Prezes Draty Adam Markowitz o tworzeniu kultury cyberbezpieczeństwa
Opublikowany: 2022-05-06Ponieważ coraz więcej danych jest przechowywanych w chmurze, udowodnienie, że możesz chronić dane swoich klientów, jest nie tylko czymś, co warto mieć – to podstawa.
Jest wystarczająco dużo historii o naruszeniach bezpieczeństwa danych i atakach cybernetycznych, aby zmrozić nawet najsprytniejszego inżyniera bezpieczeństwa do szpiku kości. Cyberataki wzrosły o 125% w porównaniu z poprzednim rokiem, a ponieważ firmy przechodzą na ustawienia częściowo lub całkowicie zdalne, nie widać oznak spowolnienia. Na dzisiejszej, opartej na danych scenie SaaS mogą one wpływać na setki milionów użytkowników i powodować szkody liczone w miliardach dolarów, a ponieważ ramy zgodności stają się wymogiem prowadzenia działalności, firmy zwracają się do usług innych firm, które mogą przyspieszyć i ułatwić proces. I tu właśnie pojawiają się ludzie tacy jak Adam Markowitz.
Adam jest współzałożycielem i dyrektorem generalnym Drata, firmy, która pomaga firmom chronić dane swoich klientów, stale monitorować ich stan bezpieczeństwa i automatycznie nadążać za SOC 2, ISO 27001 i innymi programami zgodności. Mimo że Drata nie ma nawet dwóch lat, zamknęła już serię B o wartości 100 milionów dolarów, co doprowadziło ją do statusu jednorożca i uczyniło ją jedną z najszybszych firm, która osiągnęła wycenę 1 miliarda dolarów. Okazuje się, że cyberbezpieczeństwo i zgodność są pożądane.
Jako inżynier lotnictwa, który stał się przedsiębiorcą, Adam wcześnie nauczył się, że najlepszym sposobem na zdobycie zaufania jest udowodnienie, że na nie zasługujesz. Po pracy nad głównym silnikiem wahadłowca kosmicznego NASA, stworzył Portfolium, platformę społecznościową, która umożliwia studentom i absolwentom zaprezentowanie potencjalnym pracodawcom umiejętności wykraczających poza tradycyjne CV. Ale zanim uniwersytety zaczęły z nimi robić interesy, potrzebowały pewności co do swojej postawy bezpieczeństwa. Nagle zespół poznał raporty SOC 2 aż za dobrze i zdał sobie sprawę, jak uciążliwe i nieskalowalne może się to stać, zwłaszcza dla szybko rozwijających się startupów. Ostatecznie nabyto Portfolium, ale zespół stojący za nim nigdy nie przestał myśleć o lepszym sposobie na zrobienie tego. Niecały rok później wystartowała Drata.
W tym odcinku usiedliśmy z Adamem, aby dowiedzieć się wszystkiego o frameworku SOC 2, jak stworzyć od podstaw kulturę bezpieczeństwa i jak automatyzacja jest kluczem do przekształcenia bólu głowy w płynne działanie.
Oto niektóre z naszych ulubionych wniosków z rozmowy:
1. To staje się absolutnym minimum
Nie możesz rozwijać swojej firmy, jeśli Twoi klienci nie ufają Ci swoimi wrażliwymi danymi. I tak miłe jak ustne zapewnienia i uścisk dłoni, w miarę rozwoju i próby podpisania umowy z bardziej ugruntowanymi firmami na poziomie korporacyjnym, będziesz musiał coraz częściej przedstawiać dowody zgodności przed zawarciem umowy:
Przejście do chmury, coraz więcej naruszeń danych – to naprawdę zwiększa ryzyko osób trzecich. I to doprowadziło do wielu tego, co tu widzimy, przechodząc od tego, co miło mieć, do tego, co trzeba mieć. Jeśli mam zamiar robić interesy z Twoją firmą, a Twoje oprogramowanie ma uzyskać dostęp do danych moich klientów, moim obowiązkiem jest zapewnienie, że masz odpowiednie środki kontroli, aby je chronić.
2. Zacznij wcześnie
Przeprowadzona przez firmę Verizon analiza incydentów związanych z cyberbezpieczeństwem wykazała, że phishing był odpowiedzialny za 90% udanych ataków, co oznacza, że 9 razy na 10 można im bardzo zapobiec. Zacznij szkolić swoich pracowników w zakresie praktyk zgodności i sposobów wykrywania złośliwych wiadomości e-mail od pierwszego dnia — im szybciej przyjmą nastawienie na bezpieczeństwo, tym szybciej stanie się ono częścią kultury.
Niedawno prowadziłem tę rozmowę i może nie jest to najlepsza analogia, ale było całe pokolenie, które dorastało, jeżdżąc samochodami bez pasów bezpieczeństwa. A potem, w latach 50., wprowadzili tę nową rzecz i pojawił się opór. Ale dzisiaj, dorastając od pierwszego dnia, nawet o tym nie myślę, kiedy wsiadam do samochodu. Zapina się pas bezpieczeństwa i jest jak oddychanie.
3. Nie pomijaj automatyzacji
Bezpieczeństwo wpływa na każdą funkcję w Twojej firmie: od dołączania i oddalania po szyfrowanie danych i zarządzanie punktami końcowymi. Z doświadczenia Adama wynika, że istnieje od 100 do 200 kontroli, które pozwalają śledzić przebieg audytu SOC 2, więc jeśli nie wykorzystujesz automatyzacji, możesz spędzać setki godzin rocznie na sprawdzaniu zgodności:
Jeśli nie korzystasz z automatyzacji, oznacza to, że zespoły w Twojej firmie mają za zadanie nieprzerwanie, wielokrotnie zbierać wszystkie dowody, a następnie przechowywać je na potrzeby przyszłych audytów. A potem, jeśli po drodze znajdą luki, ponieważ luki mogą powstać każdego dnia w roku, muszą zaradzić. W arkuszach kalkulacyjnych, folderach współdzielonych, zrzutach ekranu jest mnóstwo ludzi.
Zainteresowałeś się? Zebraliśmy listę artykułów, filmów i podcastów, które możesz sprawdzić:
- Ocena gotowości firmy do SOC 2
- Zgodność z SOC 2: Przewodnik dla początkujących
- CTO Evernote ds. Twoich największych problemów związanych z bezpieczeństwem Od 3 do 300 pracowników
- Incydent na LinkedIn
To jest Scale, seria podcastów Intercomu na temat napędzania rozwoju biznesu poprzez relacje z klientami. Jeśli lubisz rozmowę i nie chcesz przegapić przyszłych odcinków, po prostu kliknij śledź w iTunes, Spotify lub pobierz kanał RSS w wybranym odtwarzaczu. Możesz również przeczytać pełny transkrypcja wywiadu, który został lekko zredagowany dla jasności, poniżej.
Bezpieczeństwo na autopilocie
Liam Geraghty: Adam, bardzo dziękuję za przyłączenie się do nas. Serdecznie zapraszamy na pokaz.
Adam Markowitz: Dziękuję za zaproszenie.
Liam: Po pierwsze, gratulacje są w porządku. Drata niedawno zebrała 100 milionów dolarów z funduszy venture capital, co moim zdaniem sprawia, że jest to najnowszy jednorożec startupowy San Diego z wyceną 1 miliarda dolarów. Jakie to uczucie?
Adam: Dziękuję, wciąż wydaje się to trochę surrealistyczne, głównie ze względu na to, jak szybko firma przeszła od nasion do serii, wszystko w ciągu 12 miesięcy. Ale to wspaniałe i super satysfakcjonujące osiągnięcie kamienia milowego i zrobienie tego tutaj, w San Diego. Nasza poprzednia firma została założona w San Diego prawie 10 lat temu i wtedy był to zupełnie inny ekosystem technologiczny. Tak więc obserwowanie, jak ewoluuje i bycie jego częścią przez cały ten czas, jest bardzo satysfakcjonujące. A także sama Drata narodziła się w samym środku pandemii. Czuliśmy się szczęśliwi, że mogliśmy nawet założyć firmę, kiedy to zrobiliśmy, a to uznanie właśnie podsyciło ten naprawdę bezprecedensowy rok.
„Bez okresu rampy, okres bez wzajemnego poznawania się – to było po prostu idź, idź, idź”
Liam: Jak to było?
Adam: To znowu było po prostu bycie w pozycji, w której czuliśmy się komfortowo, aby to zrobić. Nie umknęło nam to w związku z tym, co działo się na świecie. Pierwszego dnia wielu z nas wyszło z tej firmy. Wszyscy pracowaliśmy razem tak długo, że była to miła, niesprawiedliwa przewaga. Bez okresu rampy, bez okresu wzajemnego poznawania się – to było po prostu idź, idź, idź.
Liam: Co robi Drata?
Adam: Drata pomaga firmom zapewnić bezpieczeństwo i zgodność z autopilotem, jak to nazywamy, automatyzując monitorowanie i zbieranie dowodów z ich kontroli bezpieczeństwa. Usprawnianie audytów, takich jak SOC 2, ISO 27001, HIPAA i inne. Umożliwia firmom udowodnienie stanu bezpieczeństwa w czasie rzeczywistym w dowolnym dniu w roku, co przyspiesza ich cykle sprzedaży i przeglądy bezpieczeństwa. Oczywiście sprawia to również, że audyty przebiegają szybciej i są tańsze. A następnie pozwala firmom być bardziej gotowym do przedsiębiorczości.
Liam: Cały teren to nowa przestrzeń. Jak to jest nawigować w tej chwili?
Adam: Przestrzeń sama w sobie jest nowa, ale już od jakiegoś czasu istnieje hipoteza. Obietnica ciągłej zgodności krążyła od lat. Dotrzymanie tej obietnicy jest więc bardzo ekscytujące. I oczywiście trudne – tak jak powinno być. Osobiście uwielbiam być wcześnie i korzystać z okazji, aby ustawić poprzeczkę naprawdę wysoko na rynku. I po prostu dalej pchaj to wyżej wraz z zespołem.
Od nauki o rakietach do zgodności
Liam: Jednak nie zaczynałeś w bezpieczeństwie. Czy mam rację mówiąc, że jesteś byłym naukowcem rakietowym?
Adam: Tak, to zabawne. Przekleństwem bycia nazywanym naukowcem rakietowym jest to, że poprzeczka jest natychmiast podnoszona za wszystko, co robisz w życiu. Samochód nie uruchomi się od razu, napraw to – „to nie jest nauka o rakietach ani nic takiego”.
Liam: Jak to było? Jak przeszedłeś na technologię zgodności?
Adam: Karierę zaczynałem jako inżynier w programie Space Shuttle, konkretnie w zespole MCC, w zespole głównej komory spalania. Ostatni start promu miał miejsce ponad dekadę temu, więc niektórzy ludzie mogą nie pamiętać, że widzieli start promu, ale jeśli to zrobisz, zobaczysz rakietę na lądowisku, masz dwa dopalacze rakietowe, a potem jest ten olbrzym pomarańczowy zbiornik. To zbiornik paliwa zasilający te trzy główne silniki i nad tym pracowałem po studiach. Najlepszym sposobem na opisanie działania silnika rakietowego jest po prostu kontrolowana eksplozja. Więc to inżynierski sen/koszmar, w zależności od tego, jak na to spojrzysz.
„W ten sposób dostałem tę pracę, pracując w programie promu kosmicznego – wniosłem portfolio do moich rozmów kwalifikacyjnych, aby pomóc mi się wyróżnić i udowodnić, że moje umiejętności wykraczają poza GPA”
Liam: Jakie to uczucie, kiedy faktycznie oglądasz premierę? Czy jesteś spięty? Czy jesteś podekscytowany?
Adam: Napięte podekscytowanie, to dobry sposób na określenie. Wszyscy kochali to, co robiliśmy. Od dzieciństwa chciałem być astronautą i mieć prawdziwego żywego astronautę spacerującego po biurze, dziękującego inżynierom za pomoc w bezpiecznym powrocie do domu, zwłaszcza, że twoja pierwsza praca po ukończeniu studiów jest absolutnie niesamowita.
Liam: Trochę ci przerwałem, ale mówiłeś mi, jak dokonałeś tego przejścia.
„Aby pomóc studentom zdobyć zaufanie pracodawców, musieliśmy najpierw udowodnić uczelniom naszą postawę bezpieczeństwa”
Adam: Doświadczenie skończyło się w 2011 roku, kiedy program wahadłowców został wycofany i przeskoczyłem z lotnictwa do przedsiębiorczości. Zaryzykowałem, jak mówią. Nauczyłem się kodować i zbudowałem MVP, którego nazywałem Portfolium, czyli podobną do LinkedIn sieć ePortfolio dla studentów, i pojawił się pomysł. Tak właśnie dostałem tę pracę, pracując w programie promu kosmicznego – wniosłem portfolio do moich rozmów kwalifikacyjnych, aby pomóc mi się wyróżnić i udowodnić swoje umiejętności wykraczające poza GPA. Chciałem więc zrobić to dla studentów na całym świecie i pomóc im znaleźć wymarzoną pracę opartą tylko na ich sprawdzonych umiejętnościach. Jestem wielkim zwolennikiem zdobywania zaufania, najpierw udowadniając, że na nie zasługujesz. W tym przypadku był to dowód na umiejętności w tych ePortfolio, które były bogate w dane, które mogliśmy wykorzystać do lepszego dopasowania uczniów do pracodawców.
Rozwijaliśmy firmę i sieć milionów studentów, sprzedając moduł oceny uczenia się uniwersytetom. I wtedy szybko nauczyliśmy się, jak ważne jest udowodnienie naszej postawy bezpieczeństwa. Ponieważ zanim uczelnia podpisała się z nami i przekazywała poufne informacje o studentach, potrzebowała zapewnienia naszej postawy bezpieczeństwa. Złotym standardem dla udowodnienia, że był i nadal jest raport SOC 2. Tak więc widzisz ten motyw tutaj, zdobywając zaufanie dowodem. Tak więc, aby pomóc studentom zdobyć zaufanie pracodawców, musieliśmy najpierw udowodnić uczelniom naszą postawę w zakresie bezpieczeństwa, czego dowodem był raport SOC 2. Portfolium zostało przejęte w lutym 2019 r., a nasz zespół ponownie zebrał się w zeszłym roku w 2020 r., aby zbudować Drata, aby pomóc firmom wstać, utrzymać i udowodnić swoją postawę w zakresie zgodności z bezpieczeństwem, stosując podejście ukierunkowane na automatyzację.
SOC 2 101
Liam: Przejdźmy więc do zgodności z SOC 2, co, jak wiem, przypomina trochę „porozmawiajmy o podatkach” lub „porozmawiajmy o fakturowaniu”. Ale to bardzo ważne. Czy możesz nam przedstawić, czym naprawdę jest zgodność z SOC 2?
Adam: Jasne, cieszę się! Tak więc SOC 2 to framework. Jest tworzony i utrzymywany przez AICPA, czyli Amerykański Instytut Biegłych Rewidentów. Tak więc audytorzy z firm CPA faktycznie przeprowadzają audyty SOC 2, a wynikiem każdego audytu SOC 2 jest raport SOC 2. SOC 2 nie jest certyfikacją pass-fail, co jest naprawdę ważne i powszechnym błędem. Ten raport SOC 2 jest poświadczeniem i jest godny zaufania, ponieważ pochodzi od tego certyfikowanego, niezależnego audytora zewnętrznego. Zasadniczo testuje projekt i skuteczność działania mechanizmów kontroli bezpieczeństwa Twojej firmy, jeśli chodzi o ochronę danych klientów. Innymi słowy, raport SOC 2 to raport szczegółowo opisujący, jak dobrze Twoja firma chroni dane swoich klientów. Jeśli sprzedajesz oprogramowanie dzisiaj, istnieje 99,9% szans, że przechowujesz lub przetwarzasz dane w chmurze. Z tego powodu to tylko kwestia czasu, zanim zostaniesz poproszony o dostarczenie raportu SOC 2 swoim klientom lub potencjalnym klientom w ramach ich procesu oceny bezpieczeństwa.
„Jeśli mam zamiar prowadzić interesy z Twoją firmą, a Twoje oprogramowanie ma uzyskać dostęp do danych moich klientów, moim obowiązkiem jest zapewnienie, że masz odpowiednie środki kontroli w celu ich ochrony”
Liam: A czy to standard dla firm B2B?
Adam: Pod wieloma względami tak. Zwłaszcza tutaj w USA, częściowo dlatego, że SOC 2 ma zastosowanie do każdej firmy, która przechowuje lub przetwarza dane w chmurze, a w dzisiejszych czasach jest to każda firma, absolutnie wszystkie firmy SaaS. Pod wieloma względami stał się teraz złotym standardem. Tym bardziej przypomina minimalną poprzeczkę, aby udowodnić swoją postawę bezpieczeństwa. Byliśmy tego świadkami na własnej skórze podczas sprzedaży portfela na uniwersytety; w bardzo krótkim czasie te prośby o nasz raport SOC 2 szybko przekształciły się w żądania naszego raportu SOC 2. A potem był po prostu wypiekany w każdym zapytaniu ofertowym, z którym się spotkaliśmy. Przejście do chmury, coraz więcej naruszeń danych – to naprawdę zwiększa ryzyko osób trzecich. I to doprowadziło do wielu tego, co tu widzimy, przechodząc od tego, co miło mieć, do tego, co trzeba mieć.
Liam: Dlaczego tak ważne jest, aby firmy B2B były zgodne z SOC 2 w miarę ich skalowania? I czy wpływa to na ich przyciąganie i zatrzymywanie większych klientów?
„Jeśli nie wykorzystujesz automatyzacji, zazwyczaj firmy spędzają setki godzin rocznie na zapewnianiu zgodności”
Adam: Tak, zdecydowanie. Jeśli mam zamiar robić interesy z Twoją firmą, a Twoje oprogramowanie ma uzyskać dostęp do danych moich klientów, moim obowiązkiem jest zapewnienie, że masz odpowiednie środki kontroli, aby je chronić. Jeśli dasz mi swoje słowo, to świetnie, ale niezależny reporter naprawdę poniesie ciężar niezbędny, by zapewnić mnie, że masz odpowiedni program bezpieczeństwa. Moi audytorzy będą chcieli upewnić się, że otrzymałem to zapewnienie, zanim przekażą ci jakiekolwiek dane. W przeciwnym razie nie kieruję się własną kontrolą.
Liam: Dużo czytałem o trudnościach związanych ze spełnieniem wymagań SOC 2 przez startupy. Dlaczego tak było i czy to się zmieniło?
Adam: Tak, absolutnie. Doświadczyliśmy tego na własnej skórze. Jeśli nie wykorzystujesz automatyzacji, zazwyczaj firmy poświęcają na zgodność setki godzin rocznie. Aby pomóc wyjaśnić dlaczego, sama struktura składa się z pięciu różnych zasad usługi zaufania: bezpieczeństwo, dostępność, poufność, prywatność i integralność przetwarzania. Bezpieczeństwo jest jak dotąd największym z pięciu i technicznie jedynym wymaganym do audytu i raportu. Ale każdy z pięciu ma swoje własne kryteria, które Twoja firma musi spełnić lub spełnić, projektując, a następnie wdrażając kontrole w całej firmie. Wiele razy, kiedy to mówię, ludzie pytają, co rozumiem przez kontrolę. Możesz myśleć o kontroli jako o polityce, procesie, narzędziu, które wprowadzasz, aby zapobiec zdarzeniu się złego lub zapewnić, że dzieje się coś dobrego. Tak zawsze to definiuję. I obejmuje wszystkie funkcje w Twojej firmie: jak wprowadzasz, szkolisz i usuwasz pracowników, jak zarządzasz punktami końcowymi i szyfrujesz dane kopii zapasowych, jak zapewniasz dostęp i uwierzytelniasz aplikacje, przeglądaj kod… Mogę kontynuować.
„Oznacza to, że zespoły w Twojej firmie mają za zadanie ciągłe, powtarzalne zbieranie każdego materiału dowodowego, a następnie przechowywanie go do przyszłych audytów”
Firmy stosują od 100 do 200 kontroli przechodzących do audytu SOC 2. A potem sam audyt może zająć dużo czasu, ponieważ zasadniczo musisz udowodnić audytorowi, że te kontrole istnieją, a co najważniejsze, pozostają na swoim miejscu przez cały okres audytu. To nie jest coś, co można po prostu wkuwać co jedenasty miesiąc, jeśli jesteś w okresie 12 miesięcy. Jeśli nie korzystasz z automatyzacji, oznacza to, że zespoły w Twojej firmie mają za zadanie nieprzerwanie, wielokrotnie zbierać wszystkie dowody, a następnie przechowywać je na potrzeby przyszłych audytów. A potem, jeśli po drodze znajdą luki, ponieważ luki mogą powstać każdego dnia w roku, muszą zaradzić. I tak, po prostu wiele osób żyjących w arkuszach kalkulacyjnych, folderach udostępnionych, zrzutach ekranu. Wyraźnie jest bardzo dojrzała do zakłócenia, a to przybrało formę automatyzacji. To naprawdę się zmieniło. Firma Drata wprowadza to rozwiązanie zorientowane na automatyzację, aby zaoszczędzić firmom setki godzin rocznie, a następnie udostępnia im pulpity gotowości w czasie rzeczywistym, dzięki czemu można szybko przygotować się do audytu i zachować gotowość do audytu każdego dnia w roku.
Liam: To bardzo ważne, ponieważ, jak wspomniałeś wcześniej, jest to tak ważna część zaufania między firmą a jej klientami.
Adam: Dokładnie. I to jest motyw przewodni całej ostatniej firmy. Możesz wierzyć komuś na słowo, możesz przeczytać wypunktowanie w jego CV, ale chcemy, aby pomogło ludziom udowodnić swoje umiejętności. I podobnie, tutaj chcemy, aby ludzie mogli udowodnić dowodami, nie tylko podczas audytów, ale każdego dnia w roku, jak działają ich kontrole. Może to być raport wewnętrzny dla ich własnego zespołu, dla ich zarządu, dla ich własnego zdrowia psychicznego, ale także na zewnątrz. Właśnie tam widzimy biegnącą ścieżkę.
Rób to wcześnie, rób to często
Liam: Jak firmy mogą zajmować się tworzeniem kultury cyberbezpieczeństwa w swojej organizacji? Ponieważ, jak wszyscy wiemy, bezpieczeństwo nie jest już tylko czymś, co warto mieć.
Adam: Myślę, że wzmocnienie pozycji poszczególnych pracowników jest kluczowe. Jeśli pracownicy zrozumieją, jak ważni są w ochronie swojej firmy, mogą być z tego dumni, a nie tylko odrywać się. Ponieważ nic nie może być bardziej prawdziwe. Ataki phishingowe nadal są najczęstszą przyczyną naruszeń danych w 2021 roku. To około 90% – musiałem przeczytać to ponownie, aby upewnić się, że nie była to literówka. Szkolenie pracowników, jak wykrywać te złośliwe wiadomości e-mail, a następnie testowanie ich przez cały rok, to jeden z przykładów tego, jak można umożliwić pracownikom przejęcie odpowiedzialności za ich bezpieczeństwo. Dzięki temu firma będzie miała silniejszą pozycję w zakresie bezpieczeństwa. Więc myślę, że to jest klucz.
„Im wcześniej wprowadzone zostaną kontrole w Twojej firmie, tym szybciej stanie się ona częścią fundacji”
Myślę, że być może najważniejsze jest zrobienie tego wcześnie. Jeśli upieczesz go od pierwszego dnia lub tak blisko pierwszego dnia, jak to możliwe, stanie się po prostu drugą naturą. To nie jest coś nowego i innego później, kiedy jest po prostu dużo więcej bezwładności lub oporu przed zmianą. Niedawno prowadziłem tę rozmowę i może nie jest to najlepsza analogia, ale było całe pokolenie, które dorastało, jeżdżąc samochodami bez pasów bezpieczeństwa. A potem w latach 50. wprowadzili tę nową rzecz i pojawił się opór. Ale dzisiaj, dorastając od pierwszego dnia, nawet o tym nie myślę, kiedy wsiadam do samochodu. Zapina się pas bezpieczeństwa i jest jak oddychanie. Po prostu o tym nie myślę. Tak więc im wcześniej wdrożone zostaną kontrole w Twojej firmie, tym szybciej stanie się ona częścią fundacji.
Liam: Co ludzie powinni wiedzieć, jeśli Twoja firma jest proszona o raport SOC 2?
Adam: Myślę, że pierwszą rzeczą jest wiedzieć, że to dobra rzecz. Ktokolwiek pyta, poważnie rozważa prowadzenie interesów z Twoją firmą, a teraz musi upewnić się, że robisz właściwe rzeczy, aby chronić swoje dane. Po drugie, jeśli po raz pierwszy jesteś proszony o raport SOC 2, nie będzie to ostatni i nie powinien. Jeśli nie masz raportu SOC 2, zdecydowanie nadszedł czas, aby zacząć. I znowu, im szybciej to zrobisz, tym szybciej to będzie, tym taniej i tym łatwiej będzie utrzymać się do przodu. Wszystko to, oczywiście, aby to zrobić, wykorzystaj automatyzację.
Liam: A SOC 2 nie jest certyfikatem. Czy mam rację?
Adam: Tak. To zaświadczenie.
Liam: I są dwa różne typy: Typ 1 i 2. Jaka jest różnica?
Adam: Aby było jeszcze bardziej zagmatwane, jest coś takiego jak SOC 1, a potem SOC 2. Myślę, że pytasz o SOC 2 Typ 1 kontra SOC 2 Typ 2, co jest świetnym pytaniem, które potencjalni klienci zadają nam cały czas . Oba są takie same pod względem samego frameworka. Różnica polega na tym, że audyt i raport SOC 2 typu 1 uwzględniają projekt kontroli w bardzo konkretnym momencie. Na przykład, czy jesteś dziś zgodny? SOC 2 typ 2 przygląda się projektowi kontroli, ale także analizuje skuteczność operacyjną tych kontroli przez pewien czas, zwykle 12 miesięcy.
Na tej podstawie można sobie wyobrazić, że SOC 2 Type 2 to zdecydowanie wyższy pasek. Trwa to dłużej; zwykle jest droższy; po prostu robi się to przez pewien czas. Możesz zrobić Typ 1 w drodze do Typu 2. Widzimy, jak klienci robią to, gdy potrzebują raportu tak szybko, jak to możliwe, a Typ 1 jest zdecydowanie lepszy niż brak raportu w ogóle. I nie tracisz czasu ani pracy, ponieważ znowu są to te same ramy. Zasadniczo wdrażasz wszystkie kontrole podczas audytu typu 1, a jednocześnie rozpoczynasz okres od czterech do 12 miesięcy w przypadku typu 2. W rzeczywistości niektóre firmy audytorskie, z którymi współpracujemy, nawet łączą swoje ceny dla Typ 1 i Typ 2, co czyni go bardziej opłacalnym w tym konkretnym scenariuszu. Ale znowu, możesz po prostu przejść od razu do Typu 2, ponieważ jest to złoty standard.
„To świetny trening, a oni przeprowadzają symulowane ataki phishingowe. Dlatego celowo wyłudzamy losowo naszych własnych pracowników”
Liam: Według Statista straty finansowe spowodowane przez zgłoszoną cyberprzestępczość wyniosły 4,2 miliarda dolarów w 2020 roku, czyli cztery razy więcej niż w 2015 roku.
Adam: To szaleństwo.
Liam: Tak, to szaleństwo. Więc jakie są martwe pola, które szerzą się w korporacyjnych systemach bezpieczeństwa?
Adam: To dobre pytanie. Obecnie w chmurze jest więcej danych do udostępnienia niż kiedykolwiek. Myślę, że to, co może zaskoczyć ludzi, to fakt, że wiele z nich to wciąż te same stare sztuczki, takie jak ataki phishingowe. Jak powiedziałem, ataki phishingowe nadal stanowią 90% naruszeń danych w 2021 roku. Większość dostawców bezpiecznych szkoleń uświadamiających ma moduły i kursy dotyczące wykrywania wiadomości phishingowych, tego, co robić, a czego nie robić, gdy je otrzymasz. I jest to powszechna kontrola, którą każda firma przechodząca przez SOC 2 musiałaby mieć na miejscu, szkolenie w zakresie świadomości bezpieczeństwa. Używamy świetnego narzędzia – Drata się z nim integruje – zwanego Curricula. To jeden przykład. Ale to świetny trening, a oni wykonują te symulowane ataki phishingowe. Dlatego celowo wyłudzamy losowo naszych własnych pracowników.
„Wystarczy jeden e-mail, jeden pracownik”
Liam: Założę się, że to uwielbiają.
Adam: Nie jestem nawet świadomy, czy to jest prawdziwe, czy nie, co jest częścią ćwiczenia. Ale jest to sposób na ciągłe napinanie tego mięśnia w firmie, ponieważ jak wszystko, nigdy nie jest jedno i nie jest skończone. Nigdy nie pstrykasz palcami i jesteś bezpieczny. Musisz poćwiczyć. Tak więc, jeśli ktoś kliknie jeden z tych linków i fałszywych e-maili, natychmiast powie mu: „Hej, właśnie zostałeś wyłudzony, chodź, pamiętaj o swoim szkoleniu”, ale w tym momencie nadal jest to cenne, prawda?
Byłem zaskoczony. Nie tak dawno mieliśmy taki. Wyglądał jak e-mail z Carty. I w zasadzie powiedział: „Gratulacje z okazji ostatniej przyznanej opcji na akcje. Właśnie został zatwierdzony przez zarząd, podpisz tutaj. I tak, to po prostu łączy się z centrum natychmiastowej gratyfikacji w mózgu. Zdziwiłbyś się, ile osób kliknie ten link, nie sprawdzając, czy jest wiarygodny. W ten sposób ponownie dochodzi do 90% tych naruszeń. Wystarczy jeden e-mail, jeden pracownik. To wraca do pierwotnego punktu dotyczącego wpiekania go w twoją fundację i kulturę. Oto jak ważne jest, aby wszyscy w firmie przejęli kontrolę nad bezpieczeństwem. To nie jest praca jednej osoby, to praca wszystkich.
Skalowanie bezpieczeństwa jako startup
Liam: Wiem, że mamy wielu słuchaczy ze startupów i chciałem cię zapytać, jaką radę dałbyś startupom w szczególności na temat spełniania wymagań SOC 2. Kto powinien zarządzać procesem SOC 2 w mniejszych startupach?
Adam: To dobre pytanie. I taki, który moim zdaniem zajmuje szczególne miejsce w naszych sercach, ponieważ, po pierwsze, sami wciąż jesteśmy startupem, ale ta Drata wyszła z naszych osobistych potrzeb jako startupu sprzedającego się na uniwersytety, w naszym przypadku. Rozmawialiśmy więc z wieloma startupami. Nasza rada to oczywiście nie czekaj. Jak powiedziałem wcześniej, zacznij wkrótce. Im wcześniej to zrobisz, tym szybciej, taniej i łatwiej w utrzymaniu. Zdecydowanie wykorzystaj automatyzację. Zaoszczędzisz setki godzin pracy inżynierskiej, które szczególnie jako startup powinieneś poświęcić na produkty i inne priorytety.
„Wraz z rozwojem Twojej firmy, więcej pracowników, więcej aktywów, więcej do śledzenia”
I myślę, że drugim byłoby myślenie długoterminowe. Bardzo łatwo jest wpaść w pułapkę: „Ok, muszę zaznaczyć to pole, albo ta wielka sprawa się nie zamknie, a ta wielka sprawa zmienia zasady gry, jest egzystencjalna dla naszego startupu”. Jest sposób na zrobienie tego szybko, ale taki, który przygotuje cię na dłuższą metę. To nie jest kwestia pass-fail. Zapamietaj to. Więc tak, jest to raport, który otrzymujesz pod koniec audytu i chcesz, aby był czysty, dobry raport. Kiedy wręczasz komuś ten raport, chcesz, aby postawił Cię w dobrym świetle. Wiele z tego może się po prostu zgubić, zwłaszcza jako startup, w hałasie i presji, aby uzyskać zgodność lub zamknąć tę transakcję.
Liam: A co muszą wiedzieć firmy zajmujące się skalowaniem? Przypuszczam, że wyzwania mogą być zupełnie inne.
Adam: Tak więc, jeśli masz już raport SOC 2 i używasz arkuszy kalkulacyjnych lub żyjesz w arkuszach kalkulacyjnych i zrzutach ekranu, już odczuwasz ból związany z tym, że jest to nieskalowalne. Wraz z rozwojem Twojej firmy więcej pracowników, więcej zasobów, więcej do śledzenia. Automatyzacja z czasem staje się bardziej wartościowa, ponieważ masz więcej zasobów w zakresie audytu. A zatem jest jeszcze więcej powodów, aby wykorzystać automatyzację i wprowadzić ciągłe monitorowanie, aby nie gromadzić dowodów z mocą wsteczną i ręcznie. Wiesz w czasie rzeczywistym, gdzie tworzą się luki, gdy pracownicy przychodzą i odchodzą, lub automatycznie uruchamiasz lub zmniejszasz zasoby. Więc tak, to inny, ale bardzo podobny przypadek użycia.
„To jest to, co jest wyjątkowe, aby stale monitorować elementy sterujące, a następnie identyfikować i ostrzegać, gdy tworzą się luki w czasie rzeczywistym”
Liam: Chciałbym usłyszeć, jak Drata pomaga uprościć i zautomatyzować proces SOC 2 dla ludzi.
Adam: Tak, absolutnie. Dlatego zbudowaliśmy go jako kompleksowe rozwiązanie. Może zająć firmy od zera, przez gotowy audyt, sam audyt, a potem tylko ciągłą konserwację i automatyzację. Drata łączy się ze stosem technologicznym swojego klienta. To jest to, co jest wyjątkowe, aby stale monitorować elementy sterujące, a następnie identyfikować i ostrzegać, gdy tworzą się luki w czasie rzeczywistym. I będzie automatycznie zbierać dowody wszystkich tych kontrolek, które są następnie wstępnie mapowane w ramach takich jak SOC 2, ISO 27001, HIPAA i innych. Jeśli więc zaczynasz od zera, możesz wykorzystać wspólną strukturę kontroli w Dracie, a także szablony zasad bezpieczeństwa, aby bardzo szybko skonfigurować podstawy. Mieliśmy firmy poniżej 50 pracowników dosłownie przechodzących od zera do gotowych do audytu w ciągu zaledwie kilku tygodni. To jest siła automatyzacji.
Następnie Drata współpracuje również z firmami audytorskimi przeszkolonymi do przeprowadzania audytu przy użyciu Draty w bardzo sprawny sposób. Oszczędza to wszystkim czas i skutkuje niższymi kosztami audytów. To była szczególnie satysfakcjonująca podróż. To coś, co wynika z naszych osobistych potrzeb. A potem nasz zespół, zwłaszcza nasz zespół ds. Sukcesu Klienta, który pracuje z każdym z naszych klientów. Mamy byłych audytorów, specjalistów ds. bezpieczeństwa i pracowników, którzy pomagają naszym klientom przejść przez ich podróż. To nie tylko całe oprogramowanie, oczywiście automatyzacja jest kluczem.
Przyszłość bezpieczeństwa danych
Liam: Tuż przed zakończeniem, jaka jest przyszłość bezpieczeństwa danych? Czy zawsze będzie to walka pod górę?
„Myślę, że firmy będą bardziej przejrzyste w kwestii udostępniania, nie tylko tych raportów SOC 2, ale dosłownie pomiędzy raportami w czasie rzeczywistym”
Adam: Wyjmę moją kryształową kulę. Wraz z coraz większą liczbą danych w chmurze, bezpieczeństwo danych będzie z czasem stawać się coraz ważniejsze. Myślę, że zobaczysz, jak firmy robią to wcześniej, jak już widzimy, częściej są proszone o certyfikaty zgodności i atestacji. I będzie to po prostu wtopione w kulturę firmy od pierwszego dnia. Istnieje wiele zawodów i branż, w których wymagane jest dodatkowe szkolenie w zakresie bezpieczeństwa i nikt nie mrugnie okiem, ponieważ jest to po prostu zrozumiałe. Istnieje tutaj bardzo realne ryzyko. To samo można powiedzieć o każdej firmie zajmującej się oprogramowaniem przechowującej dane w chmurze.
Myślę, że będziemy widzieć więcej ciągłego monitorowania, po prostu od wewnątrz wgląd w czasie rzeczywistym, i myślę, że firmy będą bardziej przejrzyste w kwestii udostępniania, nie tylko tych raportów SOC 2, ale dosłownie pomiędzy raportami w rzeczywistym -czas. W ten sam sposób, w jaki chwalimy się naszym stanem dostępności — oto nasz stan bezpieczeństwa. A potem, oczywiście, nie sądzę, że byłbym współzałożycielem i dyrektorem generalnym w Drata, gdybym nie sądził, że automatyzacja będzie standardową metodą dla firm utrzymujących tę postawę zgodności z bezpieczeństwem. Więc zobaczymy.
Liam: To oczywiście naprawdę ekscytujący czas dla was wszystkich. Co dalej? Czy masz w drodze jakieś duże plany lub projekty?
Adam: Tak, to niesamowite, jak szybko minął rok. Oficjalnie wystartowaliśmy 15 stycznia, więc bardzo szybko osiągnęliśmy status jednorożca. Ale wciąż jesteśmy bardzo start-upem. Nasz zespół potroi się w 2022 roku. A więc zatrudniamy na całym świecie, we wszystkich działach. Jeśli ludzie, którzy słuchają, są zainteresowani automatyzacją i bezpieczeństwem, nasze podstawowe wartości znajdują się na naszej stronie internetowej. A jeśli współbrzmią z tobą, chcielibyśmy, abyś zajrzał na naszą stronę kariery i chcielibyśmy się z tobą skontaktować
Liam: Genialny. Nowy rok, nowa praca. W tej serii usłyszymy, jak firmy skalują swój wzrost. Zanim skończymy, chciałbym się dowiedzieć, czy było jakieś kluczowe wydarzenie w twojej karierze, które pomogło ci rozwinąć się zawodowo?
– To inny rodzaj rakiety, prawda? Oba są bardzo intensywne”
Adam: Każdego dnia tak wiele się uczymy i po prostu chodzi nam o ciągłe iteracje i doskonalenie. Tak więc, wczesna rada, po prostu otaczałem się mentorami, doradcami, ludźmi, od których mogliśmy się uczyć, i otwartością na to. Po zakończeniu programu promu kosmicznego i uczeniu się kodowania i budowania pierwszej wersji Portfolium, pracowałem w programie akceleracyjnym tutaj w San Diego o nazwie EvoNexus. I to naprawdę wprawiło wszystko w ruch. To natychmiast otoczyło mnie tymi ludźmi i mogłem się od nich uczyć. To po prostu naprawdę pomogło przygotować się na wszystko, co przed nami. Nie sądzę, żeby cokolwiek mogło cię kiedykolwiek przygotować, ale to zdecydowanie pomaga.
Liam: Co jest bardziej napięte i ekscytujące? Naukowiec rakietowy czy prowadzenie firmy?
Adam: To inny rodzaj rakiety, prawda? Oba są bardzo intensywne.
Liam: I na koniec, gdzie nasi słuchacze mogą się udać, aby nadążyć za tobą i twoją pracą?
Adam: Tak, zajrzyj na naszą stronę drata.com. Feel free to schedule a live demo with our team and see the product in action. We'd love to show it. On LinkedIn, it's easy to find and follow; just search Drata. And then, on Twitter, at @DrataHQ.
Liam: Perfect. And thank you so much for joining us today.
Adam: Thank you so much for having me.
