จุดบรรจบของ AI และความปลอดภัย: มีอะไรใหม่กับ CEO ของ Secureframe

เผยแพร่ซ้ำโดยเพลโต

ผู้ติดตาม: 0

ในตอนล่าสุดของพวกเรา มีอะไรใหม่ Shrav Mehta ผู้ก่อตั้งและซีอีโอของ Secureframe นั่งคุยกับ Jason Lemkin ซีอีโอและผู้ก่อตั้ง SaaStr เพื่อแบ่งปันว่ามีอะไรใหม่ใน Secureframe ซึ่งเป็นบริษัทซอฟต์แวร์ SOC-2 และการปฏิบัติตามกฎระเบียบที่กำลังเติบโตใน SaaS

ในตอนนี้ พวกเขาจะพูดถึง:

เมื่อใดและเพราะเหตุใดคุณจึงต้องปฏิบัติตาม SOC-2 และ ISO ISO 27001 ในฐานะบริษัท SaaS
จุดตัดของ AI และความปลอดภัย
การปฏิบัติตามข้อกำหนดในปีที่สองและต่อๆ ไปใน SaaS
ความแตกต่างในการให้บริการ SMB และองค์กร
การรวมกลุ่มบริการซอฟต์แวร์ใหม่

[เนื้อหาฝัง]

สำหรับ Jason เขาเปิดการสัมภาษณ์โดยแบ่งปันประสบการณ์ของเขาว่า การปฏิบัติตามกฎระเบียบถือเป็นเดิมพันปีแรกสำหรับบริษัท B2B SaaS ทั้งหมด

“I was just catching up with a second-time founder who had taken his company public (and it was worth billions) and was doing another company,” Jason shared. “He was doing a freemium product and I was like ‘Why don’t you just walk into an Adobe or a Cisco and just close a six-figure deal? Even if your product’s not there, they’ll buy from you.’ And he was like, ‘yeah, but we have, we’re not like SOC 2 compliant.’”

อาจดูเหมือนง่ายที่จะเพิกเฉยหรือรอที่จะใช้เครื่องมือเพื่อช่วยในเรื่องการปฏิบัติตามกฎระเบียบและการรักษาความปลอดภัย แต่ขวัญกำลังใจของเรื่องราวที่นี่คือ คุณจะเจอกำแพงอย่างรวดเร็วหากคุณไม่ได้ใช้เครื่องมือการปฏิบัติตามกฎระเบียบภายในสิ้นปีนี้ หนึ่ง. โดยเฉพาะอย่างยิ่งเมื่อคุณพยายามเข้าสู่ตลาดระดับกลางและระดับบน ความปลอดภัยจะกลายเป็นเดิมพันสำหรับคณะกรรมการจัดซื้อ

Shrav กล่าวเพิ่มเติมว่าหากคุณต้องการปิดข้อตกลงที่ใหญ่กว่า ไม่ใช่แค่ระดับองค์กรเท่านั้น แต่ยังรวมถึงตลาดระดับกลางและ SMB ด้วยเช่นกัน ทันทีที่คุณพร้อมที่จะเข้าสู่ตลาด คุณจะต้องปฏิบัติตามข้อกำหนด

“SOC-2 มักถูกมองว่าเป็นมาตรฐานที่สำคัญสำหรับซอฟต์แวร์ SaaS” Shrav อธิบาย “หากคุณมีลูกค้าในไปป์ไลน์ของคุณซึ่งคุณกำลังพยายามปิดการจัดซื้อจัดจ้างในท้ายที่สุด หรือมีใครบางคนกำลังรั้งคุณไว้หากคุณไม่มี SOC-2 หรือ ISO 27001 หรือใบรับรองใดใบรับรองหนึ่งที่คล้ายคลึงกันเหล่านี้”

ดังนั้นคุณต้องปฏิบัติตามข้อกำหนด (หรืออัปเดตความปลอดภัยของคุณ) … จะทำอย่างไรตอนนี้?

ด้วยแอปอย่าง Secureframe ทำให้สามารถปฏิบัติตาม SOC-80 ได้ประมาณ 90-2% ที่คุณต้องการโดยอัตโนมัติผ่านการผสานรวมและ APIS เช่น การเชื่อมต่อกับแพลตฟอร์ม เครื่องมือ ฯลฯ ที่คุณมีอยู่ และปล่อยให้มันขุดข้อมูล ดังนั้นเวลาในการนำไปใช้และการปฏิบัติตามข้อกำหนดจึงรวดเร็วกว่าที่เคยเป็นมามาก อย่างไรก็ตาม Shrav อธิบายว่าเมื่อใดที่ระบบอัตโนมัตินั้นไม่จำเป็นต้องปรับขนาดอีกต่อไป "ฉันหากคุณกำลังขยายและขยายขนาดและปิดการขายมากขึ้น การจ้างงานเต็มเวลาก็อาจช่วยแบ่งเบาภาระของทีมได้ เรามักจะเห็นเหตุการณ์เช่นนี้เกิดขึ้นกับพนักงานประมาณ 50 ถึง 100 คน ตอนนี้ หากคุณอยู่ใน FinTech หรืออุตสาหกรรมอื่นที่มีการควบคุมอย่างเข้มงวด คุณอาจจะต้องทำสิ่งเหล่านี้และได้รับการจ้างงานเฉพาะก่อนหน้านี้”

วางแผนพนักงานประมาณ 50-100 คนเพื่อจ้างผู้จัดการฝ่ายไอทีหรือ CISO (หัวหน้าเจ้าหน้าที่สารสนเทศและความปลอดภัย) เพื่อรักษาการปฏิบัติตามข้อกำหนดและความปลอดภัยของคุณ จากนั้น เมื่อคุณขยายหรือเข้าสู่ปีที่สอง รายการตรวจสอบการปฏิบัติตามกฎระเบียบของคุณควรมีลักษณะดังนี้:

ในปีที่ 2-3 การรักษาและปรับปรุงการปฏิบัติตามกฎระเบียบของคุณควรกลายเป็นส่วนหนึ่งของจังหวะการปฏิบัติงานของคุณ
รักษาการรับรองและการปฏิบัติตามมาตรฐาน ISO 27001
การตรวจสอบอย่างต่อเนื่องเป็นสิ่งสำคัญ
แม้ว่าปีแรกจะเป็นการตรวจสอบการรับรองเต็มรูปแบบ แต่ปี 2-3 ขึ้นไปจะกลายเป็นการตรวจสอบเฝ้าระวังเพื่อรักษาการรับรองของคุณ

ท้ายที่สุดแล้ว อันไหนดีกว่า SOC-2 หรือ ISO 27001 ขึ้นอยู่กับ – แต่บริษัท SaaS ส่วนใหญ่ในปัจจุบันต้องการมีทั้งสองอย่าง และจะทำได้ในเวลาเดียวกัน เนื่องจากมีเรื่องทับซ้อนกันประมาณ 70% ระหว่างรายงาน SOC-2 และใบรับรอง ISO 27001

“บ่อยครั้งหากคุณรู้ว่าจำเป็นต้องทำทั้งสองอย่างให้เสร็จ เราจะบอกให้คนอื่นทำให้เสร็จพร้อมๆ กัน และเพียงแค่ยิงปืนนัดเดียวได้นกสองตัว” Shrav อธิบาย “ตอนนี้ วิธีที่คุณใช้ตัดสินใจว่าคุณต้องการ SOC-2 หรือ ISO นั้น มีความคล้ายคลึงกันมาก SOC-2 นั้นพบเห็นได้ทั่วไปในสหรัฐอเมริกา ในขณะที่ ISO 27001 นั้นพบเห็นได้ทั่วไปมากกว่ามากหากคุณมีลูกค้าในยุโรป ออสเตรเลีย และดินแดนอื่นๆ และลูกค้าจำนวนมากเหล่านั้น ดังนั้น ที่นี่จึงเป็นที่ที่ลูกค้าของคุณอาศัยอยู่ ไม่จำเป็นว่าบริษัทจะตั้งอยู่ที่ใด ซึ่งเป็นความเข้าใจผิดที่พบบ่อย”

ซีอีโอและ CTO จะยากขึ้นเล็กน้อยในการรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนดในปี 2024

“คุณจะเห็นการละเมิดข้อมูลเกิดขึ้นตลอดเวลา” Shrav กล่าว “สิ่งเหล่านี้กำลังมีผลกระทบในโลกแห่งความเป็นจริง ดังนั้นผมคิดว่าเราจะได้เห็นสิ่งนี้ต่อไป มากขึ้นเรื่อยๆ และจะมีสิ่งต่างๆ มากมายที่ต้องปฏิบัติตาม จะมีการตรวจสอบความปลอดภัยและความเป็นส่วนตัวเพิ่มขึ้นอย่างต่อเนื่อง”

แถบจะสูงขึ้นก็ต่อเมื่อผู้ซื้อเพิ่มการตรวจสอบข้อเท็จจริงและ AI จะถูกบูรณาการใน SaaS และเทคโนโลยีมากขึ้น

Shrav มองว่าความปลอดภัยและ AI เป็นสองหน้าที่สำคัญที่สุดในซอฟต์แวร์ในทศวรรษหน้า

“ผมคิดว่าการรักษาความปลอดภัยเป็นหนึ่งในพื้นที่ที่ใหญ่ที่สุด ซึ่งอยู่เบื้องหลัง AI เพราะว่าจะมีผู้โจมตีเพิ่มมากขึ้นเรื่อยๆ และการละเมิดมากขึ้นเรื่อยๆ และมีเหตุผลมากขึ้นเรื่อยๆ ที่จะมีโปรแกรมรักษาความปลอดภัยที่เข้มข้นขึ้น” Shrav อธิบาย “การคาดการณ์การใช้จ่ายด้านไอทีล่าสุดของ Gartner ระบุว่าบริการด้านไอทีถูกคาดการณ์ว่าจะเป็นหนึ่งในหมวดหมู่ที่เติบโตเร็วที่สุดในปี 2024 โดยจะเพิ่มขึ้น 10 เปอร์เซ็นต์จากปีที่แล้ว และ 80 เปอร์เซ็นต์ของ CISO เหล่านี้กล่าวว่าพวกเขาวางแผนที่จะเพิ่มการใช้จ่ายด้านความปลอดภัยทางไซเบอร์และข้อมูล”

ส่วนหนึ่งอาจเป็นเพราะจุดตัดขนาดใหญ่ระหว่าง AI และความปลอดภัย เราได้เห็นการรวบรวมข้อมูลลูกค้าจำนวนมากและภัยคุกคามใหม่ๆ จากการโจมตีทางไซเบอร์ที่ใช้ AI ซึ่งจะส่งสัญญาณการเติบโตที่มากขึ้นในพื้นที่ที่เติบโตอย่างรวดเร็วอยู่แล้ว ดังนั้นมองหาการรักษาความปลอดภัยและการปฏิบัติตามกฎระเบียบเพื่อเพิ่มแรงผลักดันในปีนี้

เราเพิ่งคุยกับ ZoomInfo ซีอีโอ เฮนรี ชุค on การขายและบริการลูกค้าที่เป็นทั้งสตาร์ทอัพและองค์กรเป็นอย่างไร- ตอนนี้เรามาดูสิ่งนั้นจากมุมมองด้านความปลอดภัยและการปฏิบัติตามข้อกำหนดกัน Secureframe ให้บริการทั้งสตาร์ทอัพและลูกค้าองค์กรอย่างไร

ในด้าน SMB นั้น Secureframe มองเห็นช่องทางขาเข้ามากขึ้นเมื่อพวกเขาให้สตาร์ทอัพได้รับแบบสอบถามด้านความปลอดภัยจากผู้ที่อาจเป็นลูกค้าใหม่ และพวกเขาจำเป็นต้องปฏิบัติตามข้อกำหนด SOC-2 อย่างรวดเร็วเพื่อปิดข้อตกลง พวกเขามีปัญหาเฉพาะเจาะจงที่ต้องแก้ไข — รวดเร็ว แม้ว่าจะอยู่ในฝั่งองค์กร พวกเขามักจะปฏิบัติตาม SOC-2 อยู่แล้วและมีกระบวนการที่มีอยู่แล้ว ดังนั้นสิ่งที่พวกเขากำลังมองหาคือการประหยัดเวลา (และเงิน) เพื่อปรับปรุงประสิทธิภาพการรักษาความปลอดภัยในวงกว้าง

แล้วคุณจะทำการตลาดกับสองกลุ่มที่แตกต่างกันอย่างสิ้นเชิงซึ่งยังคงต้องการผลิตภัณฑ์เดียวกันได้อย่างไร

“มีข้อความมากมายในฝั่ง SMB ว่า 'เฮ้ เรามาทำความเข้าใจกับ SOC-2 ของคุณกันเถอะ' มาช่วยให้คุณทำมันได้อย่างรวดเร็ว” Shrav กล่าวต่อว่า “ในด้านองค์กร พวกเขาไม่สนใจมากนัก และจะดำเนินการให้เสร็จสิ้นอย่างรวดเร็ว พวกเขามี SOC2 อยู่แล้ว พวกเขาต้องการได้รับประสิทธิภาพมากขึ้นด้วยวิธีที่พวกเขาทำ พวกเขาต้องการทำให้เวิร์กโฟลว์ขององค์กรจำนวนมากเป็นแบบอัตโนมัติ การพูดประมาณว่า 'เฮ้ มาช่วยให้คุณปฏิบัติตามข้อกำหนด SOC2 ในเวลาไม่กี่สัปดาห์หรือหลายเดือนไม่ได้น่าสนใจสำหรับพวกเขาในระดับนั้น”

ทีมขายที่ Secureframe ถูกแบ่งกลุ่มโดย SMB เทียบกับ Mid-Market และ Enterprise ด้วยเหตุผลนี้ Shrav ยังคงมองเห็นคุณค่ามากมายใน SMB (ในขณะที่บริษัทอื่นๆ จำนวนมากลดการให้บริการ SMBS เนื่องจากงบประมาณ) แต่ Secureframe ยังคงต้องการบริษัท SMB ที่เติบโตอย่างรวดเร็ว เนื่องจากลูกค้าจำนวนมากของพวกเขาเติบโตไปพร้อมกับพวกเขา เนื่องจากการเปลี่ยนผู้จำหน่ายการปฏิบัติตามกฎระเบียบนั้นยากกว่าการเปลี่ยนพูดว่า เครื่องมือการขายหรือการตลาด

ไม่แน่ใจว่าคุณอาจสังเกตเห็นหรือไม่ แต่จริงๆ แล้ว SOC-2 เป็นหมวดหมู่ที่มีการแข่งขันสูงและมีผู้คนหนาแน่นภายใน SaaS

“หากคุณชนะทุกข้อตกลง คุณยังไม่เพียงพอ มันส่งตรงจากบล็อก SaaStr” Shrav พูดติดตลก “วิทยานิพนธ์ของเราเกี่ยวกับ Secureframe นั้นเป็นเรื่องเกี่ยวกับช่วง 10 ปีที่ผ่านมา การยกเลิกการรวมกลุ่ม ของซอฟต์แวร์และแทบจะเป็นการนำเสนอโซลูชันเฉพาะจุดหรือไมโครเซอร์วิสสำหรับทุกสิ่ง

และเราเชื่อว่าอีก 10 ปีข้างหน้าจะเป็นเรื่องของ การรวมกลุ่มใหม่ ของซอฟต์แวร์ และสำหรับบริษัทอื่นๆ ในพื้นที่ของเรา คุณต้องไปที่ผู้จำหน่ายรายอื่นเพื่อความพร้อม การฝึกอบรมการรับรู้ด้านความปลอดภัย แบบสอบถามด้านความปลอดภัย ศูนย์ความเชื่อถือของคุณ ฯลฯ และนั่นเป็นผู้จำหน่ายจำนวนมากที่ต้องจัดการและบูรณาการ และมันไม่เคยเข้ากันได้ดีเลย ไม่เคยมากของมัน ที่เฟรมที่ปลอดภัย เราเก็บทั้งหมดนี้ไว้ในที่เดียว และเรายังคงผสานรวมกับพันธมิตรอื่นๆ จำนวนมากเหล่านี้”

เป้าหมายของพวกเขาคือการเป็นผู้ขายที่ครอบคลุมที่สุด

“น่าสนใจว่าวันนี้การแก้แค้นของห้องชุดเป็นยังไงบ้าง ใช่ไหม?” เจสันถาม -Vendr เพิ่งมีรายงานบอกว่าเมื่อปีที่แล้ว80 เปอร์เซ็นต์ของการใช้จ่ายไปที่ผู้ขายที่มีอยู่และการต่ออายุ 80 เปอร์เซ็นต์ในหนึ่งปี ใช่แล้ว งบประมาณระบบคลาวด์กำลังเพิ่มขึ้น 10 เปอร์เซ็นต์หรือมากกว่านั้นสำหรับ Gartner แต่ผู้จำหน่ายปัจจุบันของคุณกำลังดูดซับงบประมาณทั้งหมด ดังนั้นยิ่งคุณเสนอได้มากเท่าไรก็ยิ่งชนะ การเล่นก็จะเป็นผู้ชนะ มันค่อนข้างจะบ้าไปแล้ว”

[เนื้อหาฝัง]