Die Schnittstelle von KI und Sicherheit: Was ist neu beim CEO von Secureframe

Neuauflage von Plato

Verfolger: 0

In der neuesten Folge unserer Neuigkeiten In der Serie setzt sich der Gründer und CEO von Secureframe, Shrav Mehta, mit dem CEO und Gründer von SaaStr, Jason Lemkin, zusammen, um die Neuigkeiten bei Secureframe, einem aufstrebenden SOC-2- und Compliance-Softwareunternehmen, das in den SaaS-Bereich vordringt, zu teilen.

In dieser Folge diskutieren sie:

Wann und warum Sie als SaaS-Unternehmen die Einhaltung von SOC-2 und ISO ISO 27001 benötigen
Die Schnittstelle von KI und Sicherheit
Compliance im zweiten Jahr und darüber hinaus in SaaS
Unterschiede bei der Betreuung von KMUs und Unternehmen
Neubündelung von Softwarediensten

[Eingebetteten Inhalt]

Für Jason eröffnete er das Interview mit der Aussage, dass Compliance seiner Erfahrung nach für alle B2B-SaaS-Unternehmen das A und O ist.

“I was just catching up with a second-time founder who had taken his company public (and it was worth billions) and was doing another company,” Jason shared. “He was doing a freemium product and I was like ‘Why don’t you just walk into an Adobe or a Cisco and just close a six-figure deal? Even if your product’s not there, they’ll buy from you.’ And he was like, ‘yeah, but we have, we’re not like SOC 2 compliant.’”

Es mag einfach erscheinen, ein Tool zur Unterstützung von Compliance und Sicherheit einfach abzuschütteln oder zu warten, aber die Moral hier ist, dass man ziemlich schnell an eine Wand stößt, wenn man bis Ende des Jahres kein Compliance-Tool implementiert hat Eins. Insbesondere wenn Sie dann versuchen, in die mittleren und oberen Märkte vorzudringen, wird Sicherheit für das Kaufkomitee zum zentralen Thema.

Shrav fügte hinzu, dass Sie, wenn Sie größere Geschäfte abschließen möchten, nicht nur für Unternehmen, sondern auch für den Mittelstand und KMU, in dem Moment, in dem Sie für den Go-To-Market bereit sind, die Vorschriften einhalten müssen.

„SOC-2 wird oft als kritischer Standard für SaaS-Software angesehen“, erklärte Shrav. „Wenn Sie Kunden in Ihrer Pipeline haben, die Sie irgendwann abschließen möchten, oder jemand Sie irgendwann aufhalten wird, wenn Sie nicht über SOC-2 oder ISO 27001 oder eine dieser ähnlichen Zertifizierungen verfügen.“

Sie müssen also konform werden (oder Ihre Sicherheit aktualisieren) … was nun?

Nun, mit einer App wie Secureframe kann sie etwa 80–90 % der SOC-2-Compliance, die Sie benötigen, über Integrationen und APIS automatisieren – d. Daher ist die Zeit bis zur Implementierung und Einhaltung jetzt viel kürzer als früher. Allerdings erklärte Shrav, wann diese Automatisierung nicht mehr unbedingt skalierbar sein wird. "ICHWenn Sie expandieren und skalieren und mehr Geschäfte abschließen, kann es eine Vollzeitbeschäftigung rechtfertigen, um das Team zu entlasten. Normalerweise passiert dies bei etwa 50 bis 100 Mitarbeitern. Wenn Sie nun in der FinTech-Branche oder einer anderen stark regulierten Branche tätig sind, werden Sie diese Dinge wahrscheinlich schon früher tun und dafür einen engagierten Mitarbeiter haben.“

Planen Sie etwa bei 50–100 Mitarbeitern die Einstellung eines IT-Managers oder CISO (Chief Information and Security Officer) ein, um Ihre Compliance und Sicherheit aufrechtzuerhalten. Im weiteren Verlauf bzw. im zweiten Jahr sollte Ihre Compliance-Checkliste etwa so aussehen:

In den Jahren 2 bis 3 sollte die Aufrechterhaltung und Verbesserung Ihrer Compliance Teil Ihres Betriebsrhythmus werden
Behalten Sie die ISO 27001-Zertifizierung und -Konformität bei
Eine kontinuierliche Überwachung ist von entscheidender Bedeutung
Während das erste Jahr in der Regel ein vollständiges Zertifizierungsaudit ist, werden die Jahre 2–3+ zu einem Überwachungsaudit zur Aufrechterhaltung Ihrer Zertifizierung

Letztendlich – was ist besser, SOC-2 oder ISO 27001? Hängt davon ab – aber die meisten SaaS-Unternehmen möchten heutzutage beides haben, und zwar idealerweise gleichzeitig, da es etwa 70 % Überschneidung zwischen dem SOC-2-Bericht und dem ISO 27001-Zertifikat gibt.

„Wenn man weiß, dass man beides erledigen muss, sagen wir den Leuten oft, sie sollen es gleichzeitig erledigen und einfach zwei Fliegen mit einer Klappe schlagen“, erklärte Shrav. „Die Art und Weise, wie Sie bestimmen, ob Sie SOC-2 oder ISO benötigen, ist sehr ähnlich. SOC-2 ist in den USA viel verbreiteter, während ISO 27001 viel häufiger vorkommt, wenn Sie Kunden in Europa, Australien und anderen Gebieten haben. Und viele dieser Kunden sind auch dort, wo Ihre Kunden ansässig sind, und nicht unbedingt dort, wo das Unternehmen seinen Sitz hat, was ein weit verbreitetes Missverständnis ist.“

Ab 2024 wird es für CEOs und CTOs etwas schwieriger, Sicherheit und Compliance aufrechtzuerhalten.

„Es kommt ständig zu Datenschutzverstößen“, sagte Shrav. „Diese haben reale Auswirkungen. Ich denke also, dass wir das immer öfter sehen werden und dass es immer mehr Dinge geben wird, die wir einhalten müssen. Es wird einfach eine immer stärkere Prüfung von Sicherheit und Datenschutz geben.“

Die Messlatte wird nur noch höher liegen, wenn Käufer genauer hinsehen und KI stärker in SaaS und Technologie integriert wird.

Shrav sieht Sicherheit und KI als die beiden größten Gesichter im Softwarebereich des nächsten Jahrzehnts.

„Ich denke, Sicherheit ist einer der größten Bereiche hinter der KI, weil es immer mehr Angreifer und immer mehr Verstöße und immer mehr Gründe für ein verschärftes Sicherheitsprogramm geben wird“, erklärte Shrav. „In der neuesten IT-Ausgabenprognose von Gartner heißt es, dass IT-Dienste voraussichtlich eine der am schnellsten wachsenden Kategorien im Jahr 2024 sein werden. Sie wissen schon, dass sie im Vergleich zum letzten Jahr um 10 Prozent wächst. Und 80 Prozent dieser CISOs gaben an, dass sie planen, ihre Ausgaben für Cyber- und Informationssicherheit zu erhöhen.“

Ein Teil davon könnte auf diese große Schnittstelle zwischen KI und Sicherheit zurückzuführen sein. Wir sehen bereits eine riesige Sammlung von Kundendaten und neue Bedrohungen durch diese KI-gestützten Cyberangriffe, die in einem bereits schnell wachsenden Bereich nur noch mehr Wachstum signalisieren werden. Achten Sie also darauf, dass Sicherheit und Compliance in diesem Jahr an Dynamik gewinnen.

Wir haben kürzlich mit ZoomInfo gechattet CEO Henry Schuck on wie es ist, Kunden zu verkaufen und zu betreuen, die sowohl Start-ups als auch Unternehmen sind. Schauen wir uns das nun unter dem Gesichtspunkt der Sicherheit und Compliance an. Wie bedient Secureframe sowohl Startups als auch Unternehmenskunden?

Auf der KMU-Seite verzeichnet Secureframe viel mehr Inbound, wenn ein Startup einen Sicherheitsfragebogen von einem potenziellen Neukunden erhält und es sehr schnell SOC-2-konform werden muss, um den Deal abzuschließen. Sie haben ein ganz bestimmtes Problem, das gelöst werden muss – und zwar schnell. Obwohl sie auf der Unternehmensseite tätig sind, sind sie häufig bereits SOC-2-konform und verfügen über einen bestehenden Prozess. Daher möchten sie Zeit (und Geld) sparen, um ihre Sicherheitseffizienz im großen Maßstab zu verbessern.

Wie vermarkten Sie also diese beiden völlig unterschiedlichen Segmente, die dennoch dasselbe Produkt benötigen?

„Viele Botschaften auf der KMU-Seite lauten: ‚Hey, lass uns dich SOC-2-konform machen.‘ Wir helfen Ihnen dabei, es schnell zu erledigen.“ Shrav fuhr fort: „Auf der Unternehmensseite ist ihnen die schnelle Erledigung egal. Sie haben bereits einen SOC2. Sie möchten mit der Art und Weise, wie sie es tun, effizienter werden. Sie möchten viele ihrer Unternehmensabläufe automatisieren. Etwas zu sagen wie: „Hey, lass uns dir helfen, innerhalb von Wochen statt Monaten die SOC2-Konformität zu erreichen“, ist für sie auf dieser Ebene nicht besonders attraktiv.“

Aus diesem Grund sind die Vertriebsteams bei Secureframe vollständig in KMU vs. Mittelstand vs. Unternehmen segmentiert. Shrav sieht immer noch einen enormen Wert in KMU (während viele andere aus Budgetgründen auf die Betreuung von KMU verzichtet haben), aber Secureframe möchte immer noch die schnell wachsenden KMU-Unternehmen, da viele ihrer Kunden mit ihnen wachsen, da ein Wechsel des Compliance-Anbieters viel schwieriger ist als beispielsweise ein Wechsel Vertriebs- oder Marketinginstrument.

Ich bin mir nicht sicher, ob Sie es vielleicht bemerkt haben, aber SOC-2 ist tatsächlich eine äußerst wettbewerbsintensive und überfüllte Kategorie innerhalb von SaaS.

„Wenn Sie jeden Deal gewinnen, sind Sie nicht genug, das kommt direkt aus dem SaaStr-Blog“, scherzte Shrav. „Unsere These bei Secureframe ist wirklich, dass es in den letzten 10 Jahren darum ging Entbündelung von Software und es geht im Wesentlichen darum, für alles eine Punktlösung oder einen Microservice anzubieten.

Und wir glauben, dass es in den nächsten 10 Jahren darum gehen wird Neubündelung von Software. Und bei anderen Unternehmen in unserem Bereich müssen Sie sich für Ihre Bereitschaft, Ihr Sicherheitsbewusstseinstraining, Ihre Sicherheitsfragebögen, Ihr Trust Center usw. an einen anderen Anbieter wenden. Und das bedeutet, dass es eine Menge Anbieter zu verwalten und zu integrieren gilt. Und es fügt sich nie gut ein. Nie viel davon. Bei Secure Frame haben wir alles unter einem Dach und arbeiten weiterhin mit vielen dieser anderen Partner zusammen.“

Ihr Ziel war es, der umfassendste Anbieter zu werden.

„Es ist interessant, wie es heute um die Rache der Suite geht, oder?“ fragte Jason. „Vendr hatte letztes Jahr gerade einen Bericht, der das besagte80 Prozent ihrer Ausgaben gingen an bestehende Anbieter und Vertragsverlängerungen. In einem Jahr sind es 80 Prozent, also steigen die Cloud-Budgets für Gartner um 10 Prozent oder mehr, aber Ihre bestehenden Anbieter absorbieren alles. Je mehr Sie also anbieten können, desto mehr gewinnen Sie. Es ist ziemlich verrückt.“

[Eingebetteten Inhalt]