Генеральный директор Drata Адам Марковиц о создании культуры кибербезопасности
Опубликовано: 2022-05-06По мере того, как все больше и больше данных хранится в облаке, доказательство того, что вы можете защитить данные своих клиентов, не просто приятно иметь — это необходимо.
Историй об утечке данных и кибератаках достаточно, чтобы пробрать до глубины души даже самого опытного инженера по безопасности. Кибератаки выросли на 125% по сравнению с предыдущим годом, и с учетом того, что компании частично или полностью переходят на удаленные настройки, нет никаких признаков замедления. В сегодняшней среде SaaS, управляемой данными, они могут повлиять на сотни миллионов пользователей и причинить ущерб в миллиарды долларов, а по мере того, как системы соответствия становятся требованиями для ведения бизнеса, предприятия обращаются к сторонним службам, которые могут помочь ускорить и облегчить процесс. И тут в дело вступают такие люди, как Адам Марковиц.
Адам является соучредителем и генеральным директором Drata, компании, которая помогает компаниям защищать данные своих клиентов, постоянно контролировать их состояние безопасности и автоматически соответствовать SOC 2, ISO 27001 и другим программам соответствия. Несмотря на то, что ей еще не исполнилось и двух лет, Drata уже закрыла серию B на 100 миллионов долларов, подняв статус единорога и сделав ее одной из самых быстрых компаний, достигших оценки в 1 миллиард долларов. Кибербезопасность и соответствие требованиям, оказывается, востребованы.
Аэрокосмический инженер, ставший предпринимателем, Адам рано понял, что лучший способ завоевать доверие — это доказать, что вы его заслуживаете. После работы над главным двигателем космического корабля НАСА он продолжил разработку Portfolium, платформы социальной сети, которая позволяет студентам и выпускникам демонстрировать навыки, выходящие за рамки традиционного резюме, потенциальным работодателям. Но прежде чем университеты начнут вести с ними дела, им необходимо убедиться в их безопасности. Внезапно команда слишком хорошо изучила отчеты SOC 2 и поняла, насколько обременительным и немасштабируемым он может стать, особенно для быстрорастущих стартапов. В конце концов портфолио было приобретено, но команда, стоящая за ним, не переставала думать о том, как сделать это лучше. Менее чем через год Drata была запущена.
В этом эпизоде мы встретились с Адамом, чтобы узнать все о структуре SOC 2, о том, как создать культуру безопасности с нуля и как автоматизация является ключом к превращению головной боли в бесперебойную работу.
Вот некоторые из наших любимых выводов из разговора:
1. Это становится минимумом
Вы не сможете развивать свой бизнес, если ваши клиенты не доверяют вам свои конфиденциальные данные. И как бы ни были приятны словесные заверения и рукопожатие, по мере того, как вы растете и пытаетесь подписать контракт с более авторитетными компаниями уровня предприятия, вам все чаще и чаще приходится предоставлять доказательства соответствия перед закрытием сделки:
Переход к облаку, все больше и больше утечек данных — это действительно увеличило риски для третьих лиц. И это привело к тому, что мы здесь видим, переходя от приятного к необходимому. Если я собираюсь вести дела с вашей компанией, и ваше программное обеспечение получит доступ к данным моих клиентов, я обязан обеспечить наличие у вас надлежащих средств контроля для их защиты.
2. Начните рано
Проведенный Verizon анализ инцидентов кибербезопасности показал, что фишинг стоит за 90% успешных атак, а это означает, что в 9 случаях из 10 их можно предотвратить. Начните обучать своих сотрудников методам соблюдения требований и тому, как обнаруживать эти вредоносные электронные письма с первого дня — чем быстрее они примут мышление, ориентированное на безопасность, тем быстрее оно станет частью корпоративной культуры.
У меня был такой разговор на днях, и, возможно, это не лучшая аналогия, но целое поколение выросло за рулем автомобилей без ремней безопасности. А потом, в 50-х, ввели эту обновку, и было сопротивление. Но сегодня, повзрослев с первого дня, я даже не думаю об этом, когда сажусь в машину. Ремень безопасности пристегнут, и это как дышать.
3. Не пропускайте автоматизацию
Безопасность затрагивает все функции вашей компании: от подключения и отключения до шифрования данных и управления конечными точками. По опыту Адама, существует от 100 до 200 элементов управления для отслеживания прохождения аудита SOC 2, поэтому, если вы не используете автоматизацию, вы можете тратить сотни часов в год на соответствие:
Если вы не используете автоматизацию, это означает, что перед командами в вашей компании стоит задача непрерывно и неоднократно собирать все доказательства, а затем сохранять их для будущих аудитов. И затем, если они обнаруживают пробелы по пути, потому что пробелы могут образоваться в любой день года, им приходится исправлять. Многие люди живут электронными таблицами, общими папками, снимками экрана.
Уловил ваш интерес? Мы собрали список статей, видео и подкастов, которые вы можете посмотреть:
- Оцените готовность вашей компании к SOC 2
- Соответствие SOC 2: руководство для начинающих
- Технический директор Evernote о ваших самых больших заботах о безопасности от 3 до 300 сотрудников
- Инцидент с LinkedIn
Это Scale, серия подкастов Intercom о стимулировании роста бизнеса через отношения с клиентами. Если вам нравится беседа и вы не хотите пропустить будущие выпуски, просто нажмите «Подписаться» в iTunes, Spotify или загрузите RSS-канал в выбранном вами проигрывателе. Вы также можете прочитать полную стенограмму интервью, которая была слегка отредактирована для ясности, ниже.
Безопасность на автопилоте
Лайам Джерати: Адам, большое спасибо, что присоединились к нам. Добро пожаловать на шоу.
Адам Марковиц: Спасибо, что пригласили меня.
Лиам: Во-первых, поздравления в порядке. Недавно Drata привлекла 100 миллионов долларов венчурного финансирования, что, как я полагаю, делает его последним стартапом-единорогом Сан-Диего с оценкой в 1 миллиард долларов. Каково это?
Адам: Спасибо, это все еще кажется немного сюрреалистичным, в основном из-за того, как быстро компания перешла от семени к серии, и все это менее чем за 12 месяцев. Но это здорово и очень полезно, чтобы достичь важной вехи и сделать это здесь, в Сан-Диего. Наша предыдущая компания была основана здесь, в Сан-Диего, почти 10 лет назад, и тогда это была совсем другая технологическая экосистема. Так что видеть, как он развивается, и быть его частью все это время — очень полезно. А еще, сама Драта родилась прямо в разгар пандемии. Нам повезло, что мы даже смогли основать компанию, когда мы это сделали, и эта признательность только подпитывала этот действительно беспрецедентный год.
«Никакого периода рампы, никакого периода знакомства друг с другом — это было просто иди, иди, иди»
Лиам: Как это было?
Адам: Опять же, мы просто были в таком положении, когда нам было удобно это делать. Это не ускользнуло от нас из-за того, что происходило в мире. В первый день из этой компании ушло довольно много людей. Мы все работали вместе так долго, что это было своего рода приятным, несправедливым преимуществом. Никакого периода рампы, никакого периода знакомства — это было просто идти, идти, идти.
Лиам: Что делает Драта?
Адам: Drata помогает компаниям поставить безопасность и соответствие на автопилот, как мы это называем, автоматизируя мониторинг и сбор доказательств своих элементов управления безопасностью. Оптимизация аудитов, таких как SOC 2, ISO 27001, HIPAA и других. Это позволяет компаниям подтверждать свою безопасность в режиме реального времени практически в любой день года, что ускоряет их циклы продаж и проверки безопасности. Конечно, это также позволяет проводить аудиты быстрее и дешевле. Кроме того, это позволяет компаниям быть более готовыми к работе на предприятии.
Лиам: Вся территория — это новое пространство. Каково это - перемещаться по нему в минуту?
Адам: Пространство само по себе новое, но это одно из предположений в течение некоторого времени. Обещание постоянного соответствия витало в воздухе в течение многих лет. И поэтому выполнение этого обещания очень интересно. И, конечно же, вызов – как и должно быть. Я лично люблю приходить пораньше и использовать возможность установить действительно высокую планку на рынке. И просто продолжаем продвигаться вперед вместе с командой.
От ракетостроения к соответствию требованиям
Лиам: Однако вы не начинали с охраны. Я прав, говоря, что вы бывший ракетчик?
Адам: Да, это забавно. Проклятие того, что вас называют ученым-ракетчиком, заключается в том, что планка немедленно поднимается для всего, что вы делаете в жизни. Машина не заводится сразу, почини — «это не ракетостроение или что-то в этом роде».
Лиам: Как это было? Как вы перешли на комплаенс-технологию?
Адам: Я начал свою карьеру в качестве инженера по программе «Спейс шаттл», в частности, в команде MCC, в команде главной камеры сгорания. Последний запуск шаттла был более десяти лет назад, поэтому некоторые люди могут не помнить, что видели запуск шаттла, но если вы это сделаете, вы увидите ракету на площадке, у вас есть два ракетных ускорителя, а затем есть этот гигантский оранжевый танк. Это топливный бак, питающий эти три основных двигателя, и над этим я работал после окончания бакалавриата. Лучший способ описать работу ракетного двигателя — это управляемый взрыв. Так что это инженерная мечта/кошмар, в зависимости от того, как вы на это смотрите.
«Именно так я получил эту работу, работая в программе «Спейс шаттл» — я приносил портфолио на собеседования, чтобы выделиться и доказать свои навыки, помимо среднего балла»
Лиам: Что ты чувствуешь, когда на самом деле смотришь на запуск? Вы напряжены? Ты типа взволнован?
Адам: Напряженное волнение, это хороший способ выразить это. Всем нравилось то, что мы делали. Я хотел быть космонавтом с тех пор, как был маленьким ребенком, и чтобы настоящий живой космонавт ходил по офису и благодарил инженеров за то, что они помогли им вернуться домой в целости и сохранности, тем более, что ваша первая работа после окончания бакалавриата — это просто невероятно.
Лиам: Я как бы прервал тебя, но ты рассказывал мне, как ты сделал этот переход.
«Чтобы помочь студентам завоевать доверие работодателей, мы должны были сначала доказать университетам свою позицию в области безопасности»
Адам: Опыт закончился в 2011 году, когда программа шаттлов была закрыта, и я совершил прыжок из аэрокосмической отрасли в предпринимательство. Я сделал решительный шаг, как говорится. Я научился кодировать и создал MVP, который я назвал портфолиумом, который представлял собой сеть электронных портфолио, подобную LinkedIn, для студентов, и идея пришла. Именно так я на самом деле получил эту работу, работая в программе «Спейс шаттл» — я приносил портфолио на собеседования, чтобы помочь мне выделиться и доказать свои навыки, помимо среднего балла. И поэтому я хотел сделать это для студентов во всем мире и помочь им найти работу своей мечты, основываясь только на их проверенных навыках. Я большой сторонник того, чтобы заслужить доверие, сначала доказав, что ты его заслуживаешь. В данном случае это было свидетельством навыков в этих электронных портфолио, которые были богаты данными, которые мы могли использовать для более значимого сопоставления студентов с работодателями.
Мы расширили компанию и сеть из миллионов студентов, и мы сделали это, продав модуль оценки обучения колледжам. И тогда мы быстро поняли важность подтверждения нашей безопасности. Потому что, прежде чем университет подписался с нами и предоставил конфиденциальную информацию о студентах, им нужно было убедиться в нашей безопасности. Золотым стандартом для доказательства этого был и остается отчет SOC 2. Итак, вы как бы видите эту тему здесь, завоевывая доверие доказательствами. Таким образом, чтобы помочь студентам завоевать доверие работодателей, мы должны были сначала доказать университетам нашу позицию в области безопасности, и доказательством этого стал отчет SOC 2. Portfolium был приобретен в феврале 2019 года, и в прошлом году в 2020 году наша команда снова собралась вместе, чтобы создать Drata, чтобы помочь компаниям встать на ноги, поддерживать и подтверждать свою позицию по обеспечению безопасности с помощью подхода, ориентированного на автоматизацию.
СОЦ 2 101
Лиам: Итак, давайте перейдем к соблюдению SOC 2, что, я знаю, немного похоже на фразу «давайте поговорим о налогах» или «давайте поговорим о выставлении счетов». Но это так важно. Можете ли вы дать нам представление о том, что на самом деле означает соответствие SOC 2?
Адам: Конечно, с удовольствием! Итак, SOC 2 — это фреймворк. Он создан и поддерживается AICPA, Американским институтом дипломированных бухгалтеров. Таким образом, аудиторы из фирм CPA фактически проводят аудит SOC 2, а результатом любого аудита SOC 2 является отчет SOC 2. SOC 2 — это не сертификация «пройдено-не пройдено», что действительно важно и является распространенным заблуждением. Этот отчет SOC 2 является аттестацией, и он заслуживает доверия, потому что он исходит от этого сертифицированного независимого стороннего аудитора. По сути, это тестирование дизайна и операционной эффективности средств управления безопасностью вашей компании, когда речь идет о защите данных ваших клиентов. Другими словами, отчет SOC 2 — это отчет, в котором подробно описывается, насколько хорошо ваша компания защищает данные своих клиентов. Если вы продаете программное обеспечение сегодня, вероятность того, что вы храните или обрабатываете данные в облаке, составляет 99,9%. И поэтому это всего лишь вопрос времени, когда вас попросят предоставить отчет SOC 2 вашим клиентам или вашим потенциальным клиентам в рамках их процесса проверки безопасности.
«Если я собираюсь вести дела с вашей компанией, а ваше программное обеспечение получит доступ к данным моих клиентов, я обязан обеспечить наличие у вас надлежащих средств контроля для их защиты».
Лиам: Это стандарт для B2B-компаний?
Адам: Во многом да. Особенно здесь, в США, отчасти потому, что SOC 2 применяется к любой компании, которая хранит или обрабатывает данные в облаке, а в наши дни это любая компания, абсолютно все компании SaaS. Так что во многих отношениях это стало золотым стандартом. Даже больше, чем минимальная планка, подтверждающая вашу безопасность. Мы были свидетелями этого воочию при продаже Portfolium университетам; за очень короткий период эти запросы на наш отчет SOC 2 быстро превратились в запросы на наш отчет SOC 2. И потом, это было просто встроено в каждый RFP, с которым мы сталкивались. Переход к облаку, все больше и больше утечек данных — это действительно увеличило риск третьих лиц. И это привело к тому, что мы здесь видим, переходя от приятного к необходимому.
Лиам: Почему для B2B-компаний так важно соответствовать требованиям SOC 2 при масштабировании? И влияет ли это на привлечение и удержание более крупных клиентов?
«Если вы не используете автоматизацию, как правило, компании тратят сотни часов в год на соблюдение требований»
Адам: Да, определенно. Если я собираюсь вести дела с вашей компанией, и ваше программное обеспечение получит доступ к данным моих клиентов, я обязан обеспечить наличие у вас надлежащих средств контроля для их защиты. Если вы дадите мне слово, это здорово, но независимый репортер по аудиту действительно будет иметь вес, необходимый, чтобы заверить меня, что у вас есть адекватная программа безопасности. Мои аудиторы захотят убедиться, что я получил эту уверенность, прежде чем предоставлять вам какие-либо данные. В противном случае, я не следую своему собственному контролю.
Лиам: Я много читал о трудностях, с которыми сталкиваются стартапы, стремящиеся соответствовать требованиям SOC 2. Почему так было и изменилось ли это?
Адам: Да, абсолютно. Мы испытали это на себе. Если вы не используете автоматизацию, как правило, компании тратят сотни часов в год на соблюдение требований. Чтобы объяснить, почему, сама структура состоит из пяти различных принципов службы доверия: безопасность, доступность, конфиденциальность, конфиденциальность и целостность обработки. Безопасность, безусловно, является самой большой из пяти и технически единственной, необходимой для аудита и отчета. Но у каждого из пяти есть свои критерии, которым ваша компания должна соответствовать или удовлетворять, разрабатывая, а затем внедряя средства контроля по всей компании. Много раз, когда я говорю это, люди спрашивают, что я имею в виду под контролем. Вы можете думать о контроле как о политике, процессе, инструменте, который вы применяете, чтобы помочь предотвратить плохие вещи или обеспечить, чтобы происходили хорошие вещи. Я всегда так это определяю. И он охватывает все функции вашей компании: как вы принимаете, обучаете и увольняете сотрудников, как вы управляете конечными точками и шифруете данные резервного копирования, как вы предоставляете доступ и аутентификацию в приложениях, проверяете код… Я могу продолжать и продолжать.
«Это означает, что перед командами в вашей компании стоит задача непрерывно и неоднократно собирать все доказательства, а затем сохранять их для будущих аудитов».
Компании имеют от 100 до 200 средств контроля перед аудитом SOC 2. И тогда сам аудит может занять много времени, потому что вы должны в основном доказать аудитору, что эти средства контроля существуют, и, что наиболее важно, они остаются в силе в течение периода аудита. Это не то, что вы могли бы просто зубрить каждый 11-й месяц, если вы находитесь на 12-месячном периоде. Если вы не используете автоматизацию, это означает, что перед командами в вашей компании стоит задача непрерывно и неоднократно собирать все доказательства, а затем сохранять их для будущих аудитов. И затем, если они обнаруживают пробелы по пути, потому что пробелы могут образоваться в любой день года, им приходится исправлять. И да, просто многие люди живут электронными таблицами, общими папками, скриншотами. Он явно созрел для прорыва, и это произошло в форме автоматизации. Вот что действительно изменилось. Drata предлагает это решение, ориентированное на автоматизацию, чтобы сэкономить компаниям сотни часов в год, а затем предоставляет им эти панели мониторинга готовности в реальном времени, чтобы вы могли быстро подготовиться к аудиту и оставаться готовым к аудиту каждый день в году.
Лайам: Это так важно, потому что, как вы упоминали ранее, это очень важная часть доверия между компанией и ее клиентами.
Адам: Точно. И это тема всей последней компании. Вы можете поверить кому-то на слово, вы можете прочитать пункт в их резюме, но мы хотим, чтобы это помогло людям доказать свои навыки. Точно так же и здесь мы хотим, чтобы люди могли подтверждать фактами не только во время проверок, но и в любой день года, как работают их средства контроля. Это может быть внутренний отчет для их собственной команды, для их правления, для их собственного здравомыслия, но также и для внешних. Вот где мы видим, что путь идет.
Делайте это рано, делайте это часто
Лиам: Как компании могут создать культуру кибербезопасности в своей организации? Потому что, как мы все знаем, безопасность больше не просто приятно иметь.
Адам: Я думаю, что ключевым моментом является расширение прав и возможностей отдельных сотрудников. Если сотрудники понимают, насколько они важны для защиты своей компании, они могут гордиться этим, а не просто галочкой. Потому что нет ничего более верного. Фишинговые атаки по-прежнему остаются самой распространенной причиной утечек данных в 2021 году. Это около 90% — мне пришлось перечитать это, чтобы убедиться, что это не опечатка. Обучение ваших сотрудников тому, как обнаруживать эти вредоносные электронные письма, а затем их тестирование в течение года — это один из примеров того, как вы можете дать сотрудникам возможность взять на себя ответственность за свою безопасность. Благодаря этому у компании будет более сильная система безопасности. Так что я думаю, что это ключ.
«Чем раньше в вашей компании будет введен контроль, тем быстрее она станет частью фонда»
Я думаю, может быть, самое главное сделать это рано. Если вы запекаете это с первого дня или как можно ближе к первому дню, это просто становится второй натурой. Это не будет чем-то новым и другим позже, когда будет намного больше инерции или сопротивления изменениям. У меня был такой разговор на днях, и, возможно, это не лучшая аналогия, но целое поколение выросло за рулем автомобилей без ремней безопасности. А потом в 50-х ввели эту новинку, и возникло сопротивление. Но сегодня, повзрослев с первого дня, я даже не думаю об этом, когда сажусь в машину. Ремень безопасности пристегнут, и это как дышать. Я просто не думаю об этом. Таким образом, чем раньше в вашей компании будет введен контроль, тем скорее она станет частью фонда.
Лиам: Что нужно знать людям, если у вашего бизнеса запрашивают отчет SOC 2?
Адам: Думаю, прежде всего нужно знать, что это хорошо. Тот, кто спрашивает, серьезно рассматривает возможность сотрудничества с вашей компанией и теперь должен убедиться, что вы делаете все правильно для защиты его данных. Во-вторых, если вас впервые просят предоставить отчет SOC 2, он не будет последним и не должен быть последним. Если у вас еще нет отчета SOC 2, самое время начать. И опять же, чем раньше вы это сделаете, тем быстрее это будет, тем дешевле это будет и тем проще будет поддерживать в будущем. Все это, конечно, говорит о том, что для этого нужно использовать автоматизацию.
Лиам: А SOC 2 — это не сертификация. Я прав?
Адам: Верно. Это аттестация.
Лиам: И есть два разных типа: Тип 1 и Тип 2. В чем разница?
Адам: Чтобы сделать это еще более запутанным, есть что-то вроде SOC 1, а затем SOC 2. Я думаю, вы спрашиваете о SOC 2 Type 1 по сравнению с SOC 2 Type 2, что является отличным вопросом, который потенциальные клиенты задают нам все время. . Они оба одинаковы с точки зрения самой структуры. Разница в том, что аудит и отчет SOC 2 типа 1 рассматривают структуру ваших средств контроля в очень конкретный момент времени. Типа, ты послушный сегодня? SOC 2 Тип 2 рассматривает структуру ваших средств управления, но также рассматривает их операционную эффективность в течение некоторого времени, обычно 12 месяцев.
Просто исходя из этого, вы можете себе представить, что SOC 2 Type 2 определенно является более высокой планкой. Это занимает больше времени; обычно это дороже; это просто делается в течение определенного периода времени. Вы можете сделать тип 1 на пути к типу 2. Мы видим, что клиенты делают это, когда им нужен отчет как можно скорее, и тип 1 определенно лучше, чем вообще не иметь отчета. И вы не теряете ни времени, ни работы, потому что, опять же, это одна и та же структура. Вы в основном внедряете все свои средства контроля, проводя аудит Типа 1, и в то же время начинаете период от четырех до 12 месяцев для Типа 2. На самом деле, некоторые из аудиторских фирм, с которыми мы сотрудничаем, даже объединяют свои цены для Тип 1 и Тип 2, что делает его более рентабельным в этом конкретном сценарии. Но опять же, вы можете сразу выбрать Type 2, так как это золотой стандарт.
«Это отличное обучение, и они имитируют фишинговые атаки. Таким образом, мы намеренно обманываем наших собственных сотрудников наугад».
Лиам: По данным Statista, денежный ущерб, причиненный зарегистрированными киберпреступлениями, в 2020 году составил 4,2 миллиарда долларов, что в четыре раза больше, чем в 2015 году.
Адам: Это безумие.
Лиам: Да, это безумие. Так какие же слепые зоны широко распространены в корпоративных системах безопасности?
Адам: Это хороший вопрос. Сегодня в облаке доступно больше данных, чем когда-либо. Я думаю, что людей может удивить то, что многие из них — это все те же старые уловки, такие как фишинговые атаки. Как я уже сказал, фишинговые атаки по-прежнему составляют 90% утечек данных в 2021 году. У большинства поставщиков услуг по повышению осведомленности о безопасности есть модули и курсы о том, как обнаруживать фишинговые электронные письма, что делать и чего не делать, когда вы их получаете. И это общий контроль, который должна иметь любая компания, проходящая через SOC 2, обучение по вопросам безопасности. Мы используем отличный инструмент — с ним интегрируется Drata — Curricula. Это один пример. Но это отличная тренировка, и они симулируют фишинговые атаки. Таким образом, мы преднамеренно фишим наших собственных сотрудников наугад.
«Все, что нужно, это одно электронное письмо, один сотрудник»
Лиам: Держу пари, им это нравится.
Адам: Я даже не знаю, реально это или нет, что является частью упражнения. Но это способ постоянно напрягать мускулы внутри компании, потому что, как и во всем, это никогда не делается за один раз. Вы никогда не просто щелкнете пальцами, и вы в безопасности. Вы должны практиковаться. Итак, если кто-то нажмет на одну из этих ссылок и поддельных электронных писем, он сразу же скажет им: «Эй, вас только что обманули, давай, вспомни свое обучение», но в тот момент это все еще ценно, верно?
Я был удивлен. Был у нас не так давно. Это выглядело как электронное письмо от Carta. По сути, он гласил: «Поздравляю с последним грантом по опционам на акции. Это только что было одобрено советом, распишитесь здесь». И да, это просто подключается прямо к центру мгновенного удовлетворения в мозгу. Вы будете удивлены, как много людей перейдет по этой ссылке, не проверив ее подлинность. Вот как, опять же, происходит 90% этих нарушений. Все, что нужно, это одно электронное письмо, один сотрудник. Это восходит к исходному пункту о включении его в вашу основу и культуру. Вот насколько важно, чтобы каждый в компании взял на себя ответственность за безопасность. Это работа не одного человека, это работа каждого.
Масштабирование безопасности в качестве стартапа
Лиам: Я знаю, что у нас много слушателей из стартапов, и я хотел спросить вас, какой совет вы могли бы дать стартапам, в частности, о том, как стать совместимыми с SOC 2. Кто должен управлять процессом SOC 2 в небольших стартапах?
Адам: Это хороший вопрос. И один, который, я думаю, занимает особое место в наших сердцах, потому что, во-первых, мы сами все еще стартап, но этот Drata появился из нашей личной потребности в качестве стартапа, продающего университеты, в нашем случае. Итак, мы поговорили со многими стартапами. Совет, который мы даем, это, конечно, не ждать. Как я уже сказал, начните скорее. Чем раньше вы это сделаете, тем быстрее, дешевле и проще в обслуживании. Обязательно используйте автоматизацию. Вы сэкономите сотни инженерных часов, которые, особенно будучи стартапом, вы должны потратить на продукты и другие приоритеты.
«По мере роста вашей компании больше сотрудников, больше активов, больше возможностей для отслеживания»
И я предполагаю, что другим было бы думать о долгосрочной перспективе. Очень легко попасть в ловушку: «Хорошо, я должен поставить галочку в этом поле, или это большое дело не будет закрыто, и это большое дело меняет правила игры, экзистенциальное для нашего стартапа». Есть способ сделать это быстро, но он настроит вас на долгосрочную перспективу. Это не пройдено-не пройдено. Помните это. Так что да, это отчет, который вы получаете в конце аудита, и вы хотите, чтобы он был чистым, хорошим отчетом. Когда вы передаете кому-то этот отчет, вы хотите, чтобы он представил вас в хорошем свете. Многое из этого может просто потеряться, особенно в качестве стартапа, в шуме и давлении, чтобы добиться соответствия или закрыть эту сделку.
Лиам: А что нужно знать компаниям, занимающимся масштабированием? Я полагаю, что могут быть совершенно разные задачи.
Адам: Итак, если у вас уже есть отчет SOC 2, и вы используете электронные таблицы или живете в электронных таблицах и скриншотах, вы уже чувствуете боль от того, насколько это немасштабируемо. По мере роста вашей компании, больше сотрудников, больше активов, больше возможностей для отслеживания. Автоматизация на самом деле становится более ценной с течением времени, поскольку у вас есть больше активов в рамках вашего аудита. Таким образом, есть еще больше причин использовать автоматизацию и внедрить непрерывный мониторинг, чтобы вам не приходилось собирать доказательства задним числом и вручную. Вы знаете в режиме реального времени, где образуются пробелы, когда сотрудники приходят и уходят, или вы автоматически увеличиваете или уменьшаете активы. Так что да, это другой, но очень похожий вариант использования.
«Уникальность заключается в постоянном мониторинге элементов управления, а затем выявлении и предупреждении о возникновении пробелов в режиме реального времени».
Лиам: Я хотел бы услышать, как Drata помогает упростить и автоматизировать процесс SOC 2 для людей.
Адам: Да, абсолютно. Итак, мы построили его как комплексное решение. Он может вести компании с нуля, полностью готов к аудиту, самому аудиту, а затем просто непрерывному обслуживанию в будущем с автоматизацией. Drata подключается к стеку технологий своего клиента. Уникальность заключается в постоянном мониторинге элементов управления, а затем выявлении и предупреждении о возникновении пробелов в режиме реального времени. И он будет автоматически собирать доказательства всех этих элементов управления, которые затем предварительно сопоставляются с такими платформами, как SOC 2, ISO 27001, HIPAA и другими. Поэтому, если вы начинаете с нуля, вы можете использовать общую структуру управления в Drata, а также шаблоны политик безопасности, чтобы очень быстро настроить фундамент. У нас были компании со штатом менее 50 сотрудников, буквально с нуля готовые к аудиту всего за несколько недель. В этом сила автоматизации.
Кроме того, Drata также сотрудничает с аудиторскими фирмами, обученными проводить аудит с использованием Drata очень простым способом. Это экономит всем время и приводит к снижению стоимости аудита. Это было особенно полезное путешествие. Это что-то исходящее из наших личных потребностей. И затем наша команда, особенно наша команда по работе с клиентами, которая работает с каждым из наших клиентов. У нас есть бывшие аудиторы, специалисты по безопасности, которые помогают нашим клиентам на протяжении всего пути. Очевидно, что это не только программное обеспечение, но и автоматизация.
Будущее безопасности данных
Лиам: Прежде чем мы закончим, каково будущее безопасности данных? Всегда ли это будет тяжелая борьба?
«Я думаю, что компании будут более прозрачными в отношении обмена не только этими отчетами SOC 2, но и буквально промежуточными отчетами в режиме реального времени».
Адам: Я достану свой хрустальный шар. Поскольку все больше и больше данных хранится в облаке, безопасность данных со временем будет становиться все более важной. Я думаю, вы увидите, как компании будут делать это раньше, как мы уже видим, когда их будут чаще запрашивать для сертификации соответствия и аттестации. И это будет встроено в корпоративную культуру с первого дня. Существует множество профессий и отраслей, где требуется дополнительная подготовка по вопросам безопасности, и никто и глазом не моргнет, потому что это просто поняли. Здесь есть вполне реальные риски. И то же самое можно сказать о любой компании-разработчике программного обеспечения, хранящей данные в облаке.
Я думаю, что мы увидим более непрерывный мониторинг, просто обзор в режиме реального времени, и я думаю, что компании будут более прозрачными в отношении обмена не только этими отчетами SOC 2, но буквально промежуточными отчетами в реальном времени. -время. Точно так же, как мы хвастаемся своим статусом безотказной работы — вот наш статус безопасности. И потом, конечно, я не думаю, что был бы соучредителем и генеральным директором Drata, если бы не думал, что автоматизация станет стандартным методом для компаний, поддерживающих этот уровень соответствия требованиям безопасности. Так что посмотрим.
Лиам: Очевидно, это действительно волнующее время для всех вас. Что дальше? Есть ли у вас какие-то большие планы или проекты на пути?
Адам: Да, удивительно, как быстро пролетел год. Мы официально запустились 15 января, поэтому очень быстро достигли статуса единорога. Но мы все еще очень начинающий стартап. В 2022 году наша команда увеличится втрое. Поэтому мы набираем сотрудников по всем направлениям, во всех отделах. Если люди, которые слушают, заинтересованы в автоматизации и безопасности, наши основные ценности изложены на нашем веб-сайте. И если они находят отклик у вас, мы будем рады, если вы заглянете на нашу страницу вакансий, и мы будем рады связаться с вами.
Лиам: Великолепно. Новый год, новая работа. Эта серия посвящена тому, как компании масштабируют свой рост. Прежде чем мы закончим, я хотел бы знать, было ли ключевое событие в вашей карьере, которое помогло вам расти профессионально?
«Это другой тип ракеты, верно? Оба очень интенсивные »
Адам: Мы так многому учимся каждый день, и мы постоянно совершенствуемся и совершенствуемся. Итак, ранний совет, это было просто окружить себя наставниками, советниками, людьми, которые были там, у которых мы могли бы учиться, и быть открытыми для этого. После того, как программа Space Shuttle закончилась, и я учился программировать и создавал первую версию Portfolium, я работал в ускорительной программе здесь, в Сан-Диего, под названием EvoNexus. И это действительно загнало вещи в овердрайв. Эти люди сразу же окружили меня, и я научился у них. Это действительно помогло расставить кусочки по местам, чтобы подготовиться ко всему, что впереди. Я не думаю, что что-то когда-либо могло подготовить вас, но это определенно помогает.
Лиам: Что может быть более напряженным и захватывающим? Ученый-ракетчик или управляющий компанией?
Адам: Это другая ракета, верно? Оба очень интенсивны.
Лайам: И, наконец, куда наши слушатели могут пойти, чтобы не отставать от вас и вашей работы?
Адам: Да, пожалуйста, загляните на наш сайт drata.com. Feel free to schedule a live demo with our team and see the product in action. We'd love to show it. On LinkedIn, it's easy to find and follow; just search Drata. And then, on Twitter, at @DrataHQ.
Liam: Perfect. And thank you so much for joining us today.
Adam: Thank you so much for having me.
