Persimpangan AI dan Keamanan: Apa yang Baru pada CEO Secureframe

Diterbitkan Ulang Oleh Plato

Followers: 0

Di episode terbaru kami Yang Baru seri, Pendiri dan CEO di Secureframe, Shrav Mehta, duduk bersama CEO dan Pendiri SaaStr Jason Lemkin untuk berbagi apa yang baru di Secureframe, sebuah perusahaan perangkat lunak SOC-2 dan kepatuhan yang sedang berkembang di SaaS.

Dalam episode ini, mereka akan membahas:

Kapan dan mengapa Anda memerlukan kepatuhan SOC-2 dan ISO ISO 27001 sebagai perusahaan SaaS
Persimpangan AI dan Keamanan
Kepatuhan di Tahun Kedua dan Selanjutnya di SaaS
Perbedaan Pelayanan UKM dan Usaha
Bundling ulang Layanan Perangkat Lunak

[Embedded content]

Bagi Jason, dia membuka wawancara dengan berbagi pengalamannya – kepatuhan sebenarnya adalah taruhan Tahun Pertama bagi semua perusahaan SaaS B2B.

“Saya baru saja bertemu dengan pendiri kedua kalinya yang telah membawa perusahaannya ke publik (dan nilainya miliaran) dan mendirikan perusahaan lain,” Jason berbagi. “Dia membuat produk freemium dan saya berpikir 'Mengapa Anda tidak masuk saja ke Adobe atau Cisco dan menyelesaikan kesepakatan senilai enam digit? Sekalipun produk Anda tidak ada di sana, mereka akan membeli dari Anda.' Dan dia berkata, 'ya, tapi memang demikian, kami tidak mematuhi SOC 2.'”

Tampaknya mudah untuk mengabaikan atau menunggu penerapan alat untuk membantu kepatuhan dan keamanan, namun pesan moral dari cerita ini adalah Anda akan mengalami kegagalan dengan cepat jika Anda belum menerapkan alat kepatuhan pada akhir tahun. Satu. Terutama ketika Anda mencoba untuk pindah ke pasar menengah dan atas, keamanan menjadi taruhan utama bagi komite pembelian.

Shrav menambahkan bahwa jika Anda ingin mencapai kesepakatan yang lebih besar, tidak hanya Perusahaan, tetapi juga pasar menengah dan UKM, saat Anda siap untuk Go-To-Market, Anda harus patuh.

“SOC-2 sering dianggap sebagai standar penting untuk perangkat lunak SaaS,” jelas Shrav. “Jika Anda memiliki pelanggan dalam jalur yang ingin Anda tutup pada akhirnya pengadaannya atau seseorang akan menghentikan Anda suatu saat jika Anda tidak memiliki SOC-2 atau ISO 27001. Atau salah satu dari sertifikasi serupa.”

Jadi, Anda harus patuh (atau memperbarui keamanan Anda)… bagaimana sekarang?

Nah, dengan aplikasi seperti Secureframe, aplikasi ini dapat mengotomatiskan sekitar 80-90% kepatuhan SOC-2 yang Anda perlukan melalui integrasi dan APIS – yaitu menghubungkannya ke platform, alat, dll. yang ada dan membiarkannya menambang data. Jadi waktu penerapan dan kepatuhan saat ini jauh lebih cepat dibandingkan sebelumnya. Namun, Shrav menjelaskan kapan otomatisasi tersebut belum dapat diperluas lagi. "SAYAJika Anda melakukan ekspansi dan penskalaan serta mencapai lebih banyak kesepakatan, perekrutan penuh waktu mungkin bisa dibenarkan untuk meringankan beban tim. Kami biasanya melihat ini terjadi pada sekitar 50 hingga 100 karyawan. Sekarang, jika Anda berada di FinTech atau industri yang diatur secara ketat lainnya, Anda mungkin akan melakukan hal-hal ini dan memiliki karyawan yang berdedikasi lebih awal.”

Rencanakan sekitar 50-100 karyawan untuk mempekerjakan Manajer TI atau CISO (Chief Information and Security Officer) untuk menjaga kepatuhan dan keamanan Anda. Kemudian, saat Anda menskalakan, atau memasuki Tahun Kedua, daftar periksa kepatuhan Anda akan terlihat seperti ini:

Di tahun 2-3, menjaga dan meningkatkan kepatuhan Anda harus menjadi bagian dari ritme operasional Anda
Mempertahankan sertifikasi dan kepatuhan ISO 27001
Pemantauan berkelanjutan sangat penting
Meskipun tahun pertama biasanya merupakan audit sertifikasi penuh, tahun 2-3+ menjadi audit pengawasan untuk mempertahankan sertifikasi Anda

Pada akhirnya – mana yang lebih baik, SOC-2 atau ISO 27001? Tergantung – tetapi sebagian besar perusahaan SaaS saat ini ingin memiliki keduanya, dan idealnya dilakukan pada waktu yang sama karena ada sekitar 70% tumpang tindih antara laporan SOC-2 dan sertifikat ISO 27001.

“Sering kali jika Anda tahu Anda perlu menyelesaikan keduanya, kami memberi tahu orang-orang untuk menyelesaikannya pada waktu yang sama dan membunuh dua burung dengan satu batu,” jelas Shrav. “Sekarang cara Anda menentukan apakah Anda memerlukan SOC-2 atau ISO— keduanya sangat mirip. SOC-2 lebih umum digunakan di AS, sedangkan ISO 27001 lebih umum digunakan jika Anda memiliki pelanggan di Eropa, Australia, dan wilayah lainnya. Dan banyak dari pelanggan tersebut jadi ini juga merupakan basis pelanggan Anda, belum tentu basis perusahaan, yang merupakan kesalahpahaman umum.”

Akan semakin sulit bagi CEO dan CTO untuk menjaga keamanan dan kepatuhan memasuki tahun 2024.

“Anda melihat pelanggaran data terjadi setiap saat,” kata Shrav. “Ini mempunyai dampak nyata. Jadi menurut saya kita akan terus melihat hal ini, lebih dan lebih lagi, dan akan ada lebih banyak hal yang harus dipatuhi. Akan ada peningkatan pengawasan terhadap keamanan dan privasi.”

Batasan ini akan semakin tinggi seiring dengan meningkatnya pengawasan pembeli dan AI menjadi lebih terintegrasi dalam SaaS dan teknologi.

Shrav melihat keamanan dan AI sebagai dua wajah terbesar dalam perangkat lunak pada dekade berikutnya.

“Saya pikir keamanan adalah salah satu ruang terbesar di belakang AI karena akan selalu ada lebih banyak penyerang dan lebih banyak lagi pelanggaran dan semakin banyak alasan untuk meningkatkan program keamanan,” jelas Shrav. “Perkiraan Pengeluaran TI terbaru Gartner mengatakan bahwa Layanan TI diproyeksikan menjadi salah satu kategori dengan pertumbuhan tercepat di tahun 2024. Tumbuh 10 persen lho, dari tahun lalu. Dan 80 persen dari CISO tersebut mengatakan bahwa mereka berencana untuk meningkatkan pengeluaran mereka untuk keamanan siber dan informasi.”

Hal ini mungkin disebabkan oleh adanya persimpangan besar antara AI dan keamanan. Kita sudah melihat kumpulan besar data pelanggan dan ancaman baru dari serangan siber yang didukung AI, yang hanya akan menandakan pertumbuhan lebih besar di sektor yang sudah berkembang pesat. Jadi carilah keamanan dan kepatuhan untuk mendapatkan momentum tahun ini.

Kami baru-baru ini mengobrol dengan ZoomInfo CEO Henry Schuck on bagaimana rasanya menjual dan melayani pelanggan baik startup maupun enterprise. Jadi, sekarang mari kita lihat dari sudut pandang keamanan dan kepatuhan. Bagaimana Secureframe melayani pelanggan startup dan perusahaan?

Di sisi UKM, Secureframe melihat lebih banyak inbound ketika startup mereka menerima kuesioner keamanan dari calon pelanggan baru dan mereka harus segera mematuhi SOC-2 untuk menyelesaikan kesepakatan. Mereka memiliki masalah yang sangat spesifik yang perlu diselesaikan — dengan cepat. Sementara di sisi Perusahaan, mereka sering kali sudah mematuhi SOC-2 dan memiliki proses yang sudah ada, sehingga yang mereka cari adalah menghemat waktu (dan uang) untuk meningkatkan efisiensi keamanan dalam skala besar.

Jadi, bagaimana Anda memasarkan ke dua segmen yang sangat berbeda ini namun masih membutuhkan produk yang sama?

“Banyak pesan yang disampaikan oleh pihak UKM, 'Hei, mari kita buat Anda mematuhi SOC-2.' Mari bantu Anda melakukannya dengan cepat.” Shrav melanjutkan, “Di sisi perusahaan, mereka tidak terlalu peduli, menyelesaikannya dengan cepat. Mereka sudah memiliki SOC2. Mereka ingin menjadi lebih efisien dengan cara mereka melakukannya. Mereka ingin mengotomatiskan banyak alur kerja perusahaan mereka. Mengatakan sesuatu seperti, 'Hei, mari kita bantu agar Anda mematuhi SOC2 dalam hitungan minggu, bukan bulan, bukanlah hal yang menarik bagi mereka pada tingkat tersebut.”

Tim penjualan di Secureframe sepenuhnya tersegmentasi berdasarkan SMB vs. Pasar Menengah vs. Perusahaan karena alasan ini. Shrav masih melihat banyak sekali nilai dalam UKM (sementara banyak perusahaan lain yang berhenti melayani SMBS karena anggaran) namun Secureframe masih menginginkan perusahaan UKM yang berkembang pesat karena banyak pelanggannya yang tumbuh bersama mereka karena beralih ke vendor kepatuhan jauh lebih sulit daripada beralih, katakanlah a alat penjualan atau pemasaran.

Tidak yakin apakah Anda menyadarinya, tetapi SOC-2 sebenarnya adalah kategori yang sangat kompetitif dan ramai dalam SaaS.

“Jika Anda memenangkan setiap kesepakatan, Anda tidak cukup, itu langsung dari blog SaaStr,” canda Shrav. “Tesis kami dengan Secureframe adalah bahwa 10 tahun terakhir adalah tentang penguraian perangkat lunak dan ini tentang menawarkan solusi titik atau layanan mikro untuk semuanya.

Dan kami percaya bahwa 10 tahun ke depan akan menjadi masa yang tepat bundling ulang perangkat lunak. Dan dengan perusahaan lain di tempat kami, Anda harus pergi ke vendor yang berbeda untuk kesiapan Anda, pelatihan kesadaran keamanan Anda, kuesioner keamanan Anda, pusat kepercayaan Anda, dll. Dan ada banyak vendor yang harus dikelola dan diintegrasikan. Dan itu tidak pernah terintegrasi dengan baik. Tidak pernah banyak. Dalam kerangka yang aman, kami menjaga semua ini di bawah satu atap dan kami masih berintegrasi dengan banyak mitra lainnya.”

Tujuan mereka adalah menjadi vendor terlengkap.

“Menarik sekali bagaimana balas dendam suite hari ini, kan?” Jason bertanya. “Vendr baru saja mendapat laporan yang mengatakan hal itu tahun lalu, 80 persen pembelanjaan mereka disalurkan ke vendor yang sudah ada dan perpanjangan. Jumlahnya mencapai 80 persen dalam satu tahun, jadi ya, anggaran cloud tumbuh 10 persen atau lebih untuk Gartner, namun vendor Anda saat ini menyerap semuanya. Jadi, semakin banyak yang bisa Anda tawarkan, itulah kemenangannya, itulah permainan kemenangannya. Ini sangat gila.”

[Embedded content]