Drata 首席执行官 Adam Markowitz 谈创建网络安全文化

随着越来越多的数据存储在云中，证明您可以保护客户的数据不仅是一件好事，而且是必不可少的。

有足够多的数据泄露和网络攻击的故事，即使是最精明的安全工程师也会心寒。 网络攻击比前一年增加了 125%，随着公司转向部分或完全远程设置，它没有放缓的迹象。 在当今数据驱动的 SaaS 场景中，这些可能会影响数亿用户并造成数十亿美元的损失，并且随着合规框架成为开展业务的要求，企业正在转向可以帮助加快和促进过程。 这就是像亚当马科维茨这样的人进来的地方。

Adam 是 Drata 的联合创始人兼首席执行官，该公司帮助企业保护客户数据、持续监控其安全状况并自动跟上 SOC 2、ISO 27001 和其他合规计划。 尽管成立不到两年，Drata 已经完成了 1 亿美元的 B 轮融资，将其推向了独角兽地位，并使其成为最快实现 10 亿美元估值的公司之一。 事实证明，网络安全和合规性需求很大。

从航空工程师转为企业家，亚当很早就学会了赢得信任的最佳方式是证明你应得的。 在为 NASA 的航天飞机主引擎工作后，他继续开发 Portfolium，这是一个社交网络平台，允许学生和毕业生向潜在雇主展示超越传统简历的技能。 但在大学与他们开展业务之前，他们需要确保他们的安全状况。 突然间，团队对 SOC 2 报告有了深入了解，并意识到它可能会变得多么繁重和不可扩展，尤其是对于高增长的初创公司而言。 Portfolium 最终被收购，但其背后的团队从未停止思考更好的方法。 不到一年后，Drata 推出。

在这一集中，我们与 Adam 坐下来了解有关 SOC 2 框架的所有内容、如何从头开始创建安全文化以及自动化如何将令人头痛的问题转变为顺利运行的关键。

以下是我们最喜欢的谈话内容：

1. 它正在成为最低限度

如果您的客户不信任您的敏感数据，您就无法发展您的业务。 就像口头保证和握手一样好，随着您的成长并尝试与更成熟的企业级公司签约，您会发现自己越来越需要在完成交易之前提供合规证明：

向云的转变，越来越多的数据泄露——这确实为第三方风险提供了放大镜。 这推动了我们在这里看到的很多东西，从这个不错的东西变成了需要的东西。 如果我即将与贵公司开展业务，而您的软件将访问我客户的数据，我有责任确保您有适当的控制措施来保护它。

2. 早点开始

Verizon 对网络安全事件的分析发现，网络钓鱼是 90% 的成功攻击背后的原因，这意味着 10 次攻击中有 9 次是高度可预防的。 从一开始就开始对您的员工进行合规实践以及如何发现这些恶意电子邮件的培训——他们越快采用安全第一的心态，它就越早成为文化的一部分。

前几天我在进行这样的对话，这可能不是最好的类比，但有一整代人都是在没有安全带的汽车上长大的。 然后，在 50 年代，他们推出了这个新事物，并且出现了阻力。 但是今天，我从第一天起就长大了，我上车时甚至都没有考虑过。 系好安全带，就像呼吸一样。

3.不要跳过自动化

安全性影响整个公司的每个职能：从入职和离职到加密数据和管理端点。 根据 Adam 的经验，有 100 到 200 个控件来跟踪进入 SOC 2 审核，因此，如果您不利用自动化，您每年可能会花费数百个小时来进行合规性：

如果您不使用自动化，这意味着您公司的各个团队的任务是不断、重复地收集每一条证据，然后将其存储起来以备将来审计。 然后，如果他们在此过程中发现差距，因为差距可能在一年中的任何一天形成，他们必须进行补救。 很多人生活在电子表格、共享文件夹、屏幕截图中。

引起了你的兴趣？ 我们收集了您可以查看的文章、视频和播客列表：

• 为贵公司的 SOC 2 准备情况评分
• SOC 2 合规性：初学者指南
• Evernote 首席技术官谈你最大的安全担忧，从 3 到 300 名员工
• 领英事件

这是 Scale，Intercom 关于通过客户关系推动业务增长的播客系列。 如果您喜欢对话并且不想错过以后的剧集，只需点击 iTunes、Spotify 上的关注，或在您选择的播放器中获取 RSS 提要。 您还可以阅读下面的采访全文，为清楚起见，该笔录经过了轻微编辑。

自动驾驶安全

Liam Geraghty：亚当，非常感谢你加入我们。 非常欢迎你参加这个节目。

亚当马科维茨：谢谢你邀请我。

利亚姆：首先，恭喜你。 Drata 最近筹集了 1 亿美元的风险投资资金，我相信这使其成为圣地亚哥最新的创业独角兽，估值为 10 亿美元。 那感觉如何？

亚当：谢谢，感觉还是有点超现实，主要是因为公司从种子到系列的速度非常快，所有这些都在 12 个月内完成。 但是，在圣地亚哥达到里程碑并做到这一点感觉很棒，而且非常有益。 我们之前的公司大约 10 年前在圣地亚哥成立，当时它是一个非常不同的科技生态系统。 因此，看到它不断发展并一直参与其中是非常有益的。 而且，Drata 本身就是在大流行期间诞生的。 我们感到很幸运，甚至能够在我们创办公司的时候创办这家公司，而这种升值推动了这一真正前所未有的一年。

“没有斜坡期，没有相互了解的时期——只是去，去，去”

利亚姆：那是什么感觉？

亚当：再一次，只是处于一个我们感觉很舒服的位置。 对于世界上正在发生的事情，我们并没有忘记这一点。 第一天，我们中的很多人都从那家公司离职。 我们一起工作了很长时间，这是一种很好的、​​不公平的优势。 没有斜坡期，也没有相互了解的时期——只是去，去，去。

利亚姆：德拉塔是做什么的？

Adam： Drata 通过自动化监控和收集安全控制的证据，帮助公司将安全性和合规性置于自动驾驶仪上。 简化 SOC 2、ISO 27001、HIPAA 等审核。 它使公司几乎可以在一年中的任何一天证明他们的实时安全状况，从而加快他们的销售周期和安全审查。 当然，它也使审计速度更快，成本更低。 然后，它使公司能够为企业做好准备。

利亚姆：整个区域都是一个新空间。 在一分钟内导航它是什么感觉？

亚当：这个空间本身是新的，但它已经被假设了一段时间。 持续合规的承诺多年来一直在流传。 因此，兑现这一承诺非常令人兴奋。 而且，当然，具有挑战性——应该如此。 我个人喜欢早起，并利用这个机会在市场上设定很高的标准。 并继续与团队一起将其推得更高。

从火箭科学到合规

利亚姆：不过，你一开始并不是从事安全工作的。 我说你是前火箭科学家对吗？

亚当：是的，这很有趣。 被称为火箭科学家的诅咒是，你在生活中所做的任何事情都会立即提高标准。 汽车不会立即启动，修好它——“这不是火箭科学或任何东西。”

利亚姆：那是什么感觉？ 您是如何过渡到合规技术的？

亚当：我的职业生涯始于航天飞机计划的工程师，特别是在 MCC 团队，即主燃烧室团队。 上一次航天飞机发射是在十多年前，所以有些人可能不记得看到过航天飞机发射，但如果你这样做了，你会看到发射台上的火箭，你有两个火箭助推器，然后是这个巨人橙色坦克。 那是为这三个主要发动机供油的油箱，这就是我从本科毕业后所做的工作。 描述火箭发动机如何工作的最好方法就是控制爆炸。 所以这是一个工程梦想/噩梦，取决于你如何看待它。

“这就是我在航天飞机计划中找到这份工作的方式——我在我的工作面试中加入了一个作品集，以帮助我脱颖而出并证明我的技能不仅仅是 GPA”

利亚姆：当你真正观看发射时感觉如何？ 你紧张吗？ 你有点兴奋吗？

亚当：一种紧张的兴奋，这是一个很好的表达方式。 每个人都喜欢我们正在做的事情。 我从小就想成为一名宇航员，让一个真正的宇航员在办公室里穿行，感谢工程师帮助他们安全回家，尤其是当你本科毕业后的第一份工作绝对令人难以置信。

利亚姆：我有点打断了你，但你告诉我你是如何进行这种转变的。

“为了帮助学生赢得雇主的信任，我们必须首先向大学证明我们的安全态势”

Adam：这段经历在 2011 年结束，当时航天飞机计划退役，我从航空航天跳到了创业。 正如他们所说，我冒险了。 我学会了编写代码并构建了一个我称之为 Portfolium 的 MVP，它是一个类似于 LinkedIn 的面向学生的 ePortfolio 网络，然后这个想法就来了。 这就是我实际上如何在航天飞机计划中找到这份工作的方式——我在我的工作面试中加入了一个作品集，以帮助我脱颖而出并证明我的技能不仅仅是 GPA。 因此，我想为世界各地的学生做到这一点，并帮助他们仅根据他们成熟的技能找到梦想的工作。 我坚信通过首先证明你值得信任来赢得信任。 在这种情况下，这是这些 ePortfolios 中技能的证据，其中包含丰富的数据，我们可以使用这些数据以更有意义的方式将学生与雇主进行匹配。

我们发展了公司和数百万学生的网络，我们通过向大学出售学习评估模块来做到这一点。 就在那时，我们很快了解到证明我们的安全态势的重要性。 因为在大学与我们签约并提供敏感的学生信息之前，他们需要确保我们的安全态势。 证明这一点的黄金标准是，现在仍然是 SOC 2 报告。 所以，你会在这里看到这个主题，用证据赢得信任。 因此，为了帮助学生赢得雇主的信任，我们必须首先向大学证明我们的安全态势，证据就是 SOC 2 报告。 Portfolium 于 2019 年 2 月被收购，我们的团队于去年 2020 年再次聚首，构建 Drata，以帮助公司站稳脚跟，以自动化为先的方法维护并证明其安全合规态势。

SOC 2 101

Liam：那么，让我们进入 SOC 2 合规性，我知道这有点像说“让我们谈谈税收”或“让我们谈谈发票”。 但这太重要了。 您能给我们介绍一下 SOC 2 合规性的真正含义吗？

亚当：当然，很高兴！ 因此，SOC 2 是一个框架。 它由美国注册会计师协会（American Institute of Certified Public Accountants）创建和维护。 因此，会计师事务所的审计师实际上会进行 SOC 2 审计，任何 SOC 2 审计的结果都是一份 SOC 2 报告。 SOC 2 不是通过-失败认证，这非常重要，也是一个常见的误解。 SOC 2 报告是一份证明，而且是值得信赖的，因为它来自这个经过认证的独立第三方审计师。 基本上，它正在测试贵公司在保护客户数据方面的安全控制的设计和操作有效性。 换言之，SOC 2 报告是一份详细说明贵公司如何保护其客户数据的报告。 如果您今天销售软件，那么您有 99.9% 的机会在云中存储或处理数据。 因此，您被要求向您的客户或您的潜在客户提供一份 SOC 2 报告作为其安全审查流程的一部分只是时间问题。

“如果我要与贵公司开展业务，而你的软件将访问我客户的数据，我有责任确保你有适当的控制措施来保护它”

Liam：这是 B2B 公司的标准吗？

亚当：在很多方面，是的。 尤其是在美国，部分原因是 SOC 2 适用于任何在云中存储或处理数据的公司，而且现在每家公司都是如此，绝对是所有 SaaS 公司。 因此，在很多方面，它现在已成为黄金标准。 更喜欢证明您的安全状况的最低标准。 我们在 Portfolium 卖给大学的过程中亲眼目睹了这一点； 在很短的时间内，这些对我们的 SOC 2 报告的要求很快变成了对我们的 SOC 2 报告的要求。 然后，它就融入了我们遇到的每个 RFP。 向云的转变，越来越多的数据泄露——它确实为第三方风险提供了放大镜。 这推动了我们在这里看到的很多东西，从这个不错的东西变成了需要的东西。

Liam：为什么 B2B 公司在扩展时遵守 SOC 2 如此重要？ 这是否会影响他们吸引和留住更大的客户？

“如果您不利用自动化，通常情况下，公司每年会花费数百个小时来确保合规性”

亚当：是的，当然。 如果我即将与贵公司开展业务，而您的软件将访问我客户的数据，我有责任确保您有适当的控制措施来保护它。 如果你向我保证，那很好，但独立审计报告员确实会承担向我保证你有足够的安全计划所需的重量。 在向您提供任何数据之前，我的审计人员会希望确保我得到了这种保证。 否则，我不会遵循自己的控制。

Liam：我读过很多关于初创公司难以符合 SOC 2 标准的文章。 为什么会这样，并且改变了吗？

亚当：是的，绝对的。 我们亲身经历了这一点。 如果您不利用自动化，通常情况下，公司每年会花费数百小时进行合规性处理。 为了帮助解释原因，框架本身由五个不同的信任服务原则组成：安全性、可用性、机密性、隐私和处理完整性。 到目前为止，安全性是五项中最大的一项，并且在技术上是审计和报告所需的唯一一项。 但是这五个标准中的每一个都有自己的标准，您的公司需要通过设计然后在整个公司实施控制来满足或满足这些标准。 很多时候，当我这么说时，人们会问我所说的控制是什么意思。 您可以将控制视为一项政策、一个流程、一个工具，以帮助防止坏事发生或确保好事发生。 我总是这样定义它。 它涵盖了整个公司的所有职能：您如何入职、培训和离职员工，如何管理端点和加密备份数据，如何为应用程序提供访问权限和身份验证，审查代码……我可以继续说下去。

“这意味着整个公司的团队都被要求不断、重复地收集每一条证据，然后将其存储起来以备将来审核”

公司有 100 到 200 项控制措施来进行 SOC 2 审计。 然后，审计本身可能需要很长时间，因为您必须基本上向审计员证明这些控制措施存在，最重要的是，它们在审计期间仍然存在。 如果您在 12 个月期间，这不是您每 11 个月就可以补习的东西。 如果您不使用自动化，这意味着您公司的各个团队的任务是不断、重复地收集每一条证据，然后将其存储起来以备将来审计。 然后，如果他们在此过程中发现差距，因为差距可能在一年中的任何一天形成，他们必须进行补救。 是的，只有很多人生活在电子表格、共享文件夹、屏幕截图中。 显然，颠覆的时机已经成熟，而且是以自动化的形式出现的。 这就是真正的改变。 Drata 带来了这种自动化优先的解决方案，每年可为公司节省数百小时，然后为他们提供这些实时准备仪表板，以便您快速做好审计准备，并在一年中的每一天都做好审计准备。

利亚姆：这非常重要，因为就像你之前提到的那样，它是公司与其客户之间信任的重要组成部分。

亚当：没错。 这也是上一家公司的主题。 您可以相信某人的话，您可以阅读他们简历上的要点，但我们希望它可以帮助人们证明他们的技能。 同样，在这里，我们希望人们能够用证据证明，不仅在审计期间，而且在一年中的任何一天，他们的控制是如何运作的。 这可能是他们自己的团队、董事会、他们自己的理智的内部报告，但也可能是外部报告。 这就是我们看到的路径。

尽早做，经常做

Liam：公司如何在其组织中创建网络安全文化？ 因为我们都知道，安全不再只是一个不错的选择。

亚当：我认为赋予个人员工权力是关键。 如果员工了解他们在保护公司方面的重要性，他们可以引以为豪，而不仅仅是感觉像是一个复选框。 因为没有比这更真实的了。 网络钓鱼攻击仍然是 2021 年数据泄露的最常见原因。这大约是 90%——我不得不重新阅读它以确保它不是错字。 培训您的员工如何发现这些恶意电子邮件，然后全年对其进行测试，这是您如何授权员工掌握其安全性的一个示例。 因此，公司将拥有更强大的安全态势。 所以我认为这是关键。

“你的公司越早实施控制，它就越早成为基金会的一部分”

我认为也许最重要的是尽早做。 如果您从第一天或尽可能接近第一天开始烘烤，它就会成为第二天性。 当有更多的惯性或改变阻力时，这并不是什么新的和不同的事。 前几天我在进行这样的对话，这可能不是最好的类比，但有一整代人是在没有安全带的汽车中长大的。 然后在 50 年代，他们推出了这个新事物，并且出现了阻力。 但是今天，我从第一天起就长大了，我上车时甚至都没有考虑过。 系好安全带，就像呼吸一样。 我只是不去想它。 因此，您的公司越早实施控制，它就越早成为基金会的一部分。

Liam：如果要求您的企业提供 SOC 2 报告，人们需要知道什么？

亚当：我想首先要知道这是一件好事。 询问的人正在认真考虑与您的公司开展业务，现在需要确保您正在做正确的事情来保护他们的数据。 其次，如果这是您第一次被要求提供 SOC 2 报告，那不会是最后一次，也不应该是最后一次。 如果您没有 SOC 2 报告，那么绝对是时候开始了。 再说一次，你做的越早，它就会越快，它会越便宜，而且越容易保持前进。 当然，所有这些都是利用自动化来做到这一点。

Liam： SOC 2 不是认证。 我对吗？

亚当：对。 这是一个证明。

Liam：有两种不同的类型：类型 1 和类型 2。有什么区别？

亚当：为了让它更加混乱，有类似 SOC 1 和 SOC 2 之类的东西。我想你是在问 SOC 2 Type 1 与 SOC 2 Type 2，这是一个很好的问题，也是潜在客户一直问我们的问题. 就框架本身而言，它们都是相同的。 不同之处在于 SOC 2 类型 1 审核和报告在一个非常特定的时间点查看您的控制设计。 比如，你今天合规了吗？ SOC 2 Type 2 正在查看您的控件的设计，但它还查看这些控件在一段时间内（通常为 12 个月）的运行效率。

仅基于此，您可以想象 SOC 2 Type 2 绝对是一个更高的标准。 需要更长的时间； 它通常更贵； 它只是在一段时间内完成。 您可以在前往类型 2 的途中进行类型 1。我们看到客户在需要尽快报告时这样做，类型 1 肯定比根本没有报告要好。 而且您不会浪费任何时间或工作，因为它们是同一个框架。 您基本上是在执行类型 1 审计时实施了所有控制措施，同时开始了类型 2 的 4 到 12 个月的期限。事实上，我们合作的一些审计公司甚至捆绑了他们的定价a 类型 1 和类型 2，这使得它在特定情况下更具成本效益。 但同样，您可以直接选择 Type 2，因为这是黄金标准。

“这是很好的培训，他们会进行这些模拟网络钓鱼攻击。 所以我们故意随机对我们自己的员工进行网络钓鱼”

Liam：据 Statista 称，2020 年报告的网络犯罪造成的经济损失为 42 亿美元，是 2015 年的四倍。

亚当：这太疯狂了。

利亚姆：是的，这太疯狂了。 那么企业安全系统中泛滥的盲点有哪些呢？

亚当：这是个好问题。 如今，云中要公开的数据比以往任何时候都多。 我认为可能会让人们感到惊讶的是，其中大部分仍然是老套路，例如网络钓鱼攻击。 正如我所说，到 2021 年，网络钓鱼攻击仍然是 90% 的数据泄露事件。大多数安全意识培训提供商都有模块和课程，介绍如何发现网络钓鱼电子邮件、该做什么以及收到邮件时不该做什么。 这是任何通过 SOC 2 的公司都需要进行安全意识培训的常见控制措施。 我们使用了一个很棒的工具——Drata 与之集成——称为 Curricula。 这是一个例子。 但这是很好的培训，他们会进行这些模拟网络钓鱼攻击。 因此，我们故意随机对自己的员工进行网络钓鱼。

“只需要一封电子邮件，一名员工”

利亚姆：我敢打赌他们喜欢这样。

亚当：我什至不知道它是否真实，这是练习的一部分。 但这是一种在公司内部不断发挥这种力量的方式，因为就像所有事情一样，它从来都不是一劳永逸的。 你永远不会只是打响指，你是安全的。 你必须练习。 因此，如果有人点击其中一个链接和虚假电子邮件，它会立即告诉他们，“嘿，你刚刚被网络钓鱼，来吧，记住你的训练”，但在那一刻它仍然很有价值，对吧？

我很惊讶。 不久前我们有一个。 它看起来像是来自 Carta 的电子邮件。 它基本上说，“恭喜你获得了最新的股票期权授予。 刚刚得到董事会的批准，在这里签字。” 是的，它只是直接进入大脑的即时满足中心。 您会惊讶地发现有多少人会在没有真正检查以确保其合法性的情况下点击该链接。 同样，90% 的违规行为就是这样发生的。 只需要一封电子邮件，一名员工。 这又回到了将其融入您的基础和文化的最初观点。 这就是公司中的每个人都掌握安全的重要性。 这不是任何人的工作，而是每个人的工作。

作为初创公司扩展安全性

Liam：我知道我们有很多来自初创公司的听众，我想问你，你会给初创公司什么建议，特别是关于成为 SOC 2 Compliant。 谁应该在较小的初创公司管理 SOC 2 流程？

亚当：这是个好问题。 我认为它在我们心中占有特殊的位置，因为，我们自己仍然是一家初创公司，但在我们的案例中，这个 Drata 是出于我们作为一家向大学销售的初创公司的个人需求。 因此，我们与很多初创公司进行了交谈。 我们给出的建议当然是不要等待。 就像我之前说的，尽快开始。 越早做，越快、越便宜、越容易维护。 绝对利用自动化。 您将节省数百个工程时间，尤其是作为一家初创公司，您应该将其花在产品和其他优先事项上。

“随着公司的发展，更多的员工、更多的资产、更多的追踪”

我猜另一个是从长远考虑。 很容易陷入这样的陷阱：“好吧，我必须选中这个框，否则这个大交易不会结束，这个大交易会改变游戏规则，对我们的创业公司来说是存在的。” 有一种方法可以快速做到这一点，但可以让你长期做好准备。 这不是通过失败的事情。 记住这一点。 所以，是的，这是您在审计结束时获得的报告，您希望它是一份干净、良好的报告。 当您将报告交给某人时，您希望它能让您处于良好的状态。 很多事情可能会迷失，尤其是作为一家初创公司，在要求合规或完成这笔交易的噪音和压力中。

利亚姆：扩大规模的公司需要知道什么？ 我想可能会有完全不同的挑战。

Adam：所以，如果您已经拥有一份 SOC 2 报告，并且您正在使用电子表格或生活在电子表格和屏幕截图中，那么您已经感受到了无法扩展的痛苦。 随着公司的发展，更多的员工、更多的资产需要跟踪。 随着您在审计范围内拥有更多资产，自动化实际上变得更有价值。 因此，更有理由利用自动化并实施持续监控，这样您就不会追溯和手动收集证据。 您可以实时了解员工进出时差距在哪里形成，或者您会自动启动或缩减资产。 所以，是的，这是一个不同但非常相似的用例。

“这是独一无二的，它可以持续监控控制，然后在实时出现差距时识别并发出警报”

Liam：我很想听听 Drata 如何帮助人们简化和自动化 SOC 2 流程。

亚当：是的，绝对的。 因此，我们将其构建为端到端解决方案。 它可以让公司从头开始，一直到准备好审计，审计本身，然后只是持续维护自动化。 Drata 连接到其客户的技术堆栈。 这是独一无二的，它可以持续监控控制，然后在实时出现差距时识别并发出警报。 它将自动收集所有这些控制的证据，然后跨框架（如 SOC 2、ISO 27001、HIPAA 等）进行预映射。 因此，如果您从头开始，您可以利用 Drata 中的通用控制框架以及安全策略模板来快速建立您的基础。 我们已经让 50 名以下员工的公司在短短几周内从头开始到准备好审计。 这就是自动化的力量。

然后，Drata 还与受过培训的审计公司合作，以非常简化的方式使用 Drata 进行审计。 这可以节省每个人的时间，并且可以降低审计成本。 这是一次特别有意义的旅程。 这是来自我们自己的个人需求的东西。 然后是我们的团队，尤其是我们的客户成功团队，他们与我们的每一位客户合作。 我们有前任审计师、安全专家和在职员工，以帮助指导我们的客户完成整个旅程。 这不仅仅是所有的软件，显然，自动化是关键。

数据安全的未来

Liam：在我们结束之前，数据安全的未来是什么？ 它总是会是一场艰苦的斗争吗？

“我认为公司将在共享方面更加透明，不仅仅是这些 SOC 2 报告，而是实时的中间报告”

亚当：我要把我的水晶球拿出来。 随着云中的数据越来越多，随着时间的推移，数据安全性只会变得越来越重要。 我认为您会看到公司更早地这样做，就像我们已经看到的那样，更频繁地被要求提供合规性和证明认证。 从第一天开始，它就会直接融入公司文化。 那里有很多专业和行业需要额外的安全培训，没有人会因为它被理解而忽视。 这里有非常真实的风险。 对于任何在云中持有数据的软件公司来说也是如此。

我认为我们将看到更多的持续监控，只是一个由内而外的实时视图，我认为公司将在共享方面更加透明，不仅仅是这些 SOC 2 报告，而是真正的中间报告-时间。 就像我们吹嘘我们的正常运行时间状态一样——这是我们的安全态势状态。 然后，当然，如果我不认为自动化将成为公司保持安全合规状态的标准方法，我认为我不会成为 Drata 的联合创始人兼首席执行官。 所以我们拭目以待。

利亚姆：对你们所有人来说，这显然是一个非常激动人心的时刻。 下一步是什么？ 你在路上有什么大计划或项目吗？

亚当：是的，这一年过得真快。 我们于 1 月 15 日正式推出，因此我们很快就达到了独角兽的地位。 但我们仍然是一家刚刚起步的初创公司。 到 2022 年，我们的团队规模将扩大两倍。因此，我们正在全面招聘所有部门。 如果外面的人对自动化和安全感兴趣，我们的核心价值观就在我们的网站上。 如果他们引起您的共鸣，我们很乐意让您看看我们的职业页面，我们很乐意与您联系

利亚姆：太棒了。 新的一年，新的工作。 本系列的全部内容都是关于了解公司如何扩展其增长。 在我们结束之前，我很想知道，在你的职业生涯中，是否有一个关键事件帮助你在专业上扩展？

“这是一种不同的火箭，对吧？ 两者都很激烈”

Adam：我们每天都学到很多东西，而且我们都在不断地迭代和改进。 所以，早期的建议，只是让我身边有导师、顾问、那些我们可以向那里学习的人，并对此持开放态度。 航天飞机计划结束后，我正在学习编码和构建 Portfolium 的第一个版本，我在圣地亚哥的一个名为 EvoNexus 的加速器计划中工作。 这真的让事情变得超速。 它立即让那些人围绕在我身边，我必须向他们学习。 它真的有助于将部分准备就绪，为未来的一切做好准备。 我认为没有什么可以让你做好准备，但它绝对有帮助。

利亚姆：什么更紧张刺激？ 火箭科学家还是经营公司？

亚当：这是一种不同的火箭，对吧？ 两者都非常激烈。

利亚姆：最后，我们的听众可以去哪里跟上您和您的工作？

亚当：是的，请查看我们的网站 drata.com。 随时与我们的团队安排现场演示，并查看产品的实际运行情况。 We'd love to show it. On LinkedIn, it's easy to find and follow; just search Drata. And then, on Twitter, at @DrataHQ.

Liam: Perfect. And thank you so much for joining us today.

Adam: Thank you so much for having me.