O CEO da Drata, Adam Markowitz, sobre a criação de uma cultura de segurança cibernética
Publicados: 2022-05-06À medida que mais e mais dados são armazenados na nuvem, provar que você pode proteger os dados de seus clientes não é apenas uma coisa agradável – é essencial.
Há histórias suficientes de violações de dados e ataques cibernéticos para relaxar até mesmo o engenheiro de segurança mais experiente. Os ataques cibernéticos aumentaram 125% em relação ao ano anterior e, com as empresas mudando para configurações parciais ou totalmente remotas, não mostra sinais de desaceleração. No cenário atual de SaaS baseado em dados, isso pode afetar centenas de milhões de usuários e causar danos de bilhões de dólares, e à medida que as estruturas de conformidade se tornam requisitos para fazer negócios, as empresas estão recorrendo a serviços de terceiros que podem ajudar a agilizar e facilitar a processo. E é aí que entram pessoas como Adam Markowitz.
Adam é cofundador e CEO da Drata, uma empresa que ajuda as empresas a proteger os dados de seus clientes, monitorar continuamente sua postura de segurança e acompanhar automaticamente o SOC 2, ISO 27001 e outros programas de conformidade. Apesar de não ter nem dois anos, a Drata já fechou uma Série B de US$ 100 milhões, impulsionando-a ao status de unicórnio e tornando-a uma das empresas mais rápidas a atingir uma avaliação de US$ 1 bilhão. A segurança cibernética e a conformidade, ao que parece, estão em demanda.
Engenheiro aeroespacial que se tornou empresário, Adam aprendeu cedo que a melhor maneira de ganhar confiança era provar que você merece. Depois de trabalhar no Space Shuttle Main Engine da NASA, ele desenvolveu o Portfolium, uma plataforma de rede social que permite que estudantes e graduados mostrem habilidades além do currículo tradicional para potenciais empregadores. Mas antes que as universidades fizessem negócios com eles, eles precisavam de garantias sobre sua postura de segurança. De repente, a equipe passou a conhecer muito bem os Relatórios SOC 2 e percebeu o quão pesado e inescalável ele poderia se tornar, especialmente para startups de alto crescimento. O Portfolium acabou sendo adquirido, mas a equipe por trás dele nunca parou de pensar em uma maneira melhor de fazê-lo. Menos de um ano depois, o Drata foi lançado.
Neste episódio, sentamos com Adam para aprender tudo sobre a estrutura SOC 2, como criar uma cultura de segurança do zero e como a automação é fundamental para transformar uma dor de cabeça em uma operação tranquila.
Aqui estão alguns dos nossos tópicos favoritos da conversa:
1. Está se tornando o mínimo
Você não pode expandir seus negócios se seus clientes não confiam em você com seus dados confidenciais. E por mais agradáveis que sejam as garantias verbais e um aperto de mão, à medida que você cresce e tenta assinar com empresas de nível empresarial mais estabelecidas, você se verá cada vez mais tendo que fornecer provas de conformidade antes de fechar o negócio:
A mudança para a nuvem, mais e mais violações de dados – realmente colocou uma lupa no risco de terceiros. E isso impulsionou muito do que estamos vendo aqui, indo de algo bom de se ter para uma necessidade de se ter. Se estou prestes a fazer negócios com sua empresa e seu software vai acessar os dados de meus clientes, é minha responsabilidade garantir que você tenha os controles adequados para protegê-los.
2. Comece cedo
A análise da Verizon de incidentes de segurança cibernética descobriu que o phishing estava por trás de 90% dos ataques bem-sucedidos, o que significa que 9 em cada 10 vezes, eles são altamente evitáveis. Comece a treinar seus funcionários sobre práticas de conformidade e como identificar esses e-mails maliciosos desde o primeiro dia – quanto mais rápido eles adotarem uma mentalidade de segurança em primeiro lugar, mais cedo isso se tornará parte da cultura.
Eu estava tendo essa conversa outro dia, e pode não ser a melhor analogia, mas houve uma geração inteira que cresceu dirigindo carros sem cinto de segurança. E aí, nos anos 50, eles introduziram essa coisa nova, e houve resistência. Mas hoje, tendo crescido desde o primeiro dia, nem penso nisso quando entro no carro. O cinto de segurança continua e é como respirar.
3. Não pule a automação
A segurança afeta todas as funções da sua empresa: desde a integração e remoção até a criptografia de dados e o gerenciamento de endpoints. Pela experiência de Adam, existem entre 100 e 200 controles para acompanhar a entrada em uma auditoria SOC 2, portanto, se você não estiver aproveitando a automação, poderá gastar centenas de horas por ano em conformidade:
Se você não estiver usando a automação, isso significa que as equipes de sua empresa estão sendo encarregadas de coletar todas as evidências continuamente, repetidamente e armazená-las para futuras auditorias. E então, se eles encontrarem lacunas ao longo do caminho, porque as lacunas podem se formar em qualquer dia do ano, eles precisam remediar. É muita gente vivendo em planilhas, pastas compartilhadas, capturas de tela.
Pegou seu interesse? Reunimos uma lista de artigos, vídeos e podcasts que você pode conferir:
- Pontue a prontidão SOC 2 da sua empresa
- Conformidade com SOC 2: um guia para iniciantes
- CTO do Evernote sobre suas maiores preocupações de segurança de 3 a 300 funcionários
- O incidente do LinkedIn
Esta é a Scale, a série de podcasts da Intercom sobre impulsionar o crescimento dos negócios por meio do relacionamento com os clientes. Se você gosta da conversa e não quer perder os próximos episódios, basta clicar em seguir no iTunes, Spotify ou pegar o feed RSS no player de sua escolha. Você também pode ler a transcrição completa da entrevista, que foi levemente editada para maior clareza, abaixo.
Segurança no piloto automático
Liam Geraghty: Adam, muito obrigado por se juntar a nós. Você é muito bem-vindo ao show.
Adam Markowitz: Obrigado por me receber.
Liam: Em primeiro lugar, parabéns. A Drata recentemente levantou US$ 100 milhões em financiamento de capital de risco, o que eu acredito que a torna a mais recente startup de unicórnio de San Diego, com uma avaliação de US$ 1 bilhão. Como isso se sente?
Adam: Obrigado, ainda parece um pouco surreal, principalmente devido à rapidez com que a empresa passou da semente para a série, tudo em menos de 12 meses. Mas é ótimo e super recompensador atingir o marco e fazê-lo aqui em San Diego. Nossa empresa anterior foi fundada aqui em San Diego há quase 10 anos, e era um ecossistema tecnológico muito diferente naquela época. Então, vê-lo evoluir e ter feito parte disso todo esse tempo é super gratificante. E também, a própria Drata nasceu bem no meio da pandemia. Sentimo-nos afortunados por estar em posição de iniciar a empresa quando o fizemos, e essa apreciação acabou de alimentar este ano realmente sem precedentes.
“Sem período de rampa, sem período de conhecer um ao outro – era apenas ir, ir, ir”
Liam: Como foi?
Adam: Foi, novamente, apenas estar em uma posição em que nos sentíamos confortáveis para fazer isso. Isso não foi perdido para nós com o que estava acontecendo no mundo. No primeiro dia, havia muitos de nós saindo daquela empresa. Tínhamos trabalhado juntos por tanto tempo que era uma espécie de vantagem legal e injusta. Sem período de rampa, sem período de conhecer um ao outro – era só ir, ir, ir.
Liam: O que Drata faz?
Adam: A Drata ajuda as empresas a colocar a segurança e a conformidade no piloto automático, como chamamos, automatizando o monitoramento e a coleta de evidências de seus controles de segurança. Simplificação de auditorias como SOC 2, ISO 27001, HIPAA e outras. Ele permite que as empresas comprovem sua postura de segurança em tempo real em praticamente qualquer dia do ano, acelerando seus ciclos de vendas e revisões de segurança. Claro, também faz com que as auditorias sejam mais rápidas e custem menos. E então, permite que as empresas estejam mais prontas para as empresas.
Liam: Toda a área é um novo espaço. Como é estar navegando no minuto?
Adam: O espaço em si é novo, mas é uma hipótese que já faz algum tempo. A promessa de conformidade contínua existe há anos. E assim, cumprir essa promessa é super emocionante. E, claro, desafiador – como deve ser. Pessoalmente, adoro chegar cedo e aproveitar a oportunidade para colocar a fasquia muito alta no mercado. E apenas continuando a empurrá-lo mais alto com a equipe.
Da ciência de foguetes à conformidade
Liam: Mas você não começou na segurança. Estou certo em dizer que você é um ex-cientista de foguetes?
Adam: Sim, é engraçado. A maldição de ser chamado de cientista de foguetes é que a fasquia é imediatamente elevada para qualquer coisa e tudo que você faz na vida. O carro não liga imediatamente, conserte – “não é ciência de foguetes nem nada.”
Liam: Como foi? Como você fez a transição para a tecnologia de conformidade?
Adam: Comecei minha carreira como engenheiro no Programa de Ônibus Espacial, especificamente na equipe do MCC, a equipe da Câmara de Combustão Principal. O último lançamento do ônibus espacial foi há mais de uma década, então algumas pessoas podem não se lembrar de ter visto um lançamento de um ônibus espacial, mas se você se lembrar, você vê o foguete na plataforma, você tem os dois propulsores de foguetes, e então há esse gigante tanque laranja. Esse é o tanque de combustível que alimenta esses três motores principais, e foi nisso que trabalhei na graduação. A melhor maneira de descrever como funciona um motor de foguete é apenas uma explosão controlada. Portanto, é um sonho/pesadelo de engenharia, dependendo de como você olha para isso.
“Foi assim que consegui aquele emprego trabalhando no Programa de Ônibus Espacial – eu trouxe um portfólio para minhas entrevistas de emprego para me ajudar a me destacar e provar minhas habilidades além do GPA”
Liam: Qual é a sensação quando você está realmente assistindo ao lançamento? Você está tenso? Você está meio animado?
Adam: Uma excitação tensa, essa é uma boa maneira de colocar isso. Todos adoraram o que estávamos fazendo. Eu queria ser astronauta desde criança e ter um astronauta de verdade andando pelo escritório, agradecendo aos engenheiros por ajudá-los a voltar para casa em segurança, especialmente porque seu primeiro emprego ao sair da graduação é absolutamente incrível.
Liam: Eu meio que te interrompi lá, mas você estava me contando como você meio que fez essa transição.
“Para ajudar os alunos a ganhar a confiança dos empregadores, primeiro tivemos que provar nossa postura de segurança para as universidades”
Adam: A experiência chegou ao fim em 2011, quando o programa de ônibus espacial foi aposentado, e dei o salto do aeroespacial para o empreendedorismo. Arrisquei, como dizem. Aprendi a codificar e construí um MVP que eu chamava de Portfolium, que era uma rede de ePortfolio semelhante ao LinkedIn para estudantes, e a ideia veio. Foi como eu realmente consegui aquele emprego trabalhando no Programa de Ônibus Espacial – eu trouxe um portfólio para minhas entrevistas de emprego para me ajudar a me destacar e provar minhas habilidades além de apenas GPA. E assim, eu queria fazer isso para estudantes em todos os lugares e ajudá-los a conseguir seus empregos dos sonhos com base apenas em suas habilidades comprovadas. Eu acredito muito em ganhar confiança provando primeiro que você merece. Neste caso, era evidência de competências nestes ePortfolios, que eram ricos em dados que poderíamos usar para combinar alunos com empregadores de uma forma mais significativa.
Aumentamos a empresa e a rede de milhões de alunos, e fizemos isso vendendo um módulo de avaliação de aprendizado para universidades universitárias. E foi aí que aprendemos rapidamente a importância de provar nossa postura de segurança. Porque antes que a universidade assinasse conosco e fornecesse informações confidenciais dos alunos, eles precisavam de garantia de nossa postura de segurança. O padrão-ouro para provar que era, e ainda é, um Relatório SOC 2. Então, você meio que vê esse tema aqui, ganhando confiança com a prova. Assim, para ajudar os alunos a ganhar a confiança dos empregadores, primeiro tivemos que provar nossa postura de segurança para as universidades, e a evidência foi o Relatório SOC 2. O Portfolium foi adquirido em fevereiro de 2019, e nossa equipe voltou a se reunir no ano passado em 2020 para construir o Drata, para ajudar as empresas a se manterem, manterem e provarem sua postura de conformidade de segurança com uma abordagem de automação em primeiro lugar.
SOC 2 101
Liam: Então, vamos entrar em conformidade com SOC 2, que eu sei que é um pouco como dizer “vamos falar sobre impostos” ou “vamos falar sobre faturamento”. Mas é tão importante. Você pode nos dar uma introdução ao que realmente é a conformidade com SOC 2?
Adam: Claro, feliz! Portanto, o SOC 2 é uma estrutura. É criado e mantido pelo AICPA, que é o Instituto Americano de Contadores Públicos Certificados. Assim, os auditores das empresas CPA realmente realizam auditorias SOC 2, e o resultado de qualquer auditoria SOC 2 é um Relatório SOC 2. SOC 2 não é uma certificação de aprovação e reprovação, o que é realmente importante e um equívoco comum. Esse relatório SOC 2 é um atestado e é confiável porque vem desse auditor terceirizado independente e certificado. E, basicamente, está testando o design e a eficácia operacional dos controles de segurança de sua empresa quando se trata de proteger os dados de seus clientes. Em outras palavras, o Relatório SOC 2 é um relatório que detalha como sua empresa protege os dados de seus clientes. Se você vende software hoje, há 99,9% de chance de armazenar ou processar dados na nuvem. E por causa disso, é apenas uma questão de tempo até que você seja solicitado a fornecer um Relatório SOC 2 para seus clientes ou para seus clientes em potencial como parte de seu processo de análise de segurança.
“Se estou prestes a fazer negócios com sua empresa e seu software vai acessar os dados de meus clientes, é minha responsabilidade garantir que você tenha os controles adequados para protegê-los”
Liam: E é o padrão para empresas B2B?
Adam: De muitas maneiras, sim. Especialmente aqui nos EUA, em parte porque o SOC 2 se aplica a qualquer empresa que armazene ou processe dados na nuvem, e isso é todas as empresas hoje em dia, absolutamente todas as empresas de SaaS. Então, de várias maneiras, tornou-se o padrão-ouro agora. Ainda mais como a barra mínima para comprovar sua postura de segurança. Testemunhamos isso em primeira mão no Portfolium vendendo para universidades; em um período muito curto, essas solicitações para nosso Relatório SOC 2 rapidamente se transformaram em demandas para nosso Relatório SOC 2. E então, foi incorporado a cada RFP que encontramos. A mudança para a nuvem, mais e mais violações de dados – realmente colocou uma lupa no risco de terceiros. E isso impulsionou muito do que estamos vendo aqui, indo de algo bom de se ter para uma necessidade de se ter.
Liam: Por que é tão importante que as empresas B2B sejam compatíveis com SOC 2 à medida que crescem? E isso os afeta atraindo e retendo clientes maiores?
“Se você não está aproveitando a automação, normalmente, as empresas gastam centenas de horas por ano em conformidade”
Adam: Sim, definitivamente. Se estou prestes a fazer negócios com sua empresa e seu software vai acessar os dados de meus clientes, é minha responsabilidade garantir que você tenha os controles adequados para protegê-los. Se você me der sua palavra, isso é ótimo, mas o repórter de auditoria independente realmente terá o peso necessário para me garantir que você tenha um programa de segurança adequado. Meus auditores vão querer ter certeza de que tenho essa garantia antes de fornecer qualquer dado. Caso contrário, não estou seguindo meu próprio controle.
Liam: Eu li muito sobre as dificuldades em startups se tornarem compatíveis com SOC 2. Por que isso aconteceu, e isso mudou?
Adam: Sim, absolutamente. Nós experimentamos isso em primeira mão. Se você não está aproveitando a automação, normalmente as empresas gastam centenas de horas por ano em conformidade. Para ajudar a explicar por que, a estrutura em si é composta de cinco princípios de serviço de confiança diferentes: segurança, disponibilidade, confidencialidade, privacidade e integridade de processamento. A segurança é, de longe, a maior das cinco e tecnicamente a única exigida para uma auditoria e relatório. Mas cada um dos cinco tem seus próprios critérios que sua empresa precisa atender ou satisfazer, projetando e implementando controles em toda a empresa. Muitas vezes, quando digo isso, as pessoas perguntam o que quero dizer com controle. Você pode pensar no controle como uma política, um processo, uma ferramenta que você coloca em prática para ajudar a evitar que algo ruim aconteça ou garantir que algo bom esteja acontecendo. É assim que eu sempre defino. E abrange todas as funções da sua empresa: como você integra, treina e desvincula funcionários, como gerencia endpoints e criptografa dados de backup, como provisiona acesso e autentica em aplicativos, revisa código... Posso continuar.
“Isso significa que as equipes de sua empresa estão sendo encarregadas de coletar todas as evidências de forma contínua e repetida e, em seguida, armazená-las para futuras auditorias”
As empresas têm entre 100 e 200 controles em vigor para uma auditoria SOC 2. E então, a auditoria em si pode levar muito tempo porque você basicamente tem que provar ao auditor que esses controles existem e, o mais importante, eles permanecem em vigor durante um período de auditoria. Não é algo que você pode apenas empinar a cada 11 meses, se estiver no período de 12 meses. Se você não estiver usando a automação, isso significa que as equipes de sua empresa estão sendo encarregadas de coletar todas as evidências continuamente, repetidamente e armazená-las para futuras auditorias. E então, se eles encontrarem lacunas ao longo do caminho, porque as lacunas podem se formar em qualquer dia do ano, eles precisam remediar. E sim, muitas pessoas vivendo em planilhas, pastas compartilhadas, capturas de tela. Está claramente muito maduro para a disrupção, e isso veio na forma de automação. Isso é realmente o que mudou. A Drata traz essa solução de automação em primeiro lugar para economizar centenas de horas por ano às empresas e, em seguida, fornece a elas esses painéis de prontidão em tempo real, para que você fique pronto para auditoria rapidamente e fique pronto para auditoria todos os dias do ano.
Liam: Isso é tão importante porque, como você mencionou anteriormente, é uma parte muito importante da confiança entre uma empresa e seus clientes.
Adão: Exatamente. E esse é o tema da última empresa também. Você pode acreditar na palavra de alguém, você pode ler um ponto de bala em seu currículo, mas queremos ajudar as pessoas a provar suas habilidades. E da mesma forma, aqui, queremos que as pessoas possam provar com evidências, não apenas durante as auditorias, mas em qualquer dia do ano, como seus controles estão operando. Isso poderia ser um relatório interno para sua própria equipe, para seu conselho, para sua própria sanidade, mas também externamente. É aí que vemos o caminho indo.
Faça isso cedo, faça isso com frequência
Liam: Como as empresas podem criar uma cultura de segurança cibernética em sua organização? Porque, como todos sabemos, a segurança não é mais apenas uma coisa agradável de se ter.
Adam: Acho que capacitar funcionários individuais é fundamental. Se os funcionários entendem o quanto são importantes na proteção de sua empresa, é algo de que podem se orgulhar, em vez de apenas se sentirem como uma coisa de check-the-box. Porque nada poderia ser mais verdadeiro. Os ataques de phishing ainda são as causas mais comuns de violações de dados em 2021. É algo como 90% – tive que reler apenas para ter certeza de que não era um erro de digitação. Treinar seus funcionários sobre como identificar esses e-mails maliciosos e testá-los ao longo do ano é um exemplo de como você pode capacitar os funcionários a se apropriarem de sua segurança. E a empresa terá uma postura de segurança mais forte por causa disso. Então eu acho que isso é fundamental.
“Quanto mais cedo os controles forem implementados em sua empresa, mais cedo ela se tornará parte da fundação”
Acho que talvez o mais importante seja fazê-lo cedo. Se você assar desde o primeiro dia ou o mais próximo possível do primeiro dia, isso se torna uma segunda natureza. Não é algo novo e diferente mais tarde, quando há muito mais inércia ou resistência à mudança. Eu estava tendo essa conversa outro dia, e pode não ser a melhor analogia, mas houve uma geração inteira que cresceu dirigindo carros sem cinto de segurança. E então, nos anos 50, eles introduziram essa coisa nova, e houve resistência. Mas hoje, tendo crescido desde o primeiro dia, nem penso nisso quando entro no carro. O cinto de segurança continua e é como respirar. Eu simplesmente não penso nisso. Portanto, quanto mais cedo os controles forem implementados em sua empresa, mais cedo ela se tornará parte da fundação.
Liam: O que as pessoas precisam saber se for solicitado um Relatório SOC 2 à sua empresa?
Adam: Acho que a primeira coisa é saber que isso é bom. Quem está perguntando está pensando seriamente em fazer negócios com sua empresa e agora precisa ter certeza de que você está fazendo as coisas certas para proteger seus dados. Em segundo lugar, se esta é a primeira vez que lhe pedem um Relatório SOC 2, não será a última, nem deveria. Se você não tiver um Relatório SOC 2, definitivamente é hora de começar. E, novamente, quanto mais cedo você fizer isso, mais rápido será, mais barato será e mais fácil será continuar seguindo em frente. Tudo isso, é claro, para dizer alavancar a automação para fazer isso.
Liam: E SOC 2 não é uma certificação. Estou certo?
Adão: Certo. É um atestado.
Liam: E existem dois tipos diferentes: Tipo 1 e 2. Qual é a diferença?
Adam: Para torná-lo ainda mais confuso, há algo como SOC 1 e então SOC 2. Acho que você está perguntando sobre SOC 2 Tipo 1 versus SOC 2 Tipo 2, que é uma ótima pergunta e que os prospects nos fazem o tempo todo . Ambos são iguais em termos do próprio framework. A diferença é que a auditoria e o relatório do SOC 2 Tipo 1 estão analisando o design de seus controles em um momento muito específico. Tipo, você está em conformidade hoje? Um SOC 2 Tipo 2 analisa o design de seus controles, mas também analisa a eficácia operacional desses controles ao longo de algum tempo, geralmente 12 meses.
Apenas com base nisso, você pode imaginar que o SOC 2 Tipo 2 é definitivamente uma barra mais alta. Leva mais tempo; geralmente é mais caro; é apenas feito durante um período de tempo. Você pode fazer um Tipo 1 no caminho para um Tipo 2. Vemos os clientes fazendo isso quando precisam de um relatório o mais rápido possível, e o Tipo 1 é definitivamente melhor do que não ter nenhum relatório. E você não está perdendo tempo ou trabalho porque, novamente, eles são a mesma estrutura. Você está basicamente implementando todos os seus controles fazendo a auditoria Tipo 1 e, ao mesmo tempo, iniciando seu período de quatro a 12 meses para o Tipo 2. Na verdade, algumas das firmas de auditoria com as quais fazemos parceria chegam a agrupar seus preços para um Tipo 1 e Tipo 2, e isso o torna mais econômico nesse cenário específico. Mas, novamente, você pode ir direto para o Tipo 2, já que esse é o padrão-ouro.
“É um ótimo treinamento, e eles fazem esses ataques de phishing simulados. Por isso, phishing propositadamente nossos próprios funcionários aleatoriamente”
Liam: De acordo com o Statista, o dano monetário causado por crimes cibernéticos relatados foi de US$ 4,2 bilhões em 2020, quatro vezes mais do que em 2015.
Adão: É uma loucura.
Liam: Sim, é uma loucura. Então, quais são os pontos cegos que predominam nos sistemas de segurança corporativa?
Adam: É uma boa pergunta. Há mais dados na nuvem para expor hoje do que nunca. Acho que o que pode surpreender as pessoas é que muito disso ainda são os mesmos truques antigos, como ataques de phishing. Como eu disse, os ataques de phishing ainda são 90% das violações de dados em 2021. A maioria dos provedores de treinamento de conscientização segura tem módulos e cursos sobre como identificar e-mails de phishing, o que fazer e o que não fazer quando você os recebe. E é um controle comum que qualquer empresa que passa pelo SOC 2 precisaria ter em vigor, treinamento de conscientização de segurança. Usamos uma ótima ferramenta – o Drata se integra a ele – chamado Currículos. É um exemplo. Mas é um ótimo treinamento, e eles fazem esses ataques de phishing simulados. Por isso, phishing propositadamente nossos próprios funcionários aleatoriamente.
“Basta um e-mail, um funcionário”
Liam: Aposto que eles adoram isso.
Adam: Eu nem sei se é real ou não, o que faz parte do exercício. Mas é uma maneira de flexionar continuamente esse músculo internamente na empresa porque, como todas as coisas, nunca é um e pronto. Você nunca apenas estala os dedos e está seguro. Você tem que praticar. E assim, se alguém clicar em um desses links e e-mails falsos, isso imediatamente diz: “Ei, você acabou de receber phishing, vamos lá, lembre-se do seu treinamento”, mas ainda é valioso naquele momento, certo?
Eu fiquei surpreso. Tivemos um não muito tempo atrás. Parecia um e-mail vindo da Carta. E basicamente dizia: “Parabéns pela sua última concessão de opções de ações. Acabou de ser aprovado pelo conselho, assine aqui.” E sim, ele apenas toca nesse centro de gratificação instantânea do cérebro. Você ficaria surpreso com quantas pessoas clicarão nesse link sem realmente verificar se é legítimo. É assim que, novamente, 90% dessas violações estão acontecendo. Basta um e-mail, um funcionário. Isso remonta ao ponto original de assá-lo em sua fundação e cultura. É por isso que é importante que todos na empresa assumam a responsabilidade pela segurança. Não é o trabalho de uma pessoa, é o trabalho de todos.
Escalando a segurança como uma startup
Liam: Eu sei que temos muitos ouvintes de startups, e eu ia perguntar qual conselho você daria para startups em particular sobre se tornarem em conformidade com SOC 2. Quem deve gerenciar o processo SOC 2 em startups menores?
Adam: É uma boa pergunta. E um que eu acho que tem um lugar especial em nossos corações porque, primeiro, nós ainda somos uma startup, mas essa Drata surgiu de nossa própria necessidade pessoal como uma startup vendendo para universidades, no nosso caso. Então conversamos com muitas startups. O conselho que damos é, claro, não espere. Como eu disse antes, comece logo. Quanto mais cedo você fizer isso, mais rápido, mais barato e mais fácil de manter. Definitivamente, aproveite a automação. Você economizará centenas de horas de engenharia, que, especialmente como startup, você deve gastar em produtos e outras prioridades.
“À medida que sua empresa cresce, mais funcionários, mais ativos, mais para acompanhar”
E acho que a outra seria pensar a longo prazo. É muito fácil ser pego na armadilha de “Ok, eu tenho que marcar esta caixa, ou esse grande negócio não vai fechar, e esse grande negócio é revolucionário, existencial para nossa startup”. Há uma maneira de fazer isso rapidamente, mas que vai prepará-lo para o longo prazo. Isso não é uma coisa de passa-falha. Lembre-se disso. Então, sim, é um relatório que você recebe no final da auditoria e quer que seja um relatório limpo e bom. Quando você entrega esse relatório a alguém, você quer que ele o coloque em uma boa luz. Muito disso pode se perder, especialmente como uma startup, no barulho e na pressão para ficar em conformidade ou fechar esse negócio.
Liam: E o que as empresas de escalabilidade precisam saber? Suponho que pode haver desafios bem diferentes.
Adam: Então, se você já tem um relatório SOC 2 e está usando planilhas ou vivendo em planilhas e capturas de tela, você já está sentindo a dor de quão inescalável isso é. À medida que sua empresa cresce, mais funcionários, mais ativos, mais para acompanhar. A automação realmente se torna mais valiosa ao longo do tempo, pois você tem mais ativos no escopo de sua auditoria. E assim, há ainda mais motivos para alavancar a automação e implementar o monitoramento contínuo para que você não esteja coletando evidências retroativamente e manualmente. Você sabe em tempo real onde as lacunas estão se formando à medida que os funcionários vêm e vão, ou você aumenta ou diminui ativos automaticamente. Então, sim, é um caso de uso diferente, mas muito semelhante.
“Isso é o que é único, monitorar continuamente os controles e, em seguida, identificar e alertar quando as lacunas se formam em tempo real”
Liam: Eu adoraria saber como o Drata ajuda a simplificar e automatizar o processo SOC 2 para as pessoas.
Adam: Sim, absolutamente. Então, nós o construímos como uma solução de ponta a ponta. Pode levar as empresas do zero, até a preparação para auditoria, a auditoria em si e, em seguida, apenas a manutenção contínua avançando com a automação. A Drata se conecta à pilha de tecnologia de seu cliente. Isso é o que é único, monitorar continuamente os controles e, em seguida, identificar e alertar quando as lacunas se formam em tempo real. E coletará automaticamente evidências de todos esses controles que são pré-mapeados em estruturas como SOC 2, ISO 27001, HIPAA e muito mais. Portanto, se você está começando do zero, pode aproveitar a estrutura de controle comum no Drata, bem como os modelos de política de segurança para configurar sua base muito rapidamente. Tivemos empresas com menos de 50 funcionários literalmente indo do zero para a auditoria em questão de semanas. Esse é o poder da automação.
Em seguida, a Drata também faz parceria com firmas de auditoria treinadas para conduzir a auditoria utilizando a Drata de forma bastante simplificada. Isso economiza o tempo de todos e resulta em auditorias com preços mais baixos. Tem sido uma jornada especialmente gratificante. É algo que vem de nossas próprias necessidades pessoais. E então nossa equipe, especialmente nossa equipe de Customer Success, que trabalha com cada um de nossos clientes. Temos ex-auditores, profissionais de segurança e funcionários para ajudar a orientar nossos clientes ao longo da jornada. Não é apenas todo o software, obviamente, a automação é fundamental.
O futuro da segurança de dados
Liam: Pouco antes de encerrarmos, qual é o futuro da segurança de dados? Será sempre uma luta árdua?
“Acho que as empresas serão mais transparentes sobre o compartilhamento, não apenas desses relatórios SOC 2, mas literalmente entre relatórios em tempo real”
Adam: Vou pegar minha bola de cristal. Com mais e mais dados na nuvem, a segurança dos dados só se tornará mais importante com o tempo. Acho que você verá as empresas fazendo isso mais cedo, como já estamos vendo, sendo solicitadas com mais frequência por certificações de conformidade e atestado. E isso será incorporado à cultura da empresa desde o primeiro dia. Muitas profissões e indústrias por aí onde é necessário treinamento extra de segurança e ninguém pisca porque é apenas entendido. Há riscos muito reais aqui. E o mesmo pode ser dito para qualquer empresa de software que detenha dados na nuvem.
Acho que veremos um monitoramento mais contínuo, apenas uma visão em tempo real de dentro para fora, e acho que as empresas serão mais transparentes sobre o compartilhamento, não apenas esses relatórios SOC 2, mas literalmente relatórios intermediários em -Tempo. Da mesma forma que nos gabamos de nosso status de tempo de atividade – aqui está nosso status de postura de segurança. E então, é claro, não acho que seria cofundador e CEO da Drata se não achasse que a automação seria o método padrão para as empresas manterem essa postura de conformidade de segurança. Então vamos ver.
Liam: É obviamente um momento muito emocionante para todos vocês. Qual é o próximo? Você tem grandes planos ou projetos a caminho?
Adam: Sim, é incrível como o ano passou rápido. Lançamos oficialmente em 15 de janeiro, então alcançamos esse status de unicórnio muito rapidamente. Mas ainda somos uma startup começando. Nossa equipe vai triplicar de tamanho em 2022. Então, estamos contratando todos os departamentos. Se as pessoas que estão ouvindo estão interessadas em automação e segurança, nossos valores principais estão em nosso site. E se eles se identificam com você, adoraríamos que você desse uma olhada em nossa página de carreiras e adoraríamos nos conectar com você
Liam: Brilhante. Ano novo, trabalho novo. Esta série é sobre ouvir como as empresas escalam seu crescimento. Antes de terminarmos, eu adoraria saber, houve um evento importante em sua carreira que o ajudou a escalar profissionalmente?
“É um tipo diferente de foguete, certo? Ambos são muito intensos”
Adam: Aprendemos muito todos os dias, e estamos focados em iteração e melhoria contínuas. Então, o conselho inicial, foi apenas me cercar de mentores, conselheiros, pessoas que estiveram lá com quem poderíamos aprender e estar aberto a isso. Depois que o Programa do Ônibus Espacial terminou e eu estava aprendendo a codificar e construindo a primeira versão do Portfolium, eu estava trabalhando em um programa acelerador aqui em San Diego chamado EvoNexus. E isso realmente acelerou as coisas. Isso colocou essas pessoas ao meu redor imediatamente, e eu aprendi com elas. Isso realmente ajudou a colocar as peças no lugar para se preparar para tudo pela frente. Eu não acho que nada poderia prepará-lo, mas definitivamente ajuda.
Liam: O que é mais tenso e emocionante? Cientista de foguetes ou administrando uma empresa?
Adam: É um tipo diferente de foguete, certo? Ambos são muito intensos.
Liam: E por último, onde nossos ouvintes podem ir para acompanhar você e seu trabalho?
Adam: Sim, por favor, confira nosso site drata.com. Feel free to schedule a live demo with our team and see the product in action. We'd love to show it. On LinkedIn, it's easy to find and follow; just search Drata. And then, on Twitter, at @DrataHQ.
Liam: Perfect. And thank you so much for joining us today.
Adam: Thank you so much for having me.
