CEO Drata Adam Markowitz tentang menciptakan budaya keamanan siber
Diterbitkan: 2022-05-06Karena semakin banyak data yang disimpan di cloud, membuktikan bahwa Anda dapat melindungi data pelanggan Anda bukan hanya hal yang menyenangkan – ini penting.
Ada cukup banyak cerita tentang pembobolan data dan serangan dunia maya untuk membuat para insinyur keamanan yang paling cerdas sekalipun kewalahan. Serangan dunia maya telah naik 125% dari tahun sebelumnya, dan dengan perusahaan yang beralih ke pengaturan jarak jauh sebagian atau sepenuhnya, tidak ada tanda-tanda melambat. Dalam adegan SaaS berbasis data saat ini, ini dapat memengaruhi ratusan juta pengguna dan menyebabkan kerusakan dalam miliaran dolar, dan karena kerangka kepatuhan menjadi persyaratan untuk melakukan bisnis, bisnis beralih ke layanan pihak ketiga yang dapat membantu mempercepat dan memfasilitasi proses. Dan di situlah orang-orang seperti Adam Markowitz masuk.
Adam adalah salah satu pendiri dan CEO Drata, sebuah perusahaan yang membantu bisnis melindungi data pelanggan mereka, terus memantau postur keamanan mereka, dan secara otomatis mengikuti SOC 2, ISO 27001, dan program kepatuhan lainnya. Meski belum genap berusia dua tahun, Drata telah menutup Seri B senilai $100 juta, mendorongnya ke status unicorn dan menjadikannya salah satu perusahaan tercepat yang mencapai valuasi $1 miliar. Keamanan dan kepatuhan siber, ternyata, sangat dibutuhkan.
Seorang insinyur kedirgantaraan yang menjadi pengusaha, Adam belajar sejak dini bahwa cara terbaik untuk mendapatkan kepercayaan adalah membuktikan bahwa Anda pantas mendapatkannya. Setelah bekerja di Mesin Utama Pesawat Ulang-alik NASA, ia melanjutkan untuk mengembangkan Portofolium, sebuah platform jejaring sosial yang memungkinkan mahasiswa dan lulusan untuk menunjukkan keterampilan di luar resume tradisional kepada calon pemberi kerja. Tetapi sebelum universitas melakukan bisnis dengan mereka, mereka membutuhkan jaminan pada postur keamanan mereka. Tiba-tiba, tim mengetahui Laporan SOC 2 dengan sangat baik dan menyadari betapa berat dan tidak terukurnya hal itu, terutama untuk perusahaan rintisan dengan pertumbuhan tinggi. Portofolium akhirnya diperoleh, tetapi tim di belakangnya tidak pernah berhenti memikirkan cara yang lebih baik untuk melakukannya. Kurang dari setahun kemudian, Drata diluncurkan.
Dalam episode ini, kami duduk bersama Adam untuk mempelajari segala sesuatu tentang kerangka SOC 2, cara membuat budaya keamanan dari awal, dan bagaimana otomatisasi adalah kunci untuk mengubah sakit kepala menjadi operasi yang lancar.
Berikut adalah beberapa takeaways favorit kami dari percakapan:
1. Ini menjadi minimal
Anda tidak dapat mengembangkan bisnis Anda jika pelanggan Anda tidak mempercayai Anda dengan data sensitif mereka. Dan sebaik jaminan verbal dan jabat tangan, saat Anda tumbuh dan mencoba menandatangani kontrak dengan perusahaan tingkat perusahaan yang lebih mapan, Anda akan semakin harus memberikan bukti kepatuhan sebelum menutup kesepakatan:
Pergeseran ke cloud, semakin banyak pelanggaran data – ini benar-benar menempatkan kaca pembesar pada risiko pihak ketiga. Dan itu mendorong banyak dari apa yang kita lihat di sini, berubah dari hal yang menyenangkan untuk dimiliki menjadi kebutuhan untuk dimiliki. Jika saya akan melakukan bisnis dengan perusahaan Anda dan perangkat lunak Anda akan mengakses data pelanggan saya, saya bertanggung jawab untuk memastikan Anda memiliki kontrol yang tepat untuk melindunginya.
2. Mulai lebih awal
Analisis Verizon terhadap insiden keamanan siber menemukan bahwa phishing berada di balik 90% serangan yang berhasil, yang berarti bahwa 9 dari 10, serangan tersebut sangat dapat dicegah. Mulai latih karyawan Anda tentang praktik kepatuhan dan cara mengenali email berbahaya ini sejak hari pertama – semakin cepat mereka mengadopsi pola pikir yang mengutamakan keamanan, semakin cepat itu menjadi bagian dari budaya.
Saya melakukan percakapan ini beberapa hari yang lalu, dan itu mungkin bukan analogi terbaik, tetapi ada seluruh generasi yang tumbuh dengan mengendarai mobil tanpa sabuk pengaman. Dan kemudian, di tahun 50-an, mereka memperkenalkan hal baru ini, dan ada perlawanan. Tetapi hari ini, setelah tumbuh dewasa sejak hari pertama, saya bahkan tidak memikirkannya ketika saya masuk ke dalam mobil. Sabuk pengaman menyala dan itu seperti bernafas.
3. Jangan lewatkan otomatisasi
Keamanan memengaruhi setiap fungsi di seluruh perusahaan Anda: mulai dari orientasi dan offboarding hingga mengenkripsi data dan mengelola titik akhir. Dari pengalaman Adam, ada antara 100 hingga 200 kontrol untuk melacak audit SOC 2, jadi jika Anda tidak memanfaatkan otomatisasi, Anda bisa menghabiskan ratusan jam setahun untuk kepatuhan:
Jika Anda tidak menggunakan otomatisasi, itu berarti tim di seluruh perusahaan Anda ditugaskan untuk mengumpulkan setiap bukti secara terus-menerus, berulang kali, dan kemudian menyimpannya untuk audit di masa mendatang. Dan kemudian, jika mereka menemukan celah di sepanjang jalan, karena celah bisa terbentuk setiap hari sepanjang tahun, mereka harus memperbaikinya. Banyak orang yang tinggal di spreadsheet, folder bersama, tangkapan layar.
Menarik minat Anda? Kami telah mengumpulkan daftar artikel, video, dan podcast yang dapat Anda lihat:
- Skor Kesiapan SOC 2 Perusahaan Anda
- Kepatuhan SOC 2: Panduan Pemula
- CTO Evernote tentang Kekhawatiran Keamanan Terbesar Anda Dari 3 hingga 300 Karyawan
- Insiden LinkedIn
Ini adalah Scale, seri podcast Intercom tentang mendorong pertumbuhan bisnis melalui hubungan pelanggan. Jika Anda menikmati percakapan dan tidak ingin ketinggalan episode mendatang, cukup tekan ikuti di iTunes, Spotify, atau ambil umpan RSS di pemutar pilihan Anda. Anda juga dapat membaca transkrip lengkap wawancara, yang telah diedit secara ringan untuk kejelasan, di bawah ini.
Keamanan pada pilot otomatis
Liam Geraghty: Adam, terima kasih banyak telah bergabung dengan kami. Anda dipersilakan datang ke pertunjukan.
Adam Markowitz: Terima kasih telah menerima saya.
Liam: Pertama, selamat sudah beres. Drata baru-baru ini mengumpulkan $ 100 juta dalam pendanaan modal ventura, yang saya yakini menjadikannya unicorn startup terbaru San Diego dengan evaluasi $ 1 miliar. Bagaimana rasanya?
Adam: Terima kasih, rasanya masih agak tidak nyata, terutama karena seberapa cepat perusahaan beralih dari awal ke seri, semuanya dalam rentang waktu kurang dari 12 bulan. Tapi rasanya luar biasa dan sangat bermanfaat untuk mencapai tonggak sejarah dan melakukannya di sini di San Diego. Perusahaan kami sebelumnya didirikan di sini di San Diego hampir 10 tahun yang lalu, dan saat itu merupakan ekosistem teknologi yang sangat berbeda. Jadi melihatnya berevolusi dan menjadi bagian darinya selama ini sangat bermanfaat. Dan juga, Drata sendiri lahir tepat di tengah pandemi. Kami merasa beruntung bahkan berada dalam posisi untuk memulai perusahaan ketika kami melakukannya, dan apresiasi itu baru saja memicu tahun yang benar-benar belum pernah terjadi sebelumnya ini.
“Tidak ada periode jalan, tidak ada periode saling mengenal – itu hanya pergi, pergi, pergi”
Liam: Seperti apa itu?
Adam: Sekali lagi, hanya berada dalam posisi di mana kami merasa nyaman untuk melakukannya. Itu tidak hilang pada kita dengan apa yang terjadi di dunia. Pada hari pertama, ada beberapa dari kita semua yang keluar dari perusahaan itu. Kami semua telah bekerja bersama begitu lama sehingga itu semacam keuntungan yang bagus dan tidak adil. Tidak ada periode jalan, tidak ada periode saling mengenal – itu hanya pergi, pergi, pergi.
Liam: Apa yang Drata lakukan?
Adam: Drata membantu perusahaan menempatkan keamanan dan kepatuhan pada autopilot, sebagaimana kami menyebutnya, dengan mengotomatiskan pemantauan dan pengumpulan bukti dari kontrol keamanan mereka. Menyederhanakan audit seperti SOC 2, ISO 27001, HIPAA, dan lainnya. Hal ini memungkinkan perusahaan untuk membuktikan postur keamanan real-time mereka hampir setiap hari sepanjang tahun, sehingga mempercepat siklus penjualan dan tinjauan keamanan mereka. Tentu saja, ini juga membuat audit berjalan lebih cepat dan biaya lebih murah. Dan kemudian, ini memungkinkan perusahaan menjadi lebih siap untuk perusahaan.
Liam: Seluruh area adalah ruang baru. Bagaimana rasanya menavigasi saat ini?
Adam: Ruang itu sendiri baru, tapi itu adalah salah satu yang telah dihipotesiskan selama beberapa waktu. Janji kepatuhan berkelanjutan telah beredar selama bertahun-tahun. Jadi, memenuhi janji itu sangat mengasyikkan. Dan, tentu saja, menantang – sebagaimana mestinya. Saya pribadi suka menjadi lebih awal dan menggunakan kesempatan untuk menetapkan standar yang sangat tinggi di pasar. Dan terus mendorongnya lebih tinggi dengan tim.
Dari ilmu roket hingga kepatuhan
Liam: Anda tidak memulai dengan keamanan. Apakah saya benar mengatakan bahwa Anda adalah mantan ilmuwan roket?
Adam: Ya, itu lucu. Kutukan disebut ilmuwan roket adalah bahwa standar segera dinaikkan untuk apa pun dan semua yang Anda lakukan dalam hidup. Mobil tidak akan langsung menyala, perbaiki – “ini bukan ilmu roket atau apa pun.”
Liam: Seperti apa itu? Bagaimana Anda melakukan transisi ke teknologi kepatuhan?
Adam: Saya memulai karir saya sebagai insinyur di Program Pesawat Ulang-alik, khususnya di tim MCC, tim Kamar Pembakaran Utama. Peluncuran pesawat ulang-alik terakhir lebih dari satu dekade yang lalu, jadi beberapa orang di luar sana mungkin tidak ingat pernah melihat peluncuran pesawat ulang-alik, tetapi jika Anda melakukannya, Anda melihat roket di landasan, Anda memiliki dua pendorong roket, dan kemudian ada raksasa ini tangki oranye. Itu adalah tangki bahan bakar yang memberi makan tiga mesin utama ini, dan itulah yang saya kerjakan setelah lulus dari sarjana. Cara terbaik untuk menggambarkan cara kerja mesin roket hanyalah ledakan terkendali. Jadi ini adalah mimpi / mimpi buruk teknik, tergantung bagaimana Anda melihatnya.
“Begitulah cara saya mendapatkan pekerjaan itu dengan bekerja di Program Pesawat Ulang-alik – saya membawa portofolio ke dalam wawancara kerja saya untuk membantu saya menonjol dan membuktikan keterampilan saya lebih dari sekadar IPK”
Liam: Bagaimana rasanya ketika Anda benar-benar menonton peluncurannya? Apakah Anda tegang? Apakah Anda agak bersemangat?
Adam: Kegembiraan yang menegangkan, itu cara yang baik untuk mengatakannya. Semua orang menyukai apa yang kami lakukan. Saya ingin menjadi astronot sejak saya masih kecil dan memiliki astronot langsung yang berjalan melalui kantor, berterima kasih kepada para insinyur karena membantu mereka pulang dengan selamat, terutama karena pekerjaan pertama Anda setelah lulus, benar-benar luar biasa.
Liam: Saya agak mengganggu Anda di sana, tetapi Anda memberi tahu saya bagaimana Anda membuat transisi ini.
“Untuk membantu siswa mendapatkan kepercayaan dari pemberi kerja, pertama-tama kami harus membuktikan postur keamanan kami ke universitas”
Adam: Pengalaman itu berakhir pada 2011 ketika program pesawat ulang-alik dihentikan, dan saya melompat dari luar angkasa ke kewirausahaan. Saya mengambil risiko, seperti yang mereka katakan. Saya belajar membuat kode dan membuat MVP yang saya sebut Portofolium, yang merupakan jaringan ePortfolio mirip LinkedIn untuk siswa, dan ide itu muncul. Begitulah cara saya mendapatkan pekerjaan di Program Pesawat Ulang-alik – saya membawa portofolio ke dalam wawancara kerja untuk membantu saya menonjol dan membuktikan keterampilan saya lebih dari sekadar IPK. Jadi, saya ingin melakukannya untuk siswa di mana pun dan membantu mereka mendapatkan pekerjaan impian hanya berdasarkan keterampilan mereka yang telah terbukti. Saya sangat percaya dalam mendapatkan kepercayaan dengan terlebih dahulu membuktikan bahwa Anda pantas mendapatkannya. Dalam hal ini, ini adalah bukti keterampilan dalam ePortofolio ini, yang kaya dengan data yang dapat kami gunakan untuk mencocokkan siswa dengan pemberi kerja dengan cara yang lebih bermakna.
Kami mengembangkan perusahaan dan jaringan jutaan siswa, dan kami melakukannya dengan menjual modul penilaian pembelajaran ke universitas perguruan tinggi. Dan saat itulah kami dengan cepat mempelajari pentingnya membuktikan postur keamanan kami. Karena sebelum universitas mau menandatangani kontrak dengan kami dan memberikan informasi sensitif mahasiswa, mereka membutuhkan jaminan keamanan kami. Standar emas untuk membuktikan itu, dan masih, Laporan SOC 2. Jadi, Anda seperti melihat tema ini di sini, mendapatkan kepercayaan dengan bukti. Jadi, untuk membantu siswa mendapatkan kepercayaan dari pemberi kerja, pertama-tama kami harus membuktikan postur keamanan kami ke universitas, dan buktinya adalah Laporan SOC 2. Portofolium diperoleh pada bulan Februari 2019, dan tim kami kembali bersama tahun lalu pada tahun 2020 untuk membangun Drata, untuk membantu perusahaan berdiri dan mempertahankan serta membuktikan postur kepatuhan keamanan mereka dengan pendekatan yang mengutamakan otomatisasi.
SOC 2 101
Liam: Jadi, mari kita masuk ke kepatuhan SOC 2, yang saya tahu sedikit seperti mengatakan "mari kita bicara tentang pajak", atau "mari kita bicara tentang faktur". Tapi itu sangat penting. Bisakah Anda memberi kami pengantar tentang apa sebenarnya kepatuhan SOC 2 itu?
Adam: Tentu, senang! Jadi, SOC 2 adalah kerangka kerja. Ini dibuat dan dikelola oleh AICPA, yang merupakan American Institute of Certified Public Accountants. Jadi, auditor dari perusahaan CPA benar-benar melakukan audit SOC 2, dan hasil audit SOC 2 adalah Laporan SOC 2. SOC 2 bukanlah sertifikasi lulus-gagal, yang sangat penting dan kesalahpahaman umum. Laporan SOC 2 itu, adalah pengesahan, dan ini tepercaya karena berasal dari auditor pihak ketiga yang bersertifikat dan independen ini. Dan pada dasarnya, ini menguji desain dan efektivitas operasi kontrol keamanan perusahaan Anda dalam hal melindungi data pelanggan Anda. Dengan kata lain, Laporan SOC 2 adalah laporan yang merinci seberapa baik perusahaan Anda melindungi data pelanggannya. Jika Anda menjual perangkat lunak hari ini, ada kemungkinan 99,9% Anda menyimpan atau memproses data di Cloud. Dan karena itu, hanya masalah waktu sebelum Anda diminta untuk memberikan Laporan SOC 2 kepada pelanggan Anda, atau kepada calon pelanggan Anda sebagai bagian dari proses tinjauan keamanan mereka.
“Jika saya akan melakukan bisnis dengan perusahaan Anda dan perangkat lunak Anda akan mengakses data pelanggan saya, saya bertanggung jawab untuk memastikan Anda memiliki kontrol yang tepat untuk melindunginya”
Liam: Dan apakah itu standar untuk perusahaan B2B?
Adam: Dalam banyak hal, ya. Terutama di sini di AS, sebagian karena SOC 2 berlaku untuk perusahaan mana pun yang menyimpan atau memproses data di Cloud, dan itu setiap perusahaan saat ini, benar-benar semua perusahaan SaaS. Jadi, dalam banyak hal, itu menjadi standar emas sekarang. Terlebih lagi seperti bilah minimum untuk membuktikan postur keamanan Anda. Kami menyaksikan ini secara langsung di Portofolium yang dijual ke universitas; dalam waktu yang sangat singkat, permintaan untuk Laporan SOC 2 kami dengan cepat berubah menjadi permintaan untuk Laporan SOC 2 kami. Dan kemudian, itu baru saja dimasukkan ke dalam setiap RFP yang kami temukan. Pergeseran ke Cloud, semakin banyak pelanggaran data – benar-benar menempatkan kaca pembesar pada risiko pihak ketiga. Dan itu mendorong banyak dari apa yang kita lihat di sini, berubah dari hal yang menyenangkan untuk dimiliki menjadi kebutuhan untuk dimiliki.
Liam: Mengapa sangat penting bagi perusahaan B2B untuk mematuhi SOC 2 saat mereka berkembang? Dan apakah itu memengaruhi mereka dalam menarik dan mempertahankan pelanggan yang lebih besar?
“Jika Anda tidak memanfaatkan otomatisasi, biasanya, perusahaan menghabiskan ratusan jam setahun untuk kepatuhan”
Adam: Ya, pasti. Jika saya akan melakukan bisnis dengan perusahaan Anda dan perangkat lunak Anda akan mengakses data pelanggan saya, saya bertanggung jawab untuk memastikan Anda memiliki kontrol yang tepat untuk melindunginya. Jika Anda memberi saya janji Anda, itu bagus, tetapi reporter audit independen benar-benar akan menanggung beban yang dibutuhkan untuk meyakinkan saya bahwa Anda memiliki program keamanan yang memadai. Auditor saya ingin memastikan bahwa saya mendapatkan jaminan itu sebelum memberikan data apa pun kepada Anda. Jika tidak, saya tidak mengikuti kendali saya sendiri.
Liam: Saya telah membaca banyak tentang kesulitan dalam memulai menjadi SOC 2 Compliant. Mengapa demikian, dan apakah itu berubah?
Adam: Ya, tentu saja. Kami mengalami ini secara langsung. Jika Anda tidak memanfaatkan otomatisasi, biasanya, perusahaan menghabiskan ratusan jam setahun untuk kepatuhan. Untuk membantu menjelaskan alasannya, kerangka kerja itu sendiri terdiri dari lima prinsip layanan kepercayaan yang berbeda: keamanan, ketersediaan, kerahasiaan, privasi, dan integritas pemrosesan. Keamanan, sejauh ini, adalah yang terbesar dari lima dan secara teknis satu-satunya yang diperlukan untuk audit dan laporan. Tetapi masing-masing dari kelimanya memiliki kriteria sendiri yang harus dipenuhi atau dipenuhi oleh perusahaan Anda dengan merancang dan kemudian menerapkan kontrol di seluruh perusahaan. Sering kali, ketika saya mengatakan itu, orang bertanya apa yang saya maksud dengan kontrol. Anda dapat menganggap kontrol sebagai kebijakan, proses, alat yang Anda terapkan untuk membantu mencegah hal buruk terjadi atau memastikan hal baik terjadi. Begitulah saya selalu mendefinisikannya. Dan itu mencakup setiap fungsi di seluruh perusahaan Anda: bagaimana Anda mengatur, melatih, dan karyawan off-board, bagaimana Anda mengelola titik akhir dan mengenkripsi data cadangan, bagaimana Anda menyediakan akses dan mengautentikasi ke dalam aplikasi, meninjau kode… Saya bisa terus dan terus.
“Itu berarti tim di seluruh perusahaan Anda ditugaskan untuk mengumpulkan setiap bukti secara terus menerus, berulang kali, dan kemudian menyimpannya untuk audit di masa mendatang”
Perusahaan memiliki antara 100 dan 200 kontrol untuk melakukan audit SOC 2. Dan kemudian, audit itu sendiri bisa memakan waktu lama karena pada dasarnya Anda harus membuktikan kepada auditor bahwa kontrol ini ada, dan yang terpenting, mereka tetap ada selama periode audit. Ini bukan sesuatu yang bisa Anda jejalkan untuk setiap bulan ke-11, jika Anda sedang dalam periode 12 bulan. Jika Anda tidak menggunakan otomatisasi, itu berarti tim di seluruh perusahaan Anda ditugaskan untuk mengumpulkan setiap bukti secara terus-menerus, berulang kali, dan kemudian menyimpannya untuk audit di masa mendatang. Dan kemudian, jika mereka menemukan celah di sepanjang jalan, karena celah bisa terbentuk setiap hari sepanjang tahun, mereka harus memperbaikinya. Dan ya, hanya banyak orang yang tinggal di spreadsheet, folder bersama, tangkapan layar. Ini jelas sangat matang untuk gangguan, dan itu datang dalam bentuk otomatisasi. Itulah yang benar-benar berubah. Drata menghadirkan solusi pertama otomatisasi ini untuk menghemat ratusan jam perusahaan dalam setahun dan kemudian memberi mereka dasbor kesiapan waktu nyata ini, sehingga Anda siap audit dengan cepat dan tetap siap audit setiap hari sepanjang tahun.
Liam: Itu sangat penting karena, seperti yang Anda sebutkan sebelumnya, itu adalah bagian penting dari kepercayaan antara perusahaan dan pelanggannya.
Adam: Tepat sekali. Dan itulah tema di seluruh perusahaan terakhir juga. Anda bisa mengambil kata seseorang untuk itu, Anda bisa membaca poin-poin di resume mereka, tapi kami ingin membantu orang membuktikan keterampilan mereka. Demikian pula, di sini, kami ingin orang-orang dapat membuktikan dengan bukti, tidak hanya selama audit, tetapi setiap hari sepanjang tahun, bagaimana kontrol mereka beroperasi. Itu bisa menjadi laporan internal untuk tim mereka sendiri, untuk dewan mereka, untuk kewarasan mereka sendiri, tetapi juga secara eksternal. Di situlah kita melihat jalannya.
Lakukan lebih awal, lakukan sering
Liam: Bagaimana perusahaan dapat menciptakan budaya keamanan siber di organisasi mereka? Karena seperti yang kita semua tahu, keamanan tidak lagi hanya menyenangkan untuk dimiliki.
Adam: Saya pikir memberdayakan karyawan individu adalah kuncinya. Jika karyawan memahami betapa pentingnya mereka dalam melindungi perusahaan mereka, itu adalah sesuatu yang bisa mereka banggakan, daripada hanya merasa seperti hal yang biasa-biasa saja. Karena tidak ada yang lebih benar. Serangan phishing masih menjadi penyebab paling umum pembobolan data di tahun 2021. Sekitar 90% – saya harus membacanya ulang untuk memastikan itu bukan salah ketik. Melatih karyawan Anda tentang cara mengenali email berbahaya ini dan kemudian mengujinya sepanjang tahun adalah salah satu contoh bagaimana Anda dapat memberdayakan karyawan untuk mengambil alih keamanan mereka. Dan perusahaan akan memiliki postur keamanan yang lebih kuat karenanya. Jadi saya pikir itu kuncinya.
“Semakin dini kontrol diterapkan di perusahaan Anda, semakin cepat ia menjadi bagian dari fondasi”
Saya pikir mungkin yang paling penting adalah melakukannya lebih awal. Jika Anda memanggangnya sejak hari pertama atau sedekat mungkin dengan hari pertama, itu akan menjadi kebiasaan. Ini bukan sesuatu yang baru dan berbeda di kemudian hari ketika ada lebih banyak kelembaman atau penolakan terhadap perubahan. Saya melakukan percakapan ini beberapa hari yang lalu, dan itu mungkin bukan analogi terbaik, tetapi ada seluruh generasi yang tumbuh dengan mengendarai mobil tanpa sabuk pengaman. Dan kemudian di tahun 50-an, mereka memperkenalkan hal baru ini, dan ada perlawanan. Tetapi hari ini, setelah tumbuh dewasa sejak hari pertama, saya bahkan tidak memikirkannya ketika saya masuk ke dalam mobil. Sabuk pengaman menyala dan itu seperti bernafas. Aku hanya tidak memikirkannya. Jadi, semakin awal kontrol diterapkan di perusahaan Anda, semakin cepat ia menjadi bagian dari fondasi.
Liam: Apa yang perlu diketahui orang jika bisnis Anda dimintai Laporan SOC 2?
Adam: Saya rasa hal pertama adalah mengetahui bahwa itu adalah hal yang baik. Siapa pun yang bertanya sedang mempertimbangkan secara serius untuk berbisnis dengan perusahaan Anda dan sekarang perlu memastikan bahwa Anda melakukan hal yang benar untuk melindungi data mereka. Kedua, jika ini adalah pertama kalinya Anda dimintai Laporan SOC 2, itu bukan yang terakhir, juga tidak seharusnya. Jika Anda tidak memiliki Laporan SOC 2, sudah waktunya untuk memulai. Dan sekali lagi, semakin cepat Anda melakukannya, semakin cepat, semakin murah, dan semakin mudah untuk mempertahankannya ke depan. Semua itu, tentu saja, untuk mengatakan otomatisasi leverage untuk melakukannya.
Liam: Dan SOC 2 bukan sertifikasi. Apakah saya benar?
Adam: Benar. Ini adalah pengesahan.
Liam: Dan ada dua tipe yang berbeda: Tipe 1 dan 2. Apa bedanya?
Adam: Untuk membuatnya lebih membingungkan, ada sesuatu seperti SOC 1 dan kemudian SOC 2. Saya pikir Anda bertanya tentang SOC 2 Tipe 1 versus SOC 2 Tipe 2, yang merupakan pertanyaan bagus dan yang selalu ditanyakan prospek kepada kami . Keduanya sama dalam hal kerangka itu sendiri. Perbedaannya adalah bahwa audit dan laporan SOC 2 Tipe 1 melihat desain kontrol Anda pada titik waktu yang sangat spesifik. Seperti, apakah Anda patuh hari ini? SOC 2 Tipe 2 melihat desain kontrol Anda, tetapi juga melihat efektivitas operasi kontrol tersebut selama beberapa waktu, biasanya 12 bulan.
Hanya berdasarkan itu, Anda bisa membayangkan SOC 2 Type 2 jelas merupakan bar yang lebih tinggi. Dibutuhkan lebih lama; biasanya lebih mahal; itu hanya dilakukan selama periode waktu tertentu. Anda dapat melakukan Tipe 1 dalam perjalanan ke Tipe 2. Kami melihat pelanggan melakukan ini ketika mereka membutuhkan laporan sesegera mungkin, dan Tipe 1 jelas lebih baik daripada tidak memiliki laporan sama sekali. Dan Anda tidak kehilangan waktu atau pekerjaan karena, sekali lagi, mereka adalah kerangka kerja yang sama. Pada dasarnya Anda menerapkan semua kontrol Anda dengan melakukan audit Tipe 1, dan pada saat yang sama, memulai periode empat hingga 12 bulan Anda untuk Tipe 2. Faktanya, beberapa firma audit yang bermitra dengan kami bahkan menggabungkan harga mereka untuk a Tipe 1 dan Tipe 2, dan itu membuatnya lebih hemat biaya dalam skenario tertentu. Tapi sekali lagi, Anda bisa langsung memilih Tipe 2, karena itulah standar emasnya.
“Ini pelatihan yang bagus, dan mereka melakukan simulasi serangan phishing ini. Jadi kami sengaja mem-phish karyawan kami sendiri secara acak”
Liam: Menurut Statista, kerugian moneter yang disebabkan oleh kejahatan dunia maya yang dilaporkan adalah $4,2 miliar pada tahun 2020, empat kali lipat dari tahun 2015.
Adam: Ini gila.
Liam: Ya, itu gila. Lalu apa saja titik buta yang merajalela dalam sistem keamanan perusahaan?
Adam: Itu pertanyaan yang bagus. Ada lebih banyak data di Cloud untuk diekspos hari ini daripada sebelumnya. Saya pikir apa yang mungkin mengejutkan orang-orang adalah bahwa sebagian besar masih merupakan trik lama yang sama, seperti serangan phishing. Seperti yang saya katakan, serangan phishing masih merupakan 90% dari pelanggaran data pada tahun 2021. Sebagian besar penyedia pelatihan kesadaran aman di luar sana memiliki modul dan kursus tentang cara mengenali email phishing, apa yang harus dilakukan, dan apa yang tidak boleh dilakukan saat Anda mendapatkannya. Dan itu adalah kontrol umum yang harus dimiliki oleh setiap perusahaan yang melalui SOC 2, pelatihan kesadaran keamanan. Kami menggunakan alat yang hebat – Drata terintegrasi dengannya – yang disebut Kurikulum. Itu salah satu contohnya. Tapi ini pelatihan yang bagus, dan mereka melakukan simulasi serangan phishing ini. Jadi kami sengaja mem-phish karyawan kami sendiri secara acak.
“Yang dibutuhkan hanyalah satu email, satu karyawan”
Liam: Saya yakin mereka menyukainya.
Adam: Saya bahkan tidak tahu apakah itu nyata atau tidak, yang merupakan bagian dari latihan. Tapi ini adalah cara untuk terus melenturkan otot itu secara internal di perusahaan karena seperti semua hal, itu tidak pernah satu dan selesai. Anda tidak pernah hanya menjentikkan jari dan Anda aman. Anda harus berlatih. Jadi, jika seseorang mengklik salah satu tautan ini dan email palsu, itu akan segera memberi tahu mereka, "Hei, Anda baru saja di-phishing, ayo, ingat pelatihan Anda", tetapi itu masih berharga pada saat itu, bukan?
Saya terkejut. Kami memiliki satu belum lama ini. Itu tampak seperti email yang datang dari Carta. Dan pada dasarnya dikatakan, “Selamat atas hibah opsi saham terbaru Anda. Itu baru saja disetujui oleh dewan, tanda tangani di sini.” Dan ya, itu hanya menyentuh pusat kepuasan instan di otak. Anda akan terkejut betapa banyak orang akan mengklik tautan itu tanpa benar-benar memeriksa untuk memastikan itu sah. Begitulah, sekali lagi, 90% dari pelanggaran ini terjadi. Yang dibutuhkan hanyalah satu email, satu karyawan. Itu kembali ke poin awal tentang memasukkannya ke dalam fondasi dan budaya Anda. Itulah pentingnya bagi setiap orang di perusahaan untuk mengambil kepemilikan atas keamanan. Ini bukan tugas satu orang, itu tugas semua orang.
Menskalakan keamanan sebagai startup
Liam: Saya tahu kami memiliki banyak pendengar dari perusahaan rintisan, dan saya akan menanyakan saran apa yang akan Anda berikan kepada perusahaan rintisan khususnya tentang menjadi SOC 2. Siapa yang harus mengelola proses SOC 2 di startup yang lebih kecil?
Adam: Itu pertanyaan yang bagus. Dan satu yang menurut saya memiliki tempat khusus di hati kami karena, satu, kami sendiri masih startup, tetapi Drata ini keluar dari kebutuhan pribadi kami sebagai startup yang menjual ke universitas, dalam kasus kami. Jadi kami berbicara dengan banyak startup. Saran yang kami berikan tentunya jangan menunggu. Seperti yang saya katakan sebelumnya, segera mulai. Semakin dini Anda melakukannya, semakin cepat, murah, dan mudah perawatannya. Pasti memanfaatkan otomatisasi. Anda akan menghemat ratusan jam teknis, yang, terutama sebagai startup, harus Anda habiskan untuk produk dan prioritas lainnya.
“Seiring pertumbuhan perusahaan Anda, lebih banyak karyawan, lebih banyak aset, lebih banyak untuk dilacak”
Dan saya kira yang lain adalah berpikir jangka panjang. Sangat mudah untuk terjebak dalam perangkap, "Oke, saya harus mencentang kotak ini, atau masalah besar ini tidak akan selesai, dan masalah besar ini mengubah permainan, penting untuk startup kami." Ada cara untuk melakukannya dengan cepat, tetapi yang akan membuat Anda siap untuk jangka panjang. Ini bukan hal lulus-gagal. Ingat bahwa. Jadi ya, ini adalah laporan yang Anda dapatkan di akhir audit, dan Anda ingin itu menjadi laporan yang bersih dan bagus. Ketika Anda menyerahkan laporan itu kepada seseorang, Anda ingin itu memberi Anda gambaran yang baik. Banyak dari itu bisa hilang begitu saja, terutama sebagai startup, dalam kebisingan dan tekanan untuk mematuhi atau menutup kesepakatan ini.
Liam: Dan apa yang perlu diketahui oleh perusahaan penskalaan? Saya kira bisa ada tantangan yang sangat berbeda.
Adam: Jadi, jika Anda sudah memiliki Laporan SOC 2 dan Anda menggunakan spreadsheet atau tinggal di spreadsheet dan tangkapan layar, Anda sudah merasakan sakitnya betapa tidak terukurnya itu. Seiring pertumbuhan perusahaan Anda, lebih banyak karyawan, lebih banyak aset, lebih banyak untuk dilacak. Otomatisasi sebenarnya menjadi lebih berharga seiring waktu karena Anda memiliki lebih banyak aset dalam lingkup audit Anda. Jadi, ada lebih banyak alasan untuk memanfaatkan otomatisasi dan menerapkan pemantauan berkelanjutan sehingga Anda tidak mengumpulkan bukti secara surut dan manual. Anda tahu secara real-time di mana kesenjangan terbentuk saat karyawan datang dan pergi, atau Anda memutar atau menurunkan aset secara otomatis. Jadi ya, ini kasus penggunaan yang berbeda, tetapi sangat mirip.
“Inilah yang unik, untuk terus memantau kontrol dan kemudian mengidentifikasi dan waspada ketika celah terbentuk secara real-time”
Liam: Saya ingin mendengar bagaimana Drata membantu menyederhanakan dan mengotomatisasi proses SOC 2 untuk orang-orang.
Adam: Ya, tentu saja. Jadi, kami membangunnya sebagai solusi ujung ke ujung. Ini dapat membawa perusahaan dari awal, melalui audit-siap, audit itu sendiri, dan kemudian hanya pemeliharaan terus-menerus maju dengan otomatisasi. Drata terhubung ke tumpukan teknologi pelanggannya. Inilah yang unik, untuk terus memantau kontrol dan kemudian mengidentifikasi dan waspada ketika celah terbentuk secara real-time. Dan itu akan secara otomatis mengumpulkan bukti dari semua kontrol ini yang kemudian dipetakan sebelumnya di seluruh kerangka kerja seperti SOC 2, ISO 27001, HIPAA, dan banyak lagi. Jadi, jika Anda memulai dari awal, Anda dapat memanfaatkan kerangka kontrol umum dalam Drata, serta template kebijakan keamanan untuk menyiapkan fondasi Anda dengan sangat cepat. Kami memiliki perusahaan di bawah 50 karyawan yang benar-benar beralih dari awal hingga siap diaudit hanya dalam hitungan minggu. Itulah kekuatan otomatisasi.
Kemudian, Drata juga bermitra dengan perusahaan audit yang dilatih untuk melakukan audit menggunakan Drata dengan cara yang sangat efisien. Itu menghemat waktu semua orang, dan menghasilkan audit dengan harga lebih rendah. Ini adalah perjalanan yang sangat berharga. Itu adalah sesuatu yang datang dari kebutuhan pribadi kita sendiri. Dan kemudian tim kami, terutama tim Sukses Pelanggan kami, yang bekerja dengan setiap pelanggan kami. Kami memiliki mantan auditor, profesional keamanan, staf untuk membantu memandu pelanggan kami melalui perjalanan. Bukan hanya semua perangkat lunak, tentu saja, otomatisasi adalah kuncinya.
Masa depan keamanan data
Liam: Sebelum kita mengakhiri, bagaimana masa depan keamanan data? Apakah perjuangan akan selalu berat?
“Saya pikir perusahaan akan lebih transparan dalam berbagi, bukan hanya Laporan SOC 2 ini, tetapi secara harfiah di antara laporan secara real-time”
Adam: Saya akan mengeluarkan bola kristal saya. Dengan semakin banyak data di Cloud, keamanan data akan semakin penting seiring waktu. Saya pikir Anda akan melihat perusahaan melakukannya lebih awal, seperti yang sudah kita lihat, diminta untuk sertifikasi kepatuhan dan pengesahan lebih sering. Dan itu akan langsung dimasukkan ke dalam budaya perusahaan sejak hari pertama. Banyak profesi dan industri di luar sana di mana pelatihan keamanan ekstra diperlukan dan tidak ada yang peduli karena itu hanya dipahami. Ada risiko yang sangat nyata di sini. Dan hal yang sama dapat dikatakan untuk setiap perusahaan perangkat lunak yang menyimpan data di Cloud.
Saya pikir kita akan melihat pemantauan yang lebih berkelanjutan, hanya tampilan waktu nyata dari dalam ke luar, dan saya pikir perusahaan akan lebih transparan dalam berbagi, bukan hanya Laporan SOC 2 ini, tetapi secara harfiah di antara laporan secara nyata -waktu. Dengan cara yang sama kami membanggakan status uptime kami – inilah status postur keamanan kami. Dan kemudian, tentu saja, saya tidak berpikir saya akan menjadi salah satu pendiri dan CEO di Drata jika saya tidak berpikir otomatisasi akan menjadi metode standar bagi perusahaan yang mempertahankan postur kepatuhan keamanan itu. Jadi kita lihat saja.
Liam: Ini jelas waktu yang sangat menyenangkan bagi kalian semua. Apa berikutnya? Apakah Anda memiliki rencana besar atau proyek di jalan?
Adam: Ya, menakjubkan betapa cepatnya tahun berlalu. Kami meluncurkan secara resmi pada 15 Januari, jadi kami telah mencapai status unicorn itu dengan sangat cepat. Tapi kami masih sangat baru memulai. Tim kami akan bertambah tiga kali lipat pada tahun 2022. Jadi kami merekrut secara menyeluruh, semua departemen. Jika orang-orang di luar sana yang mendengarkan tertarik pada otomatisasi dan keamanan, nilai inti kami ada di situs web kami. Dan jika mereka beresonansi dengan Anda, kami ingin Anda melihat halaman karier kami, dan kami ingin terhubung dengan Anda
Liam: brilian. Tahun baru, pekerjaan baru. Seri ini adalah tentang mendengarkan bagaimana perusahaan menskalakan pertumbuhan mereka. Sebelum kita selesai, saya ingin tahu, apakah ada peristiwa penting dalam karier Anda yang membantu Anda berkembang secara profesional?
“Ini jenis roket yang berbeda, kan? Keduanya sangat intens”
Adam: Kami belajar banyak setiap hari, dan kami semua hanya tentang iterasi dan peningkatan berkelanjutan. Jadi, saran awal, itu hanya mengelilingi diri saya dengan mentor, penasihat, orang-orang yang telah ada di sana yang bisa kita pelajari, dan terbuka untuk itu. Setelah Program Pesawat Ulang-alik berakhir dan saya belajar membuat kode dan membuat Portofolium versi pertama, saya bekerja di program akselerator di San Diego yang disebut EvoNexus. Dan itu benar-benar membuat segalanya menjadi overdrive. Itu menempatkan orang-orang di sekitar saya segera, dan saya harus belajar dari mereka. Itu benar-benar membantu menempatkan potongan-potongan untuk mempersiapkan segala sesuatu di depan. Saya tidak berpikir apa pun bisa mempersiapkan Anda, tetapi itu pasti membantu.
Liam: Mana yang lebih menegangkan dan seru? Ilmuwan roket atau menjalankan perusahaan?
Adam: Ini jenis roket yang berbeda, kan? Keduanya sangat intens.
Liam: Dan terakhir, kemana pendengar kami bisa mengikuti Anda dan pekerjaan Anda?
Adam: Ya, silakan periksa situs kami drata.com. Feel free to schedule a live demo with our team and see the product in action. We'd love to show it. On LinkedIn, it's easy to find and follow; just search Drata. And then, on Twitter, at @DrataHQ.
Liam: Perfect. And thank you so much for joining us today.
Adam: Thank you so much for having me.
