Пересечение искусственного интеллекта и безопасности: что нового от генерального директора Secureframe

Переиздано Платоном

Читают: 0

В последнем выпуске нашего Что Нового основатель и генеральный директор Secureframe Шрав Мехта беседует с генеральным директором и основателем SaaStr Джейсоном Лемкиным, чтобы поделиться новостями в Secureframe, развивающейся компании по разработке программного обеспечения для SOC-2 и обеспечения соответствия требованиям, которая выходит на рынок SaaS.

В этом выпуске они обсудят:

Когда и почему вам необходимо соответствие SOC-2 и ISO ISO 27001 как SaaS-компании
Пересечение искусственного интеллекта и безопасности
Соблюдение требований на втором году и далее в SaaS
Различия в обслуживании малого и среднего бизнеса и предприятий
Повторное объединение программных услуг

[Встраиваемое содержимое]

Что касается Джейсона, то он начал интервью с того, что поделился своим опытом: соблюдение требований на самом деле является ставкой первого года для всех B2B SaaS-компаний.

«Я только что встречался со вторым основателем, который вывел свою компанию на биржу (а она стоила миллиарды) и занимался другой компанией», — поделился Джейсон. «Он создавал бесплатный продукт, и я подумал: «Почему бы вам просто не зайти в Adobe или Cisco и не заключить шестизначную сделку?» Даже если вашего товара там нет, у вас его купят». И он ответил: «Да, но мы не совместимы с SOC 2».

Может показаться, что легко отмахнуться или подождать с внедрением инструмента, который поможет обеспечить соответствие требованиям и безопасность, но мораль этой истории такова: вы довольно быстро упретесь в стену, если не внедрите инструмент обеспечения соответствия к концу года. Один. Особенно когда вы затем пытаетесь выйти на средние и верхние рынки, безопасность становится главной ставкой для комитета по закупкам.

Шрав добавил, что если вы хотите заключить более крупные сделки, не только с предприятиями, но и со средним и малым бизнесом, то в тот момент, когда вы будете готовы выйти на рынок, вам нужно будет соответствовать требованиям.

«SOC-2 часто рассматривается как важнейший стандарт для программного обеспечения SaaS», — пояснил Шрав. «Если у вас есть клиенты в вашем конвейере, которых вы пытаетесь в конечном итоге закрыть, или кто-то собирается задержать вас в какой-то момент, если у вас нет SOC-2 или ISO 27001. Или одного из этих аналогичных сертификатов».

Итак, вам необходимо обеспечить соответствие требованиям (или обновить систему безопасности)… что теперь?

Что ж, с помощью такого приложения, как Secureframe, оно может автоматизировать около 80-90% необходимого вам соответствия SOC-2 посредством интеграции и APIS, то есть подключить его к существующим платформам, инструментам и т. д. и позволить ему анализировать данные. Таким образом, время внедрения и соблюдения требований теперь намного быстрее, чем раньше. Однако Шрав объяснил, когда эта автоматизация больше не будет масштабироваться. "ЯЕсли вы расширяетесь и масштабируете компанию и заключаете больше сделок, это может оправдать найм на полный рабочий день, чтобы разгрузить команду. Обычно мы видим, что это происходит с 50–100 сотрудниками. Теперь, если вы работаете в FinTech или другой строго регулируемой отрасли, вы, вероятно, будете заниматься этим и раньше наймете специального сотрудника».

Запланируйте около 50–100 сотрудников, чтобы нанять ИТ-менеджера или директора по информационной безопасности (директора по информации и безопасности) для обеспечения соответствия требованиям и безопасности. Затем, по мере масштабирования или на второй год, ваш контрольный список соответствия должен выглядеть примерно так:

Через 2–3 года поддержание и повышение уровня соблюдения требований должно стать частью вашего рабочего ритма.
Поддерживать сертификацию и соответствие ISO 27001
Непрерывный мониторинг имеет решающее значение
В то время как первый год обычно представляет собой полный сертификационный аудит, годы 2–3+ становятся надзорным аудитом для поддержания вашей сертификации.

В конечном итоге – какой из них лучше, SOC-2 или ISO 27001? Зависит от ситуации, но сегодня большинство SaaS-компаний хотят иметь и то, и другое, и в идеале — одновременно, поскольку отчет SOC-70 и сертификат ISO 2 совпадают примерно на 27001 %.

«Часто, если вы знаете, что вам нужно сделать и то, и другое, мы говорим людям, чтобы они сделали это одновременно и просто убили двух зайцев одним выстрелом», — объяснил Шрав. «То, как вы определяете, нужен ли вам SOC-2 или ISO, — они очень похожи. SOC-2 гораздо более распространен в США, тогда как ISO 27001 гораздо более распространен, если у вас есть клиенты в Европе, Австралии и других странах. И таких клиентов много, поэтому именно здесь базируются ваши клиенты, а не обязательно там, где базируется компания, что является распространенным заблуждением».

В 2024 году генеральным директорам и техническим директорам станет немного сложнее поддерживать безопасность и соответствие требованиям.

«Вы постоянно видите, что утечки данных происходят», — сказал Шрав. «Они имеют реальные последствия. Так что я думаю, что мы будем продолжать видеть это, все больше и больше, и будет больше вещей, которым нужно будет соответствовать. Просто будет продолжаться более пристальное внимание к безопасности и конфиденциальности».

Планка будет только повышаться по мере того, как покупатели будут уделять больше внимания, а ИИ станет более интегрированным в SaaS и технологии.

Шрав считает безопасность и искусственный интеллект двумя главными направлениями в области программного обеспечения на следующее десятилетие.

«Я думаю, что безопасность — это одно из самых больших направлений после искусственного интеллекта, потому что всегда будет все больше и больше злоумышленников, все больше и больше нарушений и все больше и больше причин иметь усиленную программу безопасности», — объяснил Шрав. «Новейший IT-проект Gartner. В прогнозе расходов говорится, что I.T. По прогнозам, услуги станут одной из самых быстрорастущих категорий в 2024 году. Вы знаете, они выросли на 10 процентов по сравнению с прошлым годом. И 80 процентов этих директоров по информационной безопасности заявили, что планируют увеличить свои расходы на кибер- и информационную безопасность».

Частично это может быть связано с большим пересечением искусственного интеллекта и безопасности. Мы уже наблюдаем огромную коллекцию данных о клиентах и новые угрозы от этих кибератак с использованием искусственного интеллекта, которые будут только сигнализировать о дальнейшем росте в и без того быстрорастущей сфере. Так что обратите внимание на безопасность и соответствие требованиям, которые в этом году наберут обороты.

Недавно мы общались с ZoomInfo Генеральный директор Генри Шук on каково это продавать и обслуживать клиентов, которые являются как стартапами, так и предприятиями. Итак, теперь давайте посмотрим на это с точки зрения безопасности и соответствия требованиям. Как Secureframe обслуживает стартапы и корпоративных клиентов?

Что касается малого и среднего бизнеса, Secureframe видит гораздо больше входящих запросов, когда стартап получает анкету по безопасности от потенциального нового клиента, и ему необходимо очень быстро стать совместимым с SOC-2, чтобы закрыть сделку. У них есть очень специфическая проблема, которую нужно решить, причем быстро. Что касается предприятий, они часто уже соответствуют требованиям SOC-2 и имеют существующий процесс, поэтому они стремятся сэкономить время (и деньги) для повышения эффективности своей безопасности в масштабе.

Так как же продавать эти два радикально разных сегмента, которым по-прежнему нужен один и тот же продукт?

«Многие сообщения со стороны малого и среднего бизнеса звучат примерно так: «Эй, давайте сделаем вас совместимыми с SOC-2». Давайте поможем вам сделать это быстро». Шрав продолжил: «Что касается предприятий, их не особо заботит, чтобы все было сделано быстро. У них уже есть SOC2. Они хотят добиться большей эффективности в том, как они это делают. Они хотят автоматизировать многие рабочие процессы своего предприятия. Сказать что-то вроде: «Эй, давайте поможем вам добиться соответствия требованиям SOC2 за несколько недель, а не за месяцы», на этом уровне их не привлекает».

По этой причине отделы продаж в Secureframe полностью сегментированы по сегментам малого и среднего бизнеса, среднего бизнеса и предприятия. Шрав по-прежнему видит огромную ценность в SMB (в то время как многие другие отказались от обслуживания SMBS из-за бюджета), но Secureframe по-прежнему хочет быстрорастущие компании SMB, поскольку многие из их клиентов растут вместе с ними, поскольку смена поставщика соответствия гораздо сложнее, чем переключение, скажем инструмент продаж или маркетинга.

Не уверен, что вы заметили, но SOC-2 на самом деле является чрезвычайно конкурентной и многолюдной категорией в рамках SaaS.

«Если вы выигрываете каждую сделку, этого недостаточно, это прямо из блога SaaStr», — пошутил Шрав. «Наш тезис в отношении Secureframe на самом деле заключается в том, что последние 10 лет были разукрупнение программного обеспечения, и речь в основном идет о предложении точечного решения или микросервиса для всего.

И мы верим, что следующие 10 лет будут посвящены переупаковка программного обеспечения. А что касается других компаний в нашем пространстве, вам придется обратиться к другому поставщику для проверки готовности, обучения по вопросам безопасности, анкет по безопасности, центра доверия и т. д. И это множество поставщиков, которыми нужно управлять и интегрировать. И это никогда не интегрируется хорошо. Никогда не много. Благодаря надежной структуре мы держим все это под одной крышей и по-прежнему интегрируемся со многими другими партнерами».

Целью компании было стать наиболее полным поставщиком.

«Интересно, какая сегодня месть свиты, да?» — спросил Джейсон. «Вендр только что получил отчет, в котором говорилось, что в прошлом году80 процентов их расходов было потрачено на существующих поставщиков и на продление. Это 80 процентов за год, так что да, облачные бюджеты Gartner растут на 10 или более процентов, но ваши существующие поставщики поглощают все это. Так что чем больше вы можете предложить, тем выигрышнее, это выигрышная игра. Это довольно безумно».

[Встраиваемое содержимое]