המפגש בין AI ואבטחה: מה חדש עם מנכ"ל Secureframe

בפרק האחרון שלנו מה חדש סדרה, מייסד ומנכ"ל ב-Secureframe, Shrav Mehta, יושב עם המנכ"ל והמייסד של SaaStr, ג'ייסון למקין, כדי לחלוק את מה שחדש ב-Secureframe, חברת SOC-2 ותוכנת תאימות עולה ב-SaaS.

בפרק זה הם ידונו:

• מתי ומדוע אתה צריך תאימות ל-SOC-2 ו-ISO ISO 27001 כחברת SaaS
• הצומת של AI ואבטחה
• תאימות בשנה השנייה ומעלה ב-SaaS
• הבדלים בשירות לעסקים קטנים ובינוניים
• חיבור מחדש של שירותי תוכנה

[תוכן מוטבע]

עבור ג'ייסון, הוא פתח את הראיון בכך ששיתף בכך שמניסיונו - ציות הוא למעשה הימור בטבלה של שנה אחת עבור כל חברות B2B SaaS. 

“I was just catching up with a second-time founder who had taken his company public (and it was worth billions) and was doing another company,” Jason shared. “He was doing a freemium product and I was like ‘Why don’t you just walk into an Adobe or a Cisco and just close a six-figure deal? Even if your product’s not there, they’ll buy from you.’ And he was like, ‘yeah, but we have, we’re not like SOC 2 compliant.’”

זה אולי נראה קל להתנער מכתפיו או להמתין ליישם כלי שיעזור עם ציות ואבטחה, אבל המורל של הסיפור כאן הוא שתתקלו בקיר די מהר אם לא יישמו כלי תאימות עד סוף השנה אחד. במיוחד כשאתם מנסים לעבור לשוק הבינוני והגבוה, האבטחה הופכת להימור על שולחן ועדת הקנייה.

שרב הוסיף שאם אתה רוצה לסגור עסקאות גדולות יותר, לא רק Enterprise, אלא גם שוק בינוני ו-SMB, שברגע שאתה מוכן ל-Go-To-Market, אתה צריך להיות תואם.

"SOC-2 נתפס לעתים קרובות כסטנדרט קריטי עבור תוכנת SaaS", הסביר שרב. "אם יש לך לקוחות בצנרת שאתה מנסה לסגור בסופו של דבר רכש או שמישהו יעצור אותך בשלב מסוים אם אין לך SOC-2 או ISO 27001. או אחת מההסמכות הדומות האלה."

אז אתה צריך להיות תואם (או לעדכן את האבטחה שלך) ... מה עכשיו?

ובכן, עם אפליקציה כמו Secureframe, היא יכולה להפוך כ-80-90% מהתאימות ל-SOC-2 שאתם צריכים באמצעות אינטגרציות ו-APIS - כלומר לחבר אותה לפלטפורמות הקיימות, לכלים וכו' ולאפשר לה לכרות את הנתונים. אז הזמן להטמעה ולתאימות הוא הרבה יותר מהיר עכשיו ממה שהיה פעם. עם זאת, שרב הסביר מתי האוטומציה הזו לא בהכרח תתרחב יותר. "אניאם אתה מתרחב ומגדל ואתה סוגר עוד עסקאות, זה עשוי להצדיק גיוס למשרה מלאה כדי להוריד את העומס מהצוות. בדרך כלל אנחנו רואים את זה קורה בסביבות 50 עד 100 עובדים. עכשיו, אם אתה ב-FinTech או בתעשייה אחרת עם רגולציה גבוהה, כנראה שתעשה את הדברים האלה ותהיה לך גיוס ייעודי מוקדם יותר."

תכנן סביב 50-100 עובדים לשכור מנהל IT או CISO (קצין מידע ואבטחה ראשי) כדי לשמור על הציות והאבטחה שלך. לאחר מכן, תוך כדי קנה המידה, או לתוך שנה ב', רשימת הבדיקות שלך לתאימות אמורה להיראות קצת כך: 

• בשנים 2-3, שמירה ושיפור הציות שלך אמורים להפוך לחלק מהקצב התפעולי שלך
• לשמור על הסמכה ועמידה בתקן ISO 27001
• ניטור רציף הוא קריטי
• בעוד שנה אחת היא בדרך כלל ביקורת הסמכה מלאה, שנים 2-3+ הופכות לביקורת מעקב כדי לשמור על ההסמכה שלך

בסופו של דבר - מה מהם עדיף, SOC-2 או ISO 27001? תלוי - אבל רוב חברות ה-SaaS בימינו ירצו לקבל את שניהם, ובאופן אידיאלי לעשות זאת בו-זמנית מכיוון שיש חפיפה של כ-70% בין דוח SOC-2 לאישור ISO 27001. 

"לעתים קרובות אם אתה יודע שאתה צריך לעשות את שניהם, אנחנו אומרים לאנשים לעשות את זה באותו זמן ופשוט, להרוג שתי ציפורים במכה אחת", הסביר שרב. "עכשיו הדרך שבה אתה קובע אם אתה צריך SOC-2 או ISO - הם מאוד דומים. SOC-2 נפוץ הרבה יותר בארה"ב, בעוד ש-ISO 27001 נפוץ הרבה יותר אם יש לך לקוחות באירופה, אוסטרליה ובטריטוריות אחרות. והרבה מהלקוחות האלה אז זה גם המקום שבו הלקוחות שלך מבוססים, לא בהכרח המקום שבו החברה מבוססת, וזו תפיסה שגויה נפוצה".

זה הולך להיות קצת יותר קשה למנכ"לים ולמנהלי טכנולוגיות מידע לשמור על אבטחה ותאימות לקראת 2024. 

"אתה רואה פרצות נתונים קורות כל הזמן", אמר שרב. "לאלה יש השפעות בעולם האמיתי. אז אני חושב שפשוט נמשיך לראות את זה, יותר ויותר ופשוט יהיו עוד דברים לעמוד בהם. פשוט תהיה המשך בדיקה מוגברת של אבטחה ופרטיות."

הרף רק הולך להתגבר ככל שהקונים מגבירים את הבדיקה וה-AI הופך להיות משולב יותר ב-SaaS ובטכנולוגיה. 

שרב רואה באבטחה וב-AI את שתי הפנים הגדולות ביותר בתוכנה לעשור הבא.

"אני חושב שאבטחה היא אחד המרחבים הגדולים ביותר מאחורי, AI כי תמיד יהיו, יותר ויותר תוקפים ועוד ועוד, הפרות ועוד ועוד סיבות לתוכנית אבטחה מוגברת", הסביר שרב. "תחזית הוצאות ה-IT החדשה של גרטנר אמרה ששירותי IT צפויה להיות אחת הקטגוריות הצומחות ביותר של 2024. היא גדלה ב-10 אחוזים, אתה יודע, מהשנה שעברה. ו-80 אחוז מה-CISO הללו אמרו שהם מתכננים להגביר את ההוצאות שלהם על סייבר ואבטחת מידע".

ייתכן שחלק מזה נובע מהצומת הגדול הזה של AI ואבטחה. אנחנו כבר רואים אוסף עצום של נתוני לקוחות ואיומים חדשים ממתקפות הסייבר התומכות בינה מלאכותית, שרק יאותת על צמיחה נוספת במרחב שכבר צומח במהירות. אז חפשו אבטחה ותאימות כדי לצבור תאוצה השנה.

לאחרונה שוחחנו עם ZoomInfo המנכ"ל הנרי שאק on איך זה למכור ולשרת לקוחות שהם סטארט-אפים וגם ארגוניים. אז, עכשיו בואו נסתכל על זה מנקודת מבט של אבטחה ותאימות. איך Secureframe נותנת שירות הן לסטארט־אפים והן ללקוחות ארגוניים? 

בצד ה-SMB, Secureframe רואה הרבה יותר נכנס כאשר יש להם סטארטאפ מקבל שאלון אבטחה מלקוח חדש פוטנציאלי והם צריכים להיות תואמים ל-SOC-2 מהר מאוד כדי לסגור את העסקה. יש להם בעיה מאוד ספציפית שצריך לפתור - מהר. בעוד שהם נמצאים בצד הארגוני של העניינים, הם לרוב כבר תואמים ל-SOC-2 ויש להם תהליך קיים, אז מה שהם מחפשים זה לחסוך זמן (ובכסף) כדי לשפר את יעילות האבטחה שלהם בקנה מידה.

אז איך משווקים לשני פלחים שונים בתכלית שעדיין צריכים את אותו מוצר?

"הרבה מההודעות בצד ה-SMB הן סביב, 'היי, בוא נעשה לך תואם SOC-2'. בוא נעזור לך לעשות את זה מהר." שרב המשיך, "בצד הארגוני, לא ממש אכפת להם לעשות את זה מהר. יש להם כבר SOC2. הם רוצים להיות יעילים יותר עם איך שהם עושים את זה. הם רוצים להפוך הרבה מתזרימי העבודה הארגוניים שלהם לאוטומטיים. להגיד משהו כמו, 'היי, בוא נעזור לך לקבל תואם ל-SOC2 תוך שבועות ולא חודשים זה לא כל כך מושך אותם ברמה הזו.

צוותי המכירות ב-Secureframe מפולחים לחלוטין לפי SMB לעומת Mid-Market לעומת Enterprise מסיבה זו. שרב עדיין רואה המון ערך ב-SMBS (בעוד שרבים אחרים הפסיקו לשרת את ה-SMBS בגלל תקציבים) אבל Secureframe עדיין רוצה את חברות ה-SMB הצומחות במהירות מכיוון שרבים מהלקוחות שלהם גדלים יחד איתם מאחר ומעבר בין ספקי תאימות הוא הרבה יותר קשה מאשר להחליף, למשל. כלי מכירות או שיווק.

לא בטוח אם שמתם לב, אבל SOC-2 הוא למעשה קטגוריה תחרותית וצפופה ביותר בתוך SaaS.

"אם אתה זוכה בכל עסקה, אתה לא מספיק, זה ישר מהבלוג של SaaStr," התבדח שרב. "התזה שלנו עם Secureframe היא באמת ש-10 השנים האחרונות היו על, ה unbundling של תוכנה וזה פחות או יותר על להציע פתרון נקודתי או מיקרו שירות לכל דבר.

ואנחנו מאמינים ש-10 השנים הבאות הולכות להיות בערך צרור מחדש של תוכנה. ועם חברות אחרות במרחב שלנו, אתה צריך ללכת לספק אחר בשביל המוכנות שלך, ההדרכה שלך למודעות לאבטחה, שאלוני האבטחה שלך, מרכז האמון שלך וכו'. וזה הרבה ספקים לנהל ולשלב. וזה אף פעם לא משתלב יפה. אף פעם לא הרבה מזה. במסגרת מאובטחת, אנחנו שומרים את הכל תחת קורת גג אחת ואנחנו עדיין משתלבים עם הרבה מהשותפים האחרים האלה".

המטרה עבורם הייתה להפוך לספק המקיף ביותר.

"מעניין איך זו הנקמה של הסוויטה היום, נכון?" שאל ג'ייסון. "ל-Vendr בדיוק היה דיווח שאומר את זה בשנה שעברה, 80 אחוז מההוצאות שלהם הלכו לספקים קיימים ולחידושים. זה 80 אחוז בשנה אחת, אז כן, תקציבי הענן גדלים ב-10 אחוזים או יותר עבור גרטנר, אבל הספקים הקיימים שלך סופגים את כל זה. אז ככל שאתה יכול להציע יותר זה המנצח, זה המחזה המנצח. זה די מטורף."

[תוכן מוטבע]

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.saastr.com/the-intersection-of-ai-and-security-whats-new-at-secureframe-with-ceo-shrav-mehta/