L'intersezione tra intelligenza artificiale e sicurezza: novità per il CEO di Secureframe

L’intersezione tra intelligenza artificiale e sicurezza: novità con il CEO di Secureframe

Timestamp: 3 gennaio 2024 5:12
Nodo di origine: 3046136

Nell'ultima puntata del ns Cosa c'è di nuovo serie, il fondatore e CEO di Secureframe, Shrav Mehta, incontra il CEO e fondatore di SaaStr Jason Lemkin per condividere le novità di Secureframe, una società emergente di software SOC-2 e di conformità che sta emergendo in SaaS.

In questo episodio parleranno di:

  • Quando e perché hai bisogno della conformità SOC-2 e ISO ISO 27001 come azienda SaaS
  • L’intersezione tra intelligenza artificiale e sicurezza
  • Conformità nel secondo anno e oltre in SaaS
  • Differenze nei servizi alle PMI e alle imprese
  • Riaggregazione dei servizi software

[Contenuto incorporato]

Jason ha aperto l'intervista condividendo la sua esperienza: la conformità è in realtà la posta in gioco del primo anno per tutte le aziende SaaS B2B. 

“I was just catching up with a second-time founder who had taken his company public (and it was worth billions) and was doing another company,” Jason shared. “He was doing a freemium product and I was like ‘Why don’t you just walk into an Adobe or a Cisco and just close a six-figure deal? Even if your product’s not there, they’ll buy from you.’ And he was like, ‘yeah, but we have, we’re not like SOC 2 compliant.’”

Può sembrare facile scrollarsi di dosso o aspettare per implementare uno strumento che aiuti con conformità e sicurezza, ma la morale della storia è che andrai a sbattere contro un muro abbastanza velocemente se non hai implementato uno strumento di conformità entro la fine dell'anno Uno. Soprattutto quando si tenta di spostarsi nei mercati medi e superiori, la sicurezza diventa una posta in gioco per il comitato di acquisto.

Shrav ha aggiunto che se vuoi concludere affari più grandi, non solo Enterprise, ma anche il mercato medio e le PMI, nel momento in cui sei pronto per il Go-To-Market, devi diventare conforme.

"SOC-2 è spesso visto come uno standard critico per il software SaaS", ha spiegato Shrav. "Se hai clienti nella tua pipeline che stai cercando di chiudere eventualmente con l'approvvigionamento o qualcuno ti tratterrà ad un certo punto se non hai un SOC-2 o ISO 27001. O una di queste certificazioni simili."

Quindi devi diventare conforme (o aggiornare la tua sicurezza)... e adesso?

Bene, con un'app come Secureframe, può automatizzare circa l'80-90% della conformità SOC-2 di cui hai bisogno tramite integrazioni e API, ovvero collegandolo alle piattaforme, agli strumenti, ecc. esistenti e lasciando che estragga i dati. Pertanto, i tempi di implementazione e conformità sono molto più rapidi ora rispetto al passato. Tuttavia, Shrav ha spiegato che l’automazione non sarà più necessariamente scalabile. "IOSe ti stai espandendo e ridimensionando e stai chiudendo più affari, potrebbe giustificare un'assunzione a tempo pieno per alleggerire il carico del team. Di solito vediamo che ciò accade tra i 50 e i 100 dipendenti. Ora, se operi nel settore FinTech o in un altro settore altamente regolamentato, probabilmente farai queste cose e avrai un’assunzione dedicata prima”.

Pianifica di assumere un responsabile IT o un CISO (responsabile delle informazioni e della sicurezza) intorno ai 50-100 dipendenti per mantenere la conformità e la sicurezza. Quindi, man mano che avanzi, o nel secondo anno, la tua lista di controllo per la conformità dovrebbe assomigliare a questa: 

  • Negli anni 2-3, mantenere e migliorare la tua compliance dovrebbe diventare parte del tuo ritmo operativo
  • Mantenere la certificazione e la conformità ISO 27001
  • Il monitoraggio continuo è fondamentale
  • Mentre il primo anno è in genere un audit di certificazione completo, gli anni 2-3+ diventano un audit di sorveglianza per mantenere la certificazione

In definitiva: quale è migliore, SOC-2 o ISO 27001? Dipende, ma la maggior parte delle aziende SaaS al giorno d'oggi vorrà averli entrambi, e idealmente farlo contemporaneamente poiché c'è circa il 70% di sovrapposizione tra il rapporto SOC-2 e il certificato ISO 27001. 

"Spesso, se sai che devi fare entrambe le cose, diciamo alle persone di farlo allo stesso tempo e semplicemente, prendiamo due piccioni con una fava", ha spiegato Shrav. “Ora, il modo in cui determini se hai bisogno di SOC-2 o ISO: sono molto simili. SOC-2 è molto più comune negli Stati Uniti, mentre ISO 27001 è molto più comune se hai clienti in Europa, Australia e altri territori. E molti di questi clienti, quindi questo è anche il luogo in cui hanno sede i tuoi clienti, non necessariamente dove ha sede l'azienda, il che è un malinteso comune.

Diventerà un po’ più difficile per CEO e CTO mantenere la sicurezza e la conformità fino al 2024. 

"Vediamo continuamente violazioni dei dati", ha detto Shrav. “Questi stanno avendo impatti nel mondo reale. Quindi penso che continueremo a vederlo, sempre di più e ci saranno sempre più cose da rispettare. Ci sarà semplicemente un controllo sempre maggiore sulla sicurezza e sulla privacy”.

L’asticella potrà solo alzarsi man mano che gli acquirenti aumenteranno il controllo e l’intelligenza artificiale diventerà sempre più integrata nel SaaS e nella tecnologia. 

Shrav vede nella sicurezza e nell’intelligenza artificiale i due fronti più importanti del software per il prossimo decennio.

"Penso che la sicurezza sia uno degli spazi più grandi, dietro all'intelligenza artificiale, perché ci saranno sempre più aggressori e sempre più violazioni e sempre più motivi per avere un programma di sicurezza rafforzato", ha spiegato Shrav. “Le più recenti previsioni sulla spesa IT di Gartner affermano che i servizi IT saranno una delle categorie in più rapida crescita nel 2024. Sta crescendo del 10%, rispetto allo scorso anno. E l’80% di questi CISO ha dichiarato di voler aumentare la spesa per la sicurezza informatica e informatica”.

Parte di ciò potrebbe essere dovuto a questa ampia intersezione tra intelligenza artificiale e sicurezza. Stiamo già assistendo a un’enorme raccolta di dati dei clienti e a nuove minacce provenienti da questi attacchi informatici abilitati all’intelligenza artificiale, che non faranno altro che segnalare una maggiore crescita in uno spazio già in rapida crescita. Quindi cerca sicurezza e conformità per guadagnare slancio quest’anno.

Recentemente abbiamo chiacchierato con ZoomInfo L'amministratore delegato Henry Schuck on cosa vuol dire vendere e fornire assistenza a clienti che sono sia startup che imprese. Quindi, ora esaminiamolo dal punto di vista della sicurezza e della conformità. In che modo Secureframe è al servizio sia delle startup che dei clienti aziendali? 

Dal lato delle PMI, Secureframe vede molti più inbound quando una startup riceve un questionario sulla sicurezza da un potenziale nuovo cliente e deve diventare conforme a SOC-2 molto rapidamente per concludere l'affare. Hanno un problema molto specifico che deve essere risolto velocemente. Dal punto di vista aziendale, spesso sono già conformi a SOC-2 e dispongono di un processo esistente, quindi ciò che stanno cercando è risparmiare tempo (e denaro) per migliorare l'efficienza della sicurezza su larga scala.

Allora come commercializzare questi due segmenti radicalmente diversi che necessitano comunque dello stesso prodotto?

"Molti dei messaggi da parte delle PMI riguardano: 'Ehi, rendiamoci conformi a SOC-2.' Ti aiutiamo a farlo velocemente." Shrav ha continuato: “Dal punto di vista aziendale, a loro non interessa davvero portare a termine i compiti rapidamente. Hanno già un SOC2. Vogliono diventare più efficienti nel modo in cui lo fanno. Vogliono automatizzare gran parte dei flussi di lavoro aziendali. Dire qualcosa del tipo: "Ehi, aiutiamoti a ottenere la conformità SOC2 in settimane e non in mesi non è così attraente per loro a quel livello".

Per questo motivo i team di vendita di Secureframe sono completamente segmentati in base alle PMI, al mercato medio e alle imprese. Shrav vede ancora molto valore nelle PMI (mentre molti altri hanno abbandonato il servizio alle PMI a causa dei budget), ma Secureframe vuole ancora le aziende PMI in rapida crescita poiché molti dei loro clienti crescono con loro poiché cambiare fornitore di conformità è molto più difficile che cambiare, ad esempio, un strumento di vendita o di marketing.

Non sono sicuro che tu l'abbia notato, ma SOC-2 è in realtà una categoria estremamente competitiva e affollata all'interno di SaaS.

"Se stai vincendo ogni accordo, non sei abbastanza, è direttamente dal blog SaaStr", ha scherzato Shrav. “La nostra tesi con Secureframe è in realtà che gli ultimi 10 anni sono stati circa il unbundling di software e si tratta praticamente di offrire una soluzione puntuale o un microservizio per tutto.

E crediamo che i prossimi 10 anni riguarderanno il riaggregazione di software. E con altre aziende nel nostro spazio, devi rivolgerti a un fornitore diverso per la tua preparazione, la tua formazione sulla consapevolezza della sicurezza, i tuoi questionari sulla sicurezza, il tuo centro di fiducia, ecc. E ci sono molti fornitori da gestire e integrare. E non si integra mai bene. Mai molto. Presso Secure Frame, manteniamo tutto sotto lo stesso tetto e ci integriamo ancora con molti di questi altri partner”.

L'obiettivo per loro è stato quello di diventare il fornitore più completo.

"È interessante come si svolge la vendetta della suite oggi, vero?" chiese Jason. “Vendr aveva appena ricevuto un rapporto che lo diceva l'anno scorso, l'80% della spesa è stata destinata ai fornitori esistenti e ai rinnovi. È dell'80% in un anno, quindi sì, i budget per il cloud stanno crescendo del 10% o più per Gartner, ma i tuoi fornitori esistenti lo stanno assorbendo tutto. Quindi più puoi offrire più sarà la vincita, sarà la giocata vincente. È davvero pazzesco."

[Contenuto incorporato]

Timestamp:

Di più da Saastr