eher wird es Teil der Stiftung.
Liam: Was müssen die Leute wissen, wenn Ihr Unternehmen nach einem SOC 2-Bericht gefragt wird?
Adam: Ich denke, das erste ist, zu wissen, dass das eine gute Sache ist. Wer auch immer fragt, erwägt ernsthaft, mit Ihrem Unternehmen Geschäfte zu machen, und muss jetzt sicherstellen, dass Sie die richtigen Dinge tun, um seine Daten zu schützen. Zweitens, wenn dies das erste Mal ist, dass Sie um einen SOC 2-Bericht gebeten werden, wird es nicht das letzte Mal sein, und das sollte es auch nicht. Wenn Sie noch keinen SOC 2-Bericht haben, ist es definitiv an der Zeit, damit anzufangen. Und noch einmal, je früher Sie es tun, desto schneller wird es sein, desto billiger wird es sein und desto einfacher wird es sein, es in Zukunft zu warten. All das natürlich, um die Automatisierung zu nutzen, um dies zu tun.
Liam: Und SOC 2 ist keine Zertifizierung. Habe ich recht?
Adam: Richtig. Es ist eine Bescheinigung.
Liam: Und es gibt zwei verschiedene Typen: Typ 1 und 2. Was ist der Unterschied?
Adam: Um es noch verwirrender zu machen, es gibt so etwas wie SOC 1 und dann SOC 2. Ich glaube, Sie fragen nach SOC 2 Typ 1 im Vergleich zu SOC 2 Typ 2, was eine großartige Frage ist, die uns potenzielle Kunden ständig stellen . Sie sind beide gleich in Bezug auf das Framework selbst. Der Unterschied besteht darin, dass das Audit und der Bericht nach SOC 2 Typ 1 das Design Ihrer Kontrollen zu einem ganz bestimmten Zeitpunkt untersuchen. Sind Sie heute konform? Ein SOC 2 Typ 2 untersucht das Design Ihrer Kontrollen, aber auch die Betriebseffizienz dieser Kontrollen über einen gewissen Zeitraum, normalerweise 12 Monate.
Ausgehend davon könnte man sich vorstellen, dass der SOC 2 Typ 2 definitiv eine höhere Messlatte ist. Es dauert länger; es ist normalerweise teurer; es wird einfach über einen bestimmten Zeitraum hinweg durchgeführt. Sie könnten einen Typ 1 auf dem Weg zu einem Typ 2 erstellen. Wir sehen, dass Kunden dies tun, wenn sie so schnell wie möglich einen Bericht benötigen, und Typ 1 ist definitiv besser, als überhaupt keinen Bericht zu haben. Und Sie verlieren weder Zeit noch Arbeit, da es sich wiederum um denselben Rahmen handelt. Sie werden im Grunde genommen alle Ihre Kontrollen implementieren, indem Sie das Audit vom Typ 1 durchführen, und gleichzeitig beginnen Sie Ihre vier- bis zwölfmonatige Periode für das Audit vom Typ 2. Tatsächlich bündeln einige der Audit-Firmen, mit denen wir zusammenarbeiten, sogar ihre Preise a Typ 1 und Typ 2, und das macht es in diesem speziellen Szenario kostengünstiger. Aber auch hier können Sie einfach direkt zum Typ 2 gehen, da dies der Goldstandard ist.
„Es ist ein großartiges Training, und sie führen diese simulierten Phishing-Angriffe durch. Also phishen wir absichtlich unsere eigenen Mitarbeiter nach dem Zufallsprinzip.“
Liam: Laut Statista belief sich der durch gemeldete Cyberkriminalität verursachte monetäre Schaden im Jahr 2020 auf 4,2 Milliarden US-Dollar, viermal so viel wie im Jahr 2015.
Adam: Es ist verrückt.
Liam: Ja, es ist verrückt. Was sind also die blinden Flecken, die in den Sicherheitssystemen von Unternehmen weit verbreitet sind?
Adam: Das ist eine gute Frage. Heutzutage gibt es mehr Daten in der Cloud zu enthüllen als je zuvor. Ich denke, was die Leute überraschen könnte, ist, dass so viel davon immer noch die gleichen alten Tricks sind, wie zum Beispiel Phishing-Angriffe. Wie ich bereits sagte, machen Phishing-Angriffe im Jahr 2021 immer noch 90 % der Datenschutzverletzungen aus. Die meisten Anbieter von Schulungen zur Sensibilisierung für Sicherheit bieten Module und Kurse darüber, wie man Phishing-E-Mails erkennt, was zu tun ist und was man nicht tun sollte, wenn man sie erhält. Und es ist eine gängige Kontrolle, die jedes Unternehmen, das SOC 2 durchläuft, über Schulungen zum Sicherheitsbewusstsein verfügen müsste. Wir verwenden ein großartiges Tool – Drata lässt sich darin integrieren – namens Curricula. Es ist ein Beispiel. Aber es ist ein großartiges Training, und sie führen diese simulierten Phishing-Angriffe durch. Also phishing wir absichtlich unsere eigenen Mitarbeiter nach dem Zufallsprinzip.
„Alles, was es braucht, ist eine E-Mail, ein Mitarbeiter“
Liam: Ich wette, sie lieben das.
Adam: Ich bin mir nicht einmal bewusst, ob es echt ist oder nicht, was Teil der Übung ist. Aber es ist eine Möglichkeit, diese Muskeln intern im Unternehmen kontinuierlich spielen zu lassen, denn wie bei allen Dingen ist es nie eins und fertig. Sie müssen nie nur mit den Fingern schnippen und sind sicher. Du musst üben. Wenn also jemand auf einen dieser Links und gefälschten E-Mails klickt, sagt es ihm sofort: „Hey, du wurdest gerade gephishing, komm schon, denk an dein Training“, aber es ist in diesem Moment immer noch wertvoll, oder?
Ich war überrascht. Wir hatten vor nicht allzu langer Zeit einen. Es sah aus wie eine E-Mail von Carta. Und es hieß im Grunde: „Herzlichen Glückwunsch zu Ihrer letzten Aktienoptionsgewährung. Es wurde gerade vom Vorstand genehmigt, unterschreiben Sie hier.“ Und ja, es zapft einfach direkt in dieses sofortige Befriedigungszentrum des Gehirns. Sie wären überrascht, wie viele Leute auf diesen Link klicken, ohne wirklich zu überprüfen, ob er legitim ist. Auf diese Weise geschehen wiederum 90 % dieser Verstöße. Alles, was es braucht, ist eine E-Mail, ein Mitarbeiter. Das geht zurück auf den ursprünglichen Punkt, es in Ihre Grundlage und Kultur einzubacken. Daher ist es wichtig, dass jeder im Unternehmen Verantwortung für die Sicherheit übernimmt. Es ist nicht die Aufgabe einer Person, es ist die Aufgabe aller.
Sicherheit als Startup skalieren
Liam: Ich weiß, dass wir viele Zuhörer von Startups haben, und ich wollte Sie fragen, welchen Rat Sie insbesondere Startups geben würden, um SOC 2-konform zu werden. Wer sollte den SOC 2-Prozess bei kleineren Startups managen?
Adam: Das ist eine gute Frage. Und eine, von der ich denke, dass sie einen besonderen Platz in unseren Herzen einnimmt, denn erstens sind wir selbst immer noch ein Startup, aber dieses Drata entstand aus unserem eigenen persönlichen Bedürfnis als Startup, das sich in unserem Fall an Universitäten verkauft. Also haben wir mit vielen Startups gesprochen. Der Rat, den wir geben, ist natürlich, warten Sie nicht. Wie ich schon sagte, fangen Sie bald an. Je früher Sie dies tun, desto schneller, billiger und einfacher zu warten. Nutzen Sie auf jeden Fall die Automatisierung. Sie sparen Hunderte von Engineering-Stunden, die Sie gerade als Startup für Produkte und andere Prioritäten aufwenden sollten.
„Wenn Ihr Unternehmen wächst, mehr Mitarbeiter, mehr Vermögenswerte, mehr zu verfolgen“
Und ich denke, der andere wäre, langfristig zu denken. Es ist sehr leicht, in die Falle zu tappen: „Okay, ich muss dieses Kästchen ankreuzen, oder dieser große Deal wird nicht abgeschlossen, und dieser große Deal ist bahnbrechend, existentiell für unser Startup.“ Es gibt einen Weg, es schnell zu tun, aber einen, der Sie langfristig aufstellen wird. Das ist keine Pass-Fail-Sache. Erinnere dich daran. Also ja, es ist ein Bericht, den Sie am Ende des Audits erhalten, und Sie möchten, dass es ein sauberer, guter Bericht ist. Wenn Sie jemandem diesen Bericht übergeben, möchten Sie, dass er Sie in ein gutes Licht rückt. Vieles davon könnte einfach verloren gehen, besonders als Startup, im Lärm und Druck, konform zu gehen oder diesen Deal abzuschließen.
Liam: Und was müssen Skalierungsunternehmen wissen? Ich nehme an, dass es ganz andere Herausforderungen geben kann.
Adam: Wenn Sie also bereits einen SOC 2-Bericht haben und Tabellenkalkulationen verwenden oder in Tabellenkalkulationen und Screenshots leben, spüren Sie bereits den Schmerz, wie nicht skalierbar das ist. Wenn Ihr Unternehmen wächst, mehr Mitarbeiter, mehr Vermögenswerte, mehr zu verfolgen. Die Automatisierung wird im Laufe der Zeit sogar wertvoller, da Sie mehr Assets im Rahmen Ihres Audits haben. Es gibt also noch mehr Gründe, die Automatisierung zu nutzen und eine kontinuierliche Überwachung einzurichten, damit Sie nicht rückwirkend und manuell Beweise sammeln müssen. Sie wissen in Echtzeit, wo sich Lücken bilden, wenn Mitarbeiter kommen und gehen, oder Sie bauen Assets automatisch auf oder ab. Also ja, es ist ein anderer, aber sehr ähnlicher Anwendungsfall.
„Das ist einzigartig, die Kontrollen kontinuierlich zu überwachen und dann in Echtzeit zu erkennen und zu warnen, wenn sich Lücken bilden.“
Liam: Ich würde gerne hören, wie Drata dabei hilft, den SOC 2-Prozess für Menschen zu vereinfachen und zu automatisieren.
Adam: Ja, absolut. Also haben wir es als End-to-End-Lösung entwickelt. Es kann Unternehmen von Grund auf neu führen, bis hin zur Prüfungsreife, der Prüfung selbst und dann einfach der kontinuierlichen Wartung, die mit der Automatisierung fortgeführt wird. Drata verbindet sich mit dem Tech-Stack seiner Kunden. Das Einzigartige ist, die Kontrollen kontinuierlich zu überwachen und dann in Echtzeit zu erkennen und zu warnen, wenn sich Lücken bilden. Und es wird automatisch Beweise für all diese Kontrollen sammeln, die dann über Frameworks wie SOC 2, ISO 27001, HIPAA und mehr vorab abgebildet werden. Wenn Sie also bei Null anfangen, können Sie das gemeinsame Kontroll-Framework in Drata sowie Vorlagen für Sicherheitsrichtlinien nutzen, um Ihre Grundlage sehr schnell einzurichten. Wir hatten Unternehmen mit weniger als 50 Mitarbeitern, die in nur wenigen Wochen buchstäblich von Grund auf auditfähig wurden. Das ist die Kraft der Automatisierung.
Darüber hinaus arbeitet Drata auch mit Wirtschaftsprüfungsgesellschaften zusammen, die dafür geschult sind, die Prüfung mithilfe von Drata auf sehr rationalisierte Weise durchzuführen. Das spart allen Zeit und führt zu günstigeren Audits. Es war eine besonders lohnende Reise. Es kommt von unseren eigenen persönlichen Bedürfnissen. Und dann unser Team, insbesondere unser Customer Success Team, das mit jedem unserer Kunden zusammenarbeitet. Wir haben ehemalige Auditoren, Sicherheitsexperten und Mitarbeiter, die unsere Kunden auf ihrem Weg begleiten. Es ist nicht nur alles Software, offensichtlich ist die Automatisierung der Schlüssel.
Die Zukunft der Datensicherheit
Liam: Kurz bevor wir zum Abschluss kommen, wie sieht die Zukunft der Datensicherheit aus? Wird es immer ein harter Kampf sein?
„Ich denke, Unternehmen werden beim Teilen transparenter sein, nicht nur diese SOC 2-Berichte, sondern buchstäblich Zwischenberichte in Echtzeit.“
Adam: Ich hole meine Kristallkugel raus. Mit immer mehr Daten in der Cloud wird die Datensicherheit mit der Zeit immer wichtiger. Ich denke, Sie werden sehen, dass Unternehmen dies früher tun, wie wir es bereits sehen, und häufiger nach Compliance- und Attestierungszertifizierungen gefragt werden. Und es wird vom ersten Tag an direkt in die Unternehmenskultur eingebrannt. Es gibt viele Berufe und Branchen, in denen zusätzliches Sicherheitstraining erforderlich ist und niemand mit der Wimper zuckt, weil es einfach verstanden wird. Hier gibt es sehr reale Risiken. Das Gleiche gilt für jedes Softwareunternehmen, das Daten in der Cloud hält.
Ich denke, wir werden eine kontinuierlichere Überwachung sehen, nur eine Inside-Out-Echtzeitansicht, und ich denke, Unternehmen werden transparenter sein, was das Teilen betrifft, nicht nur diese SOC 2-Berichte, sondern buchstäblich Zwischenberichte in echt -Zeit. Genauso wie wir mit unserem Verfügbarkeitsstatus prahlen – hier ist unser Sicherheitsstatus. Und natürlich glaube ich nicht, dass ich Mitbegründer und CEO von Drata wäre, wenn ich nicht glauben würde, dass die Automatisierung die Standardmethode für Unternehmen sein würde, um diese Haltung zur Einhaltung der Sicherheitsvorschriften aufrechtzuerhalten. Wir werden sehen.
Liam: Es ist offensichtlich eine wirklich aufregende Zeit für euch alle. Was kommt als nächstes? Haben Sie große Pläne oder Projekte auf dem Weg?
Adam: Ja, es ist erstaunlich, wie schnell das Jahr vergangen ist. Wir starteten offiziell am 15. Januar, also haben wir diesen Einhorn-Status sehr schnell erreicht. Aber wir sind immer noch ein Startup am Anfang. Unser Team wird sich 2022 verdreifachen. Wir stellen also abteilungsübergreifend ein. Wenn die Zuhörer an Automatisierung und Sicherheit interessiert sind, finden Sie unsere Kernwerte auf unserer Website. Und wenn sie bei Ihnen Anklang finden, würden wir uns freuen, wenn Sie einen Blick auf unsere Karriereseite werfen, und wir würden uns freuen, mit Ihnen in Kontakt zu treten
Liam: Brillant. Neues Jahr, neue Aufgabe. In dieser Serie geht es darum, zu erfahren, wie Unternehmen ihr Wachstum skalieren. Bevor wir zum Schluss kommen, würde ich gerne wissen, gab es ein Schlüsselereignis in Ihrer Karriere, das Ihnen geholfen hat, beruflich zu skalieren?
„Das ist eine andere Art von Rakete, richtig? Beide sind sehr intensiv“
Adam: Wir lernen jeden Tag so viel und es geht uns nur um kontinuierliche Iteration und Verbesserung. Also, früher Rat, es war einfach, mich mit Mentoren, Beratern und Leuten zu umgeben, die dort waren, von denen wir lernen konnten, und dafür offen zu sein. Nachdem das Space-Shuttle-Programm endete und ich Programmieren lernte und die erste Version von Portfolium erstellte, arbeitete ich hier in San Diego in einem Accelerator-Programm namens EvoNexus. Und das hat die Dinge wirklich auf Hochtouren gebracht. Es brachte diese Leute sofort um mich herum, und ich konnte von ihnen lernen. Es hat einfach wirklich geholfen, Teile in Position zu bringen, um sich auf alles vorzubereiten, was vor uns liegt. Ich glaube nicht, dass dich irgendetwas jemals darauf vorbereiten könnte, aber es hilft definitiv.
Liam: Was ist spannender und aufregender? Raketenwissenschaftler oder Firmenchef?
Adam: Es ist eine andere Art von Rakete, richtig? Beide sind sehr intensiv.
Liam: Und zu guter Letzt, wo können unsere Zuhörer hingehen, um mit dir und deiner Arbeit Schritt zu halten?
Adam: Ja, schau dir bitte unsere Seite drata.com an. Feel free to schedule a live demo with our team and see the product in action. We'd love to show it. On LinkedIn, it's easy to find and follow; just search Drata. And then, on Twitter, at @DrataHQ.
Liam: Perfect. And thank you so much for joining us today.
Adam: Thank you so much for having me.
