Skrzyżowanie sztucznej inteligencji i bezpieczeństwa: co nowego u dyrektora generalnego Secureframe

Skrzyżowanie sztucznej inteligencji i bezpieczeństwa: co nowego u dyrektora generalnego Secureframe

Znacznik czasu: 3 stycznia 2024 5:12
Węzeł źródłowy: 3046136

W najnowszym odcinku naszego Co nowego series, założyciel i dyrektor generalny Secureframe, Shrav Mehta, spotyka się z dyrektorem generalnym i założycielem SaaStr Jasonem Lemkinem, aby podzielić się nowościami w Secureframe, wschodzącej firmie zajmującej się oprogramowaniem SOC-2 i zgodności, rozpoczynającej działalność w SaaS.

W tym odcinku omówią:

  • Kiedy i dlaczego jako firma SaaS potrzebujesz zgodności z SOC-2 i ISO ISO 27001
  • Skrzyżowanie sztucznej inteligencji i bezpieczeństwa
  • Zgodność w roku drugim i później w SaaS
  • Różnice w obsłudze małych i średnich firm oraz przedsiębiorstw
  • Ponowne łączenie usług oprogramowania

[Osadzone treści]

Jason rozpoczął wywiad, dzieląc się swoim doświadczeniem – zgodność to w rzeczywistości stawka w pierwszym roku dla wszystkich firm B2B SaaS. 

“I was just catching up with a second-time founder who had taken his company public (and it was worth billions) and was doing another company,” Jason shared. “He was doing a freemium product and I was like ‘Why don’t you just walk into an Adobe or a Cisco and just close a six-figure deal? Even if your product’s not there, they’ll buy from you.’ And he was like, ‘yeah, but we have, we’re not like SOC 2 compliant.’”

Zlekceważenie lub zaczekanie z wdrożeniem narzędzia pomagającego w zapewnianiu zgodności i bezpieczeństwie może wydawać się łatwe, ale morale z tej historii jest takie, że jeśli nie wdrożysz narzędzia do zapewniania zgodności do końca roku, dość szybko zderzysz się ze ścianą Jeden. Zwłaszcza, gdy następnie próbujesz wejść na rynki średnie i wyższe, bezpieczeństwo staje się stawką dla komitetu zakupowego.

Shrav dodał, że jeśli chcesz zawierać większe transakcje, nie tylko dla przedsiębiorstw, ale także dla średnich i małych firm, to w momencie, gdy będziesz gotowy na wejście na rynek, musisz zachować zgodność.

„SOC-2 jest często postrzegany jako krytyczny standard oprogramowania SaaS” – wyjaśnił Shrav. „Jeśli masz na oku klientów, którym starasz się ostatecznie zamknąć proces zaopatrzenia, lub ktoś w pewnym momencie będzie Cię zatrzymywał, jeśli nie posiadasz certyfikatu SOC-2 lub ISO 27001. Lub jednego z podobnych certyfikatów.”

Musisz więc zapewnić zgodność (lub zaktualizować swoje zabezpieczenia)… co teraz?

Cóż, dzięki aplikacji takiej jak Secureframe może zautomatyzować około 80–90% wymaganej zgodności z SOC-2 poprzez integrację i APIS – tj. podłączenie jej do istniejących platform, narzędzi itp. i umożliwienie jej wydobywania danych. Zatem czas wdrożenia i zapewnienia zgodności jest teraz znacznie krótszy niż kiedyś. Jednak Shrav wyjaśnił, kiedy ta automatyzacja nie będzie już koniecznie skalowalna. "IJeśli rozwijasz się i skalujesz oraz finalizujesz więcej transakcji, może to uzasadniać zatrudnienie na pełny etat w celu odciążenia zespołu. Zwykle zdarza się to w przypadku około 50 do 100 pracowników. Teraz, jeśli pracujesz w FinTech lub innej branży podlegającej ścisłym regulacjom, prawdopodobnie będziesz robić te rzeczy i wcześniej zatrudnisz dedykowanego pracownika”.

Zaplanuj zatrudnienie około 50–100 pracowników, aby zatrudnić menedżera IT lub CISO (dyrektora ds. informacji i bezpieczeństwa), aby zapewnić zgodność i bezpieczeństwo. Następnie, w miarę skalowania lub do roku drugiego, lista kontrolna zgodności powinna wyglądać mniej więcej tak: 

  • W klasach 2-3 utrzymywanie i doskonalenie przestrzegania zasad powinno stać się częścią Twojego rytmu operacyjnego
  • Utrzymuj certyfikat i zgodność z normą ISO 27001
  • Ciągłe monitorowanie ma kluczowe znaczenie
  • Podczas gdy pierwszy rok to zazwyczaj pełny audyt certyfikujący, lata 2-3+ stają się audytem nadzoru w celu utrzymania certyfikatu

Ostatecznie – który z nich jest lepszy, SOC-2 czy ISO 27001? Zależy – ale obecnie większość firm SaaS będzie chciała mieć jedno i drugie, a najlepiej w tym samym czasie, ponieważ raport SOC-70 i certyfikat ISO 2 pokrywają się w około 27001%. 

„Często, jeśli wiesz, że musisz zrobić jedno i drugie, mówimy ludziom, żeby zrobili to w tym samym czasie i po prostu upili dwie pieczenie na jednym ogniu” – wyjaśnił Shrav. „Teraz sposób, w jaki określasz, czy potrzebujesz SOC-2, czy ISO, jest bardzo podobny. SOC-2 jest znacznie bardziej powszechny w USA, podczas gdy ISO 27001 jest znacznie bardziej powszechny, jeśli masz klientów w Europie, Australii i na innych terytoriach. A jest wielu tych klientów, więc tutaj mają swoją siedzibę także Twoi klienci, a niekoniecznie tam, gdzie ma swoją siedzibę firma, co jest powszechnym błędnym przekonaniem”.

Od 2024 r. dyrektorom generalnym i dyrektorom ds. technologii będzie nieco trudniej utrzymać bezpieczeństwo i zgodność z przepisami. 

„Nieustannie obserwujemy naruszenia bezpieczeństwa danych” – powiedział Shrav. „Mają one wpływ na świat rzeczywisty. Myślę więc, że nadal będziemy to widzieć, coraz częściej i będzie coraz więcej rzeczy, których będziemy musieli przestrzegać. Po prostu będziemy w dalszym ciągu wzmożoną kontrolę bezpieczeństwa i prywatności”.

Poprzeczka będzie się tylko podnosić, w miarę zwiększania się kontroli kupujących, a sztuczna inteligencja stanie się bardziej zintegrowana z SaaS i technologią. 

Shrav postrzega bezpieczeństwo i sztuczną inteligencję jako dwie największe twarze oprogramowania na następną dekadę.

„Myślę, że bezpieczeństwo to jedna z największych przestrzeni zaraz za sztuczną inteligencją, ponieważ zawsze będzie coraz więcej napastników, coraz więcej naruszeń i coraz więcej powodów, dla których warto wdrożyć program zwiększonego bezpieczeństwa” – wyjaśnił Shrav. „Z najnowszej prognozy wydatków na IT firmy Gartner wynika, że ​​usługi IT będą jedną z najszybciej rozwijających się kategorii w roku 2024. W porównaniu z zeszłym rokiem, jak wiadomo, rośnie ona o 10 procent. A 80 procent tych CISO stwierdziło, że planują zwiększyć swoje wydatki na bezpieczeństwo cybernetyczne i informacje”.

Częściowo może to wynikać z dużego skrzyżowania sztucznej inteligencji i bezpieczeństwa. Już teraz obserwujemy ogromny zbiór danych klientów i nowe zagrożenia wynikające z cyberataków wykorzystujących sztuczną inteligencję, co będzie jedynie sygnałem większego wzrostu w i tak już szybko rozwijającej się przestrzeni. Dlatego w tym roku poszukaj bezpieczeństwa i zgodności, aby nabrać rozpędu.

Niedawno rozmawialiśmy z ZoomInfo dyrektor generalny Henryk Schuck on jak to jest sprzedawać i obsługiwać klientów, którzy są zarówno startupami, jak i przedsiębiorstwami. Spójrzmy teraz na to z punktu widzenia bezpieczeństwa i zgodności. W jaki sposób Secureframe obsługuje zarówno start-upy, jak i klientów korporacyjnych? 

Po stronie małych i średnich firm firma Secureframe odnotowuje znacznie więcej ruchu przychodzącego, gdy startup otrzymuje kwestionariusz bezpieczeństwa od potencjalnego nowego klienta i musi bardzo szybko osiągnąć zgodność z SOC-2, aby sfinalizować transakcję. Mają bardzo konkretny problem, który wymaga rozwiązania – i to szybko. Będąc po stronie przedsiębiorstwa, często są już zgodni z SOC-2 i mają istniejący proces, więc szukają oszczędności czasu (i pieniędzy), aby poprawić skuteczność zabezpieczeń na dużą skalę.

Jak zatem dotrzeć do tych dwóch radykalnie różnych segmentów, które wciąż potrzebują tego samego produktu?

„Wiele komunikatów po stronie SMB ma charakter: «Hej, zapewnimy ci zgodność z SOC-2». Pomożemy Ci to zrobić szybko.” Shrav kontynuował: „Jeśli chodzi o przedsiębiorstwo, tak naprawdę nie zależy im na szybkim wykonaniu zadania. Mają już SOC2. Chcą działać bardziej efektywnie, stosując sposób, w jaki to robią. Chcą zautomatyzować wiele procesów w przedsiębiorstwie. Powiedzenie czegoś w stylu: „Hej, pomóżmy Ci osiągnąć zgodność z SOC2 w ciągu tygodni, a nie miesięcy, na tym poziomie nie jest dla nich zbyt atrakcyjne”.

Z tego powodu zespoły sprzedaży w Secureframe są całkowicie podzielone na segmenty małych i średnich przedsiębiorstw, średnich przedsiębiorstw i przedsiębiorstw. Shrav nadal widzi ogromną wartość w małych i średnich firmach (podczas gdy wiele innych zrezygnowało z obsługi SMBS ze względu na budżety), ale Secureframe nadal chce szybko rozwijających się firm z sektora MŚP, ponieważ wielu ich klientów rozwija się wraz z nimi, ponieważ zmiana dostawców zapewniających zgodność z przepisami jest znacznie trudniejsza niż zmiana, powiedzmy narzędzie sprzedaży lub marketingu.

Nie jestem pewien, czy zauważyłeś, ale SOC-2 jest w rzeczywistości niezwykle konkurencyjną i zatłoczoną kategorią w ramach SaaS.

„Jeśli wygrywasz każdą transakcję, to nie wystarczy, to prosto z bloga SaaStr” – zażartował Shrav. „Nasza teza dotycząca Secureframe jest taka, że ​​przez ostatnie 10 lat chodziło o wydzielenie oprogramowania i w dużej mierze chodzi o zaoferowanie rozwiązania punktowego lub mikrousługi do wszystkiego.

Wierzymy, że najbliższe 10 lat będzie dotyczyć ponowne łączenie oprogramowania. W przypadku innych firm na naszej przestrzeni musisz udać się do innego dostawcy w celu uzyskania gotowości, szkolenia w zakresie świadomości bezpieczeństwa, kwestionariuszy bezpieczeństwa, centrum zaufania itp. A to wielu dostawców do zarządzania i integracji. I nigdy się to dobrze nie integruje. Nigdy nie jest tego dużo. W Secure Frame trzymamy to wszystko pod jednym dachem i nadal integrujemy się z wieloma innymi partnerami.

Celem dla nich było stać się najbardziej wszechstronnym dostawcą.

„To ciekawe, jak wygląda dzisiejsza zemsta suity, prawda?” zapytał Jasona. „Vendr miał właśnie taki raport w zeszłym roku80 procent ich wydatków trafiło do istniejących dostawców i na odnowienia umów. To 80 procent w ciągu jednego roku, więc tak, budżety na chmurę rosną o 10 procent lub więcej dla firmy Gartner, ale twoi obecni dostawcy pochłaniają to wszystko. Zatem im więcej możesz zaoferować, tym większa jest wygrana, zwycięska gra. To dość szalone.”

[Osadzone treści]

Znak czasu:

Więcej z Saastr