Adam Markowitz, CEO di Drata, sulla creazione di una cultura della sicurezza informatica
Pubblicato: 2022-05-06Man mano che sempre più dati vengono archiviati nel cloud, dimostrare che puoi proteggere i dati dei tuoi clienti non è solo un piacere da avere, ma è essenziale.
Ci sono abbastanza storie di violazioni dei dati e attacchi informatici da raffreddare fino in fondo anche l'ingegnere della sicurezza più esperto. Gli attacchi informatici sono aumentati del 125% rispetto all'anno precedente e, con il passaggio delle aziende a impostazioni parziali o completamente remote, non mostra alcun segno di rallentamento. Nell'odierna scena SaaS basata sui dati, questi possono interessare centinaia di milioni di utenti e causare danni per miliardi di dollari e, poiché i framework di conformità diventano requisiti per fare affari, le aziende si rivolgono a servizi di terze parti che possono aiutare ad accelerare e facilitare il processi. Ed è qui che entrano in gioco persone come Adam Markowitz.
Adam è il co-fondatore e CEO di Drata, un'azienda che aiuta le aziende a proteggere i dati dei propri clienti, a monitorare continuamente il proprio stato di sicurezza e a tenersi automaticamente al passo con SOC 2, ISO 27001 e altri programmi di conformità. Nonostante non abbia nemmeno due anni, Drata ha già chiuso una serie B da 100 milioni di dollari, portandola allo stato di unicorno e rendendola una delle aziende più veloci a raggiungere una valutazione di 1 miliardo di dollari. La sicurezza informatica e la conformità, a quanto pare, sono richieste.
Ingegnere aerospaziale diventato imprenditore, Adam ha imparato presto che il modo migliore per guadagnare fiducia è dimostrare che te lo meriti. Dopo aver lavorato allo Space Shuttle Main Engine della NASA, ha sviluppato Portfolium, una piattaforma di social networking che consente a studenti e laureati di mostrare competenze oltre il tradizionale curriculum a potenziali datori di lavoro. Ma prima che le università facessero affari con loro, avevano bisogno di garanzie sulla loro posizione di sicurezza. Improvvisamente, il team ha conosciuto fin troppo bene SOC 2 Reports e si è reso conto di quanto potesse diventare oneroso e non scalabile, soprattutto per le startup ad alta crescita. Alla fine è stato acquisito il portafoglio, ma il team dietro non ha mai smesso di pensare a un modo migliore per farlo. Meno di un anno dopo, venne lanciato Drata.
In questo episodio, ci siamo seduti con Adam per imparare tutto sul framework SOC 2, come creare una cultura della sicurezza da zero e come l'automazione sia la chiave per trasformare un mal di testa in un'operazione senza intoppi.
Ecco alcuni dei nostri asporto preferiti dalla conversazione:
1. Sta diventando il minimo indispensabile
Non puoi far crescere la tua attività se i tuoi clienti non si fidano di te con i loro dati sensibili. E per quanto belle siano le assicurazioni verbali e una stretta di mano, man mano che cresci e provi a firmare con aziende più consolidate a livello aziendale, ti ritroverai sempre più a dover fornire prove di conformità prima di concludere l'accordo:
Il passaggio al cloud, sempre più violazioni dei dati: ha davvero messo una lente d'ingrandimento sul rischio di terze parti. E questo ha guidato molto di ciò che stiamo vedendo qui, passando da questo bello da avere a un bisogno da avere. Se sto per fare affari con la tua azienda e il tuo software accede ai dati dei miei clienti, è mia responsabilità assicurarmi che tu disponga dei controlli adeguati per proteggerli.
2. Inizia presto
L'analisi di Verizon degli incidenti di sicurezza informatica ha rilevato che il phishing è alla base del 90% degli attacchi riusciti, il che significa che 9 volte su 10 sono altamente prevenibili. Inizia a formare i tuoi dipendenti sulle pratiche di conformità e su come individuare queste e-mail dannose sin dal primo giorno: prima adottano una mentalità orientata alla sicurezza, prima diventa parte della cultura.
Stavo avendo questa conversazione l'altro giorno, e potrebbe non essere l'analogia migliore, ma c'è stata un'intera generazione che è cresciuta guidando su auto senza cinture di sicurezza. E poi, negli anni '50, hanno introdotto questa novità, e c'è stata resistenza. Ma oggi, essendo cresciuto fin dal primo giorno, non ci penso nemmeno quando salgo in macchina. La cintura di sicurezza si allaccia ed è come respirare.
3. Non saltare l'automazione
La sicurezza influisce su ogni funzione della tua azienda: dall'onboarding e offboarding alla crittografia dei dati e alla gestione degli endpoint. Dall'esperienza di Adam, ci sono da 100 a 200 controlli per tenere traccia di un audit SOC 2, quindi se non stai sfruttando l'automazione, potresti dedicare centinaia di ore all'anno alla conformità:
Se non stai utilizzando l'automazione, significa che i team della tua azienda hanno il compito di raccogliere ogni elemento di prova continuamente, ripetutamente, e quindi di archiviarlo per audit futuri. E poi, se trovano delle lacune lungo il percorso, perché le lacune potrebbero formarsi in qualsiasi giorno dell'anno, devono rimediare. Sono molte le persone che vivono in fogli di calcolo, cartelle condivise, schermate.
Ha catturato il tuo interesse? Abbiamo raccolto un elenco di articoli, video e podcast che puoi consultare:
- Ottieni un punteggio di preparazione SOC 2 della tua azienda
- Conformità SOC 2: una guida per principianti
- Il CTO di Evernote sulle tue maggiori preoccupazioni per la sicurezza Da 3 a 300 dipendenti
- L'incidente di LinkedIn
Questa è Scale, la serie di podcast di Intercom sulla promozione della crescita aziendale attraverso le relazioni con i clienti. Se ti piace la conversazione e non vuoi perderti gli episodi futuri, premi segui su iTunes, Spotify o prendi il feed RSS nel tuo lettore preferito. Puoi anche leggere la trascrizione completa dell'intervista, che è stata leggermente modificata per chiarezza, di seguito.
Sicurezza con pilota automatico
Liam Geraghty: Adam, grazie mille per esserti unito a noi. Sei il benvenuto allo spettacolo.
Adam Markowitz: Grazie per avermi ospitato.
Liam: Prima di tutto, le congratulazioni sono d'obbligo. Drata ha recentemente raccolto $ 100 milioni in finanziamenti di capitale di rischio, che credo lo renda l'ultima startup unicorno di San Diego con una valutazione di $ 1 miliardo. Come ci si sente?
Adam: Grazie, sembra ancora un po' surreale, principalmente a causa della rapidità con cui l'azienda è passata dal seme alla serie, il tutto in un arco di tempo inferiore a 12 mesi. Ma è fantastico e super gratificante raggiungere il traguardo e farlo qui a San Diego. La nostra precedente azienda è stata fondata qui a San Diego quasi 10 anni fa e all'epoca era un ecosistema tecnologico molto diverso. Quindi vederlo evolversi e averne fatto parte per tutto questo tempo è super gratificante. E inoltre, la stessa Drata è nata proprio nel mezzo della pandemia. Ci siamo sentiti fortunati anche solo ad essere in grado di avviare l'azienda quando l'abbiamo fatto, e quell'apprezzamento ha appena alimentato questo anno davvero senza precedenti.
"Nessun periodo di rampa, nessun periodo di conoscenza - era solo vai, vai, vai"
Liam: Com'era?
Adam: Era, ancora una volta, solo essere in una posizione in cui ci sentivamo a nostro agio nel farlo. Non ci siamo persi con quello che stava succedendo nel mondo. Il primo giorno, c'erano parecchi di noi che uscivano tutti da quella compagnia. Abbiamo lavorato tutti insieme per così tanto tempo che è stato una specie di vantaggio ingiusto e piacevole. Nessun periodo di rampa, nessun periodo di conoscenza - era solo vai, vai, vai.
Liam: Cosa fa Drata?
Adam: Drata aiuta le aziende a mettere la sicurezza e la conformità sul pilota automatico, come lo chiamiamo noi, automatizzando il monitoraggio e la raccolta di prove dei loro controlli di sicurezza. Semplificazione degli audit come SOC 2, ISO 27001, HIPAA e altri. Consente alle aziende di dimostrare la propria posizione di sicurezza in tempo reale praticamente in qualsiasi giorno dell'anno, accelerando così i cicli di vendita e le revisioni della sicurezza. Naturalmente, rende anche gli audit più veloci e meno costosi. E poi, consente alle aziende di essere più pronte per l'impresa.
Liam: L'intera area è un nuovo spazio. Com'è navigarlo in questo momento?
Adam: Lo spazio in sé è nuovo, ma è stato ipotizzato da tempo. La promessa di una conformità continua è in circolazione da anni. E quindi, mantenere quella promessa è super eccitante. E, naturalmente, impegnativo, come dovrebbe essere. Personalmente amo essere in anticipo e sfruttare l'opportunità per impostare l'asticella davvero in alto nel mercato. E continuando a spingere più in alto con la squadra.
Dalla scienza missilistica alla conformità
Liam: Tuttavia, non hai iniziato con la sicurezza. Ho ragione nel dire che sei un ex scienziato missilistico?
Adam: Sì, è divertente. La maledizione di essere chiamato scienziato missilistico è che il tiro viene immediatamente alzato per qualsiasi cosa tu faccia nella vita. L'auto non si avvia immediatamente, aggiustalo: "non è scienza missilistica o altro".
Liam: Com'era? Come sei passato alla tecnologia di conformità?
Adam: Ho iniziato la mia carriera come ingegnere nel programma Space Shuttle, in particolare nel team MCC, il team Main Combustion Chamber. L'ultimo lancio della navetta risale a oltre un decennio fa, quindi alcune persone là fuori potrebbero non ricordare di aver visto un lancio della navetta, ma se lo fai, vedi il razzo sul pad, hai i due booster e poi c'è questo gigante serbatoio arancione. Questo è il serbatoio del carburante che alimenta questi tre motori principali, ed è quello su cui ho lavorato uscendo dall'università. Il modo migliore per descrivere come funziona un motore a razzo è solo un'esplosione controllata. Quindi è un sogno/incubo ingegneristico, a seconda di come lo guardi.
"È così che ho ottenuto quel lavoro lavorando sul programma Space Shuttle: ho portato un portfolio nei miei colloqui di lavoro per aiutarmi a distinguermi e dimostrare le mie capacità oltre il semplice GPA"
Liam: Come ci si sente quando si guarda il lancio? Sei teso? Sei un po' eccitato?
Adam: Un'eccitazione tesa, è un buon modo per dirla. Tutti adoravano quello che stavamo facendo. Volevo essere un astronauta sin da quando ero un ragazzino e avere un vero astronauta dal vivo che camminava per l'ufficio, ringraziando gli ingegneri per averli aiutati a tornare a casa sani e salvi, soprattutto perché il tuo primo lavoro uscito dall'università è assolutamente incredibile.
Liam: Ti ho interrotto lì, ma mi stavi dicendo come hai fatto questa transizione.
"Per aiutare gli studenti a guadagnare la fiducia dei datori di lavoro, dovevamo prima dimostrare la nostra posizione di sicurezza alle università"
Adam: L'esperienza si è conclusa nel 2011 quando il programma Shuttle è stato ritirato e ho fatto il salto dall'aerospaziale all'imprenditorialità. Ho fatto il grande passo, come si suol dire. Ho imparato a programmare e ho creato un MVP che stavo chiamando un Portfolio, che era una rete di ePortfolio simile a LinkedIn per studenti, e l'idea è nata. È così che ho effettivamente ottenuto quel lavoro lavorando al programma Space Shuttle: ho portato un portfolio nei miei colloqui di lavoro per aiutarmi a distinguermi e dimostrare le mie capacità oltre il semplice GPA. E così, volevo farlo per gli studenti di tutto il mondo e aiutarli a ottenere il lavoro dei loro sogni basandosi solo sulle loro comprovate abilità. Credo fermamente nel guadagnare la fiducia dimostrando prima che te lo meriti. In questo caso, è stata la prova delle competenze in questi ePortfolio, che erano ricchi di dati che potevamo utilizzare per abbinare gli studenti ai datori di lavoro in modo più significativo.
Abbiamo fatto crescere l'azienda e la rete di milioni di studenti e lo abbiamo fatto vendendo un modulo di valutazione dell'apprendimento alle università universitarie. Ed è allora che abbiamo imparato rapidamente l'importanza di dimostrare la nostra posizione di sicurezza. Perché prima che l'università firmasse con noi e fornisse informazioni riservate sugli studenti, aveva bisogno della garanzia del nostro atteggiamento di sicurezza. Il gold standard per dimostrare che era, ed è tuttora, un rapporto SOC 2. Quindi, in un certo senso vedi questo tema qui, guadagnando fiducia con prove. Quindi, per aiutare gli studenti a guadagnare la fiducia dei datori di lavoro, dovevamo prima dimostrare la nostra posizione di sicurezza alle università, e la prova era il rapporto SOC 2. Portfolium è stato acquisito nel febbraio del 2019 e il nostro team si è riunito l'anno scorso nel 2020 per creare Drata, per aiutare le aziende a resistere, mantenere e dimostrare la propria posizione di conformità alla sicurezza con un approccio basato sull'automazione.
SOC 2 101
Liam: Quindi, entriamo nella conformità SOC 2, che so è un po' come dire "parliamo di tasse" o "parliamo di fatturazione". Ma è così importante. Puoi darci un'introduzione a ciò che è realmente la conformità SOC 2?
Adam: Certo, felice! Quindi, SOC 2 è un framework. È creato e mantenuto dall'AICPA, che è l'American Institute of Certified Public Accountants. Pertanto, i revisori delle società CPA conducono effettivamente audit SOC 2 e il risultato di qualsiasi audit SOC 2 è un rapporto SOC 2. SOC 2 non è una certificazione pass-fail, che è davvero importante e un malinteso comune. Quel rapporto SOC 2 è un attestato ed è affidabile perché proviene da questo revisore di terze parti certificato e indipendente. Fondamentalmente, sta testando la progettazione e l'efficacia operativa dei controlli di sicurezza della tua azienda quando si tratta di proteggere i dati dei tuoi clienti. In altre parole, il rapporto SOC 2 è un rapporto che descrive in dettaglio quanto bene la tua azienda protegge i dati dei suoi clienti. Se vendi software oggi, c'è una probabilità del 99,9% che memorizzi o elabori dati nel cloud. E per questo motivo, è solo questione di tempo prima che ti venga chiesto di fornire un rapporto SOC 2 ai tuoi clienti o ai tuoi potenziali clienti come parte del loro processo di revisione della sicurezza.
"Se sto per fare affari con la tua azienda e il tuo software accederà ai dati dei miei clienti, è mia responsabilità assicurarmi che tu disponga dei controlli adeguati per proteggerli"
Liam: Ed è lo standard per le aziende B2B?
Adam: In molti modi, sì. Soprattutto qui negli Stati Uniti, in parte perché SOC 2 si applica a qualsiasi azienda che archivia o elabora dati nel cloud, e questa è ogni azienda al giorno d'oggi, assolutamente tutte le aziende SaaS. Quindi, in molti modi, ora è diventato il gold standard. Ancora di più come la barra minima per dimostrare la tua posizione di sicurezza. Abbiamo assistito a questo in prima persona al portafoglio di vendita alle università; in un periodo molto breve, quelle richieste per il nostro rapporto SOC 2 si sono rapidamente trasformate in richieste per il nostro rapporto SOC 2. E poi, è stato inserito in ogni RFP che abbiamo incontrato. Il passaggio al cloud, sempre più violazioni dei dati: ha davvero messo una lente d'ingrandimento sul rischio di terze parti. E questo ha guidato molto di ciò che stiamo vedendo qui, passando da questo bello da avere a un bisogno da avere.
Liam: Perché è così importante per le aziende B2B essere conformi a SOC 2 durante la loro scalabilità? E ha effetto sull'attrazione e sul mantenimento di clienti più grandi?
"Se non stai sfruttando l'automazione, in genere, le aziende dedicano centinaia di ore all'anno alla conformità"
Adam: Sì, decisamente. Se sto per fare affari con la tua azienda e il tuo software accede ai dati dei miei clienti, è mia responsabilità assicurarmi che tu disponga dei controlli adeguati per proteggerli. Se mi dai la tua parola, è fantastico, ma il relatore dell'audit indipendente avrà davvero il peso necessario per assicurarmi che hai un programma di sicurezza adeguato. I miei revisori vorranno assicurarsi che io abbia questa certezza prima di fornirti qualsiasi dato. Altrimenti, non sto seguendo il mio controllo.
Liam: Ho letto molto sulle difficoltà delle startup a diventare SOC 2 Compliant. Perché era così, ed è cambiato?
Adam: Sì, assolutamente. L'abbiamo sperimentato in prima persona. Se non stai sfruttando l'automazione, in genere, le aziende dedicano centinaia di ore all'anno alla conformità. Per aiutare in qualche modo a spiegare perché, il framework stesso è composto da cinque diversi principi di servizio fiduciario: sicurezza, disponibilità, riservatezza, privacy e integrità del trattamento. La sicurezza è, di gran lunga, la più grande delle cinque e tecnicamente l'unica richiesta per un audit e una relazione. Ma ognuno dei cinque ha i propri criteri che la tua azienda deve soddisfare o soddisfare progettando e quindi implementando controlli in tutta l'azienda. Molte volte, quando lo dico, le persone mi chiedono cosa intendo per controllo. Puoi pensare al controllo come a una politica, a un processo, a uno strumento che hai messo in atto per aiutare a prevenire che accada qualcosa di negativo o per garantire che stia accadendo qualcosa di buono. È così che lo definisco sempre. E copre tutte le funzioni della tua azienda: come fai a bordo, formuli e fuori bordo i dipendenti, come gestisci gli endpoint e crittografa i dati di backup, come esegui il provisioning dell'accesso e l'autenticazione nelle app, rivedi il codice... Posso andare avanti all'infinito.
"Ciò significa che i team della tua azienda hanno il compito di raccogliere ogni elemento di prova continuamente, ripetutamente, e quindi di archiviarlo per audit futuri"
Le aziende hanno tra 100 e 200 controlli in atto per un audit SOC 2. E poi, l'audit stesso può richiedere molto tempo perché in pratica devi dimostrare all'auditor che questi controlli esistono e, cosa più importante, rimangono in vigore per un periodo di audit. Non è qualcosa che potresti semplicemente stipare ogni 11° mese, se sei nel periodo di 12 mesi. Se non stai utilizzando l'automazione, significa che i team della tua azienda hanno il compito di raccogliere ogni elemento di prova continuamente, ripetutamente, e quindi di archiviarlo per audit futuri. E poi, se trovano delle lacune lungo il percorso, perché le lacune potrebbero formarsi in qualsiasi giorno dell'anno, devono rimediare. E sì, solo un sacco di persone che vivono in fogli di calcolo, cartelle condivise, schermate. È chiaramente molto maturo per l'interruzione, e questo è arrivato sotto forma di automazione. Questo è davvero ciò che è cambiato. Drata offre questa prima soluzione di automazione per far risparmiare alle aziende centinaia di ore all'anno e quindi fornisce loro questi dashboard di prontezza in tempo reale, in modo da essere pronti per l'audit rapidamente e rimanere pronti per l'audit ogni giorno dell'anno.
Liam: È così importante perché, come hai detto prima, è una parte così importante della fiducia tra un'azienda ei suoi clienti.
Adamo: Esatto. E questo è anche il tema dell'ultima compagnia. Potresti fidarti della parola di qualcuno, potresti leggere un punto elenco sul suo curriculum, ma vogliamo che aiuti le persone a dimostrare le proprie capacità. E allo stesso modo, qui, vogliamo che le persone siano in grado di dimostrare con prove, non solo durante gli audit, ma in qualsiasi giorno dell'anno, come funzionano i loro controlli. Potrebbe essere un rapporto interno per la propria squadra, per il consiglio di amministrazione, per la propria sanità mentale, ma anche esternamente. È lì che vediamo il percorso in corso.
Fallo presto, fallo spesso
Liam: Come possono le aziende creare una cultura della sicurezza informatica nella loro organizzazione? Perché, come tutti sappiamo, la sicurezza non è più solo un bene da avere.
Adam: Penso che dare potere ai singoli dipendenti sia fondamentale. Se i dipendenti capiscono quanto sono importanti per proteggere la loro azienda, è qualcosa di cui potrebbero essere orgogliosi, piuttosto che sentirsi solo come una cosa da spuntare. Perché niente potrebbe essere più vero. Gli attacchi di phishing sono ancora le cause più comuni di violazione dei dati nel 2021. È qualcosa come il 90%: ho dovuto rileggerlo solo per assicurarmi che non fosse un errore di battitura. Formare i dipendenti su come individuare queste e-mail dannose e testarle nel corso dell'anno è un esempio di come puoi consentire ai dipendenti di assumersi la responsabilità della loro sicurezza. E per questo motivo l'azienda avrà una posizione di sicurezza più forte. Quindi penso che sia la chiave.
"Prima vengono attuati i controlli presso la tua azienda, prima diventa parte delle fondamenta"
Penso che forse la cosa più importante sia farlo presto. Se lo cuoci dal primo giorno o il più vicino possibile al primo giorno, diventa solo una seconda natura. Non è qualcosa di nuovo e diverso in seguito, quando c'è solo molta più inerzia o resistenza al cambiamento. Stavo avendo questa conversazione l'altro giorno, e potrebbe non essere l'analogia migliore, ma c'è stata un'intera generazione che è cresciuta guidando in auto senza cinture di sicurezza. E poi negli anni '50 hanno introdotto questa novità, e c'è stata resistenza. Ma oggi, essendo cresciuto fin dal primo giorno, non ci penso nemmeno quando salgo in macchina. La cintura di sicurezza si allaccia ed è come respirare. Semplicemente non ci penso. Quindi prima vengono messi in atto controlli presso la tua azienda, prima diventa parte delle fondamenta.
Liam: Cosa devono sapere le persone se alla tua azienda viene richiesto un rapporto SOC 2?
Adam: Immagino che la prima cosa sia sapere che è una buona cosa. Chiunque te lo stia chiedendo sta seriamente considerando di fare affari con la tua azienda e ora deve assicurarsi che tu stia facendo le cose giuste per proteggere i propri dati. In secondo luogo, se questa è la prima volta che ti viene chiesto un rapporto SOC 2, non sarà l'ultima, né dovrebbe. Se non disponi di un rapporto SOC 2, è sicuramente il momento di iniziare. E ancora, prima lo farai, più veloce sarà, più economico sarà e più facile sarà continuare ad andare avanti. Tutto questo, ovviamente, per dire sfruttare l'automazione per farlo.
Liam: E SOC 2 non è una certificazione. Ho ragione?
Adamo: Giusto. È un attestato.
Liam: E ci sono due tipi diversi: Tipo 1 e 2. Qual è la differenza?
Adam: Per creare ulteriore confusione, c'è qualcosa come SOC 1 e poi SOC 2. Penso che tu stia chiedendo di SOC 2 di tipo 1 contro SOC 2 di tipo 2, che è un'ottima domanda e una domanda che i potenziali clienti ci fanno continuamente . Sono entrambi gli stessi in termini di struttura stessa. La differenza è che l'audit e il report SOC 2 di tipo 1 esaminano la progettazione dei controlli in un momento molto specifico. Tipo, sei conforme oggi? Un SOC 2 di tipo 2 sta esaminando la progettazione dei controlli, ma sta anche esaminando l'efficacia operativa di tali controlli in un periodo di tempo, in genere 12 mesi.
Basandoti su questo, potresti immaginare che il SOC 2 Type 2 sia sicuramente una barra più alta. Ci vuole più tempo; di solito è più costoso; è solo fatto in un periodo di tempo. Potresti fare un tipo 1 sulla strada per un tipo 2. Vediamo i clienti che lo fanno quando hanno bisogno di un rapporto il prima possibile e il tipo 1 è decisamente meglio che non avere alcun rapporto. E non stai perdendo tempo o lavoro perché, ancora una volta, sono la stessa struttura. Fondamentalmente stai implementando tutti i tuoi controlli eseguendo l'audit di tipo 1 e, allo stesso tempo, iniziando il tuo periodo da quattro a 12 mesi per il tipo 2. In effetti, alcune delle società di revisione con cui collaboriamo persino raggruppano i loro prezzi per un tipo 1 e un tipo 2 e ciò lo rende più conveniente in quello scenario specifico. Ma ancora una volta, puoi semplicemente andare dritto per il Tipo 2, poiché questo è il gold standard.
“È un ottimo allenamento e fanno questi attacchi di phishing simulati. Quindi phishing intenzionalmente i nostri stessi dipendenti a caso"
Liam: Secondo Statista, il danno monetario causato dai crimini informatici denunciati è stato di 4,2 miliardi di dollari nel 2020, quattro volte tanto rispetto al 2015.
Adam: È pazzesco.
Liam: Sì, è pazzesco. Quindi quali sono i punti ciechi che dilagano nei sistemi di sicurezza aziendale?
Adam: È una buona domanda. Ci sono più dati nel cloud da esporre oggi che mai. Penso che ciò che potrebbe sorprendere la gente è che gran parte di esso sono ancora gli stessi vecchi trucchi, come gli attacchi di phishing. Come ho detto, gli attacchi di phishing rappresentano ancora il 90% delle violazioni dei dati nel 2021. La maggior parte dei fornitori di formazione di sensibilizzazione sulla sicurezza ha moduli e corsi su come individuare le e-mail di phishing, cosa fare e cosa non fare quando le ricevi. Ed è un controllo comune che qualsiasi azienda che passa attraverso SOC 2 dovrebbe avere in atto, formazione sulla consapevolezza della sicurezza. Utilizziamo un ottimo strumento – Drata si integra con esso – chiamato Curricula. È un esempio. Ma è un ottimo allenamento e fanno questi attacchi di phishing simulati. Quindi phishing intenzionalmente i nostri stessi dipendenti a caso.
"Tutto ciò che serve è un'e-mail, un dipendente"
Liam: Scommetto che lo adorano.
Adam: Non so nemmeno se sia reale o meno, il che fa parte dell'esercizio. Ma è un modo per flettere continuamente quel muscolo internamente all'azienda perché, come tutte le cose, non è mai una cosa sola. Non schioccherai mai le dita e sei al sicuro. Devi esercitarti. E quindi, se qualcuno dovesse cliccare su uno di questi link ed e-mail false, gli dice immediatamente: "Ehi, sei appena stato oggetto di phishing, dai, ricorda la tua formazione", ma in quel momento è ancora prezioso, giusto?
Sono stato sorpreso. Ne abbiamo avuto uno non molto tempo fa. Sembrava un'e-mail proveniente da Carta. E in pratica diceva: "Congratulazioni per la tua ultima concessione di stock option. È stato appena approvato dal consiglio, firma qui. E sì, attinge proprio a quel centro di gratificazione istantanea del cervello. Saresti sorpreso di quante persone faranno clic su quel link senza davvero verificare che sia legittimo. Ecco come, ancora una volta, si verifica il 90% di queste violazioni. Tutto ciò che serve è un'e-mail, un dipendente. Questo risale al punto originale di inserirlo nelle tue fondamenta e nella tua cultura. Ecco quanto è importante per tutti in azienda assumere la responsabilità della sicurezza. Non è il lavoro di nessuno, è il lavoro di tutti.
Ridimensionare la sicurezza come avvio
Liam: So che abbiamo molti ascoltatori dalle startup e stavo per chiederti quale consiglio daresti alle startup in particolare per diventare SOC 2 Compliant. Chi dovrebbe gestire il processo SOC 2 nelle startup più piccole?
Adam: È una buona domanda. E uno che penso abbia un posto speciale nei nostri cuori perché, uno, siamo ancora una startup noi stessi, ma questa Drata è nata da una nostra esigenza personale di startup che vende nelle università, nel nostro caso. Quindi abbiamo parlato con molte startup. Il consiglio che diamo è, ovviamente, di non aspettare. Come ho detto prima, inizia presto. Prima lo fai, più veloce, economico e facile da mantenere. Sfrutta sicuramente l'automazione. Risparmierai centinaia di ore di ingegneria che, soprattutto come startup, dovresti dedicare a prodotti e altre priorità.
"Man mano che la tua azienda cresce, più dipendenti, più risorse, più da monitorare"
E immagino che l'altro sarebbe pensare a lungo termine. È molto facile farsi prendere nella trappola di "Ok, devo selezionare questa casella, o questo grosso affare non si concluderà, e questo grosso affare è rivoluzionario, esistenziale per la nostra startup". C'è un modo per farlo rapidamente, ma che ti preparerà a lungo termine. Questa non è una cosa pass-fail. Ricordati che. Quindi sì, è un rapporto che ricevi alla fine dell'audit e vuoi che sia un rapporto pulito e buono. Quando dai a qualcuno quel rapporto, vuoi che ti metta in buona luce. Molto di questo potrebbe semplicemente perdersi, soprattutto come startup, nel rumore e nella pressione per diventare conformi o concludere questo accordo.
Liam: E cosa devono sapere le aziende di ridimensionamento? Suppongo che ci possano essere sfide abbastanza diverse.
Adam: Quindi, se hai già un rapporto SOC 2 e stai utilizzando fogli di calcolo o vivi in fogli di calcolo e schermate, stai già sentendo il dolore di quanto sia non scalabile. Man mano che la tua azienda cresce, più dipendenti, più risorse, più da monitorare. L'automazione diventa effettivamente più preziosa nel tempo man mano che disponi di più risorse nell'ambito del tuo audit. E quindi, c'è ancora più motivo per sfruttare l'automazione e mettere in atto un monitoraggio continuo in modo da non raccogliere prove retroattivamente e manualmente. Sai in tempo reale dove si formano le lacune man mano che i dipendenti vanno e vengono, oppure accendi o riduci automaticamente le risorse. Quindi sì, è un caso d'uso diverso, ma molto simile.
"Questo è ciò che è unico, per monitorare continuamente i controlli e quindi identificare e avvisare quando si formano delle lacune in tempo reale"
Liam: Mi piacerebbe sapere come Drata aiuta a semplificare e automatizzare il processo SOC 2 per le persone.
Adam: Sì, assolutamente. Quindi, l'abbiamo costruito come una soluzione end-to-end. Può portare le aziende da zero, fino alla preparazione dell'audit, all'audit stesso e quindi solo alla manutenzione continua che va avanti con l'automazione. Drata si collega allo stack tecnologico dei suoi clienti. Questo è ciò che è unico, per monitorare continuamente i controlli e quindi identificare e avvisare quando si formano delle lacune in tempo reale. E raccoglierà automaticamente prove di tutti questi controlli che verranno quindi pre-mappati su framework come SOC 2, ISO 27001, HIPAA e altri. Quindi, se stai partendo da zero, puoi sfruttare il framework di controllo comune all'interno di Drata, nonché i modelli di policy di sicurezza per configurare la tua fondazione molto rapidamente. Abbiamo avuto aziende con meno di 50 dipendenti che sono letteralmente passate da zero a pronte per l'audit nel giro di poche settimane. Questo è il potere dell'automazione.
Quindi, Drata collabora anche con società di revisione addestrate a condurre la revisione utilizzando Drata in modo molto snello. Ciò consente a tutti di risparmiare tempo e si traduce in audit a prezzi inferiori. È stato un viaggio particolarmente gratificante. È qualcosa che viene dai nostri bisogni personali. E poi il nostro team, in particolare il nostro Customer Success team, che lavora con ognuno dei nostri clienti. Abbiamo ex revisori dei conti, professionisti della sicurezza e personale che aiuta a guidare i nostri clienti attraverso il viaggio. Non è solo tutto il software, ovviamente, l'automazione è la chiave.
Il futuro della sicurezza dei dati
Liam: Poco prima di concludere, qual è il futuro della sicurezza dei dati? Sarà sempre una lotta in salita?
"Penso che le aziende saranno più trasparenti sulla condivisione, non solo di questi report SOC 2, ma letteralmente di report intermedi in tempo reale"
Adam: Vado a tirare fuori la mia sfera di cristallo. Con un numero sempre maggiore di dati nel cloud, la sicurezza dei dati diventerà sempre più importante con il tempo. Penso che vedrai le aziende farlo prima, come stiamo già vedendo, a cui vengono richieste più spesso certificazioni di conformità e attestazione. E sarà semplicemente inserito nella cultura aziendale sin dal primo giorno. Ci sono un sacco di professioni e industrie là fuori in cui è richiesta una formazione extra sulla sicurezza e nessuno batte ciglio perché è appena capito. Ci sono rischi molto reali qui. E lo stesso si può dire per qualsiasi azienda di software che detenga dati nel cloud.
Penso che vedremo un monitoraggio più continuo, solo una vista in tempo reale dentro e fuori, e penso che le aziende saranno più trasparenti sulla condivisione, non solo di questi rapporti SOC 2, ma letteralmente di rapporti intermedi in realtà -tempo. Allo stesso modo in cui ci vantiamo del nostro stato di attività: ecco il nostro stato di sicurezza. E poi, ovviamente, non credo che sarei un co-fondatore e CEO di Drata se non pensassi che l'automazione sarebbe stata il metodo standard per le aziende che mantengono quella posizione di conformità alla sicurezza. Quindi vedremo.
Liam: Ovviamente è un momento davvero eccitante per tutti voi. Qual è il prossimo? Hai grandi progetti o progetti in arrivo?
Adam: Sì, è incredibile quanto sia passato velocemente l'anno. Abbiamo lanciato ufficialmente il 15 gennaio, quindi abbiamo raggiunto lo stato di unicorno molto rapidamente. Ma siamo ancora una startup per iniziare. Il nostro team triplicherà le dimensioni nel 2022. Quindi stiamo assumendo su tutta la linea, tutti i reparti. Se le persone là fuori che ascoltano sono interessate all'automazione e alla sicurezza, i nostri valori fondamentali sono sul nostro sito web. E se risuonano con te, ci piacerebbe che tu dessi un'occhiata alla nostra pagina delle carriere e ci piacerebbe entrare in contatto con te
Liam: Brillante. Nuovo anno, nuovo lavoro. Questa serie parla di come le aziende scalano la loro crescita. Prima di concludere, mi piacerebbe sapere, c'è stato un evento chiave nella tua carriera che ti ha aiutato a crescere professionalmente?
«È un tipo diverso di razzo, giusto? Entrambi sono molto intensi”
Adam: Impariamo così tanto ogni giorno e il nostro obiettivo è l'iterazione e il miglioramento continui. Quindi, primo consiglio, mi stavo solo circondando di mentori, consulenti, persone che sono state lì da cui avremmo potuto imparare ed essere aperto a questo. Dopo che il programma Space Shuttle è terminato e ho imparato a programmare e costruire la prima versione di Portfolium, stavo lavorando a un programma di accelerazione qui a San Diego chiamato EvoNexus. E questo ha davvero spinto le cose in overdrive. Ha messo immediatamente quelle persone intorno a me e ho avuto modo di imparare da loro. Ha davvero aiutato a mettere a posto i pezzi per prepararsi a tutto il futuro. Non credo che nulla potrebbe mai prepararti, ma aiuta sicuramente.
Liam: Cosa c'è di più teso ed eccitante? Scienziato missilistico o dirigente di un'azienda?
Adam: È un tipo diverso di razzo, giusto? Entrambi sono molto intensi.
Liam: E infine, dove possono andare i nostri ascoltatori per stare al passo con te e il tuo lavoro?
Adam: Sì, controlla il nostro sito drata.com. Feel free to schedule a live demo with our team and see the product in action. We'd love to show it. On LinkedIn, it's easy to find and follow; just search Drata. And then, on Twitter, at @DrataHQ.
Liam: Perfect. And thank you so much for joining us today.
Adam: Thank you so much for having me.
