El CEO de Drata, Adam Markowitz, sobre la creación de una cultura de seguridad cibernética
Publicado: 2022-05-06A medida que más y más datos se almacenan en la nube, demostrar que puede proteger los datos de sus clientes no es solo algo agradable, es esencial.
Hay suficientes historias de violaciones de datos y ataques cibernéticos para congelar hasta el núcleo incluso al ingeniero de seguridad más inteligente. Los ataques cibernéticos han aumentado un 125 % con respecto al año anterior, y con las empresas cambiando a configuraciones remotas parciales o totales, no muestra signos de desaceleración. En la escena SaaS basada en datos de hoy, estos pueden afectar a cientos de millones de usuarios y causar daños de miles de millones de dólares, y a medida que los marcos de cumplimiento se convierten en requisitos para hacer negocios, las empresas recurren a servicios de terceros que pueden ayudar a acelerar y facilitar la proceso. Y ahí es donde entran personas como Adam Markowitz.
Adam es cofundador y director ejecutivo de Drata, una empresa que ayuda a las empresas a proteger los datos de sus clientes, monitorear continuamente su postura de seguridad y mantenerse automáticamente al día con SOC 2, ISO 27001 y otros programas de cumplimiento. A pesar de no tener ni dos años, Drata ya cerró una Serie B de $ 100 millones, impulsándola al estado de unicornio y convirtiéndola en una de las compañías más rápidas en lograr una valoración de $ 1 mil millones. Resulta que la seguridad cibernética y el cumplimiento están en demanda.
Adam, un ingeniero aeroespacial convertido en empresario, aprendió temprano que la mejor manera de ganarse la confianza era demostrando que se la merece. Después de trabajar en el motor principal del transbordador espacial de la NASA, pasó a desarrollar Portfolium, una plataforma de redes sociales que permite a los estudiantes y graduados mostrar habilidades más allá del currículum tradicional a posibles empleadores. Pero antes de que las universidades hicieran negocios con ellos, necesitaban garantías sobre su postura de seguridad. De repente, el equipo llegó a conocer demasiado bien los Informes SOC 2 y se dio cuenta de lo engorroso e inescalable que podía volverse, especialmente para las empresas emergentes de alto crecimiento. Portfolium finalmente se adquirió, pero el equipo detrás de él nunca dejó de pensar en una mejor manera de hacerlo. Menos de un año después, se lanzó Drata.
En este episodio, nos sentamos con Adam para aprender todo sobre el marco SOC 2, cómo crear una cultura de seguridad desde cero y cómo la automatización es clave para convertir un dolor de cabeza en una operación fluida.
Estas son algunas de nuestras conclusiones favoritas de la conversación:
1. Se está convirtiendo en lo mínimo
No puede hacer crecer su negocio si sus clientes no le confían sus datos confidenciales. Y por muy agradables que sean las garantías verbales y un apretón de manos, a medida que crezca e intente firmar con empresas más establecidas de nivel empresarial, se encontrará cada vez más obligado a proporcionar pruebas de cumplimiento antes de cerrar el trato:
El cambio a la nube, más y más violaciones de datos: realmente puso una lupa en el riesgo de terceros. Y eso impulsó mucho de lo que estamos viendo aquí, pasando de ser bueno tener a tener una necesidad. Si estoy a punto de hacer negocios con su empresa y su software va a acceder a los datos de mis clientes, es mi responsabilidad asegurarme de que tenga los controles adecuados para protegerlos.
2. Comience temprano
El análisis de incidentes de seguridad cibernética de Verizon encontró que el phishing estaba detrás del 90% de los ataques exitosos, lo que significa que 9 de cada 10 veces, son altamente prevenibles. Comience a capacitar a sus empleados sobre las prácticas de cumplimiento y cómo detectar estos correos electrónicos maliciosos desde el primer día: cuanto más rápido adopten una mentalidad de seguridad primero, más pronto se convertirá en parte de la cultura.
Estaba teniendo esta conversación el otro día, y puede que no sea la mejor analogía, pero hubo toda una generación que creció conduciendo autos sin cinturones de seguridad. Y luego, en los años 50, introdujeron esta cosa nueva y hubo resistencia. Pero hoy, habiendo crecido yo mismo desde el primer día, ni siquiera pienso en eso cuando me subo al auto. El cinturón de seguridad se pone y es como respirar.
3. No te saltes la automatización
La seguridad afecta a todas las funciones de su empresa: desde la incorporación y la baja hasta el cifrado de datos y la gestión de terminales. Según la experiencia de Adam, hay entre 100 y 200 controles para realizar un seguimiento de una auditoría SOC 2, por lo que si no está aprovechando la automatización, podría estar dedicando cientos de horas al año al cumplimiento:
Si no está utilizando la automatización, eso significa que los equipos de su empresa tienen la tarea de recopilar cada pieza de evidencia de forma continua, repetida y luego almacenarla para futuras auditorías. Y luego, si encuentran brechas en el camino, porque las brechas pueden formarse cualquier día del año, tienen que remediar. Son muchas personas que viven en hojas de cálculo, carpetas compartidas, capturas de pantalla.
¿Te llamó la atención? Hemos reunido una lista de artículos, videos y podcasts que puede consultar:
- Califique la preparación SOC 2 de su empresa
- Cumplimiento de SOC 2: una guía para principiantes
- El CTO de Evernote sobre sus mayores preocupaciones de seguridad de 3 a 300 empleados
- El incidente de LinkedIn
Esta es Scale, la serie de podcasts de Intercom sobre cómo impulsar el crecimiento empresarial a través de las relaciones con los clientes. Si disfrutas de la conversación y no quieres perderte episodios futuros, solo haz clic en Seguir en iTunes, Spotify o toma la fuente RSS en el reproductor que prefieras. También puede leer la transcripción completa de la entrevista, que se ha editado ligeramente para mayor claridad, a continuación.
Seguridad en piloto automático
Liam Geraghty: Adam, muchas gracias por acompañarnos. Eres muy bienvenido al espectáculo.
Adam Markowitz: Gracias por recibirme.
Liam: En primer lugar, las felicitaciones están en orden. Drata recientemente recaudó $ 100 millones en fondos de capital de riesgo, lo que creo que lo convierte en el último unicornio de inicio de San Diego con una evaluación de $ 1 mil millones. ¿Cómo se siente?
Adam: Gracias, todavía se siente un poco surrealista, principalmente debido a la rapidez con la que la compañía pasó de la semilla a la serie, todo en menos de 12 meses. Pero se siente genial y muy gratificante alcanzar el hito y hacerlo aquí en San Diego. Nuestra empresa anterior se fundó aquí en San Diego hace casi 10 años, y en ese entonces era un ecosistema tecnológico muy diferente. Así que verlo evolucionar y haber sido parte de él todo este tiempo es súper gratificante. Y también, Drata en sí nació justo en medio de la pandemia. Nos sentimos afortunados de estar en condiciones de iniciar la empresa cuando lo hicimos, y esa apreciación acaba de impulsar este año realmente sin precedentes.
“Sin período de rampa, sin período de conocerse, fue solo ir, ir, ir”
Liam: ¿Cómo fue eso?
Adam: Fue, de nuevo, simplemente estar en una posición en la que nos sentimos cómodos para hacerlo. Eso no se nos pasó por alto con lo que estaba pasando en el mundo. El primer día, éramos bastantes todos saliendo de esa empresa. Todos habíamos trabajado juntos durante tanto tiempo que era una especie de ventaja agradable e injusta. Sin período de rampa, sin período para conocerse, era solo ir, ir, ir.
Liam: ¿Qué hace Drata?
Adam: Drata ayuda a las empresas a poner la seguridad y el cumplimiento en piloto automático, como lo llamamos, al automatizar el monitoreo y la recopilación de evidencia de sus controles de seguridad. Optimización de auditorías como SOC 2, ISO 27001, HIPAA y otras. Permite a las empresas demostrar su postura de seguridad en tiempo real casi cualquier día del año, por lo que acelera sus ciclos de ventas y revisiones de seguridad. Por supuesto, también hace que las auditorías sean más rápidas y cuesten menos. Y luego, permite que las empresas estén más preparadas para la empresa.
Liam: Toda la zona es un espacio nuevo. ¿Cómo es estar navegando en este momento?
Adam: El espacio en sí es nuevo, pero se ha planteado la hipótesis durante algún tiempo. La promesa de cumplimiento continuo ha estado flotando durante años. Y así, cumplir esa promesa es súper emocionante. Y, por supuesto, desafiante, como debe ser. Personalmente, me encanta llegar temprano y aprovechar la oportunidad para poner el listón muy alto en el mercado. Y continuar impulsándolo más alto con el equipo.
De la ciencia espacial al cumplimiento
Liam: Sin embargo, no empezaste en seguridad. ¿Tengo razón al decir que eres un ex científico espacial?
Adán: Sí, es divertido. La maldición de ser llamado un científico espacial es que el listón se eleva de inmediato para cualquier cosa y todo lo que haces en la vida. El automóvil no arranca de inmediato, arréglelo: "no es ciencia espacial ni nada".
Liam: ¿Cómo fue eso? ¿Cómo hizo la transición a la tecnología de cumplimiento?
Adam: Comencé mi carrera como ingeniero en el Programa del Transbordador Espacial, específicamente en el equipo de MCC, el equipo de la Cámara de Combustión Principal. El último lanzamiento del transbordador fue hace más de una década, por lo que es posible que algunas personas no recuerden haber visto un lanzamiento del transbordador, pero si lo recuerdan, ven el cohete en la plataforma, tienen los dos propulsores de cohetes, y luego está este gigante. tanque naranja. Ese es el tanque de combustible que alimenta estos tres motores principales, y en eso trabajé al salir de la licenciatura. La mejor manera de describir cómo funciona un motor de cohete es simplemente una explosión controlada. Así que es un sueño/pesadilla de ingeniería, dependiendo de cómo se mire.
"Así es como conseguí ese trabajo trabajando en el Programa del transbordador espacial: llevé un portafolio a mis entrevistas de trabajo para ayudarme a destacar y demostrar mis habilidades más allá del GPA"
Liam: ¿Qué se siente cuando en realidad estás viendo el lanzamiento? ¿Estás tenso? ¿Estás un poco emocionado?
Adam: Una emoción tensa, esa es una buena manera de decirlo. Todo el mundo amaba lo que estábamos haciendo. Quería ser astronauta desde que era un niño pequeño y tener un astronauta real caminando por la oficina, agradeciendo a los ingenieros por ayudarlos a llegar a casa a salvo, especialmente porque tu primer trabajo al salir de la universidad es absolutamente increíble.
Liam: Como que te interrumpí allí, pero me estabas diciendo cómo hiciste esta transición.
“Para ayudar a los estudiantes a ganarse la confianza de los empleadores, primero tuvimos que demostrar nuestra postura de seguridad a las universidades”
Adam: La experiencia llegó a su fin en 2011 cuando se retiró el programa de transbordadores y di el salto de la industria aeroespacial a la empresarial. Me arriesgué, como dicen. Aprendí a codificar y construí un MVP al que llamé Portfolium, que era una red de ePortfolio similar a LinkedIn para estudiantes, y surgió la idea. Así es como conseguí ese trabajo trabajando en el Programa del transbordador espacial: llevé un portafolio a mis entrevistas de trabajo para ayudarme a destacar y demostrar mis habilidades más allá del GPA. Y entonces, quería hacer eso para los estudiantes de todo el mundo y ayudarlos a conseguir el trabajo de sus sueños basado solo en sus habilidades comprobadas. Soy un gran creyente en ganarse la confianza demostrando primero que la mereces. En este caso, fue evidencia de habilidades en estos ePortfolios, que contenían una gran cantidad de datos que podíamos usar para conectar a los estudiantes con los empleadores de una manera más significativa.
Hicimos crecer la empresa y la red de millones de estudiantes, y lo hicimos vendiendo un módulo de evaluación del aprendizaje en universidades universitarias. Y fue entonces cuando aprendimos rápidamente la importancia de demostrar nuestra postura de seguridad. Porque antes de que la universidad firmara con nosotros y proporcionara información confidencial de los estudiantes, necesitaban garantías de nuestra postura de seguridad. El estándar de oro para demostrarlo fue, y sigue siendo, un Informe SOC 2. Entonces, ves este tema aquí, ganando confianza con pruebas. Entonces, para ayudar a los estudiantes a ganarse la confianza de los empleadores, primero tuvimos que demostrar nuestra postura de seguridad a las universidades, y la evidencia fue el Informe SOC 2. Portfolium se adquirió en febrero de 2019, y nuestro equipo se reunió el año pasado en 2020 para construir Drata, para ayudar a las empresas a levantarse, mantener y demostrar su postura de cumplimiento de seguridad con un enfoque de automatización primero.
COS 2 101
Liam: Entonces, entremos en el cumplimiento de SOC 2, que sé que es un poco como decir "hablemos de impuestos" o "hablemos de facturación". Pero es tan importante. ¿Puede darnos una introducción a lo que realmente es el cumplimiento de SOC 2?
Adam: ¡Claro, feliz de hacerlo! Entonces, SOC 2 es un marco. Es creado y mantenido por el AICPA, que es el Instituto Estadounidense de Contadores Públicos Certificados. Entonces, los auditores de las firmas de CPA en realidad realizan auditorías SOC 2, y el resultado de cualquier auditoría SOC 2 es un Informe SOC 2. SOC 2 no es una certificación de aprobado o reprobado, lo cual es realmente importante y un concepto erróneo común. Ese informe SOC 2 es una certificación y es confiable porque proviene de este auditor externo certificado e independiente. Y básicamente, está probando el diseño y la eficacia operativa de los controles de seguridad de su empresa cuando se trata de proteger los datos de sus clientes. En otras palabras, el Informe SOC 2 es un informe que detalla qué tan bien su empresa protege los datos de sus clientes. Si vende software hoy, hay un 99,9 % de posibilidades de que esté almacenando o procesando datos en la nube. Y debido a eso, es solo cuestión de tiempo antes de que se le pida que proporcione un informe SOC 2 a sus clientes oa sus posibles clientes como parte de su proceso de revisión de seguridad.
“Si estoy a punto de hacer negocios con su empresa y su software va a acceder a los datos de mis clientes, es mi responsabilidad asegurarme de que tenga los controles adecuados para protegerlos”
Liam: ¿Y es el estándar para las empresas B2B?
Adam: En muchos sentidos, sí. Especialmente aquí en los EE. UU., en parte porque SOC 2 se aplica a cualquier empresa que almacene o procese datos en la nube, y esas son todas las empresas en estos días, absolutamente todas las empresas SaaS. Entonces, en muchos sentidos, ahora se ha convertido en el estándar de oro. Más aún como la barra mínima para demostrar su postura de seguridad. Fuimos testigos de esto de primera mano en la venta de Portfolium a universidades; en un período muy corto, esas solicitudes de nuestro Informe SOC 2 se convirtieron rápidamente en demandas de nuestro Informe SOC 2. Y luego, simplemente se incluyó en cada RFP que encontramos. El cambio a la nube, más y más violaciones de datos: realmente puso una lupa en el riesgo de terceros. Y eso impulsó mucho de lo que estamos viendo aquí, pasando de ser bueno tener a tener una necesidad.
Liam: ¿Por qué es tan importante para las empresas B2B cumplir con SOC 2 a medida que escalan? ¿Y les afecta atraer y retener clientes más grandes?
“Si no está aprovechando la automatización, por lo general, las empresas dedican cientos de horas al año al cumplimiento”
Adán: Sí, definitivamente. Si estoy a punto de hacer negocios con su empresa y su software va a acceder a los datos de mis clientes, es mi responsabilidad asegurarme de que tenga los controles adecuados para protegerlos. Si me das tu palabra, genial, pero el reportero de auditoría independiente realmente tendrá el peso necesario para asegurarme que tienes un programa de seguridad adecuado. Mis auditores querrán asegurarse de que obtuve esa garantía antes de proporcionarle cualquier dato. De lo contrario, no estoy siguiendo mi propio control.
Liam: He leído mucho sobre las dificultades de las empresas emergentes para cumplir con SOC 2. ¿Por qué fue eso, y eso ha cambiado?
Adán: Sí, absolutamente. Experimentamos esto de primera mano. Si no está aprovechando la automatización, por lo general, las empresas dedican cientos de horas al año al cumplimiento. Para ayudar a explicar por qué, el marco en sí se compone de cinco principios de servicio de confianza diferentes: seguridad, disponibilidad, confidencialidad, privacidad e integridad de procesamiento. La seguridad es, con diferencia, la mayor de las cinco y, técnicamente, la única necesaria para una auditoría y un informe. Pero cada uno de los cinco tiene sus propios criterios que su empresa debe cumplir o satisfacer mediante el diseño y luego la implementación de controles en toda la empresa. Muchas veces, cuando digo eso, la gente me pregunta qué quiero decir con control. Puede pensar en el control como una política, un proceso, una herramienta que implementa para ayudar a evitar que suceda algo malo o garantizar que suceda algo bueno. Así es como siempre lo defino. Y abarca todas las funciones de su empresa: cómo incorpora, capacita y da de baja a los empleados, cómo administra los puntos finales y encripta los datos de respaldo, cómo proporciona el acceso y se autentica en las aplicaciones, revisa el código... Y puedo seguir y seguir.
“Eso significa que los equipos de su empresa tienen la tarea de recopilar cada pieza de evidencia de forma continua, repetida y luego almacenarla para futuras auditorías”
Las empresas tienen entre 100 y 200 controles implementados antes de una auditoría SOC 2. Y luego, la auditoría en sí puede llevar mucho tiempo porque básicamente tiene que demostrarle al auditor que estos controles están ahí y, lo que es más importante, permanecen en su lugar durante un período de auditoría. No es algo para lo que podrías simplemente abarrotarte cada 11 meses, si estás en el período de 12 meses. Si no está utilizando la automatización, eso significa que los equipos de su empresa tienen la tarea de recopilar cada pieza de evidencia de forma continua, repetida y luego almacenarla para futuras auditorías. Y luego, si encuentran brechas en el camino, porque las brechas pueden formarse cualquier día del año, tienen que remediar. Y sí, mucha gente vive en hojas de cálculo, carpetas compartidas, capturas de pantalla. Claramente está muy maduro para la disrupción, y eso llegó en forma de automatización. Eso es realmente lo que ha cambiado. Drata trae esta primera solución de automatización para ahorrar a las empresas cientos de horas al año y luego les proporciona estos paneles de preparación en tiempo real, para que esté listo para la auditoría rápidamente y permanezca listo para la auditoría todos los días del año.
Liam: Eso es muy importante porque, como mencionaste antes, es una parte muy importante de la confianza entre una empresa y sus clientes.
Adán: Exacto. Y ese es el tema de la última compañía también. Podría confiar en la palabra de alguien, podría leer una viñeta en su currículum, pero queremos que ayude a las personas a demostrar sus habilidades. Y de manera similar, aquí, queremos que la gente pueda demostrar con evidencia, no solo durante las auditorías, sino cualquier día del año, cómo funcionan sus controles. Ese podría ser un informe interno para su propio equipo, para su junta, para su propia cordura, pero también externamente. Ahí es donde vemos que va el camino.
Hazlo temprano, hazlo a menudo
Liam: ¿Cómo pueden las empresas crear una cultura de ciberseguridad en su organización? Porque como todos sabemos, la seguridad ya no es solo algo agradable.
Adam: Creo que empoderar a los empleados individuales es clave. Si los empleados entienden lo importantes que son para proteger a su empresa, es algo de lo que podrían enorgullecerse, en lugar de sentirse simplemente como una cosa de marcar la casilla. Porque nada podría ser más cierto. Los ataques de phishing siguen siendo las causas más comunes de violaciones de datos en 2021. Es algo así como el 90 %: tuve que volver a leerlo solo para asegurarme de que no era un error tipográfico. Capacitar a sus empleados sobre cómo detectar estos correos electrónicos maliciosos y luego probarlos durante todo el año es un ejemplo de cómo puede capacitar a los empleados para que se apropien de su seguridad. Y la empresa va a tener una postura de seguridad más fuerte debido a ello. Así que creo que esa es la clave.
“Cuanto antes se establezcan los controles en su empresa, antes pasará a formar parte de la base”
Creo que quizás lo más importante es hacerlo temprano. Si lo hornea desde el primer día o lo más cerca posible del primer día, se convierte en una segunda naturaleza. No es algo nuevo y diferente más adelante cuando hay mucha más inercia o resistencia al cambio. Estaba teniendo esta conversación el otro día, y puede que no sea la mejor analogía, pero hubo toda una generación que creció conduciendo autos sin cinturones de seguridad. Y luego, en los años 50, introdujeron esta cosa nueva y hubo resistencia. Pero hoy, habiendo crecido yo mismo desde el primer día, ni siquiera pienso en eso cuando me subo al auto. El cinturón de seguridad se pone y es como respirar. Simplemente no pienso en eso. Por lo tanto, cuanto antes se implementen los controles en su empresa, antes se convertirá en parte de la base.
Liam: ¿Qué deben saber las personas si se le solicita a su empresa un Informe SOC 2?
Adam: Supongo que lo primero es saber que eso es algo bueno. Quienquiera que esté preguntando está considerando seriamente hacer negocios con su empresa y ahora necesita asegurarse de que está haciendo lo correcto para proteger sus datos. En segundo lugar, si esta es la primera vez que se le solicita un Informe SOC 2, no será la última, ni debería serlo. Si no tiene un Informe SOC 2, definitivamente es hora de comenzar. Y nuevamente, cuanto antes lo haga, más rápido será, más barato será y más fácil de mantener en el futuro. Todo eso, por supuesto, para decir aprovechar la automatización para hacerlo.
Liam: Y SOC 2 no es una certificación. ¿Tengo razón?
Adán: Correcto. Es una atestación.
Liam: Y hay dos tipos diferentes: Tipo 1 y 2. ¿Cuál es la diferencia?
Adam: Para hacerlo aún más confuso, hay algo como SOC 1 y luego SOC 2. Creo que estás preguntando sobre SOC 2 Tipo 1 versus SOC 2 Tipo 2, que es una gran pregunta y que los prospectos nos hacen todo el tiempo. . Ambos son iguales en términos del marco en sí. La diferencia es que la auditoría y el informe SOC 2 Tipo 1 analizan el diseño de sus controles en un momento muy específico. Como, ¿cumples hoy? Un SOC 2 Tipo 2 está analizando el diseño de sus controles, pero también está analizando la efectividad operativa de esos controles durante algún tiempo, generalmente 12 meses.
Solo en base a eso, podría imaginar que el SOC 2 Tipo 2 es definitivamente una barra más alta. Lleva más tiempo; suele ser más caro; simplemente se hace durante un período de tiempo. Podría hacer un Tipo 1 en su camino hacia el Tipo 2. Vemos que los clientes hacen esto cuando necesitan un informe lo antes posible, y el Tipo 1 es definitivamente mejor que no tener ningún informe. Y no está perdiendo tiempo ni trabajo porque, de nuevo, son el mismo marco. Básicamente, está implementando todos sus controles haciendo la auditoría Tipo 1 y, al mismo tiempo, comenzando su período de cuatro a 12 meses para el Tipo 2. De hecho, algunas de las firmas de auditoría con las que nos asociamos incluso agrupan sus precios para a Tipo 1 y Tipo 2, y eso lo hace más rentable en ese escenario específico. Pero nuevamente, puede ir directamente al Tipo 2, ya que ese es el estándar de oro.
“Es un gran entrenamiento, y hacen estos ataques de phishing simulados. Así que deliberadamente hacemos phishing a nuestros propios empleados al azar”.
Liam: Según Statista, el daño monetario causado por los delitos cibernéticos denunciados fue de 4200 millones de dólares en 2020, cuatro veces más que en 2015.
Adán: Es una locura.
Liam: Sí, es una locura. Entonces, ¿cuáles son los puntos ciegos que proliferan en los sistemas de seguridad corporativos?
Adán: Es una buena pregunta. Hay más datos en la nube para exponer hoy que nunca. Creo que lo que podría sorprender a la gente es que gran parte siguen siendo los mismos viejos trucos, como los ataques de phishing. Como dije, los ataques de phishing siguen siendo el 90 % de las filtraciones de datos en 2021. La mayoría de los proveedores de capacitación en concientización sobre seguridad tienen módulos y cursos sobre cómo detectar correos electrónicos de phishing, qué hacer y qué no hacer cuando los recibe. Y es un control común que cualquier empresa que esté pasando por SOC 2 debería tener, capacitación en concientización sobre seguridad. Usamos una gran herramienta, Drata se integra con ella, llamada Curricula. Es un ejemplo. Pero es un gran entrenamiento, y hacen estos ataques de phishing simulados. Así que deliberadamente hacemos phishing a nuestros propios empleados al azar.
“Todo lo que se necesita es un correo electrónico, un empleado”
Liam: Apuesto a que les encanta eso.
Adam: Ni siquiera sé si es real o no, lo cual es parte del ejercicio. Pero es una forma de flexionar continuamente ese músculo internamente en la empresa porque, como todas las cosas, nunca es una y se termina. Nunca chasqueas los dedos y estás seguro. Usted tiene que practicar. Entonces, si alguien hiciera clic en uno de estos enlaces y correos electrónicos falsos, inmediatamente les dice: "Oye, acabas de ser phishing, vamos, recuerda tu entrenamiento", pero todavía es valioso en ese momento, ¿verdad?
me ha sorprendido Tuvimos uno no hace mucho. Parecía un correo electrónico procedente de Carta. Y básicamente decía: “Felicitaciones por su última concesión de opciones sobre acciones. Acaba de ser aprobado por la junta, firme aquí”. Y sí, simplemente aprovecha ese centro de gratificación instantánea del cerebro. Te sorprendería saber cuántas personas harán clic en ese enlace sin verificar realmente que sea legítimo. Así es como, de nuevo, se está produciendo el 90% de estas infracciones. Todo lo que se necesita es un correo electrónico, un empleado. Eso se remonta al punto original de hornearlo en su base y cultura. Así de importante es que todos en la empresa se apropien de la seguridad. No es trabajo de nadie, es trabajo de todos.
Escalando la seguridad como una startup
Liam: Sé que tenemos muchos oyentes de empresas emergentes, e iba a preguntarle qué consejo le daría a las empresas emergentes en particular sobre cómo cumplir con SOC 2. ¿Quién debe gestionar el proceso SOC 2 en las empresas emergentes más pequeñas?
Adán: Es una buena pregunta. Y uno que creo que tiene un lugar especial en nuestros corazones porque, uno, todavía somos una empresa nueva, pero este Drata surgió de nuestra propia necesidad personal como una empresa nueva que vende en universidades, en nuestro caso. Así que hablamos con muchas startups. El consejo que damos es, por supuesto, no espere. Como dije antes, comience pronto. Cuanto antes lo haga, más rápido, más barato y más fácil de mantener. Definitivamente aprovechar la automatización. Ahorrarás cientos de horas de ingeniería que, especialmente como startup, deberías gastar en productos y otras prioridades.
“A medida que su empresa crece, más empleados, más activos, más para rastrear”
Y supongo que la otra sería pensar a largo plazo. Es muy fácil caer en la trampa de: "Está bien, tengo que marcar esta casilla, o este gran negocio no se va a cerrar, y este gran negocio cambiará las reglas del juego, será existencial para nuestra startup". Hay una manera de hacerlo rápidamente, pero una que lo preparará a largo plazo. Esto no es una cosa de pasa-falla. Recuérdalo. Así que sí, es un informe que obtiene al final de la auditoría y desea que sea un informe limpio y bueno. Cuando le entregas ese informe a alguien, quieres que te brinde una buena imagen. Mucho de eso podría perderse, especialmente como una startup, en el ruido y la presión para cumplir o cerrar este trato.
Liam: ¿Y qué necesitan saber las empresas de escalado? Supongo que puede haber desafíos bastante diferentes.
Adam: Entonces, si ya tiene un informe SOC 2 y está usando hojas de cálculo o viviendo en hojas de cálculo y capturas de pantalla, ya está sintiendo el dolor de lo inescalable que es. A medida que su empresa crece, más empleados, más activos, más para rastrear. La automatización en realidad se vuelve más valiosa con el tiempo a medida que tiene más activos dentro del alcance de su auditoría. Por lo tanto, hay aún más razones para aprovechar la automatización y poner en marcha un monitoreo continuo para que no esté recolectando evidencia de forma retroactiva y manual. Sabe en tiempo real dónde se están formando brechas a medida que los empleados van y vienen, o aumenta o reduce los activos automáticamente. Así que sí, es un caso de uso diferente, pero muy similar.
“Esto es lo que es único, monitorear continuamente los controles y luego identificar y alertar cuando se forman brechas en tiempo real”
Liam: Me encantaría saber cómo Drata ayuda a simplificar y automatizar el proceso SOC 2 para las personas.
Adán: Sí, absolutamente. Por lo tanto, lo construimos como una solución de extremo a extremo. Puede llevar a las empresas desde cero, hasta que estén listas para la auditoría, la auditoría en sí misma y luego solo el mantenimiento continuo que avanza con la automatización. Drata se conecta a la pila tecnológica de su cliente. Esto es lo que es único, monitorear continuamente los controles y luego identificar y alertar cuando se forman brechas en tiempo real. Y recopilará automáticamente evidencia de todos estos controles que luego se mapean previamente en marcos como SOC 2, ISO 27001, HIPAA y más. Entonces, si está comenzando desde cero, puede aprovechar el marco de control común dentro de Drata, así como las plantillas de políticas de seguridad para configurar su base muy rápidamente. Hemos tenido empresas con menos de 50 empleados que, literalmente, pasaron de cero a estar listas para la auditoría en cuestión de semanas. Ese es el poder de la automatización.
Luego, Drata también se asocia con firmas de auditoría capacitadas para realizar la auditoría utilizando Drata de una manera muy simplificada. Eso les ahorra tiempo a todos y da como resultado auditorías de menor costo. Ha sido un viaje especialmente gratificante. Es algo que viene de nuestras propias necesidades personales. Y luego nuestro equipo, especialmente nuestro equipo de éxito del cliente, que trabaja con cada uno de nuestros clientes. Contamos con ex auditores, profesionales de seguridad, en el personal para ayudar a guiar a nuestros clientes a través del viaje. No es solo todo el software, obviamente, la automatización es clave.
El futuro de la seguridad de los datos
Liam: Justo antes de terminar, ¿cuál es el futuro de la seguridad de los datos? ¿Siempre va a ser una lucha cuesta arriba?
"Creo que las empresas van a ser más transparentes a la hora de compartir, no solo estos informes SOC 2, sino literalmente informes intermedios en tiempo real".
Adam: Voy a sacar mi bola de cristal. Con más y más datos en la nube, la seguridad de los datos solo se volverá más importante con el tiempo. Creo que verá que las empresas lo hacen antes, como ya estamos viendo, se les pedirá certificaciones de cumplimiento y atestación con más frecuencia. Y se integrará directamente en la cultura de la empresa desde el primer día. Hay muchas profesiones e industrias en las que se requiere capacitación adicional en seguridad y nadie se inmuta porque simplemente se entiende. Hay riesgos muy reales aquí. Y lo mismo puede decirse de cualquier empresa de software que tenga datos en la nube.
Creo que veremos un monitoreo más continuo, solo una vista en tiempo real de adentro hacia afuera, y creo que las empresas serán más transparentes al compartir, no solo estos informes SOC 2, sino literalmente informes intermedios en tiempo real. -tiempo. De la misma manera que nos jactamos de nuestro estado de tiempo de actividad, este es el estado de nuestra postura de seguridad. Y luego, por supuesto, no creo que sería cofundador y director ejecutivo de Drata si no pensara que la automatización sería el método estándar para que las empresas mantengan esa postura de cumplimiento de seguridad. Así que ya veremos.
Liam: Obviamente es un momento muy emocionante para todos ustedes. ¿Que sigue? ¿Tienes grandes planes o proyectos en camino?
Adam: Sí, es increíble lo rápido que pasó el año. Lanzamos oficialmente el 15 de enero, por lo que alcanzamos ese estado de unicornio muy rápidamente. Pero todavía somos en gran medida una startup que comienza. Nuestro equipo se triplicará en tamaño en 2022. Por lo tanto, estamos contratando en todos los ámbitos, en todos los departamentos. Si la gente que escucha está interesada en la automatización y la seguridad, nuestros valores fundamentales están en nuestro sitio web. Y si resuenan con usted, nos encantaría que echara un vistazo a nuestra página de carreras y nos encantaría conectarnos con usted.
Liam: Brillante. Año nuevo, trabajo nuevo. Esta serie se trata de escuchar cómo las empresas escalan su crecimiento. Antes de terminar, me encantaría saber, ¿hubo un evento clave en su carrera que lo ayudó a escalar profesionalmente?
“Es un tipo diferente de cohete, ¿verdad? Ambos son muy intensos”
Adam: Aprendemos mucho todos los días, y solo nos preocupamos por la iteración y la mejora continuas. Entonces, un consejo inicial fue simplemente rodearme de mentores, asesores, personas que han estado allí de las que podemos aprender y estar abiertos a eso. Después de que terminó el programa del transbordador espacial y estaba aprendiendo a codificar y construyendo la primera versión de Portfolium, estaba trabajando en un programa acelerador aquí en San Diego llamado EvoNexus. Y eso realmente puso las cosas a toda marcha. Puso a esas personas a mi alrededor de inmediato, y pude aprender de ellos. Realmente ayudó a poner las piezas en su lugar para prepararse para todo lo que estaba por venir. No creo que nada pueda prepararte, pero definitivamente ayuda.
Liam: ¿Qué es más tenso y emocionante? ¿Científico espacial o dirigiendo una empresa?
Adam: Es un tipo diferente de cohete, ¿verdad? Ambos son muy intensos.
Liam: Y por último, ¿dónde pueden ir nuestros oyentes para mantenerse al día con usted y su trabajo?
Adam: Sí, visita nuestro sitio drata.com. Feel free to schedule a live demo with our team and see the product in action. We'd love to show it. On LinkedIn, it's easy to find and follow; just search Drata. And then, on Twitter, at @DrataHQ.
Liam: Perfect. And thank you so much for joining us today.
Adam: Thank you so much for having me.
