Adam Markowitz ซีอีโอของ Drata กล่าวถึงการสร้างวัฒนธรรมความปลอดภัยในโลกไซเบอร์

เมื่อมีการจัดเก็บข้อมูลในระบบคลาวด์มากขึ้นเรื่อยๆ การพิสูจน์ว่าคุณสามารถปกป้องข้อมูลของลูกค้าไม่ได้เป็นเพียงสิ่งที่ดีที่จะมีเท่านั้น แต่ยังจำเป็นอีกด้วย

มีเรื่องราวมากมายเกี่ยวกับการรั่วไหลของข้อมูลและการโจมตีทางไซเบอร์ที่จะทำให้แม้แต่วิศวกรความปลอดภัยที่เก่งกาจที่สุดถึงแก่น การโจมตีทางไซเบอร์เพิ่มขึ้น 125% จากปีที่แล้ว และเมื่อบริษัทต่างๆ เปลี่ยนไปใช้การตั้งค่าระยะไกลบางส่วนหรือทั้งหมด ก็ไม่แสดงสัญญาณของการชะลอตัว ในฉาก SaaS ที่ขับเคลื่อนด้วยข้อมูลในปัจจุบัน สิ่งเหล่านี้สามารถส่งผลกระทบต่อผู้ใช้หลายร้อยล้านคน และสร้างความเสียหายได้หลายพันล้านดอลลาร์ และเนื่องจากเฟรมเวิร์กการปฏิบัติตามข้อกำหนดกลายเป็นข้อกำหนดในการทำธุรกิจ ธุรกิจต่างๆ จึงหันไปใช้บริการของบุคคลที่สามที่สามารถช่วยเร่งรัดและอำนวยความสะดวก กระบวนการ. และนั่นคือสิ่งที่คนอย่าง Adam Markowitz เข้ามา

Adam เป็นผู้ร่วมก่อตั้งและ CEO ของ Data ซึ่งเป็นบริษัทที่ช่วยให้ธุรกิจปกป้องข้อมูลของลูกค้า ตรวจสอบความปลอดภัยอย่างต่อเนื่อง และติดตาม SOC 2, ISO 27001 และโปรแกรมการปฏิบัติตามข้อกำหนดอื่นๆ โดยอัตโนมัติ แม้จะอายุไม่ถึง 2 ขวบก็ตาม Drata ก็สามารถปิดซีรีส์ B มูลค่า 100 ล้านดอลลาร์ได้ และผลักดันให้กลายเป็นยูนิคอร์นและทำให้เป็นหนึ่งในบริษัทที่เร็วที่สุดในการประเมินมูลค่า 1 พันล้านดอลลาร์ ความปลอดภัยและการปฏิบัติตามข้อกำหนดทางไซเบอร์นั้นเป็นที่ต้องการ

วิศวกรการบินและอวกาศที่ผันตัวมาเป็นผู้ประกอบการ อดัมได้เรียนรู้ตั้งแต่เนิ่นๆ ว่าวิธีที่ดีที่สุดในการได้รับความไว้วางใจคือการพิสูจน์ว่าคุณสมควรได้รับมัน หลังจากทำงานกับ Space Shuttle Main Engine ของ NASA แล้ว เขายังพัฒนา Portfolium ซึ่งเป็นแพลตฟอร์มเครือข่ายสังคมออนไลน์ที่ช่วยให้นักศึกษาและผู้สำเร็จการศึกษาได้แสดงทักษะที่นอกเหนือไปจากประวัติย่อแบบเดิมแก่ผู้มีโอกาสเป็นนายจ้าง แต่ก่อนที่มหาวิทยาลัยจะทำธุรกิจกับพวกเขา พวกเขาต้องการการรับรองความปลอดภัย ทันใดนั้น ทีมงานก็ได้รู้จัก SOC 2 Reports เป็นอย่างดี และตระหนักว่ามันจะกลายเป็นภาระหนักและไม่สามารถปรับขนาดได้อย่างไร โดยเฉพาะอย่างยิ่งสำหรับสตาร์ทอัพที่มีการเติบโตสูง ในที่สุด Portfolium ก็ได้มา แต่ทีมงานเบื้องหลังไม่เคยหยุดคิดหาวิธีที่ดีกว่าที่จะทำ ไม่ถึงหนึ่งปีต่อมา Drata ก็เปิดตัว

ในตอนนี้ เราได้พูดคุยกับ Adam เพื่อเรียนรู้ทุกอย่างเกี่ยวกับเฟรมเวิร์ก SOC 2 วิธีสร้างวัฒนธรรมความปลอดภัยตั้งแต่เริ่มต้น และวิธีที่ระบบอัตโนมัติเป็นกุญแจสำคัญในการเปลี่ยนการทำงานที่ยุ่งยากให้ยุ่งยาก

ต่อไปนี้คือสิ่งที่เราโปรดปรานบางส่วนจากการสนทนา:

1. มันกลายเป็นขั้นต่ำเปล่า

คุณไม่สามารถทำให้ธุรกิจของคุณเติบโตได้หากลูกค้าไม่ไว้วางใจคุณเกี่ยวกับข้อมูลที่ละเอียดอ่อนของพวกเขา และถึงแม้จะเป็นการดีพอๆ กับการรับรองด้วยวาจาและการจับมือกัน เมื่อคุณเติบโตและพยายามเซ็นสัญญากับบริษัทระดับองค์กรที่เป็นที่ยอมรับมากขึ้น คุณจะพบว่าตัวเองต้องแสดงหลักฐานการปฏิบัติตามข้อกำหนดมากขึ้นเรื่อยๆ ก่อนปิดข้อตกลง:

การเปลี่ยนไปใช้ระบบคลาวด์ การรั่วไหลของข้อมูลเพิ่มมากขึ้นเรื่อยๆ ทำให้แว่นขยายเสี่ยงภัยจากบุคคลที่สามจริงๆ และนั่นผลักดันสิ่งที่เราเห็นมากมายที่นี่ จากสิ่งที่น่ามีไปเป็นสิ่งที่จำเป็น หากฉันกำลังจะทำธุรกิจกับบริษัทของคุณและซอฟต์แวร์ของคุณจะเข้าถึงข้อมูลลูกค้าของฉัน ถือเป็นความรับผิดชอบของฉันที่จะต้องแน่ใจว่าคุณมีการควบคุมที่เหมาะสมเพื่อปกป้องข้อมูลดังกล่าว

2. เริ่มเร็ว

การวิเคราะห์เหตุการณ์ความปลอดภัยทางไซเบอร์ของ Verizon พบว่าฟิชชิงอยู่เบื้องหลังการโจมตีที่ประสบความสำเร็จ 90% ซึ่งหมายความว่า 9 ครั้งจาก 10 ครั้งสามารถป้องกันได้สูง เริ่มฝึกอบรมพนักงานของคุณเกี่ยวกับการปฏิบัติตามกฎระเบียบและวิธีสังเกตอีเมลที่เป็นอันตรายเหล่านี้ตั้งแต่วันแรก ยิ่งพวกเขารับเอาแนวคิดด้านความปลอดภัยเป็นอันดับแรกได้เร็วเท่าไร อีเมลก็จะยิ่งกลายเป็นส่วนหนึ่งของวัฒนธรรมได้เร็วเท่านั้น

ฉันกำลังสนทนาเรื่องนี้เมื่อวันก่อน และอาจไม่ใช่การเปรียบเทียบที่ดีที่สุด แต่มีคนรุ่นที่เติบโตขึ้นมาในการขับรถโดยไม่มีเข็มขัดนิรภัย จากนั้นในปี 50 พวกเขาแนะนำสิ่งใหม่นี้ และมีการต่อต้าน แต่วันนี้ เมื่อฉันโตขึ้นจากวันแรก ฉันไม่ได้คิดถึงเรื่องนี้เมื่อได้ขึ้นรถ คาดเข็มขัดนิรภัยเหมือนการหายใจ

3. อย่าข้ามระบบอัตโนมัติ

การรักษาความปลอดภัยส่งผลต่อทุกฟังก์ชันในบริษัทของคุณ ตั้งแต่การเริ่มต้นใช้งานและการทำงานนอกระบบ ไปจนถึงการเข้ารหัสข้อมูลและการจัดการปลายทาง จากประสบการณ์ของ Adam มีการควบคุม 100 ถึง 200 รายการเพื่อติดตามการตรวจสอบ SOC 2 ดังนั้นหากคุณไม่ได้ใช้ประโยชน์จากระบบอัตโนมัติ คุณอาจต้องใช้เวลาหลายร้อยชั่วโมงต่อปีในการปฏิบัติตามข้อกำหนด:

หากคุณไม่ได้ใช้ระบบอัตโนมัติ แสดงว่าทีมต่างๆ ในบริษัทของคุณได้รับมอบหมายให้รวบรวมหลักฐานทุกชิ้นอย่างต่อเนื่อง ซ้ำแล้วซ้ำอีก จากนั้นจึงจัดเก็บไว้สำหรับการตรวจสอบในอนาคต แล้วหากพวกเขาพบช่องว่างระหว่างทาง เพราะช่องว่างอาจเกิดขึ้นในวันใดก็ได้ของปี พวกเขาต้องแก้ไข มีผู้คนจำนวนมากอาศัยอยู่ในสเปรดชีต โฟลเดอร์ที่แชร์ ภาพหน้าจอ

จับความสนใจของคุณ? เราได้รวบรวมรายชื่อบทความ วิดีโอ และพอดแคสต์ที่คุณสามารถดูได้:

• ให้คะแนนความพร้อม SOC 2 ของบริษัทคุณ
• การปฏิบัติตาม SOC 2: A Beginner's Guide
• CTO ของ Evernote เกี่ยวกับการรักษาความปลอดภัยที่ใหญ่ที่สุดของคุณทำให้พนักงาน 3 ถึง 300 คนกังวลใจ
• เหตุการณ์ LinkedIn

นี่คือ Scale ซึ่งเป็นซีรีส์พอดคาสต์ของ Intercom ที่ขับเคลื่อนธุรกิจให้เติบโตผ่านความสัมพันธ์กับลูกค้า หากคุณสนุกกับการสนทนาและไม่อยากพลาดตอนต่อจากนี้ไป เพียงกดติดตามบน iTunes, Spotify หรือรับฟีด RSS ในเครื่องเล่นที่คุณเลือก คุณสามารถอ่านบทสัมภาษณ์ฉบับเต็มซึ่งได้รับการแก้ไขเล็กน้อยเพื่อความชัดเจนด้านล่าง

ความปลอดภัยบนออโต้ไพลอต

Liam Geraghty: อดัม ขอบคุณมากที่มาร่วมงานกับเรา คุณยินดีที่จะแสดง

Adam Markowitz: ขอบคุณที่มีฉัน

Liam: ก่อนอื่น ยินดีด้วย เมื่อเร็วๆ นี้ Drata ระดมทุนได้ 100 ล้านดอลลาร์ ซึ่งผมเชื่อว่าจะทำให้เป็นยูนิคอร์นที่เพิ่งเริ่มต้นของซานดิเอโกด้วยการประเมินมูลค่า 1 พันล้านดอลลาร์ มันรู้สึกยังไง?

อดัม: ขอบคุณ มันยังให้ความรู้สึกที่ดูเหนือจริงอยู่บ้าง สาเหตุหลักมาจากความรวดเร็วของบริษัทที่เปลี่ยนจากรุ่นสู่รุ่น ทั้งหมดนี้ใช้เวลาไม่เกิน 12 เดือน แต่รู้สึกดีมากและคุ้มค่ามากที่บรรลุเป้าหมายและทำมันที่นี่ในซานดิเอโก บริษัทเดิมของเราก่อตั้งขึ้นที่นี่ในซานดิเอโกเมื่อเกือบ 10 ปีที่แล้ว และในตอนนั้นเป็นระบบนิเวศทางเทคโนโลยีที่ต่างไปจากเดิมอย่างสิ้นเชิง ดังนั้นการได้เห็นวิวัฒนาการและเป็นส่วนหนึ่งของมันตลอดเวลาจึงเป็นสิ่งที่คุ้มค่ามาก นอกจากนี้ Drata เองก็ถือกำเนิดขึ้นท่ามกลางการระบาดใหญ่เช่นกัน เรารู้สึกโชคดีที่ได้อยู่ในฐานะที่จะเริ่มต้นบริษัทได้เมื่อเราทำได้ และความซาบซึ้งดังกล่าวได้เติมเชื้อเพลิงให้กับปีที่ไม่เคยเกิดขึ้นมาก่อนจริงๆ

“ไม่มีช่วงอาละวาด ไม่ต้องรู้จักกัน ก็แค่ไป ไป ไป”

เลียม : เป็นยังไง?

อดัม: อีกครั้ง แค่อยู่ในตำแหน่งที่เรารู้สึกสบายใจที่จะทำมัน นั่นไม่ได้หายไปกับเรากับสิ่งที่เกิดขึ้นในโลก ในวันแรก มีพวกเราจำนวนไม่น้อยที่ออกจากบริษัทนั้น เราทุกคนทำงานร่วมกันมาเป็นเวลานานจนเป็นข้อได้เปรียบที่ดีและไม่ยุติธรรม ไม่มีช่วงอาละวาด ไม่มีช่วงรู้จักกัน – ก็แค่ไป ไป ไป

Liam: แดร็กต้าทำอะไร?

อดัม: ดราตาช่วยบริษัทต่างๆ ในการรักษาความปลอดภัยและการปฏิบัติตามกฎระเบียบบนหม้อแปลงไฟฟ้าอัตโนมัติ ตามที่เราเรียกว่า โดยการเฝ้าติดตามและรวบรวมหลักฐานของการควบคุมความปลอดภัยโดยอัตโนมัติ ปรับปรุงการตรวจสอบ เช่น SOC 2, ISO 27001, HIPAA และอื่นๆ ช่วยให้บริษัทต่างๆ สามารถพิสูจน์จุดยืนการรักษาความปลอดภัยแบบเรียลไทม์ได้ทุกวันตลอดทั้งปี ดังนั้นจึงช่วยเร่งวงจรการขายและการตรวจสอบความปลอดภัย แน่นอนว่ายังทำให้การตรวจสอบดำเนินไปเร็วขึ้นและเสียค่าใช้จ่ายน้อยลง และจากนั้นก็ช่วยให้บริษัทต่างๆ มีความพร้อมสำหรับองค์กรมากขึ้น

Liam: พื้นที่ทั้งหมดเป็นพื้นที่ใหม่ การนำทางในนาทีนี้เป็นอย่างไร

อดัม: พื้นที่นั้นเป็นของใหม่ แต่เป็นพื้นที่ที่ถูกตั้งสมมติฐานมาระยะหนึ่งแล้ว คำมั่นสัญญาของการปฏิบัติตามอย่างต่อเนื่องนั้นลอยมาหลายปีแล้ว ดังนั้น การทำตามคำมั่นสัญญานั้นจึงน่าตื่นเต้นมาก และแน่นอนว่าท้าทายอย่างที่ควรจะเป็น โดยส่วนตัวแล้วฉันชอบที่จะเร็วและใช้โอกาสนี้เพื่อสร้างมาตรฐานให้สูงในตลาด และเพียงแค่เดินหน้าผลักดันให้สูงขึ้นไปพร้อมกับทีม

จากวิทยาศาสตร์จรวดสู่การปฏิบัติตามกฎระเบียบ

Liam: คุณไม่ได้เริ่มต้นจากความปลอดภัย ฉันพูดถูกไหมว่าคุณเป็นอดีตนักวิทยาศาสตร์ด้านจรวด?

อดัม: ใช่ มันตลก คำสาปของการถูกเรียกว่านักวิทยาศาสตร์จรวดคือบาร์นั้นถูกยกขึ้นทันทีสำหรับทุกสิ่งและทุกสิ่งที่คุณทำในชีวิต รถสตาร์ทไม่ติด รีบซ่อมเลย - "ไม่ใช่วิทยาศาสตร์จรวดหรืออะไรทั้งนั้น"

เลียม : เป็นยังไง? คุณเปลี่ยนมาใช้เทคโนโลยีการปฏิบัติตามข้อกำหนดอย่างไร

อดัม: ฉันเริ่มต้นอาชีพการเป็นวิศวกรในโครงการกระสวยอวกาศ โดยเฉพาะในทีม MCC ทีมห้องเผาไหม้หลัก การเปิดตัวกระสวยครั้งสุดท้ายเมื่อสิบกว่าปีที่แล้ว ดังนั้นบางคนอาจจำไม่ได้ว่าเห็นการปล่อยกระสวย แต่ถ้าคุณทำ คุณเห็นจรวดบนแผ่นรอง คุณมีตัวเร่งจรวดสองตัว แล้วก็มียักษ์ตัวนี้ ถังสีส้ม. นั่นคือถังเชื้อเพลิงที่ป้อนเครื่องยนต์หลักสามตัวนี้ และนั่นคือสิ่งที่ผมทำเมื่อออกจากระดับปริญญาตรี วิธีที่ดีที่สุดในการอธิบายว่าเครื่องยนต์จรวดทำงานอย่างไรคือการควบคุมการระเบิด ดังนั้นมันจึงเป็นความฝัน/ฝันร้ายทางวิศวกรรม ขึ้นอยู่กับว่าคุณมองมันอย่างไร

“นั่นคือสาเหตุที่ฉันได้งานนั้นจากโครงการกระสวยอวกาศ ฉันนำพอร์ตโฟลิโอในการสัมภาษณ์งานเพื่อช่วยให้ฉันโดดเด่นและพิสูจน์ทักษะของฉันมากกว่าแค่เกรดเฉลี่ย”

Liam: คุณรู้สึกอย่างไรเมื่อได้ชมการเปิดตัวจริง ๆ ? คุณเครียดไหม คุณตื่นเต้นไหม?

อดัม: ความตื่นเต้นตึงเครียด นั่นเป็นวิธีที่ดีที่จะพูด ทุกคนชอบสิ่งที่เราทำ ฉันอยากเป็นนักบินอวกาศตั้งแต่ฉันยังเป็นเด็กและมีนักบินอวกาศตัวจริงเดินผ่านออฟฟิศ ขอบคุณวิศวกรที่ช่วยพวกเขาให้กลับบ้านอย่างปลอดภัย โดยเฉพาะอย่างยิ่งเมื่องานแรกของคุณออกจากระดับปริญญาตรีนั้นช่างเหลือเชื่อจริงๆ

Liam: ฉันขัดจังหวะคุณที่นั่น แต่คุณบอกฉันว่าคุณทำการเปลี่ยนแปลงนี้ได้อย่างไร

“เพื่อช่วยให้นักศึกษาได้รับความไว้วางใจจากนายจ้าง เราต้องพิสูจน์จุดยืนด้านความปลอดภัยของเราต่อมหาวิทยาลัยก่อน”

อดัม: ประสบการณ์สิ้นสุดลงในปี 2554 เมื่อโครงการรถรับส่งสิ้นสุดลง และฉันก็ก้าวกระโดดจากการบินและอวกาศไปสู่การเป็นผู้ประกอบการ ฉันกระโดดตามที่พวกเขาพูด ฉันเรียนรู้ที่จะเขียนโค้ดและสร้าง MVP ที่ฉันเรียกว่า Portfolium ซึ่งเป็นเครือข่าย ePortfolio เหมือน LinkedIn สำหรับนักเรียน และแนวคิดก็เกิดขึ้น นั่นเป็นวิธีที่ฉันได้งานนั้นโดยทำงานในโครงการกระสวยอวกาศ ฉันนำพอร์ตโฟลิโอในการสัมภาษณ์งานเพื่อช่วยให้ฉันโดดเด่นและพิสูจน์ทักษะของฉันมากกว่าแค่เกรดเฉลี่ย ดังนั้นฉันจึงต้องการทำเช่นนั้นสำหรับนักเรียนทุกที่และช่วยให้พวกเขาได้งานในฝันโดยอาศัยทักษะที่พิสูจน์แล้วเท่านั้น ฉันเชื่อมั่นอย่างมากในการได้รับความไว้วางใจด้วยการพิสูจน์ว่าคุณสมควรได้รับมันก่อน ในกรณีนี้ เป็นหลักฐานของทักษะใน ePortfolios เหล่านี้ ซึ่งเต็มไปด้วยข้อมูลที่เราสามารถใช้เพื่อจับคู่นักเรียนกับนายจ้างได้อย่างมีความหมายมากขึ้น

เราขยายบริษัทและเครือข่ายของนักเรียนหลายล้านคน และเราทำได้โดยการขายโมดูลการประเมินการเรียนรู้ให้กับมหาวิทยาลัยในวิทยาลัย และนั่นคือตอนที่เราได้เรียนรู้อย่างรวดเร็วถึงความสำคัญของการพิสูจน์จุดยืนด้านความปลอดภัยของเรา เพราะก่อนที่มหาวิทยาลัยจะเซ็นสัญญากับเราและให้ข้อมูลที่ละเอียดอ่อนแก่นักเรียน พวกเขาต้องการการรับรองความปลอดภัยของเรา มาตรฐานทองคำสำหรับการพิสูจน์ว่าเคยเป็นและยังคงเป็นรายงาน SOC 2 ดังนั้น คุณคงเห็นธีมนี้ที่นี่แล้ว ได้รับความไว้วางใจพร้อมหลักฐาน ดังนั้น เพื่อช่วยให้นักเรียนได้รับความไว้วางใจจากนายจ้าง อันดับแรก เราต้องพิสูจน์จุดยืนด้านความปลอดภัยของเราต่อมหาวิทยาลัย และหลักฐานคือรายงาน SOC 2 Portfolium ถูกซื้อกิจการในเดือนกุมภาพันธ์ 2019 และทีมของเรากลับมารวมกันอีกครั้งในปีที่แล้วในปี 2020 เพื่อสร้าง Data เพื่อช่วยให้บริษัทต่างๆ ยืนหยัดและบำรุงรักษา และพิสูจน์สถานะการปฏิบัติตามข้อกำหนดด้านความปลอดภัยด้วยแนวทางอัตโนมัติที่ให้ความสำคัญกับระบบอัตโนมัติ

SOC 2 101

Liam: เอาล่ะ มาดูการปฏิบัติตาม SOC 2 กัน ซึ่งฉันรู้ว่ามันเหมือนกับการพูดว่า "มาคุยเรื่องภาษีกันเถอะ" หรือ "มาคุยกันเรื่องการออกใบแจ้งหนี้กันเถอะ" แต่มันสำคัญมาก คุณช่วยแนะนำเราหน่อยได้ไหมว่าการปฏิบัติตาม SOC 2 ที่แท้จริงคืออะไร?

อดัม: แน่นอน ดีใจด้วย! ดังนั้น SOC 2 จึงเป็นเฟรมเวิร์ก สร้างและดูแลโดย AICPA ซึ่งเป็นสถาบันผู้สอบบัญชีรับอนุญาตแห่งอเมริกา ดังนั้น ผู้ตรวจสอบบัญชีจากบริษัท CPA จึงดำเนินการตรวจสอบ SOC 2 อย่างแท้จริง และผลการตรวจสอบ SOC 2 ใดๆ ก็คือรายงาน SOC 2 SOC 2 ไม่ใช่ใบรับรอง pass-fail ซึ่งสำคัญมากและเป็นความเข้าใจผิดที่พบบ่อย รายงาน SOC 2 นั้นเป็นเอกสารรับรอง และรายงานนี้เชื่อถือได้เพราะมาจากผู้ตรวจสอบอิสระอิสระที่ผ่านการรับรองรายนี้ โดยพื้นฐานแล้ว จะเป็นการทดสอบการออกแบบและประสิทธิภาพในการทำงานของการควบคุมความปลอดภัยของบริษัทของคุณ เมื่อพูดถึงการปกป้องข้อมูลของลูกค้าของคุณ กล่าวคือ รายงาน SOC 2 เป็นรายงานที่มีรายละเอียดว่าบริษัทของคุณปกป้องข้อมูลของลูกค้าได้ดีเพียงใด หากคุณขายซอฟต์แวร์วันนี้ มีโอกาส 99.9% ที่คุณจะจัดเก็บหรือประมวลผลข้อมูลในคลาวด์ และด้วยเหตุนี้ จึงเป็นเพียงเรื่องของเวลาก่อนที่คุณจะขอให้คุณจัดเตรียมรายงาน SOC 2 ให้กับลูกค้าของคุณ หรือให้กับลูกค้าที่คาดหวังของคุณ ซึ่งเป็นส่วนหนึ่งของกระบวนการตรวจสอบความปลอดภัย

“ถ้าฉันกำลังจะทำธุรกิจกับบริษัทของคุณและซอฟต์แวร์ของคุณกำลังจะเข้าถึงข้อมูลลูกค้าของฉัน มันเป็นความรับผิดชอบของฉันที่จะต้องแน่ใจว่าคุณมีการควบคุมที่เหมาะสมเพื่อปกป้องข้อมูลดังกล่าว”

Liam: และมันเป็นมาตรฐานสำหรับบริษัท B2B หรือไม่?

อดัม: ใช่ในหลาย ๆ ด้าน โดยเฉพาะอย่างยิ่งในสหรัฐอเมริกา ส่วนหนึ่งเป็นเพราะ SOC 2 ใช้กับบริษัทใดๆ ที่จัดเก็บหรือประมวลผลข้อมูลในคลาวด์ และนั่นคือทุกบริษัทในทุกวันนี้ ซึ่งก็คือบริษัท SaaS ทั้งหมดอย่างแน่นอน ในหลาย ๆ ด้าน มันกลายเป็นมาตรฐานทองคำไปแล้ว ยิ่งไปกว่านั้น เช่น แถบขั้นต่ำเพื่อพิสูจน์สถานะความปลอดภัยของคุณ เราได้เห็นสิ่งนี้โดยตรงที่ Portfolium ที่ขายให้กับมหาวิทยาลัย ในช่วงเวลาสั้น ๆ คำขอเหล่านั้นสำหรับรายงาน SOC 2 ของเรากลายเป็นความต้องการสำหรับรายงาน SOC 2 ของเราอย่างรวดเร็ว และจากนั้น มันถูกรวมเข้ากับ RFP ทุกอันที่เราเจอ การเปลี่ยนไปใช้ระบบคลาวด์ การรั่วไหลของข้อมูลเพิ่มมากขึ้นเรื่อยๆ ทำให้แว่นขยายเสี่ยงภัยจากบุคคลที่สามจริงๆ และนั่นผลักดันสิ่งที่เราเห็นมากมายที่นี่ จากสิ่งที่น่ามีไปเป็นสิ่งที่จำเป็น

Liam: เหตุใดบริษัท B2B ที่ต้องปฏิบัติตาม SOC 2 ขณะปรับขนาดจึงมีความสำคัญ และส่งผลต่อการดึงดูดและรักษาลูกค้ารายใหญ่ไว้หรือไม่?

“ถ้าคุณไม่ใช้ประโยชน์จากระบบอัตโนมัติ โดยปกติแล้ว บริษัทต่างๆ จะใช้เวลาหลายร้อยชั่วโมงต่อปีในการปฏิบัติตามกฎระเบียบ”

อดัม: ใช่ แน่นอน หากฉันกำลังจะทำธุรกิจกับบริษัทของคุณและซอฟต์แวร์ของคุณจะเข้าถึงข้อมูลลูกค้าของฉัน ถือเป็นความรับผิดชอบของฉันที่จะต้องแน่ใจว่าคุณมีการควบคุมที่เหมาะสมเพื่อปกป้องข้อมูลดังกล่าว หากคุณให้คำมั่นกับผม ถือว่าเยี่ยมมาก แต่นักข่าวตรวจสอบอิสระจะรับน้ำหนักที่จำเป็นจริงๆ เพื่อให้มั่นใจว่าคุณมีโครงการรักษาความปลอดภัยที่เพียงพอ ผู้ตรวจสอบของฉันต้องการให้แน่ใจว่าฉันได้รับความมั่นใจนั้นก่อนที่จะให้ข้อมูลใดๆ แก่คุณ มิฉะนั้น ฉันไม่ได้ทำตามการควบคุมของตัวเอง

Liam: ฉันได้อ่านมามากเกี่ยวกับปัญหาในการเริ่มต้นที่เป็นไปตาม SOC 2 เพราะอะไรถึงเป็นอย่างนั้น และมันเปลี่ยนไปแล้วหรือ?

อดัม: ใช่อย่างแน่นอน เรามีประสบการณ์นี้โดยตรง หากคุณไม่ได้ใช้ประโยชน์จากระบบอัตโนมัติ โดยปกติ บริษัทต่างๆ จะใช้เวลาหลายร้อยชั่วโมงต่อปีในการปฏิบัติตามข้อกำหนด เพื่อช่วยอธิบายว่าเหตุใด เฟรมเวิร์กเองจึงประกอบขึ้นจากหลักการบริการความน่าเชื่อถือที่แตกต่างกัน 5 ประการ ได้แก่ ความปลอดภัย ความพร้อมใช้งาน การรักษาความลับ ความเป็นส่วนตัว และความสมบูรณ์ในการประมวลผล จนถึงตอนนี้ ความปลอดภัยที่ใหญ่ที่สุดในบรรดาห้าระบบ และในทางเทคนิคเป็นเพียงระบบเดียวที่จำเป็นสำหรับการตรวจสอบและรายงาน แต่ทั้งห้าข้อมีเกณฑ์ของตนเองที่บริษัทของคุณต้องบรรลุหรือบรรลุผลโดยการออกแบบและดำเนินการควบคุมทั่วทั้งบริษัท หลายครั้งที่ฉันพูดแบบนั้น มีคนถามว่าฉันหมายถึงอะไรโดยการควบคุม คุณสามารถคิดว่าการควบคุมเป็นนโยบาย กระบวนการ เครื่องมือที่คุณวางไว้เพื่อช่วยป้องกันไม่ให้สิ่งเลวร้ายเกิดขึ้นหรือให้แน่ใจว่ามีสิ่งดีเกิดขึ้น นั่นเป็นวิธีที่ฉันมักจะกำหนดไว้ และครอบคลุมทุกฟังก์ชันในบริษัทของคุณ วิธีที่คุณออนบอร์ด ฝึกอบรม และนอกคณะกรรมการ วิธีจัดการปลายทางและเข้ารหัสข้อมูลสำรอง วิธีจัดเตรียมการเข้าถึงและรับรองความถูกต้องในแอป ตรวจสอบรหัส… ฉันสามารถดำเนินการต่อได้

“นั่นหมายความว่าทีมในบริษัทของคุณได้รับมอบหมายให้รวบรวมหลักฐานทุกชิ้นอย่างต่อเนื่อง ซ้ำแล้วซ้ำอีก จากนั้นจึงจัดเก็บไว้สำหรับการตรวจสอบในอนาคต”

บริษัทต่างๆ มีการควบคุม 100 ถึง 200 รายการสำหรับการตรวจสอบ SOC 2 จากนั้น การตรวจสอบเองอาจใช้เวลานาน เนื่องจากคุณต้องพิสูจน์ให้ผู้ตรวจสอบทราบโดยพื้นฐานว่าการควบคุมเหล่านี้มีอยู่ และที่สำคัญที่สุด การควบคุมเหล่านี้ยังคงมีผลบังคับใช้ตลอดระยะเวลาการตรวจสอบ ไม่ใช่สิ่งที่คุณสามารถยัดเยียดได้ทุกเดือนที่ 11 ถ้าคุณอยู่ในระยะเวลา 12 เดือน หากคุณไม่ได้ใช้ระบบอัตโนมัติ แสดงว่าทีมต่างๆ ในบริษัทของคุณได้รับมอบหมายให้รวบรวมหลักฐานทุกชิ้นอย่างต่อเนื่อง ซ้ำแล้วซ้ำอีก จากนั้นจึงจัดเก็บไว้สำหรับการตรวจสอบในอนาคต แล้วหากพวกเขาพบช่องว่างระหว่างทาง เพราะช่องว่างอาจเกิดขึ้นในวันใดก็ได้ของปี พวกเขาต้องแก้ไข และใช่ มีเพียงผู้คนจำนวนมากที่อาศัยอยู่ในสเปรดชีต โฟลเดอร์ที่แชร์ ภาพหน้าจอ เห็นได้ชัดว่าสุกงอมสำหรับการหยุดชะงัก และนั่นมาในรูปแบบของระบบอัตโนมัติ นั่นคือสิ่งที่เปลี่ยนไปจริงๆ Drata นำเสนอโซลูชันที่เน้นระบบอัตโนมัติเป็นอันดับแรกเพื่อช่วยบริษัทต่างๆ ได้หลายร้อยชั่วโมงต่อปี จากนั้นจึงจัดเตรียมแดชบอร์ดความพร้อมแบบเรียลไทม์ให้กับพวกเขา เพื่อให้คุณพร้อมสำหรับการตรวจสอบอย่างรวดเร็วและพร้อมสำหรับการตรวจสอบทุกวันตลอดทั้งปี

Liam: นั่นสำคัญมาก เพราะอย่างที่คุณได้กล่าวไว้ก่อนหน้านี้ มันเป็นส่วนสำคัญของความไว้วางใจระหว่างบริษัทและลูกค้าของบริษัท

อดัม: ตรงนั้น และนั่นคือธีมของบริษัทที่แล้วเช่นกัน คุณสามารถใช้คำพูดของใครบางคน คุณสามารถอ่านหัวข้อย่อยในประวัติย่อของพวกเขาได้ แต่เราต้องการให้คนอื่นพิสูจน์ทักษะของพวกเขา ในทำนองเดียวกัน เราต้องการให้ผู้คนสามารถพิสูจน์ด้วยหลักฐาน ไม่ใช่แค่ระหว่างการตรวจสอบ แต่ในวันใดของปี ว่าการควบคุมของพวกเขาทำงานอย่างไร นั่นอาจเป็นรายงานภายในสำหรับทีมของพวกเขา สำหรับบอร์ดของพวกเขา สำหรับสุขภาพจิตของพวกเขาเอง แต่จากนั้นก็ภายนอกด้วยเช่นกัน เป็นที่ที่เราเห็นเส้นทางไป

ทำเร็ว ทำบ่อยๆ

Liam: บริษัทต่างๆ จะสร้างวัฒนธรรมความปลอดภัยทางไซเบอร์ในองค์กรได้อย่างไร? เพราะอย่างที่เราทราบกันดีว่าการรักษาความปลอดภัยไม่ใช่แค่สิ่งที่ควรมีอีกต่อไป

อดัม: ฉันคิดว่าการให้อำนาจพนักงานแต่ละคนเป็นกุญแจสำคัญ หากพนักงานเข้าใจว่าพวกเขาสำคัญแค่ไหนในการปกป้องบริษัท ก็เป็นสิ่งที่น่าภาคภูมิใจมากกว่าที่จะรู้สึกเหมือนเป็นกล่องกาเครื่องหมาย เพราะไม่มีอะไรจะจริงไปกว่านี้อีกแล้ว การโจมตีแบบฟิชชิงยังคงเป็นสาเหตุที่พบบ่อยที่สุดของการละเมิดข้อมูลในปี 2564 ประมาณ 90% – ฉันต้องอ่านซ้ำเพื่อให้แน่ใจว่าไม่ได้พิมพ์ผิด การฝึกอบรมพนักงานของคุณเกี่ยวกับวิธีการตรวจจับอีเมลที่เป็นอันตรายเหล่านี้แล้วทำการทดสอบตลอดทั้งปี เป็นตัวอย่างหนึ่งของวิธีที่คุณสามารถส่งเสริมให้พนักงานเป็นเจ้าของความปลอดภัย และบริษัทจะมีท่าทีรักษาความปลอดภัยที่แข็งแกร่งขึ้นด้วยเหตุนี้ ดังนั้นฉันคิดว่านั่นเป็นกุญแจสำคัญ

“บริษัทของคุณมีการควบคุมก่อนหน้านี้ การควบคุมจะกลายเป็นส่วนหนึ่งของรากฐานได้เร็ว”

ฉันคิดว่าบางทีสิ่งที่สำคัญที่สุดคือการทำแต่เนิ่นๆ ถ้าคุณอบตั้งแต่วันแรกหรือใกล้วันแรกเท่าที่จะเป็นไปได้ มันก็จะกลายเป็นธรรมชาติที่สอง ไม่ใช่สิ่งใหม่และแตกต่างในภายหลังเมื่อมีแรงเฉื่อยหรือความต้านทานต่อการเปลี่ยนแปลงมากขึ้น ฉันกำลังสนทนาเรื่องนี้เมื่อวันก่อน และอาจไม่ใช่การเปรียบเทียบที่ดีที่สุด แต่มีคนรุ่นที่เติบโตขึ้นมาในการขับรถโดยไม่มีเข็มขัดนิรภัย จากนั้นในปี 50 พวกเขาแนะนำสิ่งใหม่นี้ และมีการต่อต้าน แต่วันนี้ เมื่อฉันโตขึ้นจากวันแรก ฉันไม่ได้คิดถึงเรื่องนี้เมื่อได้ขึ้นรถ คาดเข็มขัดนิรภัยเหมือนการหายใจ ฉันแค่ไม่คิดเกี่ยวกับมัน ดังนั้นการควบคุมก่อนหน้านี้จึงถูกนำมาใช้ในบริษัทของคุณ ยิ่งมันกลายเป็นส่วนหนึ่งของรากฐานได้เร็วเท่านั้น

Liam: ผู้คนจำเป็นต้องรู้อะไรบ้างหากธุรกิจของคุณถูกขอรายงาน SOC 2

อดัม: ฉันเดาว่าอย่างแรกคือต้องรู้ว่านั่นเป็นสิ่งที่ดี ใครก็ตามที่ขอกำลังพิจารณาทำธุรกิจกับบริษัทของคุณอย่างจริงจัง และตอนนี้จำเป็นต้องตรวจสอบให้แน่ใจว่าคุณกำลังทำสิ่งที่ถูกต้องเพื่อปกป้องข้อมูลของพวกเขา ประการที่สอง หากระบบขอรายงาน SOC 2 นี้เป็นครั้งแรก รายงานจะไม่ใช่ครั้งสุดท้าย และไม่ควรเป็นเช่นนั้น หากคุณไม่มีรายงาน SOC 2 ก็ถึงเวลาเริ่มต้นอย่างแน่นอน และอีกครั้ง ยิ่งคุณทำเร็วเท่าไหร่ มันก็จะยิ่งเร็วขึ้นเท่านั้น ราคาถูกกว่า และยิ่งทำให้ก้าวไปข้างหน้าได้ง่ายขึ้นเท่านั้น ทั้งหมดนี้ แน่นอนว่าต้องบอกว่าใช้ประโยชน์จากระบบอัตโนมัติเพื่อทำสิ่งนั้น

Liam: และ SOC 2 ไม่ใช่ใบรับรอง ฉันถูกไหม?

อดัม: ถูกต้อง มันเป็นการรับรอง

Liam: และมี 2 แบบคือ Type 1 และ 2 ต่างกันยังไง?

อดัม: เพื่อให้เกิดความสับสนมากขึ้น มีบางอย่างเช่น SOC 1 และ SOC 2 ฉันคิดว่าคุณกำลังถามเกี่ยวกับ SOC 2 Type 1 กับ SOC 2 Type 2 ซึ่งเป็นคำถามที่ดีและเป็นคำถามที่ลูกค้ามักถามเราตลอดเวลา . ทั้งคู่เหมือนกันในแง่ของกรอบงาน ความแตกต่างคือว่าการตรวจสอบและรายงาน SOC 2 Type 1 กำลังมองหาการออกแบบการควบคุมของคุณ ณ เวลาที่เฉพาะเจาะจง เช่น วันนี้คุณปฏิบัติตามหรือไม่ SOC 2 Type 2 กำลังมองหาการออกแบบการควบคุมของคุณ แต่ยังพิจารณาถึงประสิทธิภาพในการทำงานของการควบคุมเหล่านั้นในบางช่วงเวลา โดยปกติแล้วจะอยู่ที่ 12 เดือน

จากข้อมูลนั้น คุณสามารถจินตนาการได้ว่า SOC 2 Type 2 เป็นแถบที่สูงกว่าแน่นอน ใช้เวลานานขึ้น มักจะมีราคาแพงกว่า มันเพิ่งทำในช่วงระยะเวลาหนึ่ง คุณสามารถทำประเภทที่ 1 ระหว่างทางไปยังประเภทที่ 2 ได้ เราเห็นลูกค้าทำเช่นนี้เมื่อพวกเขาต้องการรายงานโดยเร็วที่สุด และประเภทที่ 1 ดีกว่าการไม่มีรายงานเลย และคุณจะไม่สูญเสียเวลาหรืองานใดๆ เพราะเป็นกรอบการทำงานเดียวกัน โดยพื้นฐานแล้ว คุณจะได้รับการควบคุมทั้งหมดที่ทำการตรวจสอบประเภท 1 และในขณะเดียวกัน เริ่มต้นช่วงสี่ถึง 12 เดือนของคุณสำหรับประเภท 2 อันที่จริง บริษัทตรวจสอบบางแห่งที่เราเป็นพันธมิตรกันยังรวมราคาสำหรับ ประเภทที่ 1 และประเภทที่ 2 และนั่นทำให้คุ้มทุนมากขึ้นในสถานการณ์เฉพาะนั้น แต่อีกครั้ง คุณสามารถตรงไปที่ Type 2 ได้เลย เพราะนั่นคือมาตรฐานทองคำ

“เป็นการฝึกฝนที่ยอดเยี่ยม และพวกเขาทำการโจมตีแบบฟิชชิ่งจำลองเหล่านี้ ดังนั้นเราจึงจงใจฟิชชิ่งพนักงานของเราแบบสุ่ม”

Liam: จากข้อมูลของ Statista ความเสียหายทางการเงินที่เกิดจากการรายงานอาชญากรรมทางไซเบอร์อยู่ที่ 4.2 พันล้านดอลลาร์ในปี 2020 ซึ่งมากกว่าในปี 2558 ถึงสี่เท่า

อดัม: มันบ้า

Liam: ใช่ มันบ้าไปแล้ว แล้วจุดบอดที่อาละวาดในระบบรักษาความปลอดภัยขององค์กรมีอะไรบ้าง?

อดัม: เป็นคำถามที่ดี มีข้อมูลในระบบคลาวด์ที่จะเปิดเผยในวันนี้มากกว่าที่เคย ฉันคิดว่าสิ่งที่อาจทำให้ผู้คนประหลาดใจก็คือ ส่วนใหญ่ยังคงเป็นกลอุบายแบบเดิมๆ เช่น การโจมตีแบบฟิชชิง อย่างที่ฉันพูดไป การโจมตีแบบฟิชชิงยังคงเป็น 90% ของการละเมิดข้อมูลในปี 2564 ผู้ให้บริการฝึกอบรมด้านการรับรู้ที่ปลอดภัยส่วนใหญ่มีโมดูลและหลักสูตรเกี่ยวกับวิธีการตรวจจับอีเมลฟิชชิ่ง สิ่งที่ต้องทำ และสิ่งที่ไม่ควรทำเมื่อได้รับอีเมล และมันเป็นการควบคุมร่วมกันที่บริษัทใดๆ ที่ดำเนินการผ่าน SOC 2 จะต้องมีการฝึกอบรมความตระหนักด้านความปลอดภัย เราใช้เครื่องมือที่ยอดเยี่ยม – Drata ทำงานร่วมกับมัน – เรียกว่า Curricula เป็นตัวอย่างหนึ่ง แต่เป็นการฝึกฝนที่ยอดเยี่ยม และพวกเขาทำการโจมตีแบบฟิชชิ่งจำลองเหล่านี้ ดังนั้นเราจึงจงใจฟิชชิ่งพนักงานของเราเองโดยการสุ่ม

“เพียงอีเมลเดียว พนักงานหนึ่งคน”

Liam: ฉันพนันได้เลยว่าพวกเขาชอบสิ่งนั้น

อดัม: ฉันไม่รู้ด้วยซ้ำว่ามันเป็นเรื่องจริงหรือไม่ ซึ่งเป็นส่วนหนึ่งของการฝึก แต่มันเป็นวิธีการเกร็งกล้ามเนื้อภายในบริษัทอย่างต่อเนื่อง เพราะเหมือนกับทุกสิ่ง มันไม่เคยทำอย่างใดอย่างหนึ่งและทำ คุณไม่เคยเพียงแค่ดีดนิ้วและคุณก็จะปลอดภัย คุณต้องฝึกฝน ดังนั้น หากมีคนคลิกลิงก์ใดลิงก์หนึ่งและอีเมลปลอม ระบบจะบอกพวกเขาทันทีว่า "นี่ คุณเพิ่งถูกฟิชชิ่ง มาเลย จำการฝึกของคุณไว้" แต่ก็ยังมีค่าในขณะนั้นใช่ไหม

ฉันรู้สึกประหลาดใจ เรามีกันไม่นานมานี้ ดูเหมือนอีเมลที่มาจาก Carta และโดยพื้นฐานแล้วกล่าวว่า "ขอแสดงความยินดีกับตัวเลือกหุ้นล่าสุดของคุณ เพิ่งได้รับการอนุมัติจากคณะกรรมการ ลงชื่อที่นี่” และใช่ มันแค่แตะไปที่จุดศูนย์กลางของความพึงพอใจในทันทีของสมอง คุณจะแปลกใจว่ามีกี่คนที่คลิกลิงก์นั้นโดยไม่ได้ตรวจสอบจริงๆ เพื่อให้แน่ใจว่าลิงก์นั้นถูกต้อง นั่นเป็นวิธีที่ 90% ของการละเมิดเหล่านี้เกิดขึ้นอีกครั้ง ทั้งหมดคืออีเมลหนึ่งฉบับ พนักงานหนึ่งคน ที่กลับไปที่จุดเดิมเกี่ยวกับการหลอมรวมเข้ากับรากฐานและวัฒนธรรมของคุณ นั่นเป็นสิ่งสำคัญที่ทุกคนในบริษัทจะต้องเป็นเจ้าของการรักษาความปลอดภัย ไม่ใช่งานของใครคนใดคนหนึ่ง แต่เป็นงานของทุกคน

ปรับขนาดความปลอดภัยเป็นการเริ่มต้น

Liam: ฉันรู้ว่าเรามีผู้ฟังมากมายจากบริษัทสตาร์ทอัพ และฉันจะถามคุณถึงคำแนะนำที่คุณจะแนะนำสตาร์ทอัพโดยเฉพาะเกี่ยวกับการเป็น SOC 2 Compliant ใครควรจัดการกระบวนการ SOC 2 ในสตาร์ทอัพขนาดเล็ก?

อดัม: เป็นคำถามที่ดี และสิ่งหนึ่งที่ฉันคิดว่าเป็นสถานที่พิเศษในหัวใจของเรา เพราะอย่างหนึ่ง เรายังเริ่มต้นด้วยตัวเอง แต่บทนี้มาจากความต้องการส่วนตัวของเราในฐานะการเริ่มต้นขายในมหาวิทยาลัย ในกรณีของเรา เราจึงได้พูดคุยกับบริษัทสตาร์ทอัพจำนวนมาก คำแนะนำที่เราให้คืออย่ารอช้า อย่างที่ฉันพูดไปก่อนหน้านี้เริ่มเร็ว ๆ นี้ ยิ่งทำเร็ว ยิ่งถูก และง่ายต่อการบำรุงรักษา ใช้ประโยชน์จากระบบอัตโนมัติอย่างแน่นอน คุณจะประหยัดเวลาด้านวิศวกรรมได้หลายร้อยชั่วโมง โดยเฉพาะอย่างยิ่งในการเริ่มต้น คุณควรใช้จ่ายกับผลิตภัณฑ์และลำดับความสำคัญอื่นๆ

“เมื่อบริษัทของคุณเติบโตขึ้น พนักงานมากขึ้น ทรัพย์สินมากขึ้น ติดตามได้มากขึ้น”

และฉันเดาอีกอย่างหนึ่งก็คือการคิดระยะยาว ง่ายมากที่จะติดกับดักของ "เอาล่ะ ฉันต้องเลือกช่องนี้ มิฉะนั้นเรื่องใหญ่นี้จะไม่ปิด และเรื่องใหญ่นี้คือการเปลี่ยนแปลงเกม เป็นการดำรงอยู่สำหรับการเริ่มต้นของเรา" มีวิธีดำเนินการอย่างรวดเร็ว แต่วิธีหนึ่งที่จะช่วยให้คุณพร้อมในระยะยาว นี่ไม่ใช่สิ่งที่ไม่ผ่าน จำไว้. ใช่แล้ว มันเป็นรายงานที่คุณได้รับเมื่อสิ้นสุดการตรวจสอบ และคุณต้องการให้เป็นรายงานที่สะอาดและดี เมื่อคุณยื่นรายงานให้ใครซักคน คุณต้องการให้สิ่งนั้นทำให้คุณมีทัศนคติที่ดี หลายๆ อย่างอาจสูญหายได้ โดยเฉพาะอย่างยิ่งเมื่อเป็นสตาร์ทอัพ เนื่องจากเสียงและแรงกดดันในการทำตามข้อกำหนดหรือปิดข้อตกลงนี้

Liam: แล้วบริษัทที่ทำธุรกิจเกี่ยวกับ Scale ต้องรู้อะไรบ้าง? ฉันคิดว่าอาจมีความท้าทายที่แตกต่างกันมาก

อดัม: ดังนั้น ถ้าคุณมีรายงาน SOC 2 อยู่แล้ว และคุณกำลังใช้สเปรดชีตหรืออยู่ในสเปรดชีตและภาพหน้าจอ คุณก็สัมผัสได้ถึงความเจ็บปวดที่ไม่สามารถปรับขนาดได้ เมื่อบริษัทของคุณเติบโตขึ้น พนักงานจำนวนมากขึ้น สินทรัพย์มากขึ้น ติดตามได้มากขึ้น การทำงานอัตโนมัติจะมีคุณค่ามากขึ้นเมื่อเวลาผ่านไป เมื่อคุณมีทรัพย์สินมากขึ้นภายในขอบเขตของการตรวจสอบของคุณ ดังนั้นจึงมีเหตุผลมากขึ้นที่จะใช้ประโยชน์จากระบบอัตโนมัติและดำเนินการตรวจสอบอย่างต่อเนื่อง เพื่อที่คุณจะได้ไม่ต้องรวบรวมหลักฐานย้อนหลังด้วยตนเอง คุณทราบในแบบเรียลไทม์ว่าช่องว่างต่างๆ ก่อตัวขึ้นเมื่อพนักงานเข้าๆ ออกๆ หรือคุณหมุนหรือหมุนสินทรัพย์โดยอัตโนมัติ ใช่ มันเป็นกรณีการใช้งานที่แตกต่างกัน แต่คล้ายกันมาก

“นี่คือสิ่งที่ไม่เหมือนใคร เพื่อตรวจสอบการควบคุมอย่างต่อเนื่อง จากนั้นระบุและแจ้งเตือนเมื่อมีช่องว่างในแบบเรียลไทม์”

Liam: ฉันชอบที่จะได้ยินว่า Drata ช่วยให้กระบวนการ SOC 2 สำหรับผู้คนง่ายขึ้นและทำให้เป็นอัตโนมัติได้อย่างไร

อดัม: ใช่อย่างแน่นอน ดังนั้นเราจึงสร้างเป็นโซลูชันแบบครบวงจร สามารถนำบริษัทต่างๆ จากศูนย์ ไปจนถึงขั้นตอนที่พร้อมสำหรับการตรวจสอบ การตรวจสอบเอง และการบำรุงรักษาอย่างต่อเนื่องที่ดำเนินการด้วยระบบอัตโนมัติ Drata เชื่อมต่อกับกลุ่มเทคโนโลยีของลูกค้า นี่คือสิ่งที่ไม่เหมือนใคร ในการตรวจสอบการควบคุมอย่างต่อเนื่อง จากนั้นระบุและแจ้งเตือนเมื่อมีช่องว่างในแบบเรียลไทม์ และจะรวบรวมหลักฐานของการควบคุมเหล่านี้โดยอัตโนมัติ จากนั้นจึงจับคู่ล่วงหน้าในเฟรมเวิร์กต่างๆ เช่น SOC 2, ISO 27001, HIPAA และอื่นๆ ดังนั้น หากคุณเริ่มต้นจากศูนย์ คุณสามารถใช้ประโยชน์จากเฟรมเวิร์กการควบคุมทั่วไปภายใน Drata ได้ เช่นเดียวกับเทมเพลตนโยบายความปลอดภัยเพื่อให้รากฐานของคุณตั้งค่าได้อย่างรวดเร็ว เรามีบริษัทที่อายุต่ำกว่า 50 ปี ที่เริ่มต้นจากศูนย์จนถึงพร้อมตรวจสอบภายในเวลาเพียงไม่กี่สัปดาห์ นั่นคือพลังของระบบอัตโนมัติ

จากนั้น Drata ยังเป็นพันธมิตรกับบริษัทตรวจสอบที่ได้รับการฝึกอบรมเพื่อดำเนินการตรวจสอบโดยใช้ Drata อย่างคล่องตัว ซึ่งช่วยประหยัดเวลาของทุกคน และส่งผลให้มีการตรวจสอบที่มีราคาต่ำกว่า เป็นการเดินทางที่คุ้มค่าเป็นพิเศษ เป็นสิ่งที่มาจากความต้องการส่วนตัวของเรา แล้วทีมงานของเรา โดยเฉพาะทีม Customer Success ที่ทำงานร่วมกับลูกค้าของเราทุกคน เรามีอดีตผู้ตรวจสอบบัญชี ผู้เชี่ยวชาญด้านความปลอดภัย พนักงานประจำคอยช่วยแนะนำลูกค้าของเราตลอดการเดินทาง ไม่ใช่แค่ซอฟต์แวร์ทั้งหมดเท่านั้น เห็นได้ชัดว่าระบบอัตโนมัติเป็นกุญแจสำคัญ

อนาคตของความปลอดภัยของข้อมูล

Liam: ก่อนที่เราจะสรุป อนาคตของการรักษาความปลอดภัยข้อมูลจะเป็นอย่างไร? มันจะเป็นการต่อสู้ที่ยากเย็นแสนเข็ญอยู่เสมอหรือไม่?

“ฉันคิดว่าบริษัทต่างๆ จะมีความโปร่งใสมากขึ้นเกี่ยวกับการแบ่งปัน ไม่ใช่แค่รายงาน SOC 2 เหล่านี้ แต่จะอยู่ระหว่างรายงานแบบเรียลไทม์”

อดัม: ฉันจะเอาลูกบอลคริสตัลออกมา ด้วยข้อมูลในระบบคลาวด์ที่เพิ่มมากขึ้นเรื่อยๆ การรักษาความปลอดภัยของข้อมูลจึงมีความสำคัญมากขึ้นเรื่อยๆ เมื่อเวลาผ่านไป ฉันคิดว่าคุณจะได้เห็นบริษัทต่างๆ ดำเนินการก่อนหน้านี้ อย่างที่เราได้เห็นแล้ว ถูกขอการรับรองการปฏิบัติตามข้อกำหนดและการรับรองบ่อยขึ้น และมันจะถูกหลอมรวมเข้ากับวัฒนธรรมของบริษัทตั้งแต่วันแรก มีอาชีพและอุตสาหกรรมมากมายที่จำเป็นต้องมีการฝึกอบรมด้านความปลอดภัยเป็นพิเศษและไม่มีใครสนใจเพราะเพิ่งเข้าใจ มีความเสี่ยงที่แท้จริงมากที่นี่ และสามารถพูดได้เช่นเดียวกันสำหรับบริษัทซอฟต์แวร์ใดๆ ที่เก็บข้อมูลในคลาวด์

ฉันคิดว่าเราจะเห็นการเฝ้าติดตามอย่างต่อเนื่องมากขึ้น แค่มุมมองแบบเรียลไทม์จากภายในสู่ภายนอก และฉันคิดว่าบริษัทต่างๆ จะมีความโปร่งใสมากขึ้นเกี่ยวกับการแบ่งปัน ไม่ใช่แค่รายงาน SOC 2 เหล่านี้ แต่ในเชิงลึกระหว่างรายงานจริง -เวลา. เช่นเดียวกับที่เราโอ้อวดเกี่ยวกับสถานะเวลาทำงาน – นี่คือสถานะท่าทางความปลอดภัยของเรา และแน่นอน ฉันไม่คิดว่าฉันจะเป็นผู้ร่วมก่อตั้งและซีอีโอของ Drata ถ้าฉันไม่คิดว่าระบบอัตโนมัติจะเป็นวิธีการมาตรฐานสำหรับบริษัทต่างๆ ที่รักษาท่าทางการปฏิบัติตามข้อกำหนดด้านความปลอดภัยนั้น มาดูกันเลย

Liam: เห็นได้ชัดว่าเป็นช่วงเวลาที่น่าตื่นเต้นสำหรับพวกคุณทุกคน อะไรต่อไป? คุณมีแผนหรือโครงการขนาดใหญ่ระหว่างทางหรือไม่?

อดัม: ใช่ มันวิเศษมากที่หนึ่งปีผ่านไปอย่างรวดเร็ว เราเปิดตัวอย่างเป็นทางการในวันที่ 15 มกราคม ดังนั้นเราจึงบรรลุสถานะยูนิคอร์นอย่างรวดเร็ว แต่เรายังคงเป็นการเริ่มต้นอย่างมาก ทีมงานของเราจะเติบโตขึ้นสามเท่าในปี 2022 ดังนั้นเราจึงจ้างทั่วทั้งกระดาน ทุกแผนก หากผู้ฟังสนใจในระบบอัตโนมัติและความปลอดภัย ค่านิยมหลักของเราอยู่ที่เว็บไซต์ของเรา และหากพวกเขาถูกใจคุณ เราก็อยากให้คุณดูที่หน้างานของเรา และเรายินดีที่จะติดต่อกับคุณ

เลียม: ยอดเยี่ยม ปีใหม่ งานใหม่. ชุดนี้เกี่ยวกับการฟังว่าบริษัทต่างๆ ขยายการเติบโตของพวกเขาอย่างไร ก่อนที่เราจะจบ ฉันชอบที่จะรู้ว่ามีงานสำคัญในอาชีพของคุณที่ช่วยให้คุณเติบโตอย่างมืออาชีพหรือไม่?

“มันเป็นจรวดชนิดอื่นใช่ไหม? ทั้งสองรุนแรงมาก”

อดัม: เราเรียนรู้มากมายทุกวัน และเราทุกคนล้วนเกี่ยวกับการทำซ้ำและปรับปรุงอย่างต่อเนื่อง ดังนั้น คำแนะนำเบื้องต้น คือ การอยู่รายล้อมตัวฉันด้วยพี่เลี้ยง ที่ปรึกษา ผู้ที่เคยอยู่ที่นั่นซึ่งเราสามารถเรียนรู้จากมันได้ และเปิดใจรับสิ่งนั้น หลังจากที่โครงการกระสวยอวกาศสิ้นสุดลง และฉันกำลังเรียนรู้ที่จะเขียนโค้ดและสร้าง Portfolium เวอร์ชันแรก ฉันกำลังทำงานในโปรแกรมเร่งความเร็วที่นี่ในซานดิเอโกที่เรียกว่า EvoNexus และนั่นทำให้สิ่งต่าง ๆ เกินพิกัดจริงๆ มันทำให้คนรอบตัวฉันทันที และฉันต้องเรียนรู้จากพวกเขา มันช่วยวางชิ้นส่วนเพื่อเตรียมพร้อมสำหรับทุกสิ่งที่อยู่ข้างหน้าจริงๆ ฉันไม่คิดว่าจะมีอะไรเตรียมคุณได้ แต่มันช่วยได้แน่นอน

Liam: อะไรจะตึงเครียดและน่าตื่นเต้นกว่ากัน? นักวิทยาศาสตร์จรวดหรือบริหารบริษัท?

อดัม: มันคือจรวดชนิดอื่นใช่มั้ย? ทั้งสองมีความเข้มข้นมาก

Liam: และสุดท้าย ผู้ฟังของเราจะติดตามคุณและงานของคุณได้ที่ไหน

อดัม: ใช่ โปรดตรวจสอบเว็บไซต์ของเราที่ drata.com Feel free to schedule a live demo with our team and see the product in action. We'd love to show it. On LinkedIn, it's easy to find and follow; just search Drata. And then, on Twitter, at @DrataHQ.

Liam: Perfect. And thank you so much for joining us today.

Adam: Thank you so much for having me.