Skjæringspunktet mellom AI og sikkerhet: Hva er nytt med Secureframes administrerende direktør

I den siste episoden av vår Hva er nytt serien, grunnlegger og administrerende direktør i Secureframe, Shrav Mehta, setter seg ned med SaaStrs administrerende direktør og grunnlegger Jason Lemkin for å dele det som er nytt i Secureframe, et voksende SOC-2- og compliance-programvareselskap som bryter ut i SaaS.

I denne episoden vil de diskutere:

• Når og hvorfor du trenger overholdelse av SOC-2 og ISO ISO 27001 som et SaaS-selskap
• Skjæringspunktet mellom AI og sikkerhet
• Samsvar i år to og utover i SaaS
• Forskjeller i å betjene små og mellomstore bedrifter og bedrifter
• Re-bundling av programvaretjenester

[Innebygd innhold]

For Jason åpnet han intervjuet med å dele det i sin erfaring - compliance er faktisk Year One-bordinnsats for alle B2B SaaS-selskaper. 

“I was just catching up with a second-time founder who had taken his company public (and it was worth billions) and was doing another company,” Jason shared. “He was doing a freemium product and I was like ‘Why don’t you just walk into an Adobe or a Cisco and just close a six-figure deal? Even if your product’s not there, they’ll buy from you.’ And he was like, ‘yeah, but we have, we’re not like SOC 2 compliant.’”

Det kan virke lett å trekke på skuldrene eller vente med å implementere et verktøy for å hjelpe med overholdelse og sikkerhet, men moralen i historien her er at du vil treffe en vegg ganske raskt hvis du ikke har implementert et samsvarsverktøy innen slutten av året En. Spesielt når du deretter prøver å bevege deg inn i mellom- og øvre markeder, blir sikkerhet bordinnsats for kjøpskomiteen.

Shrav la til at hvis du ønsker å lukke større avtaler, ikke bare Enterprise, men også mellomstore og små og mellomstore bedrifter, at i det øyeblikket du er klar til å gå til markedet, må du bli kompatibel.

"SOC-2 blir ofte sett på som en kritisk standard for SaaS-programvare," forklarte Shrav. "Hvis du har kunder i pipelinen din som du prøver å avslutte til slutt innkjøp eller noen kommer til å holde deg oppe på et tidspunkt hvis du ikke har en SOC-2 eller ISO 27001. Eller en av disse lignende sertifiseringene."

Så du må bli kompatibel (eller oppdatere sikkerheten din) ... hva nå?

Vel, med en app som Secureframe kan den automatisere omtrent 80-90 % av SOC-2-samsvaret du trenger via integrasjoner og APIS – dvs. koble den opp til eksisterende plattformer, verktøy osv. og la den utvinne dataene. Så tiden til implementering og overholdelse er mye raskere nå enn den pleide å være. Imidlertid forklarte Shrav når den automatiseringen ikke nødvendigvis vil skalere lenger. "JEGHvis du utvider og skalerer og du lukker flere avtaler, kan det rettferdiggjøre en heltidsansettelse for å ta belastningen av teamet. Vi ser vanligvis at dette skjer rundt 50 til 100 ansatte. Nå, hvis du er i FinTech eller en annen sterkt regulert bransje, kommer du sannsynligvis til å gjøre disse tingene og ha en dedikert ansettelse tidligere."

Planlegg rundt 50-100 ansatte for å ansette en IT-sjef eller CISO (Chief Information and Security Officer) for å opprettholde samsvar og sikkerhet. Deretter, mens du skalerer, eller inn i år to, bør sjekklisten din se litt slik ut: 

• I år 2-3 bør vedlikehold og forbedring av etterlevelsen bli en del av din operasjonelle rytme
• Opprettholde ISO 27001-sertifisering og samsvar
• Kontinuerlig overvåking er kritisk
• Mens år ett typisk er en fullstendig sertifiseringsrevisjon, blir år 2-3+ en overvåkingsrevisjon for å opprettholde sertifiseringen din

Til syvende og sist – hvilken er bedre, SOC-2 eller ISO 27001? Avhenger – men de fleste SaaS-selskaper i dag vil ønske å ha begge deler, og ideelt sett gjort samtidig siden det er omtrent 70 % overlapping mellom SOC-2-rapporten og ISO 27001-sertifikatet. 

"Ofte, hvis du vet at du trenger å gjøre begge deler, ber vi folk om å få det gjort samtidig og bare slå to fluer i en smekk," forklarte Shrav. "Nå slik du bestemmer om du trenger SOC-2 eller ISO - de er veldig like. SOC-2 er mye mer vanlig i USA, mens ISO 27001 er mye mer vanlig hvis du har kunder i Europa, Australia og andre territorier. Og mange av disse kundene, så det er også her kundene dine er basert, ikke nødvendigvis der selskapet er basert, noe som er en vanlig misforståelse.»

Det kommer til å bli litt vanskeligere for administrerende direktører og CTOer å opprettholde sikkerhet og samsvar inn i 2024. 

"Du ser datainnbrudd skje hele tiden," sa Shrav. "Disse har virkninger i den virkelige verden. Så jeg tror vi bare kommer til å fortsette å se dette, mer og mer, og det kommer bare til å være flere ting å forholde seg til. Det kommer bare til å bli en fortsatt økt gransking av sikkerhet og personvern.»

Baren kommer bare til å bli høyere ettersom kjøpere øker granskningen og AI blir mer integrert i SaaS og teknologi. 

Shrav ser på sikkerhet og AI som de to største ansiktene innen programvare for det neste tiåret.

"Jeg tror sikkerhet er en av de største plassene bak AI fordi det alltid vil være, flere og flere angripere og flere og flere, brudd og flere og flere grunner til å ha et økt sikkerhetsprogram," forklarte Shrav. «Gartners nyeste prognose for IT-utgifter sa at IT-tjenester anslås å være en av de raskest voksende kategoriene i 2024. Den vokser 10 prosent vet du, fra i fjor. Og 80 prosent av disse CISO-ene sa at de planlegger å øke utgiftene sine til cyber- og informasjonssikkerhet.»

En del av det kan skyldes dette store skjæringspunktet mellom AI og sikkerhet. Vi ser allerede en enorm samling av kundedata og nye trusler fra disse AI-aktiverte cyberangrepene, som bare vil signalisere mer vekst i et allerede raskt voksende område. Så se etter sikkerhet og samsvar for å få fart i år.

Vi har nylig chattet med ZoomInfo Administrerende direktør Henry Schuck on hvordan det er å selge og betjene kunder som er både startups og bedrifter. Så la oss nå se på det fra et sikkerhets- og samsvarssynspunkt. Hvordan betjener Secureframe både startups og bedriftskunder? 

På SMB-siden ser Secureframe mye mer inngående når de har en oppstart mottar et sikkerhetsspørreskjema fra en potensiell ny kunde og de må bli SOC-2-kompatibel veldig raskt for å avslutte avtalen. De har et veldig spesifikt problem som må løses - raskt. Mens de er på Enterprise-siden, er de ofte allerede SOC-2-kompatible og har en eksisterende prosess, så det de leter etter er å spare tid (og penger) for å forbedre sikkerhetseffektiviteten i stor skala.

Så hvordan markedsfører du disse to radikalt forskjellige segmentene som fortsatt trenger det samme produktet?

"Mye av meldingene på SMB-siden handler om "Hei, la oss få deg SOC-2-kompatibel." La oss hjelpe deg å gjøre det raskt.» Shrav fortsatte: «På bedriftssiden bryr de seg egentlig ikke om å få det gjort raskt. De har allerede en SOC2. De ønsker å bli mer effektive med hvordan de gjør det. De ønsker å automatisere mye av bedriftens arbeidsflyter. Å si noe sånt som "Hei, la oss hjelpe deg med å få SOC2-kompatibel i løpet av uker, ikke måneder, er ikke så attraktivt for dem på det nivået."

Salgslagene på Secureframe er fullstendig segmentert etter SMB vs. Mid-Market vs. Enterprise av denne grunn. Shrav ser fortsatt massevis av verdi i SMB (mens mange andre har droppet å betjene SMBS på grunn av budsjetter), men Secureframe vil fortsatt ha de raskt voksende SMB-selskapene siden mange av kundene deres vokser med dem siden det er mye vanskeligere å bytte samsvarsleverandør enn å bytte, for eksempel salgs- eller markedsføringsverktøy.

Ikke sikker på om du kanskje har lagt merke til det, men SOC-2 er faktisk en ekstremt konkurransedyktig og overfylt kategori innen SaaS.

"Hvis du vinner hver avtale, er du ikke nok, det er rett fra SaaStr-bloggen," spøkte Shrav. «Vår avhandling med Secureframe handler egentlig om at de siste 10 årene har handlet om adskillelse av programvare og det handler stort sett om å tilby en punktløsning eller mikrotjeneste for alt.

Og vi tror at de neste 10 årene kommer til å handle om re-bundling av programvare. Og med andre selskaper i vårt område, må du gå til en annen leverandør for din beredskap, din sikkerhetsbevissthetstrening, dine sikkerhetsspørreskjemaer, ditt tillitssenter osv. Og det er mange leverandører som skal administreres og integreres. Og den integreres aldri pent. Aldri mye av det. Ved sikker ramme holder vi alt under ett tak, og vi integrerer fortsatt med mange av disse andre partnerne.»

Målet for dem har vært å bli den mest omfattende leverandøren.

"Det er interessant hvordan det er suitens hevn i dag, ikke sant?" spurte Jason. "Vendr hadde nettopp en rapport som sa det i fjor80 prosent av kostnadene deres gikk til eksisterende leverandører og fornyelser. Det er 80 prosent på ett år, så ja, skybudsjettene vokser med 10 prosent eller mer for Gartner, men de eksisterende leverandørene dine absorberer alt. Så jo mer du kan tilby er det vinnende, det er det vinnende spillet. Det er ganske sprøtt.»

[Innebygd innhold]

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.saastr.com/the-intersection-of-ai-and-security-whats-new-at-secureframe-with-ceo-shrav-mehta/