Skärningspunkten mellan AI och säkerhet: Vad är nytt med Secureframes VD

I det senaste avsnittet av vår Vad är nytt serie, grundare och VD på Secureframe, Shrav Mehta, sätter sig ner med SaaStrs VD och grundare Jason Lemkin för att dela vad som är nytt på Secureframe, ett växande SOC-2- och compliance-programvaruföretag som bryter ut i SaaS.

I det här avsnittet kommer de att diskutera:

• När och varför behöver du uppfylla SOC-2 och ISO ISO 27001 som ett SaaS-företag
• Skärningspunkten mellan AI och säkerhet
• Efterlevnad under år två och därefter i SaaS
• Skillnader i att betjäna små och medelstora företag och företag
• Ompaketering av programvarutjänster

[Inbäddat innehåll]

För Jason inledde han intervjun med att dela med sig av sin erfarenhet – efterlevnad är faktiskt Year One-bordsinsatser för alla B2B SaaS-företag. 

“I was just catching up with a second-time founder who had taken his company public (and it was worth billions) and was doing another company,” Jason shared. “He was doing a freemium product and I was like ‘Why don’t you just walk into an Adobe or a Cisco and just close a six-figure deal? Even if your product’s not there, they’ll buy from you.’ And he was like, ‘yeah, but we have, we’re not like SOC 2 compliant.’”

Det kan tyckas lätt att rycka på axlarna eller vänta med att implementera ett verktyg för att hjälpa till med efterlevnad och säkerhet, men moralen i historien här är att du kommer att träffa en vägg ganska snabbt om du inte har implementerat ett efterlevnadsverktyg i slutet av året Ett. Särskilt när du sedan försöker ta dig in på mellan- och övre marknaderna, blir säkerheten bordsinsats för köpkommittén.

Shrav tillade att om du vill avsluta större affärer, inte bara Enterprise, utan även mellanstora och små och medelstora företag, att så fort du är redo att gå till marknaden måste du bli kompatibel.

"SOC-2 ses ofta som en kritisk standard för SaaS-programvara," förklarade Shrav. "Om du har kunder i din pipeline som du försöker avsluta så småningom upphandling eller om någon kommer att hålla upp dig någon gång om du inte har en SOC-2 eller ISO 27001. Eller en av dessa liknande certifieringar."

Så du måste bli kompatibel (eller uppdatera din säkerhet) ... vad nu?

Jo, med en app som Secureframe kan den automatisera cirka 80-90 % av den SOC-2-efterlevnad du behöver via integrationer och APIS – dvs koppla upp den till dina befintliga plattformar, verktyg etc. och låta den bryta data. Så tiden till implementering och efterlevnad är mycket snabbare nu än den brukade vara. Men Shrav förklarade när den automatiseringen inte nödvändigtvis kommer att skala längre. "JagOm du expanderar och skalar och du stänger fler affärer kan det motivera en heltidsanställning för att ta bort belastningen från teamet. Vi brukar se detta hända runt 50 till 100 anställda. Nu, om du är i FinTech eller en annan mycket reglerad bransch, kommer du förmodligen att göra dessa saker och ha en dedikerad anställning tidigare."

Planera runt 50-100 anställda för att anställa en IT-chef eller CISO (Chief Information and Security Officer) för att upprätthålla din efterlevnad och säkerhet. Sedan, när du skalar, eller in i år två, bör din efterlevnadschecklista se ut ungefär så här: 

• Under år 2-3 bör underhåll och förbättring av din efterlevnad bli en del av din operativa rytm
• Upprätthålla ISO 27001-certifiering och efterlevnad
• Kontinuerlig övervakning är avgörande
• Medan år ett vanligtvis är en fullständig certifieringsrevision, blir år 2-3+ en övervakningsrevision för att behålla din certifiering

I slutändan – vilken är bättre, SOC-2 eller ISO 27001? Beror på – men de flesta SaaS-företag nuförtiden kommer att vilja ha båda, och helst göras samtidigt eftersom det finns cirka 70 % överlappning mellan SOC-2-rapporten och ISO 27001-certifikatet. 

"Ofta om du vet att du måste få båda gjort, säger vi åt folk att göra det samtidigt och bara slå två flugor i en smäll," förklarade Shrav. "Nu som du avgör om du behöver SOC-2 eller ISO - de är väldigt lika. SOC-2 är mycket vanligare i USA, medan ISO 27001 är mycket vanligare om du har kunder i Europa, Australien och andra territorier. Och många av dessa kunder så det är också här dina kunder är baserade, inte nödvändigtvis där företaget är baserat, vilket är en vanlig missuppfattning.”

Det kommer att bli lite svårare för VD:ar och CTO:er att upprätthålla säkerhet och efterlevnad fram till 2024. 

"Du ser dataintrång hända hela tiden," sa Shrav. "Dessa har verkliga effekter. Så jag tror att vi bara kommer att fortsätta se det här, mer och mer och det kommer bara att finnas fler saker att följa. Det kommer bara att bli en fortsatt ökad granskning av säkerhet och integritet.”

Ribban kommer bara att bli högre när köpare ökar granskningen och AI blir mer integrerad i SaaS och teknik. 

Shrav ser säkerhet och AI som de två största ansiktena inom mjukvara för det kommande decenniet.

"Jag tror att säkerhet är ett av de största utrymmena bakom AI eftersom det alltid kommer att finnas fler och fler angripare och fler och fler intrång och fler och fler skäl att ha ett utökat säkerhetsprogram," förklarade Shrav. "Gartners senaste IT-utgiftsprognos sa att IT-tjänster förväntas vara en av de snabbast växande kategorierna 2024. Den växer med 10 procent som du vet, från förra året. Och 80 procent av dessa CISO:er sa att de planerar att öka sina utgifter för cyber- och informationssäkerhet."

En del av det kan bero på denna stora skärningspunkt mellan AI och säkerhet. Vi ser redan en enorm samling kunddata och nya hot från dessa AI-aktiverade cyberattacker, vilket bara kommer att signalera mer tillväxt i ett redan snabbt växande område. Så leta efter säkerhet och efterlevnad för att få fart i år.

Vi chattade nyligen med ZoomInfo VD Henry Schuck on hur det är att sälja och betjäna kunder som är både startups och företag. Så låt oss nu titta på det från en säkerhets- och efterlevnadssynpunkt. Hur servar Secureframe både nystartade företag och företagskunder? 

På SMB-sidan ser Secureframe mycket mer inkommande när de har en startup som får ett säkerhetsfrågeformulär från en potentiell ny kund och de måste bli SOC-2-kompatibla mycket snabbt för att avsluta affären. De har ett mycket specifikt problem som måste lösas - snabbt. På företagssidan är de ofta redan SOC-2-kompatibla och har en befintlig process, så vad de letar efter är att spara tid (och pengar) för att förbättra sin säkerhetseffektivitet i stor skala.

Så hur marknadsför du till dessa två radikalt olika segment som fortfarande behöver samma produkt?

"Många av meddelandena på SMB-sidan handlar om "Hej, låt oss göra dig SOC-2-kompatibel." Låt oss hjälpa dig att göra det snabbt.” Shrav fortsatte, "På företagssidan bryr de sig inte riktigt om att få det gjort snabbt. De har redan en SOC2. De vill bli mer effektiva med hur de gör det. De vill automatisera många av sina arbetsflöden. Att säga något i stil med "Hej, låt oss hjälpa dig att få SOC2-kompatibel på veckor och inte månader är inte så tilltalande för dem på den nivån."

Säljteamen på Secureframe är helt segmenterade efter SMB vs. Mid-Market vs. Enterprise av denna anledning. Shrav ser fortfarande massor av värde i SMB (medan många andra har slutat betjäna SMBS på grund av budget) men Secureframe vill fortfarande ha de snabbväxande SMB-företagen eftersom många av deras kunder växer med dem eftersom det är mycket svårare att byta efterlevnadsleverantör än att byta, t.ex. försäljnings- eller marknadsföringsverktyg.

Inte säker på om du kanske har märkt det, men SOC-2 är faktiskt en extremt konkurrenskraftig och trång kategori inom SaaS.

"Om du vinner varje affär räcker du inte, det är direkt från SaaStr-bloggen," skämtade Shrav. "Vår tes med Secureframe är verkligen att de senaste 10 åren har handlat om åtskillnad av mjukvara och det handlar i stort sett om att erbjuda en punktlösning eller mikrotjänst för allt.

Och vi tror att de kommande 10 åren kommer att handla om återbuntning av programvara. Och med andra företag i vårt utrymme måste du gå till en annan leverantör för din beredskap, din utbildning i säkerhetsmedvetenhet, dina säkerhetsfrågeformulär, ditt förtroendecenter, etc. Och det är många leverantörer att hantera och integrera. Och det integrerar aldrig snyggt. Aldrig mycket av det. På säker ram håller vi allt under ett tak och vi integrerar fortfarande med många av dessa andra partners.”

Målet för dem har varit att bli den mest heltäckande leverantören.

"Det är intressant hur det är svitens hämnd idag, eller hur?" frågade Jason. "Vendr hade precis en rapport som sa det förra året80 procent av deras utgifter gick till befintliga leverantörer och förnyelser. Det är 80 procent på ett år, så ja, molnbudgetarna växer med 10 procent eller mer för Gartner, men dina befintliga leverantörer absorberar allt. Så ju mer du kan erbjuda är det vinnande, det är det vinnande spelet. Det är ganska galet.”

[Inbäddat innehåll]

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.saastr.com/the-intersection-of-ai-and-security-whats-new-at-secureframe-with-ceo-shrav-mehta/