Het kruispunt van AI en beveiliging: wat is er nieuw bij de CEO van Secureframe

In de nieuwste aflevering van onze Nieuws series, oprichter en CEO van Secureframe, Shrav Mehta, praat met SaaStr CEO en oprichter Jason Lemkin om te delen wat er nieuw is bij Secureframe, een opkomend SOC-2- en compliancesoftwarebedrijf dat doorbreekt in SaaS.

In deze aflevering bespreken ze:

• Wanneer en waarom u als SaaS-bedrijf SOC-2 en ISO ISO 27001 compliance nodig heeft
• Het kruispunt van AI en beveiliging
• Compliance in het tweede jaar en daarna in SaaS
• Verschillen in dienstverlening aan het MKB en ondernemingen
• Herbundeling van softwarediensten

[Ingesloten inhoud]

Voor Jason opende hij het interview door zijn ervaring te delen: compliance is eigenlijk de inzet van het eerste jaar voor alle B2B SaaS-bedrijven. 

“Ik had net een gesprek met een tweede oprichter die zijn bedrijf naar de beurs had gebracht (en het was miljarden waard) en een ander bedrijf aan het runnen was”, vertelde Jason. “Hij deed een freemium-product en ik dacht: 'Waarom loop je niet gewoon een Adobe of een Cisco binnen en sluit je een deal van zes cijfers?' Zelfs als jouw product er niet is, kopen ze wel bij jou.' En hij zei: 'Ja, maar dat hebben we gedaan, we voldoen niet aan SOC 2.'

Het lijkt misschien gemakkelijk om je schouders op te halen of te wachten met het implementeren van een tool die helpt bij naleving en beveiliging, maar de moraal van het verhaal hier is dat je vrij snel tegen een muur aanloopt als je tegen het einde van het jaar nog geen compliance-tool hebt geïmplementeerd. Een. Vooral als je vervolgens probeert de midden- en hogere markten te betreden, wordt veiligheid een belangrijke inzet voor het aankoopcomité.

Shrav voegde eraan toe dat als je grotere deals wilt sluiten, niet alleen voor Enterprise, maar ook voor het middensegment en het MKB, je compliant moet worden zodra je klaar bent voor Go-To-Market.

“SOC-2 wordt vaak gezien als een kritische standaard voor SaaS-software”, legt Shrav uit. “Als je klanten in je pijplijn hebt die je uiteindelijk probeert af te sluiten, of als iemand je op een gegeven moment tegenhoudt als je niet over een SOC-2 of ISO 27001 beschikt. Of een van deze soortgelijke certificeringen.”

U moet dus compliant worden (of uw beveiliging bijwerken) … wat nu?

Welnu, met een app als Secureframe kan het ongeveer 80-90% van de SOC-2-compliance die je nodig hebt automatiseren via integraties en APIS – dat wil zeggen door het aan te sluiten op je bestaande platforms, tools, enz. en het de data te laten minen. De tijd tot implementatie en naleving is nu dus veel sneller dan vroeger. Shrav legde echter uit wanneer die automatisering niet noodzakelijkerwijs meer zal schalen. "IAls je aan het uitbreiden en opschalen bent en meer deals sluit, kan het een fulltime aanstelling rechtvaardigen om het team te ontlasten. Meestal zien we dit gebeuren bij 50 tot 100 medewerkers. Als je in FinTech of een andere sterk gereguleerde sector werkzaam bent, zul je waarschijnlijk deze dingen doen en eerder een vaste aanstelling krijgen.”

Plan rond de 50-100 werknemers om een ​​IT-manager of CISO (Chief Information and Security Officer) in te huren om uw compliance en veiligheid te handhaven. Vervolgens, naarmate u opschaalt, of in het tweede jaar, zou uw nalevingscontrolelijst er ongeveer zo uit moeten zien: 

• In de jaren 2-3 moet het handhaven en verbeteren van uw compliance een onderdeel worden van uw operationele ritme
• Onderhouden van ISO 27001-certificering en naleving
• Continue monitoring is van cruciaal belang
• Terwijl het eerste jaar doorgaans een volledige certificeringsaudit is, worden jaar 2-3+ een toezichtsaudit om uw certificering te behouden

Uiteindelijk – welke is beter, SOC-2 of ISO 27001? Hangt ervan af – maar de meeste SaaS-bedrijven willen tegenwoordig beide hebben, en idealiter tegelijkertijd, aangezien er ongeveer 70% overlap is tussen het SOC-2-rapport en het ISO 27001-certificaat. 

“Als je weet dat je beide gedaan moet krijgen, zeggen we vaak tegen mensen dat ze het tegelijkertijd moeten doen en twee vliegen in één klap moeten slaan”, legt Shrav uit. “De manier waarop je bepaalt of je SOC-2 of ISO nodig hebt, lijkt erg op elkaar. SOC-2 komt veel vaker voor in de VS, terwijl ISO 27001 veel vaker voorkomt als je klanten hebt in Europa, Australië en andere gebieden. En veel van die klanten, dus dit is ook waar uw klanten zijn gevestigd, en niet noodzakelijkerwijs waar het bedrijf is gevestigd, wat een veel voorkomende misvatting is.

Het zal voor CEO's en CTO's een beetje moeilijker worden om de veiligheid en compliance te handhaven in 2024. 

"Je ziet voortdurend datalekken gebeuren", zegt Shrav. “Deze hebben reële gevolgen. Dus ik denk dat we dit steeds vaker zullen blijven zien en dat er steeds meer dingen zullen zijn waaraan we moeten voldoen. Er zal alleen maar meer toezicht komen op het gebied van veiligheid en privacy.”

De lat wordt alleen maar hoger naarmate kopers meer toezicht houden en AI meer geïntegreerd raakt in SaaS en technologie. 

Shrav ziet beveiliging en AI als de twee grootste gezichten in software voor het komende decennium.

“Ik denk dat beveiliging een van de grootste ruimtes is achter AI, omdat er altijd meer en meer aanvallers en steeds meer inbreuken zullen zijn en steeds meer redenen om een ​​verhoogd beveiligingsprogramma te hebben”, legt Shrav uit. “Gartner's nieuwste IT-uitgavenprognose zegt dat IT-services naar verwachting een van de snelst groeiende categorieën van 2024 zullen zijn. Het groeit met 10 procent, weet je, ten opzichte van vorig jaar. En 80 procent van deze CISO’s zei dat ze van plan zijn hun uitgaven aan cyber- en informatiebeveiliging te verhogen.”

Een deel daarvan kan te wijten zijn aan dit grote kruispunt van AI en beveiliging. We zien nu al een enorme verzameling klantgegevens en nieuwe bedreigingen als gevolg van deze door AI ondersteunde cyberaanvallen, die alleen maar zullen wijzen op meer groei in een toch al snelgroeiend gebied. Zoek dus naar beveiliging en compliance om dit jaar momentum te krijgen.

We hebben onlangs met ZoomInfo gechat CEO Henry Schuck on hoe het is om klanten te verkopen en te bedienen die zowel startups als ondernemingen zijn. Laten we daar nu eens naar kijken vanuit het oogpunt van beveiliging en compliance. Hoe bedient Secureframe zowel startups als zakelijke klanten? 

Aan de MKB-kant ziet Secureframe veel meer inkomen als een startup een beveiligingsvragenlijst ontvangt van een potentiële nieuwe klant en ze zeer snel SOC-2-compatibel moeten worden om de deal te sluiten. Ze hebben een heel specifiek probleem dat snel moet worden opgelost. Hoewel ze aan de Enterprise-kant werken, zijn ze vaak al SOC-2-compatibel en hebben ze een bestaand proces, dus wat ze zoeken is tijd (en geld) besparen om hun beveiligingsefficiëntie op schaal te verbeteren.

Dus hoe richt je je op deze twee radicaal verschillende segmenten die nog steeds hetzelfde product nodig hebben?

“Veel van de berichten aan de MKB-kant zijn: 'Hé, laten we ervoor zorgen dat je SOC-2-compatibel wordt.' Laten we u helpen het snel te doen.” Shrav vervolgde: “Aan de zakelijke kant vinden ze het niet zo belangrijk om het snel gedaan te krijgen. Ze hebben al een SOC2. Ze willen efficiënter worden met de manier waarop ze het doen. Ze willen een groot deel van hun bedrijfsworkflows automatiseren. Iets zeggen als: 'Hé, laten we je helpen binnen enkele weken en niet maanden SOC2-compliant te worden, is op dat niveau niet zo aantrekkelijk voor hen.'

Om deze reden zijn de verkoopteams bij Secureframe volledig gesegmenteerd naar MKB versus Mid-Market versus Enterprise. Shrav ziet nog steeds veel waarde in het MKB (terwijl vele anderen vanwege budgetten zijn gestopt met het bedienen van het MKB), maar Secureframe wil nog steeds de snelgroeiende MKB-bedrijven, omdat veel van hun klanten met hen meegroeien, omdat het overstappen van compliance-leverancier veel moeilijker is dan het overstappen van bijvoorbeeld een leverancier. verkoop- of marketinginstrument.

Ik weet niet zeker of je het gemerkt hebt, maar SOC-2 is eigenlijk een extreem competitieve en drukke categorie binnen SaaS.

"Als je elke deal wint, ben je niet genoeg, het komt rechtstreeks van de SaaStr-blog", grapte Shrav. “Onze stelling bij Secureframe gaat eigenlijk over de afgelopen tien jaar ontvlechting van software en het gaat eigenlijk om het aanbieden van een puntoplossing of microservice voor alles.

En wij geloven dat de komende tien jaar over de opnieuw bundelen van software. En bij andere bedrijven in onze ruimte moet u naar een andere leverancier gaan voor uw gereedheid, uw beveiligingsbewustzijnstraining, uw beveiligingsvragenlijsten, uw vertrouwenscentrum, enz. En dat zijn een heleboel leveranciers die moeten worden beheerd en geïntegreerd. En het integreert nooit mooi. Nooit veel. Bij Secure Frame houden we dit allemaal onder één dak en integreren we nog steeds met veel van deze andere partners.”

Het doel voor hen was om de meest uitgebreide leverancier te worden.

'Het is interessant hoe het vandaag de dag de wraak van de suite is, toch?' vroeg Jason. “Vendr had vorig jaar net een rapport waarin stond dat dit het geval wasging 80 procent van hun uitgaven naar bestaande leveranciers en verlengingen. Het is 80 procent in één jaar, dus ja, de cloudbudgetten groeien met 10 procent of meer voor Gartner, maar je bestaande leveranciers absorberen dit allemaal. Dus hoe meer je kunt bieden, het is het winnende spel. Het is behoorlijk gek.”

[Ingesloten inhoud]

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.saastr.com/the-intersection-of-ai-and-security-whats-new-at-secureframe-with-ceo-shrav-mehta/