Drata 首席執行官 Adam Markowitz 談創建網絡安全文化

隨著越來越多的數據存儲在雲中，證明您可以保護客戶的數據不僅是一件好事，而且是必不可少的。

有足夠多的數據洩露和網絡攻擊的故事，即使是最精明的安全工程師也會心寒。 網絡攻擊比前一年增加了 125%，隨著公司轉向部分或完全遠程設置，它沒有放緩的跡象。 在當今數據驅動的 SaaS 場景中，這些可能會影響數億用戶並造成數十億美元的損失，並且隨著合規框架成為開展業務的要求，企業正在轉向可以幫助加快和促進過程。 這就是像亞當馬科維茨這樣的人進來的地方。

Adam 是 Drata 的聯合創始人兼首席執行官，該公司幫助企業保護客戶數據、持續監控其安全狀況並自動跟上 SOC 2、ISO 27001 和其他合規計劃。 儘管成立不到兩年，Drata 已經完成了 1 億美元的 B 輪融資，將其推向了獨角獸地位，並使其成為最快實現 10 億美元估值的公司之一。 事實證明，網絡安全和合規性需求很大。

從航空工程師轉為企業家，亞當很早就學會了贏得信任的最佳方式是證明你應得的。 在為 NASA 的航天飛機主引擎工作後，他繼續開發 Portfolium，這是一個社交網絡平台，允許學生和畢業生向潛在雇主展示超越傳統簡歷的技能。 但在大學與他們開展業務之前，他們需要確保他們的安全狀況。 突然間，團隊對 SOC 2 報告有了深入了解，並意識到它可能會變得多麼繁重和不可擴展，尤其是對於高增長的初創公司而言。 Portfolium 最終被收購，但其背後的團隊從未停止思考更好的方法。 不到一年後，Drata 推出。

在這一集中，我們與 Adam 坐下來了解有關 SOC 2 框架的所有內容、如何從頭開始創建安全文化以及自動化如何將令人頭痛的問題轉變為順利運行的關鍵。

以下是我們最喜歡的談話內容：

1. 它正在成為最低限度

如果您的客戶不信任您的敏感數據，您就無法發展您的業務。 就像口頭保證和握手一樣好，隨著您的成長並嘗試與更成熟的企業級公司簽約，您會發現自己越來越需要在完成交易之前提供合規證明：

向雲的轉變，越來越多的數據洩露——這確實為第三方風險提供了放大鏡。 這推動了我們在這裡看到的很多東西，從這個不錯的東西變成了需要的東西。 如果我即將與貴公司開展業務，而您的軟件將訪問我客戶的數據，我有責任確保您有適當的控制措施來保護它。

2. 早點開始

Verizon 對網絡安全事件的分析發現，網絡釣魚是 90% 的成功攻擊背後的原因，這意味著 10 次攻擊中有 9 次是高度可預防的。 從一開始就開始對您的員工進行合規實踐以及如何發現這些惡意電子郵件的培訓——他們越快採用安全第一的心態，它就越早成為文化的一部分。

前幾天我在進行這樣的對話，這可能不是最好的類比，但有一整代人都是在沒有安全帶的汽車上長大的。 然後，在 50 年代，他們推出了這個新事物，並且出現了阻力。 但是今天，我從第一天起就長大了，我上車時甚至都沒有考慮過。 係好安全帶，就像呼吸一樣。

3.不要跳過自動化

安全性影響整個公司的每個職能：從入職和離職到加密數據和管理端點。 根據 Adam 的經驗，有 100 到 200 個控件來跟踪進入 SOC 2 審核，因此，如果您不利用自動化，您每年可能會花費數百個小時來進行合規性：

如果您不使用自動化，這意味著您公司的各個團隊的任務是不斷、重複地收集每一條證據，然後將其存儲起來以備將來審計。 然後，如果他們在此過程中發現差距，因為差距可能在一年中的任何一天形成，他們必須進行補救。 很多人生活在電子表格、共享文件夾、屏幕截圖中。

引起了你的興趣？ 我們收集了您可以查看的文章、視頻和播客列表：

• 為貴公司的 SOC 2 準備情況評分
• SOC 2 合規性：初學者指南
• Evernote 首席技術官談你最大的安全擔憂，從 3 到 300 名員工
• 領英事件

這是 Scale，Intercom 關於通過客戶關係推動業務增長的播客系列。 如果您喜歡對話並且不想錯過以後的劇集，只需點擊 iTunes、Spotify 上的關注，或在您選擇的播放器中獲取 RSS 提要。 您還可以閱讀下面的採訪全文，為清楚起見，該筆錄經過了輕微編輯。

自動駕駛安全

Liam Geraghty：亞當，非常感謝你加入我們。 非常歡迎你參加這個節目。

亞當馬科維茨：謝謝你邀請我。

利亞姆：首先，恭喜你。 Drata 最近籌集了 1 億美元的風險投資資金，我相信這使其成為聖地亞哥最新的創業獨角獸，估值為 10 億美元。 那感覺如何？

亞當：謝謝，感覺還是有點超現實，主要是因為公司從種子到系列的速度非常快，所有這些都在 12 個月內完成。 但是，在聖地亞哥達到里程碑並做到這一點感覺很棒，而且非常有益。 我們之前的公司大約 10 年前在聖地亞哥成立，當時它是一個非常不同的科技生態系統。 因此，看到它不斷發展並一直參與其中是非常有益的。 而且，Drata 本身就是在大流行期間誕生的。 我們感到很幸運，甚至能夠在我們創辦公司的時候創辦這家公司，而這種升值推動了這一真正前所未有的一年。

“沒有斜坡期，沒有相互了解的時期——只是去，去，去”

利亞姆：那是什麼感覺？

亞當：再一次，只是處於一個我們感覺很舒服的位置。 對於世界上正在發生的事情，我們並沒有忘記這一點。 第一天，我們中的很多人都從那家公司離職。 我們一起工作了很長時間，這是一種很好的、不公平的優勢。 沒有斜坡期，也沒有相互了解的時期——只是去，去，去。

利亞姆：德拉塔是做什麼的？

Adam： Drata 通過自動化監控和收集安全控制的證據，幫助公司將安全性和合規性置於自動駕駛儀上。 簡化 SOC 2、ISO 27001、HIPAA 等審核。 它使公司幾乎可以在一年中的任何一天證明他們的實時安全狀況，從而加快他們的銷售週期和安全審查。 當然，它也使審計速度更快，成本更低。 然後，它使公司能夠為企業做好準備。

利亞姆：整個區域都是一個新空間。 在一分鐘內導航它是什麼感覺？

亞當：這個空間本身是新的，但它已經被假設了一段時間。 持續合規的承諾多年來一直在流傳。 因此，兌現這一承諾非常令人興奮。 而且，當然，具有挑戰性——應該如此。 我個人喜歡早起，並利用這個機會在市場上設定很高的標準。 並繼續與團隊一起將其推得更高。

從火箭科學到合規

利亞姆：不過，你一開始並不是從事安全工作的。 我說你是前火箭科學家對嗎？

亞當：是的，這很有趣。 被稱為火箭科學家的詛咒是，你在生活中所做的任何事情都會立即提高標準。 汽車不會立即啟動，修好它——“這不是火箭科學或任何東西。”

利亞姆：那是什麼感覺？ 您是如何過渡到合規技術的？

亞當：我的職業生涯始於航天飛機計劃的工程師，特別是在 MCC 團隊，即主燃燒室團隊。 上一次航天飛機發射是在十多年前，所以有些人可能不記得看到過航天飛機發射，但如果你這樣做了，你會看到發射台上的火箭，你有兩個火箭助推器，然後是這個巨人橙色坦克。 那是為這三個主要發動機供油的油箱，這就是我從本科畢業後所做的工作。 描述火箭發動機如何工作的最好方法就是控制爆炸。 所以這是一個工程夢想/噩夢，取決於你如何看待它。

“這就是我在航天飛機計劃中找到這份工作的方式——我在我的工作面試中加入了一個作品集，以幫助我脫穎而出並證明我的技能不僅僅是 GPA”

利亞姆：當你真正觀看發射時感覺如何？ 你緊張嗎？ 你有點興奮嗎？

亞當：一種緊張的興奮，這是一個很好的表達方式。 每個人都喜歡我們正在做的事情。 我從小就想成為一名宇航員，讓一個真正的宇航員在辦公室裡穿行，感謝工程師幫助他們安全回家，尤其是當你本科畢業後的第一份工作絕對令人難以置信。

利亞姆：我有點打斷了你，但你告訴我你是如何進行這種轉變的。

“為了幫助學生贏得雇主的信任，我們必須首先向大學證明我們的安全態勢”

Adam：這段經歷在 2011 年結束，當時航天飛機計劃退役，我從航空航天跳到了創業。 正如他們所說，我冒險了。 我學會了編寫代碼並構建了一個我稱之為 Portfolium 的 MVP，它是一個類似於 LinkedIn 的面向學生的 ePortfolio 網絡，然後這個想法就來了。 這就是我實際上如何在航天飛機計劃中找到這份工作的方式——我在我的工作面試中加入了一個作品集，以幫助我脫穎而出並證明我的技能不僅僅是 GPA。 因此，我想為世界各地的學生做到這一點，並幫助他們僅根據他們成熟的技能找到夢想的工作。 我堅信通過首先證明你值得信任來贏得信任。 在這種情況下，這是這些 ePortfolios 中技能的證據，其中包含豐富的數據，我們可以使用這些數據以更有意義的方式將學生與雇主進行匹配。

我們發展了公司和數百萬學生的網絡，我們通過向大學出售學習評估模塊來做到這一點。 就在那時，我們很快了解到證明我們的安全態勢的重要性。 因為在大學與我們簽約並提供敏感的學生信息之前，他們需要確保我們的安全態勢。 證明這一點的黃金標準是，現在仍然是 SOC 2 報告。 所以，你會在這裡看到這個主題，用證據贏得信任。 因此，為了幫助學生贏得雇主的信任，我們必須首先向大學證明我們的安全態勢，證據就是 SOC 2 報告。 Portfolium 於 2019 年 2 月被收購，我們的團隊於去年 2020 年再次聚首，共同構建 Drata，以幫助公司站穩腳跟，以自動化為先的方法維護並證明其安全合規態勢。

SOC 2 101

Liam：那麼，讓我們進入 SOC 2 合規性，我知道這有點像說“讓我們談談稅收”或“讓我們談談發票”。 但這太重要了。 您能給我們介紹一下 SOC 2 合規性的真正含義嗎？

亞當：當然，很高興！ 因此，SOC 2 是一個框架。 它由美國註冊會計師協會（American Institute of Certified Public Accountants）創建和維護。 因此，會計師事務所的審計師實際上會進行 SOC 2 審計，任何 SOC 2 審計的結果都是一份 SOC 2 報告。 SOC 2 不是通過-失敗認證，這非常重要，也是一個常見的誤解。 SOC 2 報告是一份證明，而且是值得信賴的，因為它來自這個經過認證的獨立第三方審計師。 基本上，它正在測試貴公司在保護客戶數據方面的安全控制的設計和操作有效性。 換言之，SOC 2 報告是一份詳細說明貴公司如何保護其客戶數據的報告。 如果您今天銷售軟件，那麼您有 99.9% 的機會在雲中存儲或處理數據。 因此，您被要求向您的客戶或您的潛在客戶提供一份 SOC 2 報告作為其安全審查流程的一部分只是時間問題。

“如果我要與貴公司開展業務，而你的軟件將訪問我客戶的數據，我有責任確保你有適當的控制措施來保護它”

Liam：這是 B2B 公司的標準嗎？

亞當：在很多方面，是的。 尤其是在美國，部分原因是 SOC 2 適用於任何在雲中存儲或處理數據的公司，而且現在每家公司都是如此，絕對是所有 SaaS 公司。 因此，在很多方面，它現在已成為黃金標準。 更喜歡證明您的安全狀況的最低標準。 我們在 Portfolium 賣給大學的過程中親眼目睹了這一點； 在很短的時間內，這些對我們的 SOC 2 報告的要求很快變成了對我們的 SOC 2 報告的要求。 然後，它就融入了我們遇到的每個 RFP。 向雲的轉變，越來越多的數據洩露——它確實為第三方風險提供了放大鏡。 這推動了我們在這裡看到的很多東西，從這個不錯的東西變成了需要的東西。

Liam：為什麼 B2B 公司在擴展時遵守 SOC 2 如此重要？ 這是否會影響他們吸引和留住更大的客戶？

“如果您不利用自動化，通常情況下，公司每年會花費數百個小時來確保合規性”

亞當：是的，當然。 如果我即將與貴公司開展業務，而您的軟件將訪問我客戶的數據，我有責任確保您有適當的控制措施來保護它。 如果你向我保證，那很好，但獨立審計報告員確實會承擔向我保證你有足夠的安全計劃所需的重量。 在向您提供任何數據之前，我的審計人員會希望確保我得到了這種保證。 否則，我不會遵循自己的控制。

Liam：我讀過很多關於初創公司難以符合 SOC 2 標準的文章。 為什麼會這樣，並且改變了嗎？

亞當：是的，絕對的。 我們親身經歷了這一點。 如果您不利用自動化，通常情況下，公司每年會花費數百小時進行合規性處理。 為了幫助解釋原因，框架本身由五個不同的信任服務原則組成：安全性、可用性、機密性、隱私和處理完整性。 到目前為止，安全性是五項中最大的一項，並且在技術上是審計和報告所需的唯一一項。 但是這五個標準中的每一個都有自己的標準，您的公司需要通過設計然後在整個公司實施控制來滿足或滿足這些標準。 很多時候，當我這麼說時，人們會問我所說的控制是什麼意思。 您可以將控制視為一項政策、一個流程、一個工具，以幫助防止壞事發生或確保好事發生。 我總是這樣定義它。 它涵蓋了您公司的所有職能：您如何入職、培訓和離職員工，如何管理端點和加密備份數據，如何為應用程序提供訪問權限和身份驗證，審查代碼……我可以繼續說下去。

“這意味著整個公司的團隊都被要求不斷、重複地收集每一條證據，然後將其存儲起來以備將來審核”

公司有 100 到 200 項控制措施來進行 SOC 2 審計。 然後，審計本身可能需要很長時間，因為您必須基本上向審計員證明這些控制措施存在，最重要的是，它們在審計期間仍然存在。 如果您在 12 個月期間，這不是您每 11 個月就可以補習的東西。 如果您不使用自動化，這意味著您公司的各個團隊的任務是不斷、重複地收集每一條證據，然後將其存儲起來以備將來審計。 然後，如果他們在此過程中發現差距，因為差距可能在一年中的任何一天形成，他們必須進行補救。 是的，只有很多人生活在電子表格、共享文件夾、屏幕截圖中。 顯然，顛覆的時機已經成熟，而且是以自動化的形式出現的。 這就是真正的改變。 Drata 帶來了這種自動化優先的解決方案，每年可為公司節省數百小時，然後為他們提供這些實時準備儀表板，以便您快速做好審計準備，並在一年中的每一天都做好審計準備。

利亞姆：這非常重要，因為就像你之前提到的那樣，它是公司與其客戶之間信任的重要組成部分。

亞當：沒錯。 這也是上一家公司的主題。 您可以相信某人的話，您可以閱讀他們簡歷上的要點，但我們希望它可以幫助人們證明他們的技能。 同樣，在這裡，我們希望人們能夠用證據證明，不僅在審計期間，而且在一年中的任何一天，他們的控制是如何運作的。 這可能是他們自己的團隊、董事會、他們自己的理智的內部報告，但也可能是外部報告。 這就是我們看到的路徑。

儘早做，經常做

Liam：公司如何在其組織中創建網絡安全文化？ 因為我們都知道，安全不再只是一個不錯的選擇。

亞當：我認為賦予個人員工權力是關鍵。 如果員工了解他們在保護公司方面的重要性，他們可以引以為豪，而不僅僅是感覺像是一個複選框。 因為沒有比這更真實的了。 網絡釣魚攻擊仍然是 2021 年數據洩露的最常見原因。這大約是 90%——我不得不重新閱讀它以確保它不是錯字。 培訓您的員工如何發現這些惡意電子郵件，然後全年對其進行測試，這是您如何授權員工掌握其安全性的一個例子。 因此，公司將擁有更強大的安全態勢。 所以我認為這是關鍵。

“你的公司越早實施控制，它就越早成為基金會的一部分”

我認為也許最重要的是儘早做。 如果您從第一天或盡可能接近第一天開始烘烤，它就會成為第二天性。 當有更多的慣性或改變阻力時，這並不是什麼新的和不同的事。 前幾天我在進行這樣的對話，這可能不是最好的類比，但有一整代人是在沒有安全帶的汽車中長大的。 然後在 50 年代，他們推出了這個新事物，並且出現了阻力。 但是今天，我從第一天起就長大了，我上車時甚至都沒有考慮過。 係好安全帶，就像呼吸一樣。 我只是不去想它。 因此，您的公司越早實施控制，它就越早成為基金會的一部分。

Liam：如果要求您的企業提供 SOC 2 報告，人們需要知道什麼？

亞當：我想首先要知道這是一件好事。 詢問的人正在認真考慮與您的公司開展業務，現在需要確保您正在做正確的事情來保護他們的數據。 其次，如果這是您第一次被要求提供 SOC 2 報告，那不會是最後一次，也不應該是最後一次。 如果您沒有 SOC 2 報告，那麼絕對是時候開始了。 再說一次，你做的越早，它就會越快，它會越便宜，而且越容易保持前進。 當然，所有這些都是利用自動化來做到這一點。

Liam： SOC 2 不是認證。 我對嗎？

亞當：對。 這是一個證明。

Liam：有兩種不同的類型：類型 1 和類型 2。有什麼區別？

亞當：為了讓它更加混亂，有類似 SOC 1 和 SOC 2 之類的東西。我想你是在問 SOC 2 Type 1 與 SOC 2 Type 2，這是一個很好的問題，也是潛在客戶一直問我們的問題. 就框架本身而言，它們都是相同的。 不同之處在於 SOC 2 類型 1 審核和報告在一個非常特定的時間點查看您的控制設計。 比如，你今天合規了嗎？ SOC 2 Type 2 正在查看您的控件的設計，但它還查看這些控件在一段時間內（通常為 12 個月）的運行效率。

僅基於此，您可以想像 SOC 2 Type 2 絕對是一個更高的標準。 需要更長的時間； 它通常更貴； 它只是在一段時間內完成。 您可以在前往類型 2 的途中進行類型 1。我們看到客戶在需要盡快報告時這樣做，類型 1 肯定比根本沒有報告要好。 而且您不會浪費任何時間或工作，因為它們是同一個框架。 您基本上是在進行類型 1 審計時實施了所有控制措施，同時開始了類型 2 的 4 到 12 個月的期限。事實上，我們合作的一些審計公司甚至捆綁了他們的定價a 類型 1 和類型 2，這使得它在特定情況下更具成本效益。 但同樣，您可以直接選擇 Type 2，因為這是黃金標準。

“這是很好的培訓，他們會進行這些模擬網絡釣魚攻擊。 所以我們故意隨機對我們自己的員工進行網絡釣魚”

Liam：據 Statista 稱，2020 年報告的網絡犯罪造成的經濟損失為 42 億美元，是 2015 年的四倍。

亞當：這太瘋狂了。

利亞姆：是的，這太瘋狂了。 那麼企業安全系統中氾濫的盲點有哪些呢？

亞當：這是個好問題。 如今，雲中要公開的數據比以往任何時候都多。 我認為可能會讓人們感到驚訝的是，其中大部分仍然是老套路，例如網絡釣魚攻擊。 正如我所說，到 2021 年，網絡釣魚攻擊仍佔數據洩露事件的 90%。大多數安全意識培訓提供商都有模塊和課程，介紹如何發現網絡釣魚電子郵件、該做什麼以及在收到郵件時不該做什麼。 這是任何通過 SOC 2 的公司都需要進行安全意識培訓的常見控制措施。 我們使用了一個很棒的工具——Drata 與之集成——稱為 Curricula。 這是一個例子。 但這是很好的培訓，他們會進行這些模擬網絡釣魚攻擊。 因此，我們故意隨機對自己的員工進行網絡釣魚。

“只需要一封電子郵件，一名員工”

利亞姆：我敢打賭他們喜歡這樣。

亞當：我什至不知道它是否真實，這是練習的一部分。 但這是一種在公司內部不斷發揮這種力量的方式，因為就像所有事情一樣，它從來都不是一勞永逸的。 你永遠不會只是打響指，你是安全的。 你必須練習。 因此，如果有人點擊其中一個鏈接和虛假電子郵件，它會立即告訴他們，“嘿，你剛剛被網絡釣魚，來吧，記住你的訓練”，但在那一刻它仍然很有價值，對吧？

我很驚訝。 不久前我們有一個。 它看起來像是來自 Carta 的電子郵件。 它基本上說，“恭喜你獲得了最新的股票期權授予。 剛剛得到董事會的批准，在這裡簽字。” 是的，它只是直接進入大腦的即時滿足中心。 您會驚訝地發現有多少人會在沒有真正檢查以確保其合法性的情況下點擊該鏈接。 同樣，90% 的違規行為就是這樣發生的。 只需要一封電子郵件，一名員工。 這又回到了將其融入您的基礎和文化的最初觀點。 這就是公司中的每個人都掌握安全的重要性。 這不是任何人的工作，而是每個人的工作。

作為初創公司擴展安全性

Liam：我知道我們有很多來自初創公司的聽眾，我想問你，你會給初創公司什麼建議，特別是關於成為 SOC 2 Compliant。 誰應該在較小的初創公司管理 SOC 2 流程？

亞當：這是個好問題。 我認為它在我們心中佔有特殊的位置，因為，我們自己仍然是一家初創公司，但在我們的案例中，這個 Drata 是出於我們作為一家向大學銷售的初創公司的個人需求。 因此，我們與很多初創公司進行了交談。 我們給出的建議當然是不要等待。 就像我之前說的，盡快開始。 越早做，越快、越便宜、越容易維護。 絕對利用自動化。 您將節省數百個工程時間，尤其是作為一家初創公司，您應該將其花在產品和其他優先事項上。

“隨著公司的發展，更多的員工、更多的資產、更多的追踪”

我猜另一個是從長遠考慮。 很容易陷入這樣的陷阱：“好吧，我必須選中這個框，否則這個大交易不會結束，這個大交易會改變遊戲規則，對我們的創業公司來說是存在的。” 有一種方法可以快速做到這一點，但可以讓你長期做好準備。 這不是通過失敗的事情。 記住這一點。 所以，是的，這是您在審計結束時獲得的報告，您希望它是一份乾淨、良好的報告。 當您將報告交給某人時，您希望它能讓您處於良好的狀態。 很多事情可能會迷失，尤其是作為一家初創公司，在要求合規或完成這筆交易的噪音和壓力中。

利亞姆：擴大規模的公司需要知道什麼？ 我想可能會有完全不同的挑戰。

Adam：所以，如果您已經擁有一份 SOC 2 報告，並且您正在使用電子表格或生活在電子表格和屏幕截圖中，那麼您已經感受到了無法擴展的痛苦。 隨著公司的發展，更多的員工、更多的資產需要跟踪。 隨著您在審計範圍內擁有更多資產，自動化實際上變得更有價值。 因此，更有理由利用自動化並實施持續監控，這樣您就不會追溯和手動收集證據。 您可以實時了解員工進出時差距在哪裡形成，或者您會自動啟動或縮減資產。 所以，是的，這是一個不同但非常相似的用例。

“這是獨一無二的，它可以持續監控控制，然後在實時出現差距時識別並發出警報”

Liam：我很想听聽 Drata 如何幫助人們簡化和自動化 SOC 2 流程。

亞當：是的，絕對的。 因此，我們將其構建為端到端解決方案。 它可以讓公司從頭開始，一直到準備好審計，審計本身，然後只是持續維護自動化。 Drata 連接到其客戶的技術堆棧。 這是獨一無二的，它可以持續監控控制，然後在實時出現差距時識別並發出警報。 它將自動收集所有這些控制的證據，然後跨框架（如 SOC 2、ISO 27001、HIPAA 等）進行預映射。 因此，如果您從頭開始，您可以利用 Drata 中的通用控制框架以及安全策略模板來快速建立您的基礎。 我們已經讓 50 名以下員工的公司在短短幾週內從頭開始到準備好審計。 這就是自動化的力量。

然後，Drata 還與受過培訓的審計公司合作，以非常簡化的方式使用 Drata 進行審計。 這可以節省每個人的時間，並且可以降低審計成本。 這是一次特別有意義的旅程。 這是來自我們自己的個人需求的東西。 然後是我們的團隊，尤其是我們的客戶成功團隊，他們與我們的每一位客戶合作。 我們有前任審計師、安全專家和在職員工，以幫助指導我們的客戶完成整個旅程。 這不僅僅是所有的軟件，顯然，自動化是關鍵。

數據安全的未來

Liam：在我們結束之前，數據安全的未來是什麼？ 它總是會是一場艱苦的鬥爭嗎？

“我認為公司將在共享方面更加透明，不僅僅是這些 SOC 2 報告，而是實時的中間報告”

亞當：我要把我的水晶球拿出來。 隨著雲中的數據越來越多，隨著時間的推移，數據安全性只會變得越來越重要。 我認為您會看到公司更早地這樣做，就像我們已經看到的那樣，更頻繁地被要求提供合規性和證明認證。 從第一天開始，它就會直接融入公司文化。 那裡有很多專業和行業需要額外的安全培訓，沒有人會因為它被理解而忽視。 這裡有非常真實的風險。 對於任何在雲中持有數據的軟件公司來說也是如此。

我認為我們將看到更多的持續監控，只是一個由內而外的實時視圖，而且我認為公司將在共享方面更加透明，不僅僅是這些 SOC 2 報告，而是真正的中間報告-時間。 就像我們吹噓我們的正常運行時間狀態一樣——這是我們的安全態勢狀態。 然後，當然，如果我不認為自動化將成為公司保持安全合規狀態的標準方法，我認為我不會成為 Drata 的聯合創始人兼首席執行官。 所以我們拭目以待。

利亞姆：對你們所有人來說，這顯然是一個非常激動人心的時刻。 下一步是什麼？ 你在路上有什麼大計劃或項目嗎？

亞當：是的，這一年過得真快。 我們於 1 月 15 日正式推出，因此我們很快就達到了獨角獸的地位。 但我們仍然是一家剛剛起步的初創公司。 到 2022 年，我們的團隊規模將擴大兩倍。因此，我們正在全面招聘所有部門。 如果外面的人對自動化和安全感興趣，我們的核心價值觀就在我們的網站上。 如果他們引起您的共鳴，我們很樂意讓您看看我們的職業頁面，我們很樂意與您聯繫

利亞姆：太棒了。 新的一年，新的工作。 本系列的全部內容都是關於了解公司如何擴展其增長。 在我們結束之前，我很想知道，在你的職業生涯中，是否有一個關鍵事件幫助你在專業上擴展？

“這是一種不同的火箭，對吧？ 兩者都很激烈”

Adam：我們每天都學到很多東西，而且我們都在不斷地迭代和改進。 所以，早期的建議，只是讓我身邊有導師、顧問、那些我們可以向那裡學習的人，並對此持開放態度。 航天飛機計劃結束後，我正在學習編碼和構建 Portfolium 的第一個版本，我在聖地亞哥的一個名為 EvoNexus 的加速器計劃中工作。 這真的讓事情變得超速。 它立即讓那些人圍繞在我身邊，我必須向他們學習。 它真的有助於將部分準備就緒，為未來的一切做好準備。 我認為沒有什麼可以讓你做好準備，但它絕對有幫助。

利亞姆：什麼更緊張刺激？ 火箭科學家還是經營公司？

亞當：這是一種不同的火箭，對吧？ 兩者都非常激烈。

利亞姆：最後，我們的聽眾可以去哪裡跟上您和您的工作？

亞當：是的，請查看我們的網站 drata.com。 隨時與我們的團隊安排現場演示，並查看產品的實際運行情況。 We'd love to show it. On LinkedIn, it's easy to find and follow; just search Drata. And then, on Twitter, at @DrataHQ.

Liam: Perfect. And thank you so much for joining us today.

Adam: Thank you so much for having me.