사이버 보안 문화 조성에 대한 Drata의 CEO Adam Markowitz

게시 됨: 2022-05-06

점점 더 많은 데이터가 클라우드에 저장됨에 따라 고객의 데이터를 보호할 수 있다는 것을 입증하는 것은 단순히 있으면 좋은 것이 아니라 필수적입니다.

데이터 침해 및 사이버 공격에 대한 충분한 이야기가 있어 가장 유능한 보안 엔지니어도 뼛속까지 냉담합니다. 사이버 공격은 전년 대비 125% 증가했으며 기업이 부분 또는 전체 원격 설정으로 전환함에 따라 속도가 느려질 기미가 보이지 않습니다. 오늘날의 데이터 중심 SaaS 장면에서 이는 수억 명의 사용자에게 영향을 미치고 수십억 달러의 피해를 줄 수 있습니다. 규정 준수 프레임워크가 비즈니스를 수행하기 위한 요구 사항이 됨에 따라 기업은 신속하고 용이한 서비스를 제공할 수 있는 타사 서비스로 눈을 돌리고 있습니다. 프로세스. 그리고 아담 마코위츠와 같은 사람들이 등장합니다.

Adam은 기업이 고객 데이터를 보호하고 보안 상태를 지속적으로 모니터링하며 SOC 2, ISO 27001 및 기타 규정 준수 프로그램을 자동으로 따라갈 수 있도록 지원하는 회사인 Drata의 공동 설립자이자 CEO입니다. 2년이 되지 않았음에도 불구하고 Drata는 이미 1억 달러의 시리즈 B를 마감하여 유니콘 상태로 추진하고 10억 달러 가치를 달성하는 가장 빠른 회사 중 하나가 되었습니다. 사이버 보안 및 규정 준수가 요구되는 것으로 나타났습니다.

항공우주 엔지니어에서 기업가로 변신한 Adam은 신뢰를 얻는 가장 좋은 방법은 당신이 그럴 자격이 있음을 증명하는 것임을 일찍부터 배웠습니다. NASA의 Space Shuttle Main Engine에서 일한 후 그는 학생과 졸업생이 잠재적 고용주에게 전통적인 이력서 이상의 기술을 보여줄 수 있는 소셜 네트워킹 플랫폼인 Portfolium을 개발했습니다. 그러나 대학이 그들과 거래하기 전에 보안 태세에 대한 확신이 필요했습니다. 갑자기 팀은 SOC 2 Reports를 너무 잘 알게 되었고 특히 고성장 스타트업의 경우 이것이 얼마나 부담스럽고 ​​확장 불가능해질 수 있는지 깨달았습니다. 포트폴리오는 결국 인수되었지만 그 뒤에 있는 팀은 더 나은 방법에 대한 생각을 멈추지 않았습니다. 1년도 채 되지 않아 Drata가 출시되었습니다.

이 에피소드에서 우리는 Adam과 함께 SOC 2 프레임워크에 대한 모든 것, 처음부터 보안 문화를 만드는 방법, 골칫거리를 원활한 운영으로 바꾸는 데 자동화가 핵심적인 방법에 대해 배웠습니다.

다음은 대화에서 우리가 가장 좋아하는 내용입니다.

1. 최소한의 것이 되어가고 있다

고객이 민감한 데이터를 신뢰하지 않으면 비즈니스를 성장시킬 수 없습니다. 구두 보증과 악수만큼 좋은 것은 성장하고 더 확고한 기업 수준의 회사와 계약하려고 할수록 거래를 성사시키기 전에 규정 준수 증명을 제공해야 하는 자신을 점점 더 많이 알게 될 것입니다.

클라우드로의 전환, 점점 더 많은 데이터 침해 – 실제로 제3자 위험을 돋보이게 합니다. 그리고 그것은 우리가 여기에서 보고 있는 많은 것을 가져왔습니다. 이 있으면 좋은 것에서 꼭 있어야 하는 것으로 바뀌었습니다. 내가 귀하의 회사와 사업을 하려고 하고 귀하의 소프트웨어가 내 고객 데이터에 액세스하려는 경우 귀하가 데이터를 보호할 수 있는 적절한 통제 수단을 갖추도록 하는 것은 제 책임입니다.

2. 일찍 시작하라

사이버 보안 사고에 대한 Verizon의 분석에 따르면 성공적인 공격의 90%는 피싱에 있었습니다. 직원들에게 규정 준수 관행과 이러한 악성 이메일을 처음부터 발견하는 방법에 대해 교육을 시작하십시오. 직원이 보안 우선 사고 방식을 더 빨리 채택할수록 더 빨리 문화의 일부가 됩니다.

나는 요전에 이런 대화를 나눴고, 가장 좋은 비유는 아닐지 모르지만, 안전 벨트 없이 차를 운전하며 자란 세대가 있었습니다. 그리고 50년대에 그들은 이 새로운 것을 도입했고 저항이 있었습니다. 그런데 요즘은 어릴 때부터 어른이 되어 차에 타면 생각조차 하지 않는다. 안전벨트를 매고 마치 숨을 ​​쉬는 것 같다.

3. 자동화를 건너 뛰지 마십시오

보안은 온보딩 및 오프보딩에서 데이터 암호화 및 엔드포인트 관리에 이르기까지 회사 전체의 모든 기능에 영향을 미칩니다. Adam의 경험에 따르면 SOC 2 감사를 추적하기 위한 100~200개의 컨트롤이 있으므로 자동화를 활용하지 않으면 규정 준수에 연간 수백 시간을 보낼 수 있습니다.

자동화를 사용하지 않는다는 것은 회사 전체의 팀이 모든 증거를 지속적으로 반복적으로 수집한 다음 향후 감사를 위해 저장해야 한다는 것을 의미합니다. 그런 다음, 그들이 도중에 틈을 발견하면 틈이 일년 중 언제든지 형성될 수 있기 때문에 수정해야 합니다. 많은 사람들이 스프레드시트, 공유 폴더, 스크린샷에 살고 있습니다.

관심을 끌었나요? 확인할 수 있는 기사, 비디오 및 팟캐스트 목록을 수집했습니다.

  • 회사의 SOC 2 준비도 점수 매기기
  • SOC 2 준수: 초보자 가이드
  • 직원 3명에서 300명까지의 가장 큰 보안 문제에 대한 Evernote의 CTO
  • 링크드인 사건

고객 관계를 통한 비즈니스 성장에 대한 인터콤의 팟캐스트 시리즈 Scale입니다. 대화를 즐기고 다음 에피소드를 놓치고 싶지 않다면 iTunes, Spotify에서 팔로우를 누르거나 선택한 플레이어에서 RSS 피드를 가져오세요. 아래에서 명확성을 위해 가볍게 편집한 인터뷰의 전체 스크립트를 읽을 수도 있습니다.

자동 조종 장치의 보안

Liam Geraghty: Adam, 함께 해주셔서 감사합니다. 쇼에 오신 것을 진심으로 환영합니다.

Adam Markowitz: 저를 주셔서 감사합니다.

Liam: 먼저 축하드립니다. Drata는 최근 1억 달러의 벤처 캐피털 자금을 조달했으며, 이로 인해 평가가 10억 달러로 샌디에이고의 최신 스타트업 유니콘이 되었습니다. 기분이 어때?

Adam: 감사합니다. 회사가 12개월 이내에 시드에서 시리즈로 전환하는 속도가 매우 빠르기 때문에 여전히 약간 초현실적인 느낌이 듭니다. 하지만 이정표를 달성하고 여기 샌디에이고에서 하는 것은 위대하고 매우 보람된 일입니다. 우리의 이전 회사는 거의 10년 전에 여기 샌디에이고에서 설립되었으며 당시에는 매우 다른 기술 생태계였습니다. 그래서 그것이 진화하는 것을 보고 이 모든 시간 동안 그것의 일부가 된 것은 매우 보람 있는 일입니다. 그리고 드라타 자체도 대유행의 한가운데서 탄생했습니다. 우리는 회사를 설립할 수 있는 위치에 있는 것조차 행운이라고 느꼈고, 그 감사는 이 정말 전례 없는 한 해에 연료를 공급했습니다.

"램프 기간 없음, 서로를 알아가는 기간 없음 - 그냥 가자, 가자, 가자"

리암: 어땠어?

Adam: 다시 말하지만, 우리가 편안하게 느낄 수 있는 위치에 있다는 것입니다. 그것은 세상에서 일어나고 있는 일과 함께 우리에게 손실되지 않았습니다. 첫날에는 우리 중 꽤 많은 사람들이 그 회사에서 나왔습니다. 우리는 모두 너무 오랫동안 함께 일했기 때문에 일종의 좋은 불공평한 이점이었습니다. 램프 기간도, 서로를 알아가는 기간도 없습니다. 그냥 가자, 가자, 가자.

Liam: Drata는 무엇을 하나요?

Adam: Drata는 보안 제어에 대한 모니터링 및 증거 수집을 자동화하여 기업이 자동 조종 장치에 보안 및 규정 준수를 적용할 수 있도록 지원합니다. SOC 2, ISO 27001, HIPAA 등과 같은 감사를 간소화합니다. 이를 통해 기업은 연중 어느 날에도 실시간 보안 상태를 입증할 수 있으므로 영업 주기와 보안 검토를 가속화할 수 있습니다. 물론 감사가 더 빨라지고 비용이 적게 듭니다. 그리고 이를 통해 기업은 더 많은 기업에 대비할 수 있습니다.

Liam: 전체 지역이 새로운 공간입니다. 그 순간에 그것을 탐색하는 것은 어떻습니까?

Adam: 공간 자체는 새롭지만 한동안 가설이 세워진 공간입니다. 지속적인 규정 준수에 대한 약속은 수년간 떠돌아다녔습니다. 따라서 그 약속을 이행하는 것은 매우 흥미진진합니다. 그리고 당연히 도전적이어야 합니다. 나는 개인적으로 일찍 시작하는 것을 좋아하며 시장에서 기준을 매우 높게 설정할 기회를 사용합니다. 그리고 계속해서 팀과 함께 더 높이 밀어붙이기만 하면 됩니다.

로켓 과학에서 규정 준수까지

Liam: 당신은 보안 분야에서 시작하지 않았습니다. 당신이 전직 로켓 과학자라는 말이 옳습니까?

아담: 네, 재미있습니다. 로켓 과학자라고 불리는 저주는 당신이 인생에서 하는 모든 일과 모든 것에 대한 기준이 즉시 높아진다는 것입니다. 자동차가 즉시 시동되지 않고 수리합니다. "로켓 과학도 아니고 아무것도 아닙니다."

리암: 어땠어? 컴플라이언스 기술로 어떻게 전환했습니까?

Adam: 저는 우주 왕복선 프로그램, 특히 MCC 팀인 Main Combustion Chamber 팀에서 엔지니어로 경력을 시작했습니다. 마지막 셔틀 발사는 10년이 넘었으므로 외부에 있는 일부 사람들은 셔틀 발사를 본 것을 기억하지 못할 수도 있습니다. 하지만 만약 당신이 본다면 패드에 로켓이 있고 두 개의 로켓 부스터가 있고 그 다음에는 이 거인이 있습니다. 주황색 탱크. 그것이 이 세 가지 주요 엔진에 연료를 공급하는 연료 탱크이며, 이것이 제가 학부 졸업 후 작업한 것입니다. 로켓 엔진이 작동하는 방식을 설명하는 가장 좋은 방법은 제어된 폭발입니다. 따라서 어떻게 보느냐에 따라 공학적 꿈/악몽입니다.

"그것이 내가 우주 왕복선 프로그램에서 일하면서 그 직업을 갖게 된 방법입니다. 저는 취업 면접에 포트폴리오를 가져와서 저를 돋보이게 하고 GPA 이상의 기술을 증명할 수 있도록 했습니다."

Liam: 실제로 발사를 지켜보면 어떤 느낌이 드나요? 긴장되세요? 당신은 일종의 흥분?

Adam: 긴장된 흥분, 좋은 표현입니다. 모두가 우리가 하는 일을 좋아했습니다. 저는 어렸을 때부터 우주 비행사가 되고 싶었고 실제 우주 비행사가 사무실을 걸어다니는 것을 보고 싶었습니다. 특히 학부 졸업 후 첫 직장에서 그들이 안전하게 집에 갈 수 있도록 도와준 엔지니어들에게 감사드립니다.

Liam: 내가 거기에서 당신을 방해했지만 당신은 당신이 어떻게 이런 전환을 했는지 말해주고 있었습니다.

“학생들이 고용주로부터 신뢰를 얻을 수 있도록 먼저 대학에 보안 태세를 입증해야 했습니다.”

Adam: 그 경험은 2011년에 셔틀 프로그램이 중단되면서 끝이 났고 저는 항공우주에서 기업가 정신으로 도약했습니다. 나는 그들이 말하는 대로 뛰어들었습니다. 코딩을 배우고 MVP를 구축하여 포트폴리오라고 부르는 LinkedIn과 같은 학생들을 위한 ePortfolio 네트워크인 아이디어가 떠올랐습니다. 이것이 제가 실제로 Space Shuttle Program에서 일하면서 그 직업을 갖게 된 방법입니다. 저는 취업 면접에 포트폴리오를 가져와서 저를 돋보이게 하고 GPA 이상의 기술을 증명할 수 있도록 했습니다. 그래서 저는 어디에서나 학생들을 위해 그렇게 하고 그들이 입증된 기술을 바탕으로 꿈의 직업을 가질 수 있도록 돕고 싶었습니다. 나는 당신이 그럴 자격이 있다는 것을 먼저 증명함으로써 신뢰를 얻는 것을 굳게 믿습니다. 이 경우, 보다 의미 있는 방식으로 학생과 고용주를 연결하는 데 사용할 수 있는 풍부한 데이터가 포함된 ePortfolios의 기술에 대한 증거였습니다.

우리는 회사와 수백만 명의 학생 네트워크를 성장시켰고, 학습 평가 모듈을 대학에 판매함으로써 이를 가능하게 했습니다. 그리고 그 때 우리는 보안 태세를 입증하는 것의 중요성을 빨리 배웠습니다. 대학이 우리와 서명하고 민감한 학생 정보를 제공하기 전에 우리의 보안 태세에 대한 보증이 필요했기 때문입니다. 이를 증명하기 위한 표준은 SOC 2 보고서였으며 지금도 마찬가지입니다. 그래서, 당신은 증거로 신뢰를 얻는 이 주제를 여기에서 볼 수 있습니다. 그래서 학생들이 고용주로부터 신뢰를 얻을 수 있도록 먼저 대학에 보안 태세를 입증해야 했고 그 증거가 SOC 2 보고서였습니다. 포트폴리오는 2019년 2월에 인수되었으며, 우리 팀은 2020년에 작년에 다시 모여 기업이 자동화 우선 접근 방식으로 보안 규정 준수 태세를 유지하고 유지하고 증명할 수 있도록 지원하는 Drata를 구축했습니다.

SOC 2 101

Liam: 이제 SOC 2 규정 준수에 대해 알아보겠습니다. "세금에 대해 이야기해 봅시다" 또는 "인보이스 발행에 대해 이야기해 봅시다"라고 말하는 것과 비슷합니다. 하지만 매우 중요합니다. SOC 2 규정 준수가 실제로 무엇인지 소개할 수 있습니까?

Adam: 물론입니다. 다행입니다! 따라서 SOC 2는 프레임워크입니다. 미국공인회계사협회(American Institute of Certified Public Accountants)인 AICPA에서 만들고 유지 관리합니다. 따라서 CPA 회사의 감사인은 실제로 SOC 2 감사를 수행하고 SOC 2 감사의 결과는 SOC 2 보고서입니다. SOC 2는 Pass-Fail 인증이 아니라 정말 중요하고 흔한 오해입니다. 그 SOC 2 보고서는 증명이며, 이 인증된 독립적인 제3자 감사인이 제공하기 때문에 신뢰할 수 있는 보고서입니다. 그리고 기본적으로 고객의 데이터를 보호하는 것과 관련하여 회사 보안 제어의 설계 및 운영 효율성을 테스트하고 있습니다. 즉, SOC 2 보고서는 귀사가 고객 데이터를 얼마나 잘 보호하는지 자세히 설명하는 보고서입니다. 지금 소프트웨어를 판매하는 경우 클라우드에 데이터를 저장하거나 처리할 확률이 99.9%입니다. 그 때문에 보안 검토 프로세스의 일부로 SOC 2 보고서를 고객이나 잠재 고객에게 제공하라는 요청을 받는 것은 시간 문제입니다.

"내가 당신 회사와 사업을 하려고 하는데 당신의 소프트웨어가 내 고객의 데이터에 접근하려고 한다면 당신이 데이터를 보호할 수 있는 적절한 통제 수단을 갖추도록 하는 것이 내 책임입니다."

Liam: B2B 회사의 표준인가요?

아담: 여러 면에서 그렇습니다. 특히 여기 미국에서는 부분적으로 SOC 2가 클라우드에 데이터를 저장하거나 처리하는 모든 회사에 적용되기 때문입니다. 요즘에는 모든 회사, 절대적으로 모든 SaaS 회사에 적용됩니다. 그래서 많은 면에서 지금은 금본위제가 되었습니다. 보안 태세를 입증하기 위한 최소한의 기준과 같이 더욱 그렇습니다. 우리는 이것을 대학에 판매하는 포트폴리오에서 직접 목격했습니다. 짧은 기간 동안 SOC 2 보고서에 대한 이러한 요청은 빠르게 SOC 2 보고서에 대한 요청으로 바뀌었습니다. 그런 다음 우리가 접한 모든 RFP에 적용되었습니다. 클라우드로의 전환, 점점 더 많은 데이터 침해 – 실제로 제3자 위험에 돋보기를 제공합니다. 그리고 그것은 우리가 여기에서 보고 있는 많은 것을 가져왔습니다. 이 있으면 좋은 것에서 꼭 있어야 하는 것으로 바뀌었습니다.

Liam: B2B 회사가 규모를 확장함에 따라 SOC 2를 준수하는 것이 왜 그렇게 중요한가요? 그리고 더 큰 고객을 유치하고 유지하는 데 영향을 줍니까?

"자동화를 활용하지 않는 경우 일반적으로 기업은 규정 준수에 연간 수백 시간을 소비합니다."

아담: 네, 확실히요. 내가 귀하의 회사와 사업을 하려고 하고 귀하의 소프트웨어가 내 고객 데이터에 액세스하려는 경우 귀하가 데이터를 보호할 수 있는 적절한 통제 수단을 갖추도록 하는 것은 제 책임입니다. 말씀해 주시면 감사하겠습니다. 하지만 독립 감사 기자가 적절한 보안 프로그램을 가지고 있는지 확인하는 데 필요한 무게를 실제로 짊어질 것입니다. 내 감사관은 데이터를 제공하기 전에 내가 그 확신을 얻었는지 확인하기를 원할 것입니다. 그렇지 않으면 나는 내 자신의 통제를 따르지 않습니다.

Liam: 스타트업이 SOC 2를 준수하는 데 어려움이 있다는 이야기를 많이 읽었습니다. 그 이유는 무엇이며 변경되었습니까?

아담: 네, 물론입니다. 우리는 이것을 직접 경험했습니다. 자동화를 활용하지 않는 경우 일반적으로 기업은 규정 준수에 연간 수백 시간을 소비합니다. 그 이유를 설명하는 데 도움이 되도록 프레임워크 자체는 보안, 가용성, 기밀성, 개인 정보 보호 및 처리 무결성이라는 5가지 다른 신뢰 서비스 원칙으로 구성됩니다. 보안은 지금까지 다섯 가지 중 가장 크고 기술적으로 감사 및 보고에 필요한 유일한 것입니다. 그러나 5가지 각각에는 회사 전체에서 제어를 설계하고 구현하여 충족하거나 충족해야 하는 고유한 기준이 있습니다. 내가 그렇게 말할 때 많은 사람들이 내가 통제한다는 것이 무엇을 의미하는지 묻습니다. 통제는 나쁜 일이 일어나지 않도록 하거나 좋은 일이 일어나도록 하기 위해 마련한 정책, 프로세스, 도구로 생각할 수 있습니다. 저는 항상 그렇게 정의합니다. 또한 직원을 온보딩, 교육 및 오프보딩하는 방법, 엔드포인트를 관리하고 백업 데이터를 암호화하는 방법, 앱에 대한 액세스 권한을 프로비저닝하고 인증하는 방법, 코드를 검토하는 방법 등 회사 전체의 모든 기능에 적용됩니다. 저는 계속해서 진행할 수 있습니다.

"즉, 회사 전체의 팀이 모든 증거를 지속적으로 반복적으로 수집한 다음 향후 감사를 위해 저장해야 한다는 의미입니다."

회사는 SOC 2 감사를 위해 100~200개의 제어 장치를 갖추고 있습니다. 그런 다음 감사 자체에 시간이 오래 걸릴 수 있습니다. 기본적으로 감사자에게 이러한 통제가 있음을 증명해야 하고 가장 중요한 것은 감사 기간 동안 그대로 유지된다는 것입니다. 12개월 기간에 있다면 매 11개월마다 벼락치기를 할 수 있는 것이 아닙니다. 자동화를 사용하지 않는다는 것은 회사 전체의 팀이 모든 증거를 지속적으로 반복적으로 수집한 다음 향후 감사를 위해 저장해야 한다는 것을 의미합니다. 그런 다음, 그들이 도중에 틈을 발견하면 틈이 일년 중 언제든지 형성될 수 있기 때문에 수정해야 합니다. 그리고 예, 많은 사람들이 스프레드시트, 공유 폴더, 스크린샷에 살고 있습니다. 그것은 분명히 혼란에 매우 무르익었고 자동화의 형태로 왔습니다. 정말 달라진 점입니다. Drata는 이 자동화 우선 솔루션을 제공하여 회사에 연간 수백 시간을 절약한 다음 이러한 실시간 준비 대시보드를 제공하므로 신속하게 감사 준비 상태를 유지하고 연중 매일 감사 준비 상태를 유지할 수 있습니다.

Liam: 앞서 언급한 것처럼 회사와 고객 간의 신뢰에서 매우 중요한 부분이기 때문에 이는 매우 중요합니다.

아담: 맞아요. 그리고 그것은 마지막 회사 전체의 주제이기도 합니다. 다른 사람의 말을 받아들일 수도 있고 이력서의 글머리 기호를 읽을 수도 있지만 사람들이 자신의 기술을 증명하는 데 도움이 되기를 바랍니다. 그리고 마찬가지로, 여기에서 사람들이 감사 중에뿐만 아니라 연중 어느 날에도 통제가 어떻게 작동하는지 증거로 증명할 수 있기를 바랍니다. 그것은 자신의 팀, 이사회, 정신 건강을 위한 내부 보고서가 될 수 있지만 외부에서도 마찬가지입니다. 그것이 우리가 가는 길을 보는 곳입니다.

일찍 하라, 자주 하라

Liam: 기업은 어떻게 조직에 사이버 보안 문화를 조성할 수 있습니까? 우리 모두 알고 있듯이 보안은 더 이상 있으면 좋은 것이 아닙니다.

Adam: 개별 직원에게 권한을 부여하는 것이 핵심이라고 생각합니다. 직원들이 회사를 보호하는 데 있어 자신이 얼마나 중요한지 이해한다면 체크박스 같은 느낌이 아니라 자부심을 느낄 수 있는 부분입니다. 이보다 더 진실한 것은 없기 때문입니다. 피싱 공격은 2021년에도 여전히 데이터 유출의 가장 흔한 원인입니다. 약 90%입니다. 오타가 아닌지 확인하기 위해 다시 읽어야 했습니다. 직원들에게 이러한 악성 이메일을 탐지하는 방법에 대해 교육한 다음 연중 내내 테스트하는 것은 직원이 보안에 대한 소유권을 갖도록 권한을 부여할 수 있는 방법의 한 예입니다. 그리고 그로 인해 회사는 더 강력한 보안 태세를 갖추게 될 것입니다. 그게 핵심이라고 생각합니다.

"귀사의 통제가 일찍 이루어질수록 회사는 더 빨리 재단의 일부가 됩니다."

초기에 하는 것이 가장 중요하다고 생각합니다. 가능한 한 첫날부터 또는 최대한 하루 즈음에 구우면 제2의 천성이 됩니다. 변화에 대한 관성이나 저항이 훨씬 더 많아지면 나중에 새롭고 다른 것이 아닙니다. 요전에 이런 대화를 나눴는데, 가장 좋은 비유는 아닐지 모르지만, 안전 벨트 없이 차를 운전하며 자란 세대가 있었습니다. 그리고 50년대에 그들은 이 새로운 것을 도입했고 저항이 있었습니다. 그런데 요즘은 어릴 때부터 어른이 되어 차에 타면 생각조차 하지 않는다. 안전벨트를 매고 마치 숨을 ​​쉬는 것 같다. 나는 그것에 대해 생각하지 않습니다. 따라서 회사에서 더 일찍 통제가 이루어지면 더 빨리 재단의 일부가 됩니다.

Liam: 귀하의 비즈니스가 SOC 2 보고서를 요청받는 경우 사람들은 무엇을 알아야 합니까?

Adam: 가장 먼저 해야 할 일은 그것이 좋은 일이라는 것을 아는 것입니다. 묻는 사람은 회사와의 비즈니스를 진지하게 고려하고 있으며 이제 데이터를 보호하기 위해 올바른 일을 하고 있는지 확인해야 합니다. 둘째, SOC 2 보고서에 대한 요청을 받는 것이 이번이 처음인 경우 마지막이 아니며 그렇게 되어서도 안 됩니다. SOC 2 보고서가 없다면 시작할 때입니다. 그리고 다시, 빨리 할수록 더 빨라질 것이고, 더 저렴해질 것이고, 앞으로 유지하기가 더 쉬워질 것입니다. 물론 이 모든 것은 자동화를 활용하여 수행하는 것입니다.

Liam: 그리고 SOC 2는 인증이 아닙니다. 내 말이 맞아?

아담: 맞아. 증명서입니다.

Liam: 유형 1과 2의 두 가지 유형이 있습니다. 차이점은 무엇인가요?

Adam: 좀 더 혼란스럽게 하기 위해 SOC 1과 SOC 2 같은 것이 있습니다. SOC 2 Type 1과 SOC 2 Type 2에 대해 묻는 것 같습니다. 이는 훌륭한 질문이자 잠재 고객이 항상 묻는 질문입니다. . 둘 다 프레임워크 자체 측면에서 동일합니다. 차이점은 SOC 2 유형 1 감사 및 보고서가 매우 특정한 시점에 제어 설계를 보고 있다는 것입니다. 예를 들어, 오늘 준수합니까? SOC 2 Type 2는 컨트롤의 디자인을 살펴보고 있지만 일반적으로 12개월이라는 일정 기간 동안 이러한 컨트롤의 작동 효율성도 살펴봅니다.

그것만으로도 SOC 2 Type 2가 확실히 더 높은 바라고 상상할 수 있습니다. 더 오래 걸립니다. 일반적으로 더 비쌉니다. 일정 기간 동안에만 수행됩니다. 유형 1은 유형 2로 가는 도중에 할 수 있습니다. 우리는 고객이 가능한 한 빨리 보고가 필요할 때 이 작업을 수행하는 것을 보고 유형 1이 전혀 보고하지 않는 것보다 확실히 낫습니다. 또한 동일한 프레임워크이기 때문에 시간이나 작업을 낭비하지 않습니다. 기본적으로 유형 1 감사를 수행하여 모든 통제를 구현하는 동시에 유형 2에 대해 4~12개월 기간을 시작합니다. 사실, 우리와 파트너 관계를 맺은 일부 감사 회사는 가격을 묶음으로 묶기까지 합니다. 유형 1 및 유형 2이며 특정 시나리오에서 더 비용 효율적입니다. 그러나 다시 유형 2로 바로 갈 수 있습니다. 그것이 표준이기 때문입니다.

“훌륭한 훈련이며 이러한 모의 피싱 공격을 수행합니다. 그래서 우리는 의도적으로 직원을 무작위로 피싱합니다.”

Liam: Statista에 따르면 보고된 사이버 범죄로 인한 금전적 피해는 2020년에 42억 달러로 2015년의 4배에 달했습니다.

아담: 미쳤어.

Liam: 그래, 미쳤어. 그렇다면 기업 보안 시스템에 만연한 사각지대는 무엇일까요?

아담: 좋은 질문입니다. 오늘날 클라우드에는 그 어느 때보다 노출해야 할 데이터가 더 많습니다. 사람들을 놀라게 할 수 있는 것은 그 많은 부분이 여전히 피싱 공격과 같은 오래된 속임수라는 사실입니다. 내가 말했듯이, 피싱 공격은 2021년에도 여전히 데이터 침해의 90%입니다. 대부분의 보안 인식 교육 제공업체에는 피싱 이메일을 탐지하는 방법, 해야 할 일, 이메일을 받았을 때 하지 말아야 할 일에 대한 모듈과 과정이 있습니다. 그리고 SOC 2를 거치는 모든 회사가 마련해야 하는 보안 인식 교육이라는 공통 제어 기능이 있습니다. 우리는 Curricula라는 훌륭한 도구를 사용합니다. Drata와 통합됩니다. 하나의 예입니다. 그러나 이것은 훌륭한 훈련이며 그들은 이러한 모의 피싱 공격을 수행합니다. 그래서 우리는 의도적으로 직원을 무작위로 피싱합니다.

“이메일 하나, 직원 한 명만 있으면 됩니다.”

Liam: 나는 그들이 그것을 좋아할 것이라고 확신합니다.

Adam: 나는 그것이 실제인지 아닌지조차 알지 못합니다. 이는 연습의 일부입니다. 그러나 그것은 회사 내부에서 지속적으로 근육을 유연하게 만드는 방법입니다. 왜냐하면 모든 일과 마찬가지로 결코 하나가 되지 않기 때문입니다. 손가락을 튕겨도 안전합니다. 연습을 해야 합니다. 따라서 누군가가 이러한 링크와 가짜 이메일 중 하나를 클릭하면 즉시 "이봐, 당신은 피싱을 당했습니다. 자, 당신의 훈련을 기억하십시오"라고 말하지만 그 순간에도 여전히 가치가 있습니까?

나는 놀랐다. 우리는 얼마 전에 하나를 가졌습니다. Carta에서 온 이메일 같았습니다. 그리고 기본적으로 "최근 스톡옵션 부여를 축하합니다. 이사회에서 방금 승인했습니다. 여기에 서명하십시오.” 그리고 네, 그것은 뇌의 즉각적인 만족 중추를 바로 두드리는 것입니다. 얼마나 많은 사람들이 그 링크가 합법적인지 확인하지 않고 클릭하는 것에 놀랄 것입니다. 이것이 바로 이러한 침해의 90%가 발생하는 방식입니다. 이메일 한 명과 직원 한 명만 있으면 됩니다. 그것은 당신의 기초와 문화에 그것을 굽는 것에 대한 원래의 요점으로 돌아갑니다. 그만큼 회사의 모든 사람이 보안에 대한 소유권을 갖는 것이 중요합니다. 어느 한 사람의 일이 아니라 모두의 일이니까요.

스타트업으로서 보안 확장

Liam: 신생 기업의 청취자가 많다는 것을 알고 있습니다. 특히 SOC 2 준수가 되는 것과 관련하여 신생 기업에 어떤 조언을 해주실 것인지 묻고 싶었습니다. 소규모 스타트업에서 누가 SOC 2 프로세스를 관리해야 하나요?

아담: 좋은 질문입니다. 그리고 내 생각에 우리 마음속에 특별한 위치를 차지하고 있다고 생각하는 하나는, 하나, 하나는 우리가 여전히 스타트업이기 때문입니다. 하지만 이 Drata는 우리의 경우 대학에 판매하는 스타트업으로서 개인적인 필요에서 나온 것입니다. 그래서 많은 스타트업과 이야기를 나눴다. 우리가 주는 조언은 물론 기다리지 말라는 것입니다. 앞서 말했듯이 빨리 시작하십시오. 일찍 할수록 더 빠르고 저렴하며 유지 관리가 더 쉽습니다. 확실히 자동화를 활용하십시오. 수백 시간의 엔지니어링 시간을 절약할 수 있습니다. 특히 스타트업인 경우 제품 및 기타 우선 순위에 투자해야 합니다.

"회사가 성장함에 따라 더 많은 직원과 더 많은 자산을 추적할 수 있습니다."

그리고 다른 하나는 장기적으로 생각하는 것 같아요. "좋아, 이 확인란을 선택해야 합니다. 그렇지 않으면 이 빅 딜이 종료되지 않을 것입니다. 이 빅 딜은 게임을 바꿔놓을 것이며 우리 스타트업에 실존적입니다."라는 함정에 빠지기 쉽습니다. 빨리 할 수 ​​있는 방법이 있지만 장기적으로 도움이 되는 방법입니다. 이것은 통과 실패가 아닙니다. 기억. 예, 감사가 끝날 때 받는 보고서이며 깨끗하고 좋은 보고서를 원합니다. 보고서를 다른 사람에게 건네면 이를 통해 좋은 평가를 받을 수 있습니다. 그 중 많은 부분이 특히 신생 기업으로서 규정을 준수하거나 이 거래를 성사시켜야 하는 소음과 압력으로 인해 손실될 수 있습니다.

Liam: 스케일링 회사는 무엇을 알아야 합니까? 상당히 다른 도전이 있을 수 있다고 생각합니다.

Adam: 따라서 이미 SOC 2 보고서가 있고 스프레드시트를 사용하거나 스프레드시트와 스크린샷을 사용하고 있다면 이미 확장할 수 없는 고통을 느끼고 있을 것입니다. 회사가 성장함에 따라 더 많은 직원, 더 많은 자산, 더 많은 추적 대상이 있습니다. 감사 범위 내에 더 많은 자산이 있으므로 자동화는 실제로 시간이 지남에 따라 더욱 가치가 높아집니다. 따라서 소급하여 수동으로 증거를 수집하지 않도록 자동화를 활용하고 지속적인 모니터링을 실시해야 할 더 많은 이유가 있습니다. 직원이 오고감에 따라 격차가 형성되는 부분을 실시간으로 파악하거나 자산을 자동으로 늘리거나 줄입니다. 예, 다르지만 매우 유사한 사용 사례입니다.

"컨트롤을 지속적으로 모니터링한 다음 실시간으로 격차가 발생할 때 이를 식별하고 경고하는 것이 고유합니다."

Liam: Drata가 사람들을 위한 SOC 2 프로세스를 단순화하고 자동화하는 데 어떻게 도움이 되는지 듣고 싶습니다.

아담: 네, 물론입니다. 그래서 우리는 이를 종단 간 솔루션으로 구축했습니다. 회사는 처음부터 감사 준비, 감사 자체, 자동화와 함께 진행되는 지속적인 유지 관리에 이르기까지 모든 과정을 수행할 수 있습니다. Drata는 고객의 기술 스택에 연결합니다. 컨트롤을 지속적으로 모니터링한 다음 실시간으로 격차가 발생할 때 이를 식별하고 경고하는 것이 고유합니다. 그리고 SOC 2, ISO 27001, HIPAA 등과 같은 프레임워크 전반에 걸쳐 사전 매핑되는 이러한 모든 제어의 증거를 자동으로 수집할 것입니다. 따라서 처음부터 시작하는 경우 Drata 내의 공통 제어 프레임워크와 보안 정책 템플릿을 활용하여 기초를 매우 빠르게 설정할 수 있습니다. 직원이 50명 미만인 회사는 말 그대로 처음부터 몇 주 만에 감사 준비 상태로 전환되었습니다. 이것이 바로 자동화의 힘입니다.

그런 다음 Drata는 또한 매우 간소화된 방식으로 Drata를 사용하여 감사를 수행하도록 훈련된 감사 회사와 파트너 관계를 맺습니다. 이를 통해 모든 사람의 시간이 절약되고 감사 비용이 저렴해집니다. 특히 보람찬 여행이었습니다. 그것은 우리 자신의 개인적인 필요에서 오는 것입니다. 그리고 우리 팀, 특히 모든 고객과 함께 일하는 고객 성공 팀이 있습니다. 전직 감사자, 보안 전문가, 직원이 있어 고객의 여정을 안내합니다. 모든 소프트웨어가 전부는 아닙니다. 분명히 자동화가 핵심입니다.

데이터 보안의 미래

Liam: 마치기 직전에 데이터 보안의 미래는 무엇입니까? 항상 힘든 싸움이 될 것입니까?

"회사들은 이러한 SOC 2 보고서뿐만 아니라 말 그대로 실시간으로 중간 보고서를 공유하는 것에 대해 더 투명해질 것이라고 생각합니다."

Adam: 수정 구슬을 꺼내겠습니다. 클라우드에 점점 더 많은 데이터가 저장됨에 따라 데이터 보안은 시간이 지날수록 더욱 중요해질 것입니다. 우리가 이미 보고 있는 것처럼 회사가 더 일찍 규정 준수 및 증명 인증을 요청받는 것을 보게 될 것이라고 생각합니다. 그리고 그것은 첫날부터 회사 문화에 바로 구워질 것입니다. 추가 보안 교육이 필요하고 이해하기 때문에 아무도 눈을 떼지 않는 많은 직업과 산업이 있습니다. 여기에는 매우 현실적인 위험이 있습니다. 클라우드에 데이터를 보관하는 모든 소프트웨어 회사도 마찬가지입니다.

나는 우리가 더 많은 지속적인 모니터링, 내부 외부 실시간 보기를 보게 될 것이라고 생각합니다. 그리고 회사는 이러한 SOC 2 보고서뿐만 아니라 말 그대로 실제 보고서의 중간 보고서 공유에 대해 더 투명해질 것이라고 생각합니다. -시각. 우리가 가동 시간 상태에 대해 자랑하는 것과 같은 방식으로 – 여기에 우리의 보안 상태 상태가 있습니다. 그리고 물론 자동화가 보안 규정 준수 태세를 유지하는 회사의 표준 방법이 될 것이라고 생각하지 않았다면 제가 Drata의 공동 설립자이자 CEO가 될 것이라고 생각하지 않습니다. 그래서 우리는 볼 것입니다.

Liam: 분명히 여러분 모두에게 정말 흥미로운 시간입니다. 무엇 향후 계획? 진행 중인 큰 계획이나 프로젝트가 있습니까?

Adam: 예, 한 해가 얼마나 빨리 지나갔는지 놀랍습니다. 우리는 1월 15일에 공식적으로 런칭했고, 그래서 우리는 그 유니콘의 지위에 매우 빨리 도달했습니다. 그러나 우리는 아직 시작하는 스타트업에 가깝습니다. 우리 팀은 2022년에 3배 규모로 성장할 것입니다. 그래서 우리는 전반적으로 모든 부서를 고용하고 있습니다. 자동화 및 보안에 관심이 있는 사람들이 있다면 당사 웹사이트에 핵심 가치가 있습니다. 그리고 그들이 당신과 공감한다면, 우리는 당신이 우리의 직업 페이지를 살펴보고 당신과 연결하고 싶습니다.

리암: 훌륭해. 새해, 새 직장. 이 시리즈는 기업이 성장을 확장하는 방법을 듣는 것에 관한 것입니다. 마무리하기 전에 전문적으로 확장하는 데 도움이 된 주요 사건이 경력에서 있었는지 알고 싶습니다.

"다른 종류의 로켓이죠? 둘 다 너무 강렬해”

Adam: 우리는 매일 너무 많은 것을 배우고, 우리는 단지 지속적인 반복과 개선에 관한 것입니다. 그래서 초기 조언은 멘토, 조언자, 그곳에서 우리가 배울 수 있고 개방적인 사람들로 둘러싸여 있었습니다. Space Shuttle Program이 종료되고 Portfolium의 첫 번째 버전을 작성하고 작성하는 법을 배운 후 저는 EvoNexus라는 샌디에이고의 액셀러레이터 프로그램에서 일하고 있었습니다. 그리고 그것은 정말로 일을 과도하게 몰아넣었습니다. 그것은 그 사람들을 즉시 내 주변에 두었고 나는 그들에게서 배울 수 있었습니다. 앞의 모든 것을 준비하기 위해 조각을 제자리에 두는 데 정말 도움이 되었습니다. 아무것도 준비할 수 없다고 생각하지만 확실히 도움이 됩니다.

Liam: 뭐가 더 긴장되고 신나요? 로켓 과학자 또는 회사를 운영 중이신가요?

Adam: 다른 종류의 로켓이죠? 둘 다 매우 강렬합니다.

Liam: 그리고 마지막으로, 청취자들이 당신과 당신의 작업을 따라갈 수 있는 곳은 어디인가요?

Adam: 예, drata.com 사이트를 확인하십시오. Feel free to schedule a live demo with our team and see the product in action. We'd love to show it. On LinkedIn, it's easy to find and follow; just search Drata. And then, on Twitter, at @DrataHQ.

Liam: Perfect. And thank you so much for joining us today.

Adam: Thank you so much for having me.

scale-podcast-horizontal-ad