Drata'nın CEO'su Adam Markowitz siber güvenlik kültürü yaratma konusunda
Yayınlanan: 2022-05-06Bulutta giderek daha fazla veri depolandıkça, müşterilerinizin verilerini koruyabileceğinizi kanıtlamak sadece iyi bir şey değil, aynı zamanda çok önemli.
En bilgili güvenlik mühendisini bile özünden soğutmaya yetecek kadar veri ihlali ve siber saldırı hikayesi var. Siber saldırılar önceki yıla göre %125 arttı ve şirketlerin kısmi veya tamamen uzak ayarlara geçmesiyle yavaşlama belirtisi göstermiyor. Günümüzün veriye dayalı SaaS sahnesinde, bunlar yüz milyonlarca kullanıcıyı etkileyebilir ve milyarlarca dolarlık zarara neden olabilir ve uyumluluk çerçeveleri iş yapmak için gereklilik haline geldikçe, işletmeler hızlandırmaya ve kolaylaştırmaya yardımcı olabilecek üçüncü taraf hizmetlerine yöneliyor. işlem. İşte burada Adam Markowitz gibi insanlar devreye giriyor.
Adam, işletmelerin müşterilerinin verilerini korumasına, güvenlik durumlarını sürekli olarak izlemesine ve SOC 2, ISO 27001 ve diğer uyumluluk programlarına otomatik olarak ayak uydurmasına yardımcı olan bir şirket olan Drata'nın kurucu ortağı ve CEO'sudur. İki yaşında bile olmamasına rağmen, Drata şimdiden 100 milyon dolarlık bir B Serisini kapattı ve onu tek boynuzlu at statüsüne itti ve onu 1 milyar dolarlık bir değerleme elde eden en hızlı şirketlerden biri haline getirdi. Siber güvenlik ve uyumluluğun talep edildiği ortaya çıktı.
Bir havacılık mühendisi girişimci oldu, Adam erkenden güven kazanmanın en iyi yolunun bunu hak ettiğinizi kanıtlamak olduğunu öğrendi. NASA'nın Uzay Mekiği Ana Motoru üzerinde çalıştıktan sonra, öğrencilerin ve mezunların geleneksel özgeçmişin ötesindeki becerilerini potansiyel işverenlere sergilemelerini sağlayan bir sosyal ağ platformu olan Portfolium'u geliştirmeye devam etti. Ancak üniversiteler onlarla iş yapmadan önce güvenlik duruşları konusunda güvenceye ihtiyaçları vardı. Ekip birdenbire SOC 2 Raporlarını çok iyi tanımaya başladı ve özellikle yüksek büyüme hızına sahip startuplar için ne kadar külfetli ve ölçeklenemez hale gelebileceğini fark etti. Portföy sonunda elde edildi, ancak arkasındaki ekip bunu yapmanın daha iyi bir yolunu düşünmekten asla vazgeçmedi. Bir yıldan kısa bir süre sonra Drata piyasaya sürüldü.
Bu bölümde, SOC 2 çerçevesi, sıfırdan bir güvenlik kültürünün nasıl oluşturulacağı ve otomasyonun bir baş ağrısını sorunsuz bir operasyona dönüştürmenin anahtarı olduğu hakkında her şeyi öğrenmek için Adam'la oturduk.
İşte sohbetten en sevdiğimiz paketlerden bazıları:
1. Asgari hale geliyor
Müşterileriniz hassas verileri konusunda size güvenmiyorsa işinizi büyütemezsiniz. Ve sözlü güvenceler ve bir el sıkışma ne kadar güzel olursa olsun, büyüdükçe ve daha yerleşik, kurumsal düzeyde şirketlerle anlaşmaya çalıştıkça, anlaşmayı kapatmadan önce kendinizi giderek daha fazla uygunluk kanıtı sağlamanız gerektiğini göreceksiniz:
Buluta geçiş, giderek daha fazla veri ihlali - üçüncü taraf riskine gerçekten bir büyüteç koydu. Ve bu, burada gördüğümüz şeylerin çoğunu, bu olması güzel olandan sahip olunması gereken bir şeye dönüştürdü. Şirketinizle iş yapmak üzereysem ve yazılımınız müşterilerimin verilerine erişecekse, bunları korumak için uygun kontrollere sahip olmanızı sağlamak benim sorumluluğumdur.
2. Erken başlayın
Verizon'un siber güvenlik olayları analizi, başarılı saldırıların %90'ının arkasında kimlik avının olduğunu buldu; bu, 10 saldırıdan 9'unun yüksek oranda önlenebilir olduğu anlamına geliyor. Çalışanlarınızı uyumluluk uygulamaları ve bu kötü niyetli e-postaları nasıl tespit edecekleri konusunda ilk günden itibaren eğitmeye başlayın - önce güvenlik zihniyetini ne kadar çabuk benimserlerse, kültürün bir parçası o kadar çabuk olur.
Geçen gün bu konuşmayı yapıyordum ve en iyi benzetme olmayabilir, ancak emniyet kemeri olmayan arabalarda büyüyen koca bir nesil vardı. Sonra 50'lerde bu yeni şeyi tanıttılar ve direniş oldu. Ama bugün, daha ilk günden büyüdüğüm için arabaya bindiğimde bunu düşünmüyorum bile. Emniyet kemeri takılıyor ve nefes almak gibi.
3. Otomasyonu atlamayın
Güvenlik, şirket genelindeki her işlevi etkiler: işe alım ve işten çıkarmadan verileri şifrelemeye ve uç noktaları yönetmeye kadar. Adam'ın deneyimine göre, bir SOC 2 denetimine girmeyi takip etmek için 100 ila 200 arasında kontrol vardır, bu nedenle otomasyondan yararlanmıyorsanız, uyumluluk için yılda yüzlerce saat harcıyor olabilirsiniz:
Otomasyon kullanmıyorsanız, bu, şirketinizdeki ekiplerin her bir kanıtı sürekli olarak, tekrar tekrar toplamak ve ardından gelecekteki denetimler için saklamakla görevlendirildiği anlamına gelir. Ve sonra, yol boyunca boşluklar bulurlarsa, çünkü boşluklar yılın herhangi bir gününde oluşabilir, düzeltmeleri gerekir. Elektronik tablolarda, paylaşılan klasörlerde, ekran görüntülerinde yaşayan birçok insan var.
İlginizi çekti mi? Göz atabileceğiniz makaleler, videolar ve podcast'lerin bir listesini topladık:
- Şirketinizin SOC 2 Hazırlık Puanını Puanlayın
- SOC 2 uyumluluğu: Başlangıç Kılavuzu
- Evernote'un En Büyük Güvenlik Endişelerinize İlişkin CTO'su 3 - 300 Çalışan
- LinkedIn Olayı
Bu, Intercom'un müşteri ilişkileri yoluyla ticari büyümeyi teşvik eden podcast serisi Scale'dir. Sohbetten hoşlanıyorsanız ve gelecek bölümleri kaçırmak istemiyorsanız, iTunes, Spotify'da takip edin veya seçtiğiniz oynatıcıdaki RSS beslemesini alın. Ayrıca, netlik için hafifçe düzenlenmiş olan röportajın tam metnini aşağıda okuyabilirsiniz.
Otomatik pilotta güvenlik
Liam Geraghty: Adam, bize katıldığınız için çok teşekkür ederiz. Gösteriye çok hoş geldiniz.
Adam Markowitz: Bana sahip olduğunuz için teşekkürler.
Liam: Öncelikle, tebrikler sırada. Drata kısa süre önce 100 milyon dolarlık risk sermayesi fonu topladı ve bunun onu 1 milyar dolarlık bir değerlendirmeyle San Diego'nun en yeni başlangıç tek boynuzlu atı yaptığına inanıyorum. Bu nasıl hissettiriyor?
Adam: Teşekkür ederim, esasen şirketin 12 aylık bir süre içinde tohumdan seriye ne kadar hızlı geçtiğinden dolayı hala biraz gerçeküstü geliyor. Ama dönüm noktasına ulaşmak ve bunu burada San Diego'da yapmak harika ve süper ödüllendirici bir duygu. Önceki şirketimiz yaklaşık 10 yıl önce burada, San Diego'da kuruldu ve o zamanlar çok farklı bir teknoloji ekosistemiydi. Bu yüzden onun geliştiğini görmek ve tüm bu zaman boyunca bunun bir parçası olmak süper ödüllendirici. Ayrıca Drata, pandeminin tam ortasında doğdu. Yaptığımız zaman şirketi kurabilecek konumda olduğumuz için kendimizi şanslı hissettik ve bu takdir bu gerçekten eşi görülmemiş yılı ateşledi.
"Ramp dönemi yok, birbirimizi tanıma dönemi yok - sadece git, git, git"
Liam: Nasıl bir şeydi?
Adam: Yine, bunu yapmak için kendimizi rahat hissettiğimiz bir pozisyonda olmaktı. Dünyada olup bitenler bizim için kayıp değildi. İlk gün, hepimiz o şirketten ayrılan epeyce kişi vardı. Hepimiz o kadar uzun süre birlikte çalıştık ki bu bir tür güzel, haksız avantajdı. Rampa dönemi yok, birbirimizi tanıma dönemi yok - sadece git, git, git.
Liam: Drata ne yapıyor?
Adam: Drata, güvenlik kontrollerinin izlenmesini ve kanıt toplamasını otomatik hale getirerek, şirketlerin güvenlik ve uyumluluğu otomatik pilot olarak adlandırdığımız duruma getirmelerine yardımcı olur. SOC 2, ISO 27001, HIPAA ve diğerleri gibi denetimleri kolaylaştırma. Şirketlerin yılın hemen her günü gerçek zamanlı güvenlik duruşlarını kanıtlamalarına olanak tanır, böylece satış döngülerini ve güvenlik incelemelerini hızlandırır. Tabii ki, aynı zamanda denetimlerin daha hızlı ilerlemesini ve daha az maliyetli olmasını sağlar. Ve sonra, şirketlerin daha kurumsal hale gelmesine olanak tanır.
Liam: Bütün alan yeni bir alan. Dakikada gezinmek nasıl bir şey?
Adam: Alanın kendisi yeni, ancak bir süredir varsayımda bulunulan bir yer. Sürekli uyum vaadi yıllardır ortalıkta dolaşmaktadır. Ve böylece, bu sözü yerine getirmek çok heyecan verici. Ve tabii ki zorlu - olması gerektiği gibi. Ben şahsen erken olmayı ve piyasada çıtayı gerçekten yüksek tutma fırsatını kullanmayı seviyorum. Ve takımla birlikte onu daha yükseğe çıkarmaya devam etmek.
Roket biliminden uyumluluğa
Liam: Yine de işe güvenlikle başlamadın. Eski bir roket bilimcisi olduğunuzu söylemekte haklı mıyım?
Adam: Evet, komik. Roket bilimcisi olarak adlandırılmanın laneti, hayatta yaptığınız her şey ve her şey için çıtanın hemen yükseltilmesidir. Araba hemen çalışmayacak, düzeltin - "bu roket bilimi ya da başka bir şey değil."
Liam: Nasıl bir şeydi? Uyumluluk teknolojisine geçişi nasıl yaptınız?
Adam: Kariyerime Uzay Mekiği Programında, özellikle MCC ekibinde, Ana Yanma Odası ekibinde mühendis olarak başladım. Son mekik fırlatma on yıldan fazla bir süre önceydi, bu yüzden bazı insanlar mekiğin fırlatıldığını hatırlamıyor olabilir, ancak bunu yaparsanız, roketi rampa üzerinde görürsünüz, iki roket güçlendiriciniz var ve bir de dev var. portakal tankı. Bu, bu üç ana motoru besleyen yakıt deposu ve lisanstan çıkarken üzerinde çalıştığım şey buydu. Bir roket motorunun nasıl çalıştığını tanımlamanın en iyi yolu sadece kontrollü bir patlamadır. Yani nasıl baktığınıza bağlı olarak bu bir mühendislik rüyası/kabusudur.
"Uzay Mekiği Programında çalışarak bu işe böyle girdim - iş görüşmelerime, öne çıkmama ve sadece GPA'nın ötesinde becerilerimi kanıtlamama yardımcı olması için bir portföy getirdim"
Liam: Fırlatmayı gerçekten izlemek nasıl bir duygu? gergin misin? Biraz heyecanlı mısın?
Adam: Gergin bir heyecan, bunu söylemenin iyi bir yolu. Yaptığımız işi herkes çok beğendi. Küçüklüğümden beri astronot olmak istiyordum ve ofiste yürüyen, mühendislere eve sağ salim dönmelerine yardım ettikleri için teşekkür eden gerçek bir canlı astronot sahibi olmak istedim, özellikle de lisanstan mezun olduğunuz ilk işiniz kesinlikle inanılmaz olduğu için.
Liam: Orada sözünü kestim ama bana bu geçişi nasıl yaptığını anlatıyordun.
“Öğrencilerin işverenlerin güvenini kazanmalarına yardımcı olmak için önce güvenlik duruşumuzu üniversitelere kanıtlamamız gerekiyordu”
Adam: Mekik programı emekli olduğunda 2011'de deneyim sona erdi ve ben havacılıktan girişimciliğe atladım. Dedikleri gibi daldım. Öğrenciler için LinkedIn benzeri bir e-Portföy ağı olan Portfolium adını verdiğim bir MVP kodlamayı ve oluşturmayı öğrendim ve fikir geldi. Uzay Mekiği Programında çalışarak bu işe gerçekten böyle girdim – iş görüşmelerime, öne çıkmama ve sadece GPA'nın ötesinde becerilerimi kanıtlamama yardımcı olması için bir portföy getirdim. Ve böylece, her yerdeki öğrenciler için bunu yapmak ve sadece kanıtlanmış becerilerine dayanarak hayallerindeki meslekleri bulmalarına yardımcı olmak istedim. Önce hak ettiğini kanıtlayarak güven kazanmaya büyük bir inancım var. Bu durumda, öğrencileri işverenlerle daha anlamlı bir şekilde eşleştirmek için kullanabileceğimiz verilerle zengin olan bu e-Portföylerdeki becerilerin kanıtıydı.
Şirketi ve milyonlarca öğrenci ağını büyüttük ve bunu üniversite üniversitelerine bir öğrenim değerlendirme modülü satarak başardık. İşte o zaman güvenlik duruşumuzu kanıtlamanın önemini çabucak öğrendik. Çünkü üniversite bizimle imza atmadan ve hassas öğrenci bilgilerini sağlamadan önce, güvenlik duruşumuzu güvence altına almaları gerekiyordu. Bunun bir SOC 2 Raporu olduğunu ve hala öyle olduğunu kanıtlamak için altın standart. Yani, burada bu temayı görüyorsunuz, kanıtlarla güven kazanıyor. Bu nedenle, öğrencilerin işverenlerin güvenini kazanmalarına yardımcı olmak için önce güvenlik duruşumuzu üniversitelere kanıtlamamız gerekiyordu ve bunun kanıtı SOC 2 Raporuydu. Portföy 2019 yılının Şubat ayında satın alındı ve ekibimiz, şirketlerin ayağa kalkmasına ve güvenlik uyumluluğu duruşlarını otomasyon öncelikli bir yaklaşımla kanıtlamasına yardımcı olmak için Drata'yı oluşturmak için geçen yıl 2020'de tekrar bir araya geldi.
SOC 2 101
Liam: Öyleyse, biraz “vergiler hakkında konuşalım” veya “hadi faturalandırma hakkında konuşalım” demek gibi olduğunu bildiğim SOC 2 uyumluluğuna geçelim. Ama bu çok önemli. SOC 2 uyumluluğunun gerçekte ne olduğuna dair bize bir giriş yapabilir misiniz?
Adam: Tabii, memnun oldum! Yani, SOC 2 bir çerçevedir. Amerikan Yeminli Mali Müşavirler Enstitüsü olan AICPA tarafından oluşturulur ve sürdürülür. Dolayısıyla, CPA firmalarının denetçileri aslında SOC 2 denetimleri yürütür ve herhangi bir SOC 2 denetiminin sonucu bir SOC 2 Raporudur. SOC 2, gerçekten önemli olan ve yaygın bir yanılgı olan başarılı bir sertifika değildir. Bu SOC 2 Raporu, bir tasdiktir ve güvenilirdir, çünkü bu sertifikalı, bağımsız üçüncü taraf denetçiden gelmektedir. Ve temel olarak, müşterilerinizin verilerini korumaya gelince, şirketinizin güvenlik kontrollerinin tasarımını ve çalışma etkinliğini test ediyor. Başka bir deyişle, SOC 2 Raporu, şirketinizin müşterilerinin verilerini ne kadar iyi koruduğunu detaylandıran bir rapordur. Bugün yazılım satıyorsanız, Bulutta veri depolama veya işleme şansınız %99,9'dur. Ve bu nedenle, güvenlik inceleme sürecinin bir parçası olarak müşterilerinize veya potansiyel müşterilerinize bir SOC 2 Raporu sağlamanızın istenmesi an meselesi.
"Şirketinizle iş yapmak üzereysem ve yazılımınız müşterilerimin verilerine erişecekse, bunları korumak için uygun kontrollere sahip olmanızı sağlamak benim sorumluluğumdur"
Liam: Ve B2B şirketleri için standart mı?
Adam: Birçok yönden, evet. Özellikle burada ABD'de, kısmen SOC 2, verileri Bulutta depolayan veya işleyen herhangi bir şirket için geçerli olduğundan ve bu günlerde her şirkette, kesinlikle tüm SaaS şirketlerinde. Bu nedenle, birçok yönden artık altın standart haline geldi. Daha da fazlası, güvenlik duruşunuzu kanıtlamak için minimum çubuk gibi. Bunu üniversitelere Portfolium satışında bizzat gördük; çok kısa bir süre içinde SOC 2 Raporumuza yönelik bu talepler hızla SOC 2 Raporumuza yönelik taleplere dönüştü. Ve sonra, karşılaştığımız her RFP'ye eklendi. Buluta geçiş, giderek daha fazla veri ihlali - üçüncü taraf riskini gerçekten büyütüyor. Ve bu, burada gördüğümüz şeylerin çoğunu, bu olması güzel olandan sahip olunması gereken bir şeye dönüştürdü.
Liam: B2B şirketlerinin ölçeklenirken SOC 2 uyumlu olması neden bu kadar önemli? Ve daha büyük müşterileri çekmelerini ve elde tutmalarını etkiler mi?
“Otomasyondan yararlanmıyorsanız, genellikle şirketler uyum için yılda yüzlerce saat harcarlar”
Adem: Evet, kesinlikle. Şirketinizle iş yapmak üzereysem ve yazılımınız müşterilerimin verilerine erişecekse, bunları korumak için uygun kontrollere sahip olmanızı sağlamak benim sorumluluğumdur. Bana söz verirseniz, bu harika, ancak bağımsız denetim muhabiri, yeterli bir güvenlik programınız olduğundan emin olmak için gereken ağırlığı gerçekten taşıyacak. Denetçilerim size herhangi bir veri sağlamadan önce bu güvenceyi aldığımdan emin olmak isteyeceklerdir. Aksi takdirde, kendi kontrolüme uymuyorum.
Liam: Yeni başlayanların SOC 2 Uyumlu hale gelmesindeki zorluklar hakkında çok şey okudum. Neden böyleydi ve bu değişti mi?
Adem: Evet, kesinlikle. Bunu birebir yaşadık. Otomasyondan yararlanmıyorsanız, genellikle şirketler uyum için yılda yüzlerce saat harcar. Nedenini açıklamaya yardımcı olmak için, çerçevenin kendisi beş farklı güven hizmeti ilkesinden oluşur: güvenlik, kullanılabilirlik, gizlilik, mahremiyet ve işlem bütünlüğü. Güvenlik, açık ara farkla en büyüğüdür ve teknik olarak bir denetim ve rapor için gerekli olan tek şeydir. Ancak bu beş kriterin her biri, şirket genelinde kontrolleri tasarlayıp uygulayarak şirketinizin karşılaması veya karşılaması gereken kendi kriterlerine sahiptir. Çoğu zaman, bunu söylediğimde insanlar kontrol ile ne demek istediğimi soruyorlar. Kontrolü, kötü bir şeyin olmasını önlemeye veya iyi bir şeyin olmasını sağlamaya yardımcı olmak için uyguladığınız bir politika, süreç, araç olarak düşünebilirsiniz. Ben hep böyle tanımlarım. Ve şirketiniz genelindeki her işlevi kapsar: çalışanları nasıl işe aldığınız, eğittiğiniz ve görev dışı bıraktığınız, uç noktaları nasıl yönettiğiniz ve yedekleme verilerini nasıl şifrelediğiniz, uygulamalara nasıl erişim sağlayıp kimlik doğrulaması yaptığınız, kodu nasıl gözden geçirdiğiniz… Devam edebilirim.
"Bu, şirketinizdeki ekiplerin her bir kanıtı sürekli olarak, tekrar tekrar toplamak ve ardından gelecekteki denetimler için saklamakla görevlendirildiği anlamına geliyor"
Şirketler, SOC 2 denetimine giren 100 ila 200 arasında kontrole sahiptir. Daha sonra, denetimin kendisi uzun zaman alabilir çünkü temel olarak denetçiye bu kontrollerin orada olduğunu kanıtlamanız gerekir ve en önemlisi, bir denetim süresi boyunca yerinde kalırlar. 12 aylık dönemdeyseniz, her 11 ayda bir tıkıştırabileceğiniz bir şey değil. Otomasyon kullanmıyorsanız, bu, şirketinizdeki ekiplerin her bir kanıtı sürekli olarak, tekrar tekrar toplamak ve ardından gelecekteki denetimler için saklamakla görevlendirildiği anlamına gelir. Ve sonra, yol boyunca boşluklar bulurlarsa, çünkü boşluklar yılın herhangi bir gününde oluşabilir, düzeltmeleri gerekir. Ve evet, elektronik tablolarda, paylaşılan klasörlerde, ekran görüntülerinde yaşayan birçok insan var. Açıkça, bozulma için çok olgun ve bu otomasyon şeklinde geldi. Gerçekten değişen bu. Drata, şirketlere yılda yüzlerce saat kazandırmak için bu otomasyon öncelikli çözümü getiriyor ve ardından onlara bu gerçek zamanlı hazırlık gösterge tablolarını sağlıyor, böylece hızlı bir şekilde denetime hazır olmanızı ve yılın her günü denetime hazır olmanızı sağlıyor.
Liam: Bu çok önemli çünkü daha önce de bahsettiğin gibi, bir şirket ile müşterileri arasındaki güvenin çok önemli bir parçası.
Adem: Aynen. Ve son şirket genelinde de tema bu. Bunun için birinin sözünü alabilir, özgeçmişlerinde bir madde işareti okuyabilirsiniz, ancak bunun insanların becerilerini kanıtlamasına yardımcı olmasını istiyoruz. Benzer şekilde, burada da insanların sadece denetimler sırasında değil, yılın herhangi bir gününde kontrollerinin nasıl çalıştığını kanıtlarla kanıtlayabilmelerini istiyoruz. Bu, kendi ekipleri için, yönetim kurulları için, kendi akıl sağlığı için dahili bir rapor olabilir, ancak daha sonra dışarıdan da olabilir. Yolun gittiğini gördüğümüz yer orası.
Erken yap, sık sık yap
Liam: Şirketler, kuruluşlarında bir siber güvenlik kültürü oluşturmaya nasıl başlayabilir? Çünkü hepimizin bildiği gibi, güvenlik artık sadece sahip olunan bir şey değil.
Adam: Bireysel çalışanları güçlendirmenin anahtar olduğunu düşünüyorum. Çalışanlar, şirketlerini korumanın ne kadar önemli olduğunu anlarlarsa, bu sadece onay bekleyen bir şey gibi hissetmek yerine gurur duyabilecekleri bir şeydir. Çünkü hiçbir şey daha doğru olamaz. Kimlik avı saldırıları, 2021'deki veri ihlallerinin hala en yaygın nedenidir. %90 gibi bir oran – yazım hatası olmadığından emin olmak için yeniden okumak zorunda kaldım. Çalışanlarınızı bu kötü niyetli e-postaları nasıl tespit edecekleri konusunda eğitmek ve ardından yıl boyunca test etmek, çalışanları güvenliklerinin sahipliğini almaları için nasıl güçlendirebileceğinize bir örnektir. Ve şirket bundan dolayı daha güçlü bir güvenlik duruşuna sahip olacak. Yani bence bu anahtar.
“Şirketinizde kontroller ne kadar erken yapılırsa, o kadar çabuk vakfın parçası olur”
Bence belki de en önemlisi bunu erken yapmak. İlk günden itibaren veya mümkün olduğunca ilk güne yakın bir zamanda pişirirseniz, ikinci doğa haline gelir. Değişime karşı çok daha fazla atalet veya direnç olduğunda, daha sonra yeni ve farklı bir şey değildir. Geçen gün bu konuşmayı yapıyordum ve en iyi benzetme olmayabilir, ancak emniyet kemeri olmayan arabalarda büyüyen koca bir nesil vardı. Sonra 50'lerde bu yeni şeyi tanıttılar ve direniş oldu. Ama bugün, daha ilk günden büyüdüğüm için arabaya bindiğimde bunu düşünmüyorum bile. Emniyet kemeri takılıyor ve nefes almak gibi. Sadece bunun hakkında düşünmüyorum. Bu nedenle, şirketinizde kontroller ne kadar erken yapılırsa, o kadar çabuk vakfın bir parçası olur.
Liam: İşletmenizden bir SOC 2 Raporu istenirse insanların neyi bilmesi gerekiyor?
Adam: Sanırım ilk şey bunun iyi bir şey olduğunu bilmek. İsteyen kişi, şirketinizle iş yapmayı ciddi olarak düşünüyor ve şimdi verilerini korumak için doğru şeyleri yaptığınızdan emin olması gerekiyor. İkinci olarak, sizden ilk kez SOC 2 Raporu isteniyorsa, bu son olmayacak ve olmamalıdır. SOC 2 Raporunuz yoksa kesinlikle başlama zamanı. Ve yine, bunu ne kadar erken yaparsanız, o kadar hızlı olur, o kadar ucuz olur ve ilerlemeyi sürdürmek o kadar kolay olur. Tüm bunlar, elbette, bunu yapmak için kaldıraç otomasyonu demek.
Liam: Ve SOC 2 bir sertifika değil. haklı mıyım?
Adem: Doğru. Bu bir tasdik.
Liam: Ve iki farklı tip var: Tip 1 ve 2. Fark nedir?
Adam: Kafa karıştırıcı hale getirmek için, SOC 1 ve ardından SOC 2 gibi bir şey var. Sanırım SOC 2 Type 1 ile SOC 2 Type 2'yi soruyorsunuz, bu harika bir soru ve potansiyel müşterilerin bize her zaman sorduğu bir soru. . Her ikisi de çerçevenin kendisi açısından aynıdır. Aradaki fark, SOC 2 Tip 1 denetiminin ve raporunun, zaman içinde çok belirli bir noktada kontrollerinizin tasarımına bakmasıdır. Mesela, bugün uyumlu musun? Bir SOC 2 Tip 2, kontrollerinizin tasarımına bakar, ancak aynı zamanda bu kontrollerin belirli bir süre, genellikle 12 ay boyunca çalışma etkinliğine de bakar.
Sadece buna dayanarak, SOC 2 Type 2'nin kesinlikle daha yüksek bir bar olduğunu hayal edebilirsiniz. Daha uzun sürer; genellikle daha pahalıdır; sadece bir süre içinde yapılır. Tip 1'i Tip 2'ye giderken yapabilirsiniz. Müşterilerin bunu en kısa sürede rapora ihtiyaç duyduklarında yaptıklarını görüyoruz ve Tip 1 kesinlikle hiç rapor almamaktan daha iyidir. Ve hiçbir zaman veya iş kaybetmiyorsunuz çünkü yine aynı çerçeveler. Temelde Tip 1 denetimi yaparak tüm kontrollerinizi uyguluyorsunuz ve aynı zamanda Tip 2 için dört ila 12 aylık döneminiz başlıyor. a Tip 1 ve Tip 2 ve bu, söz konusu senaryoda daha uygun maliyetli olmasını sağlar. Ama yine de, doğrudan Tip 2'ye geçebilirsiniz, çünkü bu altın standarttır.
"Harika bir eğitim ve bu kimlik avı simülasyonu saldırılarını yapıyorlar. Bu yüzden kendi çalışanlarımızı bilerek rastgele avlıyoruz”
Liam: Statista'ya göre, rapor edilen siber suçların neden olduğu maddi hasar 2020'de 4,2 milyar dolardı, bu 2015'tekinin dört katı.
Adem: Bu çılgınlık.
Liam: Evet, çılgınca. Peki kurumsal güvenlik sistemlerinde yaygın olan kör noktalar nelerdir?
Adem: Güzel bir soru. Bulutta bugün her zamankinden daha fazla açığa çıkacak veri var. Bence insanları şaşırtabilecek olan şey, bunların çoğunun hala kimlik avı saldırıları gibi aynı eski numaralar olmasıdır. Dediğim gibi, kimlik avı saldırıları 2021'deki veri ihlallerinin hala %90'ını oluşturuyor. Piyasadaki çoğu güvenli farkındalık eğitimi sağlayıcısı, kimlik avı e-postalarını nasıl tespit edeceğinize, bunları aldığınızda ne yapacağınıza ve ne yapmayacağınıza ilişkin modüllere ve kurslara sahiptir. Ve SOC 2'den geçen herhangi bir şirketin, güvenlik bilinci eğitimine sahip olması gereken yaygın bir kontroldür. Müfredat adı verilen harika bir araç kullanıyoruz – Drata onunla bütünleşiyor. Bu bir örnek. Ancak bu harika bir eğitim ve bu simüle edilmiş kimlik avı saldırılarını yapıyorlar. Bu nedenle, kasıtlı olarak kendi çalışanlarımıza rastgele kimlik avı yapıyoruz.
“Tek gereken bir e-posta, bir çalışan”
Liam: Bahse girerim bunu seviyorlardır.
Adam: Gerçek olup olmadığının farkında bile değilim, bu da alıştırmanın bir parçası. Ancak bu, şirkette sürekli olarak o kası dahili olarak esnetmenin bir yolu çünkü her şey gibi, asla tek ve bitmiş değil. Asla parmaklarınızı şıklatmazsınız ve güvende olursunuz. Sen pratik yapmak zorundasın. Ve böylece, birisi bu bağlantılardan ve sahte e-postalardan birine tıkladığında, onlara hemen “Hey, az önce kimlik avına uğradınız, hadi, eğitiminizi hatırlayın” diyor, ama o anda hala değerli, değil mi?
şaşırdım. Çok uzun zaman önce bir tane vardı. Carta'dan gelen bir e-posta gibi görünüyordu. Ve temelde, "En son hisse senedi opsiyonu bağışınız için tebrikler. Az önce kurul tarafından onaylandı, burayı imzalayın.” Ve evet, beynin o anlık tatmin merkezine doğrudan giriyor. Gerçek olup olmadığını kontrol etmeden kaç kişinin bu bağlantıya tıklayacağına şaşıracaksınız. Yine, bu ihlallerin %90'ı böyle oluyor. Tek gereken bir e-posta, bir çalışan. Bu, onu kendi vakfınız ve kültürünüz haline getirme konusundaki orijinal noktaya geri döner. Şirketteki herkesin güvenliği sahiplenmesi işte bu kadar önemlidir. Bu bir kişinin işi değil, herkesin işidir.
Başlangıç olarak güvenliği ölçeklendirme
Liam: Start-up'lardan çok fazla dinleyicimiz olduğunu biliyorum ve size özellikle SOC 2 Uyumlu olma konusunda yeni başlayanlara ne gibi tavsiyelerde bulunacağınızı soracaktım. Küçük girişimlerde SOC 2 sürecini kim yönetmeli?
Adem: Güzel bir soru. Ve bir tanesinin kalbimizde özel bir yeri olduğunu düşünüyorum çünkü bir, biz hala bir startup'ız, ama bu Drata bizim durumumuzda üniversitelere satış yapan bir startup olarak kendi kişisel ihtiyacımızdan çıktı. Bu yüzden birçok startup ile görüştük. Verdiğimiz tavsiye, elbette beklemeyin. Daha önce de söylediğim gibi, bir an önce başlayın. Bunu ne kadar erken yaparsanız, o kadar hızlı, daha ucuz ve bakımı daha kolay olur. Kesinlikle otomasyondan yararlanın. Özellikle bir startup olarak ürünlere ve diğer önceliklere harcamanız gereken yüzlerce mühendislik saatinden tasarruf edeceksiniz.
“Şirketiniz büyüdükçe daha fazla çalışan, daha fazla varlık, daha fazla izlenecek”
Ve sanırım diğeri uzun vadeli düşünmek olurdu. "Tamam, bu kutuyu işaretlemeliyim, yoksa bu büyük anlaşma kapanmayacak ve bu büyük anlaşma oyunun kurallarını değiştirecek, bizim startup'ımız için varoluşsal" tuzağına yakalanmak çok kolay. Bunu hızlı bir şekilde yapmanın bir yolu var, ancak sizi uzun vadede hazırlayacak bir yol. Bu başarılı olma olayı değil. Bunu hatırla. Yani evet, denetimin sonunda aldığınız bir rapordur ve bunun temiz, iyi bir rapor olmasını istersiniz. Bu raporu birine verdiğinizde, sizi iyi aydınlatmasını istersiniz. Bunların çoğu, özellikle yeni başlayanlar için, uyum sağlama veya bu anlaşmayı tamamlama konusundaki gürültü ve baskıda kaybolabilir.
Liam: Peki ölçeklendirme şirketlerinin bilmesi gerekenler nelerdir? Sanırım oldukça farklı zorluklar olabilir.
Adam: Yani, zaten bir SOC 2 Raporunuz varsa ve elektronik tablolar kullanıyorsanız veya elektronik tablolarda ve ekran görüntülerinde yaşıyorsanız, bunun ne kadar ölçeklenemez olduğunun acısını zaten hissediyorsunuzdur. Şirketiniz büyüdükçe, daha fazla çalışan, daha fazla varlık, izlenecek daha çok şey. Denetiminiz kapsamında daha fazla varlığa sahip olduğunuz için otomasyon aslında zamanla daha değerli hale gelir. Ve böylece, geriye dönük ve manuel olarak kanıt toplamamak için otomasyondan yararlanmak ve sürekli izlemeyi devreye sokmak için daha da fazla neden var. Çalışanlar gelip giderken boşlukların nerede oluştuğunu gerçek zamanlı olarak bilirsiniz veya varlıkları otomatik olarak hızlandırır veya azaltırsınız. Yani evet, farklı ama çok benzer bir kullanım durumu.
“Benzersiz olan şey bu, kontrolleri sürekli olarak izlemek ve ardından gerçek zamanlı olarak boşluklar oluştuğunda tespit etmek ve uyarmak”
Liam: Drata'nın insanlar için SOC 2 sürecini basitleştirmeye ve otomatikleştirmeye nasıl yardımcı olduğunu duymak isterim.
Adem: Evet, kesinlikle. Bu yüzden, onu uçtan uca bir çözüm olarak inşa ettik. Şirketleri sıfırdan, denetime hazır hale, denetimin kendisine ve ardından otomasyonla devam eden sürekli bakıma kadar götürebilir. Drata, müşterisinin teknoloji yığınına bağlanır. Benzersiz olan şey, kontrolleri sürekli olarak izlemek ve ardından gerçek zamanlı olarak boşluklar oluştuğunda tespit etmek ve uyarmaktır. Ve daha sonra SOC 2, ISO 27001, HIPAA ve daha fazlası gibi çerçeveler arasında önceden eşlenen tüm bu kontrollerin kanıtlarını otomatik olarak toplayacaktır. Dolayısıyla sıfırdan başlıyorsanız, temelinizi çok hızlı bir şekilde kurmak için Drata içindeki ortak kontrol çerçevesinden ve güvenlik politikası şablonlarından yararlanabilirsiniz. Sadece birkaç hafta içinde kelimenin tam anlamıyla sıfırdan denetime hazır hale gelen 50'den az çalışanı olan şirketlerimiz oldu. İşte otomasyonun gücü.
Ardından Drata, denetimi Drata kullanarak çok basit bir şekilde yürütmek için eğitilmiş denetim firmalarıyla da ortak olur. Bu, herkese zaman kazandırır ve daha düşük fiyatlı denetimlerle sonuçlanır. Özellikle ödüllendirici bir yolculuk oldu. Kendi kişisel ihtiyaçlarımızdan gelen bir şey. Ve sonra ekibimiz, özellikle her müşterilerimizin her biri ile çalışan Müşteri Başarı ekibimiz. Müşterilerimize yolculuk boyunca rehberlik etmeye yardımcı olacak eski denetçilerimiz, güvenlik uzmanlarımız ve personelimiz var. Sadece tüm yazılımlar değil, açıkçası, otomasyon anahtardır.
Veri güvenliğinin geleceği
Liam: Bitirmeden hemen önce, veri güvenliğinin geleceği nedir? Her zaman yokuş yukarı bir mücadele mi olacak?
"Şirketlerin yalnızca bu SOC 2 Raporlarını değil, aynı zamanda gerçek zamanlı olarak tam anlamıyla ara raporları paylaşma konusunda daha şeffaf olacağını düşünüyorum"
Adam: Kristal küremi çıkaracağım. Buluttaki daha fazla veriyle, veri güvenliği ancak zamanla daha da önemli hale gelecek. Sanırım şirketlerin bunu daha önce yaptığını göreceksiniz, zaten gördüğümüz gibi, uyumluluk ve tasdik sertifikaları için daha sık soruluyor. Ve ilk günden itibaren şirket kültürünün içine işlenecek. Fazladan güvenlik eğitiminin gerekli olduğu ve anlaşıldığı için kimsenin umursamadığı pek çok meslek ve sektör var. Burada çok gerçek riskler var. Bulutta veri tutan herhangi bir yazılım şirketi için de aynı şey söylenebilir.
Bence daha sürekli izleme, yalnızca içten dışa gerçek zamanlı bir görünüm göreceğiz ve bence şirketler, yalnızca bu SOC 2 Raporlarını değil, aynı zamanda gerçek anlamda tam anlamıyla aradaki raporları paylaşma konusunda daha şeffaf olacaklar. -zaman. Çalışma süresi durumumuzla övündüğümüz gibi – işte güvenlik durumu durumumuz. Ve tabii ki, otomasyonun bu güvenlik uyumluluğu duruşunu sürdüren şirketler için standart yöntem olacağını düşünmeseydim, Drata'nın kurucu ortağı ve CEO'su olacağımı sanmıyorum. Yani göreceğiz.
Liam: Belli ki hepiniz için gerçekten heyecan verici bir zaman. Sıradaki ne? Yolda büyük planlarınız veya projeleriniz var mı?
Adam: Evet, yılın bu kadar hızlı geçmesi inanılmaz. 15 Ocak'ta resmi olarak lansman yaptık, bu yüzden o tek boynuzlu at statüsüne çok hızlı bir şekilde ulaştık. Ama biz hala başlangıç aşamasındayız. Ekibimiz 2022'de üç katına çıkacak. Bu nedenle, tüm departmanları yönetim kurulu genelinde işe alıyoruz. Dinleyen insanlar otomasyon ve güvenlikle ilgileniyorsa, temel değerlerimiz web sitemizde yer almaktadır. Sizinle rezonansa girerlerse, kariyer sayfamıza bir göz atmanızı ve sizinle bağlantı kurmayı çok isteriz.
Liam: Harika. Yeni yıl, yeni iş. Bu seri, şirketlerin büyümelerini nasıl ölçeklendirdiğini duymakla ilgilidir. Bitirmeden önce, bilmek isterim, kariyerinizde profesyonel olarak ölçeklenmenize yardımcı olan önemli bir olay var mıydı?
“Farklı türde bir roket, değil mi? İkisi de çok yoğun”
Adam: Her gün çok şey öğreniyoruz ve tamamen sürekli yineleme ve iyileştirme ile ilgiliyiz. Bu yüzden, erken tavsiye, kendimi akıl hocaları, danışmanlar, orada bulunan ve onlardan bir şeyler öğrenebileceğimiz insanlarla çevrelemek ve buna açık olmaktı. Uzay Mekiği Programı sona erdikten ve Portfolium'un ilk versiyonunu kodlamayı ve oluşturmayı öğrendikten sonra, burada San Diego'da EvoNexus adlı bir hızlandırıcı programında çalışıyordum. Ve bu gerçekten işleri aşırı hızlandırdı. Bu insanları hemen etrafıma koydu ve onlardan bir şeyler öğrenmeliyim. Önümüzdeki her şeye hazırlanmak için parçaları yerine koymaya gerçekten yardımcı oldu. Hiçbir şeyin seni hazırlayabileceğini sanmıyorum, ama kesinlikle yardımcı oluyor.
Liam: Hangisi daha gergin ve heyecan verici? Roket bilimcisi mi yoksa bir şirket mi yönetiyorsunuz?
Adam: Farklı türde bir roket, değil mi? İkisi de çok yoğun.
Liam: Son olarak, dinleyicilerimiz size ve işinize ayak uydurmak için nereye gidebilirler?
Adam: Evet, lütfen drata.com sitemize göz atın. Feel free to schedule a live demo with our team and see the product in action. We'd love to show it. On LinkedIn, it's easy to find and follow; just search Drata. And then, on Twitter, at @DrataHQ.
Liam: Perfect. And thank you so much for joining us today.
Adam: Thank you so much for having me.
