Directorul general al Drata, Adam Markowitz, despre crearea unei culturi a securității cibernetice
Publicat: 2022-05-06Pe măsură ce din ce în ce mai multe date sunt stocate în cloud, demonstrarea faptului că puteți proteja datele clienților dvs. nu este doar un lucru plăcut, ci este esențial.
Există destule povești despre încălcări ale datelor și atacuri cibernetice pentru a-l relaxa până și pe cel mai priceput inginer de securitate. Atacurile cibernetice au crescut cu 125% față de anul precedent, iar companiile trecând la setări parțiale sau complet la distanță, nu arată niciun semn de încetinire. În scena SaaS de astăzi bazată pe date, acestea pot afecta sute de milioane de utilizatori și pot cauza daune în miliarde de dolari, iar pe măsură ce cadrele de conformitate devin cerințe pentru a face afaceri, companiile apelează la servicii terțe care pot ajuta la accelerarea și facilitarea proces. Și aici intervin oameni ca Adam Markowitz.
Adam este co-fondatorul și CEO-ul Drata, o companie care ajută companiile să își protejeze datele clienților, să le monitorizeze continuu postura de securitate și să țină automat pasul cu SOC 2, ISO 27001 și alte programe de conformitate. În ciuda faptului că nu are nici măcar doi ani, Drata a închis deja o serie B de 100 de milioane de dolari, propulsând-o la statutul de unicorn și făcând-o una dintre cele mai rapide companii care a realizat o evaluare de 1 miliard de dolari. Se dovedește că securitatea și conformitatea cibernetică sunt solicitate.
Inginer aerospațial devenit antreprenor, Adam a învățat devreme că cel mai bun mod de a câștiga încredere a fost să demonstrezi că o meriți. După ce a lucrat la Motorul principal al navetei spațiale al NASA, a continuat să dezvolte Portfolium, o platformă de rețea socială care permite studenților și absolvenților să prezinte potențialilor angajatori abilități dincolo de CV-ul tradițional. Dar înainte ca universitățile să facă afaceri cu ei, aveau nevoie de asigurare cu privire la poziția lor de securitate. Dintr-o dată, echipa a cunoscut prea bine Rapoartele SOC 2 și și-a dat seama cât de împovărătoare și de nescalabilă ar putea deveni, mai ales pentru startup-urile cu o creștere mare. Portfolium a fost în cele din urmă achiziționat, dar echipa din spatele lui nu a încetat niciodată să se gândească la o modalitate mai bună de a face acest lucru. La mai puțin de un an a fost lansată Drata.
În acest episod, ne-am întâlnit cu Adam pentru a afla totul despre cadrul SOC 2, cum să creăm o cultură a securității de la zero și cum automatizarea este cheia pentru a transforma o bătaie de cap într-o funcționare fără probleme.
Iată câteva dintre concluziile noastre preferate din conversație:
1. Devine minimul strict
Nu îți poți crește afacerea dacă clienții tăi nu au încredere în tine cu datele lor sensibile. Și oricât de drăguțe sunt asigurările verbale și o strângere de mână, pe măsură ce creșteți și încercați să semnați cu companii mai consacrate, la nivel de întreprindere, veți fi nevoit să oferiți din ce în ce mai mult dovezi de conformitate înainte de a încheia tranzacția:
Trecerea către cloud, din ce în ce mai multe încălcări ale datelor – chiar a pus o lupă asupra riscului terților. Și asta a condus mult din ceea ce vedem aici, trecând de la acest lucru plăcut de a avea la o nevoie de a avea. Dacă sunt pe cale să fac afaceri cu compania dvs. și software-ul dvs. va accesa datele clienților mei, este responsabilitatea mea să mă asigur că aveți controalele adecvate pentru a le proteja.
2. Începeți devreme
Analiza Verizon a incidentelor de securitate cibernetică a constatat că phishingul se află în spatele a 90% din atacurile de succes, ceea ce înseamnă că de 9 ori din 10, acestea sunt foarte prevenibile. Începeți să vă instruiți angajații cu privire la practicile de conformitate și la cum să identificați aceste e-mailuri rău intenționate încă din prima zi - cu cât mai repede adoptă o mentalitate de securitate, cu atât mai devreme devine parte a culturii.
Am avut această conversație zilele trecute și poate nu este cea mai bună analogie, dar a existat o întreagă generație care a crescut conducând mașini fără centuri de siguranță. Și apoi, în anii 50, au introdus acest lucru nou și a existat rezistență. Dar astăzi, crescând eu însumi din prima zi, nici nu mă gândesc la asta când mă urc în mașină. Centura de siguranță merge și parcă ar respira.
3. Nu sări peste automatizare
Securitatea afectează fiecare funcție din cadrul companiei dvs.: de la integrare și deconectare la criptarea datelor și gestionarea punctelor finale. Din experiența lui Adam, există între 100 și 200 de controale pentru a ține evidența intrării într-un audit SOC 2, așa că, dacă nu folosiți automatizarea, ați putea petrece sute de ore pe an conformității:
Dacă nu utilizați automatizarea, aceasta înseamnă că echipele din cadrul companiei dvs. au sarcina de a colecta fiecare dovezi în mod continuu, în mod repetat și apoi de a le stoca pentru audituri viitoare. Și apoi, dacă găsesc lacune pe parcurs, pentru că s-ar putea forma în orice zi a anului, ei trebuie să remedieze. Sunt mulți oameni care trăiesc în foi de calcul, dosare partajate, capturi de ecran.
V-a atras interesul? Am adunat o listă de articole, videoclipuri și podcasturi pe care le puteți consulta:
- Punctați nivelul de pregătire SOC 2 al companiei dvs
- Conformitatea SOC 2: un ghid pentru începători
- CTO Evernote privind cele mai mari griji de securitate de la 3 la 300 de angajați
- Incidentul LinkedIn
Aceasta este Scale, seria de podcasturi Intercom despre stimularea creșterii afacerii prin relațiile cu clienții. Dacă vă place conversația și nu doriți să pierdeți episoadele viitoare, doar apăsați Urmăriți pe iTunes, Spotify sau luați fluxul RSS din playerul dorit. De asemenea, puteți citi mai jos transcrierea integrală a interviului, care a fost ușor editată pentru claritate.
Securitate pe pilot automat
Liam Geraghty: Adam, îți mulțumesc foarte mult că ni ești alături. Ești binevenit la spectacol.
Adam Markowitz: Mulțumesc că m-ai primit.
Liam: În primul rând, felicitările sunt în ordine. Drata a strâns recent 100 de milioane de dolari în finanțare cu capital de risc, ceea ce cred că îl face cel mai recent unicorn startup din San Diego, cu o evaluare de 1 miliard de dolari. Cum se simte asta?
Adam: Mulțumesc, se simte încă puțin suprarealist, în principal datorită cât de repede compania a trecut de la început la serie, totul într-un interval de 12 luni. Dar este grozav și foarte plin de satisfacții să atingi piatra de hotar și să o faci aici, în San Diego. Compania noastră anterioară a fost fondată aici, în San Diego, în urmă cu aproape 10 ani, iar atunci era un ecosistem tehnologic foarte diferit. Așa că să-l vezi evoluând și să fi făcut parte din ea în tot acest timp este super plină de satisfacții. Și, de asemenea, Drata însăși s-a născut chiar în mijlocul pandemiei. Ne-am simțit norocoși să fim chiar în măsură să înființăm compania atunci când am făcut-o, iar această apreciere tocmai a alimentat acest an cu adevărat fără precedent.
„Fără perioadă de rampă, fără să ne cunoaștem – a fost doar du-te, du-te, du-te”
Liam: Cum a fost asta?
Adam: A fost, din nou, doar să fim într-o poziție în care ne simțeam confortabil să o facem. Asta nu a fost pierdut pentru noi cu ceea ce se întâmplă în lume. În prima zi, am fost destul de mulți dintre noi toți care ieșeam din acea companie. Lucram cu toții împreună atât de mult încât a fost un fel de avantaj frumos, nedrept. Fără perioadă de rampă, fără să ne cunoaștem – a fost doar go, go, go.
Liam: Ce face Drata?
Adam: Drata ajută companiile să pună securitatea și conformitatea pe pilot automat, așa cum îl numim noi, prin automatizarea monitorizării și colectării dovezilor controalelor lor de securitate. Raționalizarea auditurilor precum SOC 2, ISO 27001, HIPAA și altele. Permite companiilor să-și demonstreze poziția de securitate în timp real aproape în orice zi a anului, astfel încât le accelerează ciclurile de vânzări și revizuirile de securitate. Desigur, face ca auditurile să meargă mai repede și să coste mai puțin. Și apoi, permite companiilor să fie mai pregătite pentru întreprindere.
Liam: Întreaga zonă este un spațiu nou. Cum e să navighezi în acel moment?
Adam: Spațiul în sine este nou, dar este unul care a fost emis de ceva timp. Promisiunea conformității continue plutește de ani de zile. Așadar, respectarea acestei promisiuni este foarte interesantă. Și, desigur, provocatoare – așa cum ar trebui să fie. Personal îmi place să fiu devreme și să folosesc ocazia pentru a pune ștacheta foarte sus pe piață. Și continuând să o împing mai sus cu echipa.
De la știința rachetă la conformitate
Liam: Totuși, nu ai început în securitate. Am dreptate când spun că ești un fost specialist în rachete?
Adam: Da, e amuzant. Blestemul de a fi numit un om de știință rachetă este că ștacheta este imediat ridicată pentru orice și tot ceea ce faci în viață. Mașina nu va porni imediat, remediați-o – „nu este știință rachetă sau altceva”.
Liam: Cum a fost asta? Cum ați făcut tranziția la tehnologia conformității?
Adam: Mi-am început cariera ca inginer în cadrul programului navetei spațiale, în special în echipa MCC, echipa Camerei principale de ardere. Ultima lansare a navetei a avut loc în urmă cu peste un deceniu, așa că unii oameni de acolo s-ar putea să nu-și amintească că au văzut o lansare a navetei, dar dacă o faci, vezi racheta pe platformă, ai cele două propulsoare de rachetă și apoi este acest gigant. rezervor portocaliu. Acesta este rezervorul de combustibil care alimentează aceste trei motoare principale și la asta am lucrat la absolvire. Cel mai bun mod de a descrie modul în care funcționează un motor de rachetă este doar o explozie controlată. Deci este un vis/coșmar ingineresc, în funcție de cum îl privești.
„Așa am obținut acel loc de muncă lucrând la programul navetei spațiale – am adus un portofoliu în interviurile mele de angajare pentru a mă ajuta să mă evidențiez și să-mi demonstrez abilitățile dincolo de GPA.”
Liam: Cum te simți când te uiți la lansare? esti tensionat? Ești cam entuziasmat?
Adam: O emoție tensionată, acesta este un mod bun de a spune. Toată lumea a iubit ceea ce făceam. Mi-am dorit să fiu astronaut încă de când eram mic și să am un astronaut adevărat care se plimbă prin birou, mulțumindu-le inginerilor pentru că i-au ajutat să ajungă acasă în siguranță, mai ales că primul tău loc de muncă la absolvire este absolut incredibil.
Liam: Te-am cam întrerupt acolo, dar îmi spuneai cum ai făcut această tranziție.
„Pentru a ajuta studenții să câștige încrederea angajatorilor, a trebuit mai întâi să dovedim universităților poziția noastră de securitate”
Adam: Experiența a luat sfârșit în 2011, când programul de navetă a fost retras și am făcut saltul de la aerospațial la antreprenoriat. Am făcut pasul, după cum se spune. Am învățat să codific și am construit un MVP pe care îl numeam Portfolium, care era o rețea ePortfolio asemănătoare LinkedIn pentru studenți, și a venit ideea. Așa am obținut de fapt acel loc de muncă lucrând în cadrul programului de navete spațiale – am adus un portofoliu în interviurile mele de angajare pentru a mă ajuta să mă evidențiez și să-mi demonstrez abilitățile dincolo de doar GPA. Și așa, am vrut să fac asta pentru studenții de pretutindeni și să-i ajut să obțină locurile de muncă de vis pe baza abilităților lor dovedite. Cred mult în câștigarea încrederii demonstrând mai întâi că o meriți. În acest caz, a fost o dovadă a competențelor în aceste ePortfolio-uri, care erau bogate în date pe care le puteam folosi pentru a asocia studenții cu angajatorii într-un mod mai semnificativ.
Am crescut compania și rețeaua de milioane de studenți și am făcut-o prin vânzarea unui modul de evaluare a învățării în universități. Și atunci am învățat rapid importanța dovedirii poziției noastre de securitate. Pentru că înainte ca universitatea să semneze cu noi și să ofere informații sensibile despre studenți, aveau nevoie de asigurarea poziției noastre de securitate. Standardul de aur pentru a demonstra că a fost și este încă un Raport SOC 2. Așadar, cam vezi această temă aici, câștigând încredere cu dovezi. Așadar, pentru a-i ajuta pe studenți să câștige încrederea angajatorilor, a trebuit mai întâi să dovedim universităților poziția noastră de securitate, iar dovada a fost Raportul SOC 2. Portfolium a fost achiziționat în februarie 2019, iar echipa noastră s-a reunit anul trecut, în 2020, pentru a construi Drata, pentru a ajuta companiile să se ridice, să mențină și să-și demonstreze postura de conformitate cu securitatea printr-o abordare care primește automatizarea.
SOC 2 101
Liam: Deci, să intrăm în conformitatea cu SOC 2, care știu că este un pic ca și cum ai spune „hai să vorbim despre taxe” sau „hai să vorbim despre facturare”. Dar este atât de important. Ne puteți face o introducere despre ce este cu adevărat conformitatea cu SOC 2?
Adam: Sigur, fericit! Deci, SOC 2 este un cadru. Este creat și întreținut de AICPA, care este Institutul American al Contabililor Publici Autorizați. Deci, auditorii de la firmele CPA realizează audituri SOC 2, iar rezultatul oricărui audit SOC 2 este un Raport SOC 2. SOC 2 nu este o certificare de trecere-eșec, ceea ce este cu adevărat important și o concepție greșită comună. Raportul SOC 2, este o atestare și este unul de încredere, deoarece vine de la acest auditor terț certificat, independent. Și, practic, testează designul și eficiența operațională a controalelor de securitate ale companiei tale atunci când vine vorba de protejarea datelor clienților tăi. Cu alte cuvinte, Raportul SOC 2 este un raport care detaliază cât de bine protejează compania dumneavoastră datele clienților săi. Dacă vindeți software astăzi, există o șansă de 99,9% să stocați sau să procesați date în Cloud. Și, din această cauză, este doar o chestiune de timp înainte de a vi se cere să furnizați un raport SOC 2 clienților dvs. sau potențialilor dvs. clienți, ca parte a procesului lor de evaluare a securității.
„Dacă sunt pe cale să fac afaceri cu compania dumneavoastră și software-ul dumneavoastră va accesa datele clienților mei, este responsabilitatea mea să mă asigur că aveți controalele adecvate pentru a le proteja”
Liam: Și este standardul pentru companiile B2B?
Adam: În multe feluri, da. Mai ales aici, în SUA, parțial pentru că SOC 2 se aplică oricărei companii care stochează sau prelucrează date în Cloud, și asta este fiecare companie în prezent, absolut toate companiile SaaS. Deci, în multe feluri, a devenit standardul de aur acum. Cu atât mai mult ca bara minimă pentru a-ți dovedi postura de securitate. Am asistat la acest lucru direct la Portfolium, vânzând universităților; într-o perioadă foarte scurtă, acele solicitări pentru Raportul nostru SOC 2 s-au transformat rapid în cereri pentru Raportul nostru SOC 2. Și apoi, tocmai a fost inclus în fiecare cerere de propuneri pe care am întâlnit-o. Trecerea către cloud, din ce în ce mai multe încălcări ale datelor – chiar a pus o lupă asupra riscului terților. Și asta a condus mult din ceea ce vedem aici, trecând de la acest lucru plăcut de a avea la o nevoie de a avea.
Liam: De ce este atât de important ca companiile B2B să respecte SOC 2 pe măsură ce se extind? Și îi afectează atragerea și păstrarea clienților mai mari?
„Dacă nu folosiți automatizarea, de obicei, companiile petrec sute de ore pe an conformității”
Adam: Da, cu siguranță. Dacă sunt pe cale să fac afaceri cu compania dvs. și software-ul dvs. va accesa datele clienților mei, este responsabilitatea mea să mă asigur că aveți controalele adecvate pentru a le proteja. Dacă îmi dai cuvântul tău, este grozav, dar reporterul de audit independent va avea cu adevărat greutatea necesară pentru a mă asigura că ai un program de securitate adecvat. Auditorii mei vor dori să se asigure că am primit această asigurare înainte de a vă oferi orice date. Altfel, nu-mi urmez propriul control.
Liam: Am citit multe despre dificultățile în care startup-urile devin conforme cu SOC 2. De ce a fost asta și s-a schimbat asta?
Adam: Da, absolut. Am experimentat asta direct. Dacă nu folosiți automatizarea, de obicei, companiile petrec sute de ore pe an conformității. Pentru a explica de ce, cadrul în sine este alcătuit din cinci principii diferite de servicii de încredere: securitate, disponibilitate, confidențialitate, confidențialitate și integritatea procesării. Securitatea este, de departe, cea mai mare dintre cele cinci și din punct de vedere tehnic singura necesară pentru un audit și un raport. Dar fiecare dintre cele cinci are propriile criterii pe care compania dumneavoastră trebuie să le îndeplinească sau să le satisfacă prin proiectarea și apoi implementarea controalelor în cadrul companiei. De multe ori, când spun asta, oamenii întreabă ce înțeleg prin control. Vă puteți gândi la control ca la o politică, un proces, un instrument pe care îl puneți în aplicare pentru a ajuta la prevenirea unui lucru rău sau pentru a vă asigura că se întâmplă un lucru bun. Așa o definesc mereu. Și acoperă toate funcțiile din cadrul companiei dvs.: modul în care vă îmbarcați, pregătiți și îndepărtați angajații, cum gestionați punctele finale și criptați datele de rezervă, cum asigurați accesul și vă autentificați în aplicații, examinați codul... Pot continua și mai departe.
„Asta înseamnă că echipele din cadrul companiei dumneavoastră au sarcina de a colecta fiecare dovezi în mod continuu, în mod repetat și apoi de a le stoca pentru audituri viitoare”
Companiile au între 100 și 200 de controale în vigoare pentru un audit SOC 2. Și apoi, auditul în sine poate dura mult timp pentru că, practic, trebuie să dovediți auditorului că aceste controale sunt acolo și, cel mai important, rămân în vigoare pe o perioadă de audit. Nu este ceva ce ai putea să te înghesui pentru fiecare a 11-a lună, dacă ești în perioada de 12 luni. Dacă nu utilizați automatizarea, aceasta înseamnă că echipele din cadrul companiei dvs. au sarcina de a colecta fiecare dovezi în mod continuu, în mod repetat și apoi de a le stoca pentru audituri viitoare. Și apoi, dacă găsesc lacune pe parcurs, pentru că s-ar putea forma în orice zi a anului, ei trebuie să remedieze. Și da, doar o mulțime de oameni care trăiesc în foi de calcul, foldere partajate, capturi de ecran. În mod clar, este foarte pregătit pentru întreruperi, iar asta a venit sub formă de automatizare. Asta chiar s-a schimbat. Drata aduce această soluție de automatizare pentru a salva companiile sute de ore pe an și apoi le oferă aceste tablouri de bord de pregătire în timp real, astfel încât să fiți pregătit rapid pentru audit și să rămâneți pregătit pentru audit în fiecare zi a anului.
Liam: Este atât de important pentru că, așa cum ați menționat mai devreme, este o parte atât de importantă a încrederii dintre o companie și clienții săi.
Adam: Exact. Și aceasta este și tema ultimei companii. Ai putea crede cuiva pe cuvânt, ai putea citi un punct din CV-ul lui, dar ne dorim ca acesta să-i ajute pe oameni să-și demonstreze abilitățile. Și, în mod similar, aici, dorim ca oamenii să poată dovedi cu dovezi, nu doar în timpul auditurilor, ci în orice zi a anului, cum funcționează controalele lor. Acesta ar putea fi un raport intern pentru propria echipă, pentru consiliul lor, pentru propria lor sanitate, dar apoi și extern. Acolo vedem calea mergând.
Fă-o devreme, fă-o des
Liam: Cum pot companiile să creeze o cultură a securității cibernetice în organizația lor? Pentru că, după cum știm cu toții, securitatea nu mai este doar un lucru plăcut.
Adam: Cred că împuternicirea angajaților individuali este cheia. Dacă angajații înțeleg cât de importanți sunt în protejarea companiei lor, este ceva cu care ar putea fi mândri, mai degrabă decât să se simtă ca o chestie de bifare. Pentru că nimic nu poate fi mai adevărat. Atacurile de tip phishing sunt încă cele mai frecvente cauze ale încălcării datelor în 2021. Este ceva de genul 90% – a trebuit să-l recitesc doar pentru a mă asigura că nu a fost o greșeală de scriere. Instruirea angajaților dvs. cu privire la modul de a identifica aceste e-mailuri rău intenționate și apoi testarea lor pe tot parcursul anului este un exemplu al modului în care îi puteți împuternici angajaților să preia securitatea lor. Și compania va avea o poziție de securitate mai puternică din cauza asta. Deci cred că asta este cheia.
„Cu cât controalele sunt implementate mai devreme la compania dumneavoastră, cu atât mai devreme aceasta devine parte a fundației”
Cred că poate cel mai important este să o faci devreme. Dacă o coaceți din prima zi sau cât mai aproape de prima zi, devine pur și simplu a doua natură. Nu este ceva nou și diferit mai târziu, când există doar mult mai multă inerție sau rezistență la schimbare. Am avut această conversație zilele trecute și poate că nu este cea mai bună analogie, dar a existat o întreagă generație care a crescut conducând mașini fără centuri de siguranță. Și apoi, în anii 50, au introdus acest lucru nou și a existat rezistență. Dar astăzi, crescând eu însumi din prima zi, nici nu mă gândesc la asta când mă urc în mașină. Centura de siguranță merge și parcă ar respira. Doar că nu mă gândesc la asta. Deci, cu cât controalele sunt implementate mai devreme la compania dumneavoastră, cu atât mai devreme aceasta devine parte a fundației.
Liam: Ce trebuie să știe oamenii dacă afacerii tale i se solicită un raport SOC 2?
Adam: Cred că primul lucru este să știi că este un lucru bun. Oricine vă întreabă se gândește serios să facă afaceri cu compania dvs. și acum trebuie să se asigure că faceți lucrurile corect pentru a-și proteja datele. În al doilea rând, dacă este prima dată când vi se cere un Raport SOC 2, nu va fi ultimul și nici nu ar trebui. Dacă nu aveți un raport SOC 2, cu siguranță este timpul să începeți. Și din nou, cu cât o faci mai devreme, cu atât va fi mai rapid, cu atât va fi mai ieftin și cu atât va fi mai ușor de menținut înainte. Toate acestea, desigur, pentru a spune automatizarea pârghiei pentru a face acest lucru.
Liam: Și SOC 2 nu este o certificare. Am dreptate?
Adam: Corect. Este o atestare.
Liam: Și există două tipuri diferite: Tipul 1 și 2. Care este diferența?
Adam: Pentru a face mai confuză, există ceva de genul SOC 1 și apoi SOC 2. Cred că întrebați despre SOC 2 Tipul 1 versus SOC 2 Tipul 2, care este o întrebare grozavă și una pe care ne-o pun tot timpul potențialele. . Ambele sunt la fel în ceea ce privește cadrul în sine. Diferența este că auditul și raportul SOC 2 de tip 1 se uită la proiectarea controalelor dvs. la un moment foarte specific. Cum, ești conform azi? Un SOC 2 de tip 2 se uită la designul comenzilor dvs., dar se uită și la eficacitatea operațională a acelor controale pe o anumită perioadă de timp, de obicei 12 luni.
Doar pe baza asta, vă puteți imagina că SOC 2 Type 2 este cu siguranță o bară mai înaltă. Durează mai mult; de obicei este mai scump; se face doar pe o perioadă de timp. Ai putea face un tip 1 în drum spre un tip 2. Vedem clienții care fac acest lucru atunci când au nevoie de un raport cât mai curând posibil, iar tipul 1 este cu siguranță mai bun decât să nu aibă niciun raport. Și nu pierzi timp sau muncă pentru că, din nou, sunt același cadru. Practic, toate controalele dvs. sunt puse în aplicare prin auditul de tip 1 și, în același timp, începeți perioada de patru până la 12 luni pentru tipul 2. De fapt, unele dintre firmele de audit cu care partenerăm chiar își grupează prețurile pentru un tip 1 și un tip 2, ceea ce îl face mai rentabil în acel scenariu specific. Dar din nou, puteți merge direct spre Type 2, deoarece acesta este standardul de aur.
„Este un antrenament grozav și fac aceste atacuri simulate de phishing. Așa că ne-am phishing în mod intenționat propriii angajați la întâmplare”
Liam: Potrivit Statista, daunele monetare cauzate de infracțiunile cibernetice raportate au fost de 4,2 miliarde de dolari în 2020, de patru ori mai mult decât în 2015.
Adam: E o nebunie.
Liam: Da, e o nebunie. Deci, care sunt punctele oarbe care sunt răspândite în sistemele de securitate corporative?
Adam: E o întrebare bună. Există mai multe date în Cloud de expus astăzi decât oricând. Cred că ceea ce i-ar putea surprinde pe oameni este că atât de mult este încă aceleași trucuri vechi, cum ar fi atacurile de phishing. Așa cum am spus, atacurile de phishing reprezintă încă 90% din încălcările de date în 2021. Majoritatea furnizorilor de instruire securizată au module și cursuri despre cum să depistați e-mailurile de phishing, ce să faceți și ce să nu faceți când le primiți. Și este un control obișnuit pe care orice companie care trece prin SOC 2 ar trebui să-l aibă la loc, instruire de conștientizare a securității. Folosim un instrument grozav – Drata se integrează cu el – numit Curricula. Este un exemplu. Dar este un antrenament grozav și fac aceste atacuri de phishing simulate. Așa că ne phishingăm în mod intenționat propriii angajați la întâmplare.
„Tot ce este nevoie este un e-mail, un angajat”
Liam: Pun pariu că le place asta.
Adam: Nici măcar nu știu dacă este real sau nu, ceea ce face parte din exercițiu. Dar este o modalitate de a flexa continuu acel mușchi intern la companie pentru că, ca toate lucrurile, nu este niciodată unul și gata. Nu pocnești niciodată din degete și ești în siguranță. Trebuie să exersezi. Și așa, dacă cineva ar face clic pe unul dintre aceste link-uri și e-mailuri false, acesta îi spune imediat: „Hei, tocmai ați fost phishing, haide, amintiți-vă de antrenament”, dar este încă valoros în acel moment, nu?
Am fost surprins. Am avut unul nu cu mult timp în urmă. Părea un e-mail venit de la Carta. Și practic spunea: „Felicitări pentru cea mai recentă acordare de opțiuni pe acțiuni. Tocmai a fost aprobat de consiliu, semnați aici.” Și da, se atinge direct de acel centru de gratificare instantanee al creierului. Ai fi surprins câți oameni vor face clic pe acel link fără a verifica cu adevărat că este legitim. Așa se întâmplă, din nou, 90% dintre aceste încălcări. Este nevoie doar de un e-mail, un angajat. Asta se întoarce la punctul inițial despre coacerea în fundația și cultura ta. Acesta este cât de important este ca toți cei din companie să preia securitatea. Nu este treaba unei persoane, este treaba tuturor.
Creșterea securității ca startup
Liam: Știu că avem mulți ascultători de la startup-uri și aveam de gând să vă întreb ce sfaturi le-ați da startup-urilor în special pentru a deveni SOC 2 Compliant. Cine ar trebui să gestioneze procesul SOC 2 la startup-urile mai mici?
Adam: E o întrebare bună. Și unul care cred că ocupă un loc special în inimile noastre, pentru că, unul, suntem încă un startup noi înșine, dar această Drata a apărut din propria noastră nevoie personală ca startup care vinde în universități, în cazul nostru. Așa că am vorbit cu o mulțime de startup-uri. Sfatul pe care îl oferim este, desigur, să nu așteptați. După cum am spus mai devreme, începe curând. Cu cât o faci mai devreme, cu atât mai rapid, mai ieftin și mai ușor de întreținut. Cu siguranță, folosiți automatizarea. Veți economisi sute de ore de inginerie, pe care, mai ales ca startup, ar trebui să le petreceți pe produse și alte priorități.
„Pe măsură ce compania dumneavoastră crește, mai mulți angajați, mai multe active, mai multe de urmărit”
Și cred că celălalt ar fi să gândești pe termen lung. Este foarte ușor să fii prins în capcana: „Ok, trebuie să bifez această casetă, sau această mare afacere nu se va încheia, iar această mare afacere schimbă jocul, existențială pentru startup-ul nostru.” Există o modalitate de a o face rapid, dar una care te va pregăti pe termen lung. Acesta nu este o chestie de trecere-eșec. Sa nu uiti asta. Deci da, este un raport pe care îl primiți la sfârșitul auditului și doriți să fie un raport curat și bun. Când dai cuiva acel raport, vrei să te pună într-o lumină bună. Multe dintre acestea s-ar putea pierde, mai ales ca startup, în zgomotul și presiunea de a se conforma sau de a încheia această afacere.
Liam: Și ce trebuie să știe companiile de scalare? Presupun că pot exista provocări destul de diferite.
Adam: Deci, dacă ai deja un raport SOC 2 și folosești foi de calcul sau trăiești în foi de calcul și capturi de ecran, simți deja durerea de cât de nescalabilă este. Pe măsură ce compania dvs. crește, mai mulți angajați, mai multe active, mai multe de urmărit. Automatizarea devine de fapt mai valoroasă în timp, deoarece aveți mai multe active în domeniul auditului dumneavoastră. Prin urmare, există și mai multe motive pentru a utiliza automatizarea și a pune în aplicare monitorizarea continuă, astfel încât să nu colectați dovezi retroactiv și manual. Știți în timp real unde se formează decalajele pe măsură ce angajații vin și pleacă, sau creșteți sau reduceți activele automat. Deci da, este un caz de utilizare diferit, dar foarte asemănător.
„Acesta este unic, să monitorizezi continuu controalele și apoi să identifici și să alertezi când se formează goluri în timp real”
Liam: Mi-ar plăcea să aud cum Drata ajută la simplificarea și automatizarea procesului SOC 2 pentru oameni.
Adam: Da, absolut. Deci, am construit-o ca o soluție end-to-end. Poate lua companiile de la zero, până la gata de audit, auditul în sine și apoi doar întreținerea continuă, continuând cu automatizarea. Drata se conectează la stiva tehnologică a clientului său. Acesta este ceea ce este unic, să monitorizezi continuu controalele și apoi să identifici și să alertezi când se formează goluri în timp real. Și va colecta automat dovezi ale tuturor acestor controale, care sunt apoi mapate în prealabil în cadre precum SOC 2, ISO 27001, HIPAA și altele. Deci, dacă porniți de la zero, puteți folosi cadrul de control comun din Drata, precum și șabloanele de politici de securitate pentru a vă configura foarte repede fundația. Am avut companii cu sub 50 de angajați, literalmente, de la zero la gata de audit în doar câteva săptămâni. Aceasta este puterea automatizării.
Apoi, Drata colaborează și cu firme de audit instruite să efectueze auditul folosind Drata într-un mod foarte eficient. Acest lucru economisește timp tuturor și are ca rezultat audituri la prețuri mai mici. A fost o călătorie deosebit de plină de satisfacții. Este ceva ce vine din propriile noastre nevoi personale. Și apoi echipa noastră, în special echipa noastră pentru succesul clienților, care lucrează cu fiecare dintre clienții noștri. Avem foști auditori, profesioniști în securitate, angajați pentru a ne ghida clienții prin călătorie. Nu este doar software, evident, automatizarea este cheia.
Viitorul securității datelor
Liam: Chiar înainte de a încheia, care este viitorul securității datelor? Va fi întotdeauna o luptă dificilă?
„Cred că companiile vor fi mai transparente în ceea ce privește partajarea, nu doar aceste rapoarte SOC 2, ci literalmente rapoartele intermediare în timp real”
Adam: O să-mi scot globul de cristal. Cu tot mai multe date în cloud, securitatea datelor va deveni din ce în ce mai importantă cu timpul. Cred că veți vedea companiile făcând-o mai devreme, așa cum vedem deja, fiindu-le solicitate mai des certificări de conformitate și atestare. Și va fi introdus chiar în cultura companiei din prima zi. O mulțime de profesii și industrii acolo unde este necesară o pregătire suplimentară în materie de securitate și nimeni nu bate ochii pentru că este doar înțeles. Există riscuri foarte reale aici. Și același lucru se poate spune despre orice companie de software care deține date în Cloud.
Cred că vom vedea o monitorizare mai continuă, doar o viziune din interior în timp real și cred că companiile vor fi mai transparente în ceea ce privește partajarea, nu doar aceste rapoarte SOC 2, ci literalmente rapoartele intermediare în realitate. -timp. În același mod în care ne lăudăm cu starea noastră de funcționare – iată starea noastră de securitate. Și apoi, desigur, nu cred că aș fi co-fondator și CEO la Drata dacă nu aș crede că automatizarea va fi metoda standard pentru companiile care își mențin această poziție de conformitate cu securitatea. Deci vom vedea.
Liam: Este evident o perioadă foarte interesantă pentru voi toți. Ce urmeaza? Aveți planuri sau proiecte mari pe drum?
Adam: Da, este uimitor cât de repede a trecut anul. Ne-am lansat oficial pe 15 ianuarie, așa că am ajuns foarte repede la statutul de unicorn. Dar suntem încă un startup care începe. Echipa noastră se va tripla în 2022. Așa că angajăm toate departamentele. Dacă cei care ascultă sunt interesați de automatizare și securitate, valorile noastre de bază sunt pe site-ul nostru. Și dacă rezonează cu tine, ne-ar plăcea să arunci o privire pe pagina noastră de cariere și ne-ar plăcea să ne conectăm cu tine
Liam: Genial. An nou, job nou. Această serie este despre a afla cum companiile își extind creșterea. Înainte să terminăm, mi-ar plăcea să știu, a existat un eveniment cheie în cariera ta care te-a ajutat să crești profesional?
„Este un alt fel de rachetă, nu? Ambele sunt foarte intense”
Adam: Învățăm atât de multe în fiecare zi și suntem doar despre iterare și îmbunătățire continuă. Așadar, sfatul timpuriu, a fost doar să mă înconjur de mentori, consilieri, oameni care au fost acolo de la care am putea învăța și să fiu deschis la asta. După ce programul navetei spațiale s-a încheiat și am învățat să codific și să construiesc prima versiune a Portfolium, lucram într-un program de accelerare aici, în San Diego, numit EvoNexus. Și asta a pus lucrurile într-adevăr în exces. I-a pus pe acei oameni în jurul meu imediat și am putut să învăț de la ei. Pur și simplu a ajutat cu adevărat să pună piese la locul lor pentru a se pregăti pentru tot ce urmează. Nu cred că te-ar putea pregăti ceva, dar cu siguranță ajută.
Liam: Ce este mai tensionat și mai interesant? Savant sau conduce o companie?
Adam: Este un alt fel de rachetă, nu? Ambele sunt foarte intense.
Liam: Și, în sfârșit, unde pot merge ascultătorii noștri pentru a ține pasul cu tine și cu munca ta?
Adam: Da, vă rugăm să vizitați site-ul nostru drata.com. Feel free to schedule a live demo with our team and see the product in action. We'd love to show it. On LinkedIn, it's easy to find and follow; just search Drata. And then, on Twitter, at @DrataHQ.
Liam: Perfect. And thank you so much for joining us today.
Adam: Thank you so much for having me.
