DrataのCEOであるAdamMarkowitzが、サイバーセキュリティの文化の創造に取り組んでいます
公開: 2022-05-06クラウドに保存されるデータが増えるにつれ、顧客のデータを保護できることを証明することは、単に便利なだけでなく、不可欠です。
最も精通したセキュリティエンジニアでさえもコアに冷やすのに十分なデータ侵害とサイバー攻撃の話があります。 サイバー攻撃は前年比125%増加しており、企業が部分的または完全にリモート設定に移行しているため、減速の兆候は見られません。 今日のデータ駆動型SaaSシーンでは、これらは数億人のユーザーに影響を及ぼし、数十億ドルの損害を引き起こす可能性があります。コンプライアンスフレームワークがビジネスを行うための要件になるにつれて、企業は、迅速化と促進に役立つサードパーティのサービスに目を向けています。処理する。 そして、そこにアダム・マルコウィッツのような人々がやって来ます。
Adamは、企業が顧客のデータを保護し、セキュリティ体制を継続的に監視し、SOC 2、ISO 27001、およびその他のコンプライアンスプログラムに自動的に対応するのを支援する会社であるDrataの共同創設者兼CEOです。 Drataは2歳ではありませんが、すでに1億ドルのシリーズBを閉鎖し、ユニコーンの地位を確立し、10億ドルの評価を達成する最速の企業の1つにしています。 サイバーセキュリティとコンプライアンスが求められていることがわかりました。
航空宇宙エンジニアが起業家に転向したアダムは、信頼を得るための最善の方法は、あなたがそれに値することを証明することであると早くから学びました。 NASAのスペースシャトルメインエンジンに取り組んだ後、彼は、学生と卒業生が従来の履歴書を超えたスキルを潜在的な雇用者に紹介できるソーシャルネットワーキングプラットフォームであるPortfoliumの開発に進みました。 しかし、大学が彼らと取引をする前に、彼らは彼らの安全姿勢についての保証を必要としていました。 突然、チームはSOC 2レポートをよく知るようになり、特に高成長の新興企業にとって、それがどれほど負担が大きく、拡張性がなくなる可能性があるかを理解しました。 Portfoliumは最終的に買収されましたが、その背後にあるチームはそれを行うためのより良い方法を考えるのをやめませんでした。 1年も経たないうちに、Drataが発売されました。
このエピソードでは、Adamと話し合い、SOC 2フレームワーク、セキュリティの文化をゼロから作成する方法、および頭痛をスムーズな運用に変えるための自動化の鍵について学びました。
会話からの私たちのお気に入りのポイントのいくつかを次に示します。
1.最低限になりつつある
顧客が機密データであなたを信頼していなければ、ビジネスを成長させることはできません。 そして、口頭での保証と握手が素晴らしいのと同じように、成長し、より確立されたエンタープライズレベルの企業と署名しようとすると、取引を成立させる前にコンプライアンスの証拠を提供しなければならないことに気付くでしょう。
クラウドへの移行、ますます多くのデータ侵害–それは実際にサードパーティのリスクに拡大鏡を置きます。 そして、それは私たちがここで見ているものの多くを駆り立てました。 私があなたの会社と取引をしようとしていて、あなたのソフトウェアが私の顧客のデータにアクセスしようとしている場合、あなたがそれを保護するための適切な管理を確実に行うのは私の責任です。
2.早めに始めましょう
ベライゾンのサイバーセキュリティインシデントの分析では、フィッシングは成功した攻撃の90%の背後にあることがわかりました。つまり、10回のうち9回は、非常に予防可能です。 コンプライアンスの実践と、これらの悪意のある電子メールを最初から見つける方法について従業員のトレーニングを開始します。セキュリティファーストの考え方を採用するのが早ければ早いほど、それは文化の一部になります。
私は先日この会話をしていました、そしてそれは最高の例えではないかもしれません、しかしシートベルトのない車で運転して育った世代全体がいました。 そして、50年代にこの新しいものを紹介し、抵抗がありました。 でも今日は、初日から成長してきたので、車に乗ったときは考えもしません。 シートベルトが続き、呼吸のようです。
3.自動化をスキップしないでください
セキュリティは、オンボーディングやオフボーディングからデータの暗号化やエンドポイントの管理まで、会社全体のすべての機能に影響を与えます。 Adamの経験から、SOC 2監査への参加を追跡するための100から200のコントロールがあるため、自動化を活用していない場合、コンプライアンスに年間数百時間を費やす可能性があります。
自動化を使用していない場合、それは、会社全体のチームがすべての証拠を継続的に繰り返し収集し、将来の監査のために保存するという任務を負っていることを意味します。 そして、途中でギャップが見つかった場合、ギャップは1年中いつでも発生する可能性があるため、修正する必要があります。 スプレッドシート、共有フォルダ、スクリーンショットに住んでいる人はたくさんいます。
興味を持った? チェックアウトできる記事、ビデオ、ポッドキャストのリストを集めました。
- あなたの会社のSOC2準備をスコアリングする
- SOC 2コンプライアンス:初心者向けガイド
- 従業員3〜300人の最大のセキュリティ問題に関するEvernoteのCTO
- LinkedInインシデント
これは、顧客関係を通じてビジネスの成長を促進するインターコムのポッドキャストシリーズであるScaleです。 会話を楽しんでいて、将来のエピソードを見逃したくない場合は、iTunes、Spotifyでフォローを押すか、選択したプレーヤーでRSSフィードを取得してください。 わかりやすくするために少し編集されたインタビューの完全なトランスクリプトを以下で読むこともできます。
自動操縦のセキュリティ
Liam Geraghty:アダム、ご参加いただきありがとうございます。 ショーへようこそ。
Adam Markowitz:ありがとうございます。
リアム:まず、おめでとうございます。 Drataは最近、1億ドルのベンチャーキャピタル資金を調達しました。これは、サンディエゴの最新のスタートアップユニコーンであり、評価額は10億ドルであると私は信じています。 それはどのように感じますか?
アダム:ありがとうございます。主に、会社がシードからシリーズに移行するまでの時間が12か月未満であったため、少しシュールな感じがします。 しかし、マイルストーンを達成し、ここサンディエゴでそれを行うことは、素晴らしく、非常にやりがいのあることです。 私たちの前の会社は、ほぼ10年前にここサンディエゴで設立されましたが、当時は非常に異なるテクノロジーエコシステムでした。 ですから、それが進化するのを見て、この間ずっとその一部であったことは非常にやりがいがあります。 また、ドラタ自体はパンデミックの真っ只中に生まれました。 私たちが会社を始めたとき、私たちは幸運にも会社を始めることができたと感じました、そしてその感謝はちょうどこの本当に前例のない年を煽っています。
「ランプ期間はなく、お互いの期間を知ることもできません。それはただ行って、行って、行ってください」
リアム:どうだった?
アダム:繰り返しになりますが、それは私たちが快適に行える位置にいるだけでした。 それは世界で起こっていたことで私たちに失われませんでした。 初日、私たち全員がその会社から離れていました。 私たちは皆、長い間一緒に働いていたので、それは一種の素晴らしい、不公平な利点でした。 ランプ期間はなく、お互いの期間を知ることもできません。それはただ行って、行って、行ってください。
リアム:ドラタは何をするの?
Adam: Drataは、セキュリティ制御の監視と証拠収集を自動化することにより、企業が自動操縦にセキュリティとコンプライアンスを適用するのを支援しています。 SOC 2、ISO 27001、HIPAAなどの監査を合理化します。 これにより、企業は1年中ほぼいつでもリアルタイムのセキュリティ体制を証明できるため、販売サイクルとセキュリティレビューが加速されます。 もちろん、監査がより速く、より低コストになります。 そして、それは企業がより企業に対応できるようにします。
リアム:エリア全体が新しいスペースです。 その瞬間にそれをナビゲートするのはどのようなものですか?
アダム:スペース自体は新しいですが、それはしばらくの間仮説が立てられていたものです。 継続的なコンプライアンスの約束は、何年にもわたって浮かんできました。 したがって、その約束を果たすことは非常にエキサイティングです。 そしてもちろん、やりがいのあることです。 私は個人的に早い段階で、市場で非常に高い水準を設定する機会を利用するのが大好きです。 そして、チームとともにそれをさらに押し上げ続けるだけです。
ロケット科学からコンプライアンスへ
リアム:しかし、あなたはセキュリティから始めたわけではありません。 あなたは元ロケット科学者だと言っているのは正しいですか?
アダム:うん、面白いね。 ロケット科学者と呼ばれることの呪いは、あなたが人生で行うすべてのことのためにバーがすぐに引き上げられることです。 車はすぐには始動しません。修正してください。「ロケット科学などではありません。」
リアム:どうだった? どのようにしてコンプライアンス技術に移行しましたか?
アダム:私はスペースシャトルプログラムのエンジニアとして、特にMCCチーム、メイン燃焼室チームでキャリアをスタートさせました。 前回のシャトルの打ち上げは10年以上前だったので、シャトルの打ち上げを見たことを覚えていない人もいるかもしれませんが、そうすると、パッドにロケットがあり、2つのロケットブースターがあり、この巨人がいますオレンジ色のタンク。 それがこれらの3つのメインエンジンに供給する燃料タンクであり、それが私が学部生から出てくるために取り組んだものです。 ロケットエンジンがどのように機能するかを説明する最良の方法は、制御爆破です。 ですから、それはあなたがそれをどのように見るかに応じて、エンジニアリングの夢/悪夢です。
「スペースシャトルプログラムに取り組んでいるその仕事を上陸させた方法です。私は、GPAだけでなく、自分のスキルを際立たせ、証明するのに役立つポートフォリオを就職の面接に取り入れました。」
リアム:実際に打ち上げを見ているとどう感じますか? 緊張していますか? ちょっとワクワクしますか?
アダム:緊張した興奮、それはそれを置くための良い方法です。 誰もが私たちがやっていることを愛していました。 私は幼い頃から宇宙飛行士になりたいと思っていました。実際の宇宙飛行士がオフィスを歩き回って、エンジニアが安全に家に帰るのを手伝ってくれたことに感謝します。特に、学部生からの最初の仕事は本当に素晴らしいです。
リアム:そこであなたを邪魔したのですが、あなたはどのようにしてこの移行を行ったのか教えてくれました。
「学生が雇用主の信頼を得るのを助けるために、私たちは最初に私たちの安全姿勢を大学に証明しなければなりませんでした」
アダム:シャトルプログラムが引退した2011年に経験は終わり、私は航空宇宙から起業家精神へと飛躍しました。 彼らが言うように、私は思い切った。 私は、学生向けのLinkedInのようなePortfolioネットワークであるPortfoliumと呼んでいるMVPのコーディングと構築を学び、そのアイデアが生まれました。 スペースシャトルプログラムに取り組んでいるその仕事を実際に上陸させた方法です。私は、GPAだけでなく自分のスキルを際立たせ、証明するのに役立つポートフォリオを就職の面接に取り入れました。 それで、私は世界中の学生のためにそれを行い、彼らが証明されたスキルだけに基づいて彼らの夢の仕事を着陸させるのを手伝いたいと思いました。 私はあなたがそれに値することを最初に証明することによって信頼を得ることに大きな信念を持っています。 この場合、それはこれらのeポートフォリオのスキルの証拠であり、より有意義な方法で学生と雇用主を照合するために使用できるデータが豊富でした。
私たちは会社と数百万人の学生のネットワークを成長させ、大学に学習評価モジュールを販売することでそれを実現しました。 そして、そのとき私たちはセキュリティ体制を証明することの重要性をすぐに学びました。 大学が私たちと署名して機密性の高い学生情報を提供する前に、彼らは私たちのセキュリティ体制の保証を必要としていました。 それがSOC2レポートであり、現在もそうであることを証明するためのゴールドスタンダード。 だから、あなたはここでこのテーマを見て、証拠で信頼を得ています。 そのため、学生が雇用主の信頼を得るのを助けるために、私たちは最初に大学に対して私たちの安全姿勢を証明しなければなりませんでした、そしてその証拠はSOC2レポートでした。 Portfoliumは2019年2月に買収され、私たちのチームは昨年2020年に戻ってDrataを構築し、自動化優先のアプローチで企業が立ち上がってセキュリティコンプライアンスの姿勢を維持および証明できるように支援しました。
SOC 2 101
リアム:では、SOC 2コンプライアンスについて説明しましょう。これは、「税金について話しましょう」または「請求について話しましょう」と言っているようなものです。 しかし、それはとても重要です。 SOC2コンプライアンスとは何かを紹介していただけますか。
アダム:もちろん、嬉しいです! したがって、SOC2はフレームワークです。 これは、米国公認会計士協会であるAICPAによって作成および保守されています。 したがって、公認会計士事務所の監査人は実際にSOC 2監査を実施し、SOC2監査の結果はSOC2レポートになります。 SOC 2は合否認定ではありません。これは非常に重要であり、よくある誤解です。 そのSOC2レポートは、証明であり、この認定された独立したサードパーティの監査人からのものであるため、信頼できるものです。 そして基本的には、顧客のデータを保護することに関して、会社のセキュリティ管理の設計と運用の有効性をテストしています。 つまり、SOC 2レポートは、会社が顧客のデータをどの程度保護しているかを詳細に示すレポートです。 今日ソフトウェアを販売している場合、99.9%の確率でクラウドにデータを保存または処理しています。 そのため、セキュリティレビュープロセスの一環として、顧客または見込み顧客にSOC2レポートを提供するように求められるのは時間の問題です。
「私があなたの会社と取引をしようとしていて、あなたのソフトウェアが私の顧客のデータにアクセスしようとしている場合、それを保護するための適切な管理を確実に行うのは私の責任です。」
リアム:それはB2B企業の標準ですか?
アダム:多くの点でそうです。 特にここ米国では、SOC 2がクラウドにデータを保存または処理するすべての企業に適用され、最近ではすべての企業、絶対にすべてのSaaS企業に適用されるためです。 ですから、多くの点で、それは今やゴールドスタンダードになっています。 あなたのセキュリティ姿勢を証明するための最小のバーのようにさらにそうです。 私たちは、Portfoliumが大学に販売しているのを直接目撃しました。 非常に短い期間で、SOC2レポートに対するこれらの要求はすぐにSOC2レポートに対する要求に変わりました。 そして、それは私たちが遭遇したすべてのRFPに組み込まれました。 クラウドへの移行、ますます多くのデータ侵害–それは実際にサードパーティのリスクに拡大鏡を置きます。 そして、それは私たちがここで見ているものの多くを駆り立てました。
リアム: B2B企業が規模を拡大するときにSOC 2に準拠することがなぜそれほど重要なのですか? そして、それは彼らがより大きな顧客を引き付け、維持することに影響を及ぼしますか?
「自動化を活用していない場合、通常、企業はコンプライアンスに年間数百時間を費やしています」
アダム:ええ、もちろんです。 私があなたの会社と取引をしようとしていて、あなたのソフトウェアが私の顧客のデータにアクセスしようとしている場合、あなたがそれを保護するための適切な管理を確実に行うのは私の責任です。 あなたが私にあなたの言葉を言うならば、それは素晴らしいです、しかし独立した監査レポーターはあなたが適切なセキュリティプログラムを持っていることを私に保証するために必要な重みを実際に担います。 私の監査人は、データを提供する前に、私がその保証を得たことを確認したいと思うでしょう。 そうでなければ、私は自分のコントロールに従っていません。
リアム:スタートアップがSOC2に準拠することの難しさについてたくさん読んだ。 それはなぜでしたか、そしてそれは変わりましたか?
アダム:ええ、もちろんです。 これを直接体験しました。 自動化を活用していない場合、通常、企業はコンプライアンスに年間数百時間を費やしています。 理由を説明するために、フレームワーク自体は、セキュリティ、可用性、機密性、プライバシー、および処理の整合性という5つの異なる信頼サービスの原則で構成されています。 セキュリティは、5つのうちで群を抜いて最大であり、技術的には監査とレポートに必要な唯一のセキュリティです。 ただし、5つのそれぞれには、会社全体で制御を設計して実装することにより、会社が満たす必要がある、または満たす必要がある独自の基準があります。 多くの場合、私がそれを言うとき、人々は私がコントロールとは何を意味するのかを尋ねます。 制御は、悪いことが起こらないようにするため、または良いことが起こるようにするために配置するポリシー、プロセス、ツールと考えることができます。 それが私がいつもそれを定義する方法です。 また、従業員のオンボード、トレーニング、オフボードの方法、エンドポイントの管理方法とバックアップデータの暗号化方法、アプリへのアクセスと認証のプロビジョニング方法、コードのレビュー方法など、会社全体のすべての機能にまたがっています。
「つまり、会社全体のチームは、すべての証拠を継続的に繰り返し収集し、将来の監査のために保存するという任務を負っています。」
企業は、SOC2監査を実施するために100から200の統制を実施しています。 そして、基本的にこれらの統制が存在することを監査人に証明する必要があるため、監査自体に長い時間がかかる可能性があります。最も重要なことは、監査期間中、これらの統制が維持されていることです。 あなたが12ヶ月の期間にいるなら、それはあなたが11ヶ月ごとに一種の詰め込みをすることができるものではありません。 自動化を使用していない場合、それは、会社全体のチームがすべての証拠を継続的に繰り返し収集し、将来の監査のために保存するという任務を負っていることを意味します。 そして、途中でギャップが見つかった場合、ギャップは1年中いつでも発生する可能性があるため、修正する必要があります。 そして、ええ、スプレッドシート、共有フォルダ、スクリーンショットに住んでいる多くの人々。 それは明らかに混乱に対して非常に熟しており、それは自動化の形でもたらされました。 それが本当に変わったことです。 Drataは、この自動化ファーストのソリューションを提供して、企業に年間数百時間を節約し、これらのリアルタイムの準備ダッシュボードを提供します。これにより、監査の準備を迅速に行い、年間の毎日の監査の準備を維持できます。
リアム:それはとても重要です。なぜなら、あなたが先に述べたように、それは会社とその顧客の間の信頼の非常に重要な部分だからです。
アダム:その通りです。 そして、それは前の会社全体のテーマでもあります。 誰かの言葉を借りて、履歴書の箇条書きを読むこともできますが、それが人々のスキルを証明するのに役立つことを願っています。 同様に、ここでは、監査中だけでなく、1年中いつでも、コントロールがどのように機能しているかを証拠で証明できるようにしたいと考えています。 それは、彼ら自身のチーム、彼らの取締役会、彼ら自身の正気のための内部報告かもしれませんが、それから外部的にも同様です。 それが私たちが進む道を見るところです。
早くやる、頻繁にやる
リアム:企業はどのようにして組織内にサイバーセキュリティの文化を構築することができますか? なぜなら、私たち全員が知っているように、セキュリティはもはや単なる便利なものではないからです。
アダム:個々の従業員に力を与えることが重要だと思います。 従業員が自分の会社を保護する上でどれほど重要であるかを理解していれば、それは単なるチェックボックスのようなものではなく、誇りに思うことができるものです。 何も真実ではないからです。 フィッシング攻撃は、2021年のデータ侵害の最も一般的な原因です。90%のようなものです。タイプミスではないことを確認するために、フィッシング攻撃を読み直さなければなりませんでした。 これらの悪意のある電子メールを見つける方法について従業員をトレーニングし、年間を通じてテストすることは、従業員がセキュリティの所有権を取得できるようにする方法の一例です。 そして、そのおかげで会社はより強力なセキュリティ体制を持つことになります。 それが鍵だと思います。
「以前の統制があなたの会社に導入されればされるほど、それはより早く財団の一部になります」
多分最も重要なのはそれを早くすることだと思います。 初日から、またはできるだけ初日に近づけて焼くと、第二の性質になります。 変更に対する慣性や抵抗がはるかに多い場合、それは新しいものではなく、後で異なるものではありません。 先日この会話をしていましたが、それは最高の例えではないかもしれませんが、シートベルトのない車で運転して育った世代全体がいました。 そして50年代に、彼らはこの新しいものを導入し、抵抗がありました。 でも今日は、初日から成長してきたので、車に乗ったときは考えもしません。 シートベルトが続き、呼吸のようです。 私はそれについて考えていません。 したがって、以前の管理が会社に導入されるほど、それはより早く基盤の一部になります。
リアム:あなたのビジネスがSOC 2レポートを求められた場合、人々は何を知る必要がありますか?
アダム:まず最初に、それが良いことだと知っていると思います。 誰が質問しても、あなたの会社との取引を真剣に検討しており、データを保護するためにあなたが正しいことをしていることを確認する必要があります。 第二に、SOC 2レポートを求められるのがこれが初めての場合、それが最後ではなく、またそうすべきではありません。 SOC 2レポートをお持ちでない場合は、間違いなく開始する時期です。 繰り返しになりますが、実行が早ければ早いほど、高速になり、安価になり、今後の維持が容易になります。 もちろん、そのすべては、自動化を活用してそれを行うと言うことです。
リアム:そしてSOC2は認証ではありません。 私は正しいですか?
アダム:そうですね。 それは証明です。
リアム:タイプ1とタイプ2の2つのタイプがあります。違いは何ですか?
アダム:さらに混乱させるために、SOC1とSOC2のようなものがあります。SOC2タイプ1とSOC2タイプ2について質問していると思います。これは素晴らしい質問であり、見込み客から常に質問があります。 。 フレームワーク自体に関しては、どちらも同じです。 違いは、SOC 2タイプ1の監査とレポートが、非常に特定の時点でのコントロールの設計を調べていることです。 今日は準拠していますか? SOC 2 Type 2は、コントロールの設計を検討していますが、一定期間(通常は12か月)にわたるこれらのコントロールの運用効率も検討しています。
それに基づいて、SOC 2Type2は間違いなくより高い基準であると想像できます。 時間がかかります。 通常はもっと高価です。 それはある期間にわたって行われただけです。 タイプ2に向かう途中でタイプ1を実行できます。お客様ができるだけ早くレポートが必要なときにこれを実行していることがわかります。タイプ1は、レポートがまったくない場合よりも間違いなく優れています。 また、同じフレームワークであるため、時間や作業を失うことはありません。 基本的に、すべてのコントロールを実装してタイプ1監査を実行すると同時に、タイプ2の4〜12か月の期間を開始します。実際、提携している監査会社の中には、タイプ1とタイプ2であり、特定のシナリオでの費用対効果が高くなります。 しかし、繰り返しになりますが、タイプ2はゴールドスタンダードであるため、そのまま直進できます。
「これは素晴らしいトレーニングであり、彼らはこれらのシミュレートされたフィッシング攻撃を行います。 そのため、意図的に自分の従業員をランダムにフィッシングします。」
リアム: Statistaによると、報告されたサイバー犯罪によって引き起こされた金銭的損害は、2020年には42億ドルで、2015年の4倍でした。
アダム:それはクレイジーです。
リアム:うん、クレイジーだ。 では、企業のセキュリティシステムで蔓延している死角は何でしょうか。
アダム:いい質問ですね。 クラウドには、これまで以上に多くのデータが今日公開されています。 人々を驚かせるかもしれないのは、それの多くがフィッシング攻撃などの同じ古いトリックであるということだと思います。 私が言ったように、フィッシング攻撃は2021年のデータ侵害の90%です。そこにあるほとんどの安全な意識向上トレーニングプロバイダーは、フィッシングメールを見つける方法、何をすべきか、そしてそれらを受け取ったときに何をすべきでないかについてのモジュールとコースを持っています。 また、SOC 2を通過する企業は、セキュリティ意識向上トレーニングを実施する必要があるというのが一般的なコントロールです。 Drataはカリキュラムと呼ばれる優れたツールを使用しています。 それは一例です。 しかし、それは素晴らしいトレーニングであり、彼らはこれらのシミュレートされたフィッシング攻撃を行います。 そのため、意図的に自分の従業員をランダムにフィッシングします。
「必要なのは、1通のメールと1人の従業員だけです」
リアム:きっと彼らはそれを愛しているでしょう。
アダム:それが本物かどうかさえわかりません。それは演習の一部です。 しかし、それは社内でその筋肉を継続的に曲げる方法です。なぜなら、すべてのものと同様に、それは決して1つではなく、実行されるからです。 指をパチンと鳴らすだけで安全です。 あなたは練習しなければなりません。 したがって、誰かがこれらのリンクの1つをクリックして偽の電子メールを送信すると、すぐに「フィッシング詐欺を受けたばかりです。さあ、トレーニングを覚えておいてください」と通知されますが、それでもその時点では価値がありますね。
びっくりしました。 少し前に持っていました。 カルタからのメールのようでした。 そして、基本的には、「最新のストックオプション付与おめでとうございます。 理事会によって承認されたばかりです。ここに署名してください。」 そして、ええ、それはちょうど脳のその瞬間の満足の中心を利用します。 正当なものかどうかを実際に確認せずに、そのリンクをクリックする人の数に驚かれることでしょう。 このようにして、これらの違反の90%が発生しています。 必要なのは、1通のメールと1人の従業員だけです。 それはあなたの基盤と文化にそれを焼き付けることについての元のポイントに戻ります。 これは、会社の全員がセキュリティの所有権を取得することがいかに重要であるかです。 それは一人の仕事ではなく、みんなの仕事です。
スタートアップとしてのセキュリティのスケーリング
Liam:スタートアップからのリスナーがたくさんいることは知っています。特に、SOC 2に準拠するために、スタートアップにどのようなアドバイスをするかをお聞きします。 小規模なスタートアップでSOC2プロセスを管理するのは誰ですか?
アダム:いい質問ですね。 そして、私たち自身がまだスタートアップであるため、私たちの心の中で特別な位置を占めていると思いますが、このDrataは、私たちの場合、大学に売り込むスタートアップとしての私たち自身の個人的なニーズから生まれました。 それで私たちはたくさんのスタートアップと話をしました。 もちろん、私たちが提供するアドバイスは待ってはいけません。 前に言ったように、すぐに始めてください。 早い段階で行うほど、より速く、より安く、より簡単に保守できます。 間違いなく自動化を活用します。 何百ものエンジニアリング時間を節約できます。特にスタートアップとしては、製品やその他の優先事項に費やす必要があります。
「あなたの会社が成長するにつれて、より多くの従業員、より多くの資産、より多くの追跡が必要になります」
そしてもう一つは長期的に考えることだと思います。 「さて、このチェックボックスをオンにする必要があります。そうしないと、この大したことは終わらないでしょう。この大したことは、私たちのスタートアップにとって画期的で存在感のあるものです。」という罠に巻き込まれるのは非常に簡単です。 それをすばやく行う方法はありますが、それは長期的にあなたをセットアップすることになるでしょう。 これは合否ではありません。 それを覚えておいてください。 そうですね、監査の最後に取得するレポートであり、クリーンで優れたレポートにする必要があります。 あなたがその報告を誰かに渡すとき、あなたはそれがあなたを良い光に照らしてくれることを望みます。 その多くは、特にスタートアップとして、コンプライアンスを取得したり、この取引を成立させたりするという騒ぎとプレッシャーの中で失われる可能性があります。
リアム:そして、スケーリング会社は何を知る必要がありますか? まったく異なる課題が存在する可能性があると思います。
Adam:つまり、すでにSOC 2レポートを持っていて、スプレッドシートを使用している場合、またはスプレッドシートとスクリーンショットを使用している場合は、それがいかに拡張性がないかという苦痛をすでに感じています。 あなたの会社が成長するにつれて、より多くの従業員、より多くの資産、より多くの追跡が必要になります。 監査の範囲内により多くの資産があるため、自動化は実際には時間の経過とともにより価値が高くなります。 そのため、自動化を活用し、継続的な監視を実施して、遡及的かつ手動で証拠を収集しないようにする理由はさらに多くあります。 従業員が行き来するときにギャップが形成されている場所をリアルタイムで知っているか、資産を自動的にスピンアップまたはスピンダウンします。 そうですね、それは異なりますが、非常によく似たユースケースです。
「これは、コントロールを継続的に監視し、ギャップがリアルタイムで形成されたときに識別して警告するというユニークな点です」
リアム: Drataが人々のSOC2プロセスを簡素化および自動化するのにどのように役立つかを聞きたいです。
アダム:ええ、もちろんです。 そこで、エンドツーエンドのソリューションとして構築しました。 企業は、監査の準備、監査自体、そして自動化による継続的なメンテナンスに至るまで、ゼロから行うことができます。 Drataは、顧客の技術スタックに接続します。 これは、コントロールを継続的に監視し、ギャップがリアルタイムで形成されたときに識別して警告するというユニークな点です。 また、これらすべてのコントロールの証拠を自動的に収集し、SOC 2、ISO 27001、HIPAAなどのフレームワーク間で事前にマッピングします。 したがって、ゼロから始める場合は、Drata内の共通の制御フレームワークとセキュリティポリシーテンプレートを活用して、基盤を非常に迅速にセットアップできます。 従業員が50人未満の企業は、ほんの数週間で文字通りゼロから監査に対応できるようになりました。 それが自動化の力です。
次に、Drataは、非常に合理化された方法でDrataを使用して監査を実施するように訓練された監査会社とも提携しています。 これにより、全員の時間が節約され、監査の価格が低くなります。 それは特にやりがいのある旅でした。 それは私たち自身の個人的なニーズから来るものです。 そして、私たちのチーム、特にすべてのお客様と協力するカスタマーサクセスチーム。 私たちは元監査人、セキュリティの専門家、スタッフを抱えており、お客様の旅のガイドをお手伝いします。 すべてのソフトウェアだけではありません。明らかに、自動化が重要です。
データセキュリティの未来
リアム:まとめる直前に、データセキュリティの未来は何ですか? それは常に困難な闘いになるのでしょうか?
「企業は、これらのSOC 2レポートだけでなく、文字通りリアルタイムのレポート間での共有について、より透明性が高くなると思います」
アダム:水晶玉を出すつもりです。 クラウド内のデータが増えるにつれ、データセキュリティは時間とともにますます重要になります。 すでに見ているように、企業がそれをより早く行うのを目にすることになると思います。コンプライアンスと認証の認証をより頻繁に求められます。 そして、それは初日から企業文化に焼き付けられるだけです。 追加のセキュリティトレーニングが必要であり、理解されているだけなので誰も目をつぶらないような多くの職業や業界があります。 ここには非常に現実的なリスクがあります。 また、クラウドにデータを保持しているソフトウェア会社についても同じことが言えます。
より継続的な監視、裏返しのリアルタイムビューが見られると思います。また、企業は、これらのSOC 2レポートだけでなく、文字通り実際の中間レポートの共有について、より透明性が高くなると思います。 -時間。 稼働時間のステータスについて自慢しているのと同じように、これがセキュリティポスチャのステータスです。 そしてもちろん、自動化がセキュリティコンプライアンスの姿勢を維持する企業の標準的な方法になるとは思わなかったとしたら、私はDrataの共同創設者兼CEOになるとは思いません。 だから私たちは見るでしょう。
リアム:それは明らかに皆さんにとって本当にエキサイティングな時間です。 次は何ですか? 途中で大きな計画やプロジェクトはありますか?
アダム:ええ、1年がどれほど速く過ぎたかは驚くべきことです。 1月15日に正式にローンチしたので、すぐにそのユニコーンのステータスに到達しました。 しかし、私たちはまだ非常にスタートアップを始めています。 私たちのチームは2022年に3倍の規模になる予定です。そのため、すべての部門で全面的に採用しています。 耳を傾けている人々が自動化とセキュリティに興味を持っているなら、私たちのコアバリューは私たちのウェブサイトにあります。 そして、彼らがあなたに共感するなら、私たちはあなたが私たちのキャリアページを見てくれることを望んでいます、そして私たちはあなたとつながることを望んでいます
リアム:素晴らしい。 新しい年、新しい仕事。 このシリーズは、企業がどのように成長を拡大するかを聞くことに関するものです。 終了する前に、知りたいのですが、あなたのキャリアの中で、プロとしての規模を拡大するのに役立つ重要なイベントはありましたか?
「それは別の種類のロケットですよね? どちらも非常に激しいです」
アダム:私たちは毎日たくさんのことを学びます、そして私たちはただ継続的な反復と改善についてです。 ですから、初期のアドバイスは、私たちが学ぶことができるメンター、アドバイザー、そこにいた人々に囲まれ、それを受け入れることでした。 スペースシャトルプログラムが終了し、Portfoliumの最初のバージョンのコーディングと構築を学んでいた後、私はここサンディエゴでEvoNexusと呼ばれる加速器プログラムで働いていました。 そして、それは本当に物事をオーバードライブに追いやった。 それはすぐにそれらの人々を私の周りに置き、私は彼らから学ぶことができました。 それは、すべてを先に進めるための準備を整えるのに本当に役立ちました。 何もあなたを準備することはできないと思いますが、それは間違いなく役に立ちます。
リアム:もっと緊張してエキサイティングなものは何ですか? ロケット科学者ですか、それとも会社を経営していますか?
アダム:それは別の種類のロケットですよね? どちらも非常に激しいです。
リアム:そして最後に、リスナーはあなたとあなたの仕事についていくためにどこに行くことができますか?
アダム:ええ、私たちのサイトdrata.comをチェックしてください。 私たちのチームと一緒にライブデモをスケジュールして、製品の動作を確認してください。 見せたいです。 On LinkedIn, it's easy to find and follow; just search Drata. And then, on Twitter, at @DrataHQ.
Liam: Perfect. And thank you so much for joining us today.
Adam: Thank you so much for having me.
