La intersección de la IA y la seguridad: novedades del director ejecutivo de Secureframe

En el último episodio de nuestro Noticias serie, el fundador y director ejecutivo de Secureframe, Shrav Mehta, se sienta con el director ejecutivo y fundador de SaaStr, Jason Lemkin, para compartir las novedades de Secureframe, una creciente empresa de software de cumplimiento y SOC-2 que está irrumpiendo en SaaS.

En este episodio, discutirán:

• Cuándo y por qué necesita el cumplimiento de SOC-2 e ISO ISO 27001 como empresa SaaS
• La intersección de la IA y la seguridad
• Cumplimiento en el segundo año y en adelante en SaaS
• Diferencias en el servicio a PYMES y empresas
• Reagrupación de servicios de software

[Contenido incrustado]

Para Jason, abrió la entrevista compartiendo su experiencia: el cumplimiento es en realidad lo que está en juego en el primer año para todas las empresas B2B SaaS. 

"Me estaba poniendo al día con un fundador por segunda vez que había hecho pública su empresa (y valía miles de millones) y estaba creando otra empresa", compartió Jason. “Él estaba haciendo un producto freemium y yo le dije: '¿Por qué no entras en Adobe o Cisco y cierras un trato de seis cifras? Incluso si su producto no está allí, le comprarán". Y él dijo: 'Sí, pero lo hemos hecho, no cumplimos con SOC 2'”.

Puede parecer fácil ignorar o esperar para implementar una herramienta que ayude con el cumplimiento y la seguridad, pero la moraleja de la historia aquí es que chocará contra una pared bastante rápido si no ha implementado una herramienta de cumplimiento antes de fin de año. Uno. Especialmente cuando se intenta avanzar hacia los mercados medios y altos, la seguridad se convierte en algo en juego para el comité de compras.

Shrav agregó que si desea cerrar acuerdos más importantes, no solo para empresas, sino también para el mercado medio y las PYMES, en el momento en que esté listo para salir al mercado, debe cumplir con las normas.

"SOC-2 a menudo se considera un estándar crítico para el software SaaS", explicó Shrav. "Si tiene clientes en su cartera que está tratando de cerrar, eventualmente alguien lo va a retrasar en algún momento si no tiene un SOC-2 o ISO 27001. O una de estas certificaciones similares".

Por lo tanto, debe cumplir con las normas (o actualizar su seguridad)... ¿ahora qué?

Bueno, con una aplicación como Secureframe, puede automatizar entre el 80 y el 90 % del cumplimiento de SOC-2 que necesita a través de integraciones y APIS, es decir, conectándolo a sus plataformas, herramientas, etc. existentes y permitiéndole extraer los datos. Por lo tanto, el tiempo de implementación y cumplimiento es mucho más rápido ahora que antes. Sin embargo, Shrav explicó cuándo esa automatización ya no necesariamente escalará más. "ISi se está expandiendo y escalando y está cerrando más acuerdos, puede justificar una contratación de tiempo completo para aliviar la carga del equipo. Normalmente vemos que esto sucede entre 50 y 100 empleados. Ahora, si estás en FinTech u otra industria altamente regulada, probablemente harás estas cosas y tendrás una contratación dedicada antes”.

Planifique alrededor de 50-100 empleados para contratar a un gerente de TI o CISO (director de seguridad e información) para mantener su cumplimiento y seguridad. Luego, a medida que vaya escalando, o hacia el segundo año, su lista de verificación de cumplimiento debería verse más o menos así: 

• En los años 2 y 3, mantener y mejorar su cumplimiento debería convertirse en parte de su ritmo operativo.
• Mantener la certificación y el cumplimiento de la norma ISO 27001
• El seguimiento continuo es fundamental
• Mientras que el primer año suele ser una auditoría de certificación completa, los años 2-3+ se convierten en una auditoría de seguimiento para mantener su certificación.

En definitiva, ¿cuál es mejor, SOC-2 o ISO 27001? Depende, pero la mayoría de las empresas de SaaS hoy en día querrán tener ambos, e idealmente hacerlo al mismo tiempo, ya que existe aproximadamente un 70 % de superposición entre el informe SOC-2 y el certificado ISO 27001. 

"A menudo, si sabes que necesitas hacer ambas cosas, le decimos a la gente que lo haga al mismo tiempo y simplemente mate dos pájaros de un tiro", explicó Shrav. “Ahora bien, la forma de determinar si necesita SOC-2 o ISO es muy similar. SOC-2 es mucho más común en EE. UU., mientras que ISO 27001 es mucho más común si tiene clientes en Europa, Australia y otros territorios. Y muchos de esos clientes también es allí donde se encuentran sus clientes, no necesariamente donde está basada la empresa, lo cual es un error común”.

Será un poco más difícil para los directores ejecutivos y directores de tecnología mantener la seguridad y el cumplimiento hasta 2024. 

"Se ven violaciones de datos todo el tiempo", dijo Shrav. “Estos están teniendo impactos en el mundo real. Así que creo que vamos a seguir viendo esto cada vez más y habrá más cosas que cumplir. Simplemente habrá un mayor escrutinio continuo sobre la seguridad y la privacidad”.

El listón sólo aumentará a medida que los compradores aumenten el escrutinio y la IA se integre más en SaaS y la tecnología. 

Shrav considera que la seguridad y la inteligencia artificial serán las dos caras más importantes del software para la próxima década.

"Creo que la seguridad es uno de los espacios más grandes, detrás de la IA, porque siempre habrá más y más atacantes y más y más infracciones y más y más razones para tener un programa de seguridad reforzado", explicó Shrav. “El último pronóstico de gasto en TI de Gartner dice que se proyecta que los servicios de TI serán una de las categorías de más rápido crecimiento en 2024. Está creciendo un 10 por ciento, ya sabes, respecto al año pasado. Y el 80 por ciento de estos CISO dijeron que planean aumentar su gasto en seguridad cibernética y de la información”.

Parte de eso puede deberse a esta gran intersección entre IA y seguridad. Ya estamos viendo una enorme recopilación de datos de clientes y nuevas amenazas provenientes de estos ciberataques basados ​​en IA, lo que sólo indicará un mayor crecimiento en un espacio que ya está en rápido crecimiento. Así que esperemos que la seguridad y el cumplimiento ganen impulso este año.

Recientemente charlamos con ZoomInfo Director General Henry Schuck on cómo es vender y atender a clientes que son tanto empresas emergentes como empresas. Ahora veamos esto desde el punto de vista de la seguridad y el cumplimiento. ¿Cómo presta Secureframe servicios tanto a empresas emergentes como a clientes empresariales? 

En el lado de las PYMES, Secureframe ve muchas más entradas cuando una startup recibe un cuestionario de seguridad de un nuevo cliente potencial y necesita cumplir con SOC-2 muy rápidamente para cerrar el trato. Tienen un problema muy específico que necesita solución rápida. Mientras que en el lado empresarial, a menudo ya son compatibles con SOC-2 y tienen un proceso existente, por lo que lo que buscan es ahorrar tiempo (y dinero) para mejorar sus eficiencias de seguridad a escala.

Entonces, ¿cómo comercializar a estos dos segmentos radicalmente diferentes que todavía necesitan el mismo producto?

“Muchos de los mensajes en el lado de las PYMES son: 'Oye, haz que cumplas con SOC-2'. Te ayudaremos a hacerlo rápidamente”. Shrav continuó: “En el ámbito empresarial, realmente no les importa hacerlo rápidamente. Ya tienen un SOC2. Quieren ser más eficientes en su forma de hacerlo. Quieren automatizar muchos de sus flujos de trabajo empresariales. Decir algo como: "Oye, vamos a ayudarte a cumplir con SOC2 en semanas, no en meses, no les resulta tan atractivo a ese nivel".

Los equipos de ventas de Secureframe están completamente segmentados por PYMES, medianas empresas y empresas por este motivo. Shrav todavía ve un gran valor en las PYMES (mientras que muchas otras han dejado de prestar servicios a las PYMES debido a los presupuestos), pero Secureframe todavía quiere las empresas PYMES de rápido crecimiento, ya que muchos de sus clientes crecen con ellas, ya que cambiar de proveedor de cumplimiento es mucho más difícil que cambiar, digamos. herramienta de ventas o marketing.

No estoy seguro de haberlo notado, pero SOC-2 es en realidad una categoría extremadamente competitiva y concurrida dentro de SaaS.

"Si estás ganando todos los tratos, no eres suficiente, es directamente del blog de SaaStr", bromeó Shrav. “Nuestra tesis con Secureframe es realmente que los últimos 10 años se han centrado en la desagregación de software y se trata básicamente de ofrecer una solución puntual o microservicio para todo.

Y creemos que los próximos 10 años se centrarán en la reagrupamiento de software. Y con otras empresas en nuestro espacio, debe acudir a un proveedor diferente para conocer su preparación, su capacitación en concientización sobre seguridad, sus cuestionarios de seguridad, su centro de confianza, etc. Y hay muchos proveedores que gestionar e integrar. Y nunca se integra bien. Nunca mucho. En Secure Frame, mantenemos todo esto bajo un mismo techo y todavía nos integramos con muchos de estos otros socios”.

El objetivo para ellos ha sido convertirse en el proveedor más completo.

"Es interesante cómo es la venganza de la suite hoy, ¿verdad?" -Preguntó Jason. “Vendr acaba de recibir un informe que decía eso el año pasado., el 80 por ciento de su gasto se destinó a proveedores existentes y renovaciones. Es el 80 por ciento en un año, así que sí, los presupuestos de la nube están creciendo un 10 por ciento o más para Gartner, pero sus proveedores existentes lo están absorbiendo todo. Entonces, cuanto más puedas ofrecer, ganarás, será la jugada ganadora. Es bastante loco”.

[Contenido incrustado]

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.saastr.com/the-intersection-of-ai-and-security-whats-new-at-secureframe-with-ceo-shrav-mehta/