本周,我们的嘉宾是Strike Graph的首席执行官兼联合创始人Justin Beals 。 Strike Graph 是一种合规性 SAS 解决方案,可简化 SOC 2、ISOO 27001、HIPAA 和 PCI DSS 合规性等安全认证。
在这一集中,我们讨论了有效的合规计划对科技公司满足客户要求和缩短完成销售时间的重要性。随着监管机构和公司寻求领先于安全威胁,我们还探讨了合规标准中不断变化的安全格局。
关键问题:
- 您能描述一下科技公司的网络安全和合规标准吗?
- 传统联网设备和物联网设备在要求上有何显着差异?
- 技术提供商、软件提供商、设备制造商或运营商根据其运营模式面临哪些挑战?
音频文字.
埃里克:贾斯汀,欢迎来到播客。
贾斯汀:谢谢邀请我。很高兴加入你,埃里克。
埃里克:那么,你就在我出生的那片雾蒙蒙的西北部。你是在那里出生长大的,还是搬到那里的?
贾斯汀:不,我不是在这里出生的。我来自佐治亚州的亚特兰大。那是我长大的地方。通过多家公司和与优秀同事的关系,大约六年前我有机会搬到太平洋西北地区。我真的很喜欢它。当然,这里的户外活动很美。真的,这是一个很棒的创业科技行业生态系统,也是我喜欢做的工作类型。
埃里克:是的,没错。这是一个伟大的城市。我坐在上海。由于封锁,我已经四年没有离开中国了。我现在非常想念西北的群山。
贾斯汀:嗯,它仍然会在这里。你已经有数百万年了,埃里克。
埃里克:是的。对,是真的。我只需要确保我的膝盖能支撑住。嗯,你有一个迷人的背景。我不知道你与多少家科技公司合作过,但你真的涵盖了这里的所有领域。我很想了解您是如何说服自己深入研究这个特定主题的。与创始人交谈并了解这个特定的安全性和合规性问题是什么让你兴奋并促使你建立 Strike Graph 总是很有趣。
贾斯汀:是的,我当然有点像连续创业者。你总是试图意识到的一件事是,你正在处理的市场问题,你的同事正在处理的问题,你认为你可以解决的问题。
在成为 CEO 之前,我通常扮演首席技术官的角色。大约六年前,我在西雅图华盛顿地区的一家初创公司工作。我们有一个人工智能产品可以预测求职者成为高绩效者的可能性。为了支持最准确的模型,我们需要大量数据。我们的目标市场是拥有大量员工数据的财富 50 强企业,因此我们可以建立模型并匹配合适的求职者。
当我们开始销售我们的解决方案时,我们遇到了一个我们没有预料到但意识到我们正在努力解决的真正问题。也就是说,突然之间,公司与我们共享数据。这些员工数据对我们的安全状况非常敏感。所以,我们陷入了一个非常困难的境地,我们得到了购买我们产品的口头协议,但他们总是需要 18 个月,有时甚至更长的时间才能签署合同。因此,我们无法以足够快的速度发展业务来吸引新资本来发展它。
我真的很难解决这个问题。作为首席技术官,我们总是会实施良好的安全措施。但我从来没有被挑战过如何以真正有效的方式传达良好的安全实践,以便关注我们的买家能够对我们的解决方案产生信任感——我们关心数据的方式,以及我们关心他们——真的很快。这就是我真正对问题领域感兴趣的原因。
我不是守规矩的人。我不是前审计员。我的职业不是 CSO。我可能是一名真正意识到这是一项严峻的商业挑战的从业者,并且还意识到我的同事和我曾经工作过的所有公司都需要共享数据来为我们的产品提供动力。所以,这将是一个广泛的问题。
埃里克:这很迷人。我们在北美有一个合作伙伴。就在大约三周前,他们失去了一个项目,因为他们没有进行网络安全审计。这是一家咨询公司,主要从事市场研究和战略工作。这是他们的一个长期客户,在过去几个季度的某个时候,他们决定他们所有的供应商都需要确保他们的云等是安全的。因为他们实际上并没有意识到这个过程,所以他们输掉了这次竞标。
我认为这说明了现在的要求有多广泛。它不仅适用于 SaaS 公司。对于某些行业,基本上任何供应商都需要通过某种程度的合规性。
贾斯汀:是的,没错,埃里克。我认为了解为什么会发生这种情况的统计数据之一是,大约 70% 的重大数据泄露来自第三方供应商,即使它只是一台带有客户端列表的笔记本电脑。这就是买家对这个特定问题变得如此敏感的原因。这是一个巨大的安全表面区域,可能会导致非常大的数据丢失。
埃里克:当我们谈论网络安全和合规性时,我们谈论的是什么情况?因为我猜你有所有这些不同的基础设施节点,然后你可能还有内部政策。我猜这是技术方面,然后是流程或人为方面。那么,这个景观的范围是什么?
贾斯汀:作为首席技术官,我学到了一件事,当时我并不理解,但现在我做得更好了——尤其是阅读了人们追求的许多合规标准——实际上只有大约 40% 的标准是我所说的特别是网络安全。标准覆盖范围大部分是关于业务运营特征的。
当然,我们看到客户正在追求的北美最常见标准是 SOC 2。他们将拥有该标准的一部分。也就是说,您如何管理数据?它是加密的吗?您的服务器前面是否有防火墙?这些类型的更传统的网络安全挑战。但是,还有很多事情,您的员工入职和离职流程是什么?您的董事会透明度流程是什么?
我认为我们考虑安全状况的方式实际上是一种以控制为中心的设计。控制只是关于您将要实施的某种类型的安全习惯或活动的非常小的陈述。例如,您可以有一个控件说我们要加密我们的生产数据库,或者您可以有一个控件说我们要让每个新员工签署可接受的使用政策,以便他们了解我们对使用的要求我们公司的设备和笔记本电脑。这与实践范围有很大关系。
在这里考虑合规性的方式有两种不同类型的合规性。更传统的一种是我喜欢称之为责任合规。责任合规的一个很好的例子是 HIPAA。您可以声明您符合 HIPAA 标准。您不必为此进行测试。但如果您不是,并且被发现不是,您可能要承担诉讼责任。所以,你的律师会说,“嘿,这是一种责任。我们应该关注这一点。我们应该遵守规定。”
还有另一种类型的合规性更多地与销售有关。我们听到最多的标准是 SOC 2、ISO 27001、PCI DSS,如果您没有根据这些特定标准进行审计或认证,您将无法在市场上赢得交易。这些是我们为客户解决最多的问题,因为它们是收入问题。因此,市场确实希望走出去并实现这些特定的合规标准。
埃里克:我想我们可以从多个不同的角度来看待这个问题。但也许从一个地方开始,仅仅因为我们播客的性质,将是更传统的互联网连接设备(手机、笔记本电脑等)与物联网设备(无论是医疗保健设备、传感器)之间的需求差异。能源基础设施等。这两者之间有显着差异吗?它们是否都受同一组要求的约束?
贾斯汀:要求是一样的。这是一件好事。标准并没有真正改变,具体取决于技术基础设施。我必须感谢这些标准的作者。他们真的让他们表现得更像一个标题。这是一种测试方法,而不是关于您将如何实施安全性的具体规定。这也是另一个常见的误解,认为标准会告诉我该怎么做。不是那么多。它要告诉你的是,嘿,你应该对数据保密。但是你如何做到这一点是非常不同的。
因此,我们可以讨论,在基于 Web 的应用程序中,在移动应用程序中,有很多不同的技术来保持数据的私密性。在 IoT 类型的实施或小型设备或硬件实施中,您仍然会考虑,对于这些设备中的每一个,我在该设备上和从该设备上获取数据的加密方法是什么?该特定设备上的数据存储是什么?如何确保删除不再需要的数据,从而不会带来安全风险?也许您可能会想到另一件事,有没有一种方法可以关闭设备或从我的网络中删除设备,以免它变成不良行为者?
您必须以不同的方式考虑它。您需要考虑您的安全性,您的产品和公司的独特之处。但从广义上讲,我对所有解决方案的最佳建议是真正遵循数据。那是您将获得最多有关安全性问题的地方。当然,对于 IoT 解决方案,您可以只考虑数据传输和数据网络、发生了什么以及如何保护该基础设施。
埃里克:好的。清除。从另一个角度来看这个问题是垂直的角度。您已经提到 HIPAA。当然,医疗保健将成为数据安全监管最严格的行业之一。如果我们看看制造业,汽车——我想对于联网汽车,这会成为一个更大的问题——也许是公共基础设施?这些其他垂直行业在合规性和网络安全方面是否也有独特的监管领域?
贾斯汀:是的,你完全正确,埃里克。有些标准有时专注于某些垂直领域。这可以帮助您选择要关注的内容。我们从一般标准开始。这些是一般的商业标准。它们在垂直市场上非常有用。因此,您可能会将它们视为起点。
在北美,SOC 2 是我们为客户解决的最常见的标准。这是一个通用的商业标准。当然,例如,这就是 Strike Graph 已经实现并且我们使用的那个。因为我们的解决方案用于多个不同的垂直领域。
ISO 27001 是 ISO 27001,我们在亚洲听到最多的类似标准——两者的维恩图非常紧凑。我认为从一般的商业标准来看,包括商业成熟度和安全状况伟大的。假设你在汽车行业。您正在处理物联网,但似乎没有关于设备和中央服务器安全性以及您使用直接适用于您的信息的方式的标准。您可以使用 ISO 27001 之类的标准作为开始的重要标准。
现在,一般来说,特别是对于制造业,您会听到很多关于 ISO 9001 的信息,这是一种质量保证类型的标准,并且被广泛接受。但是如果你在运输,它就不会覆盖那么多数据。如果您要来回传输大量数据,则可能需要两个。我们有很多客户提供不止一种标准的成就。这是一个很难的消息,但却是真实的,也许在某种程度上,因为你可能从一个开始。就像,嘿,我们想要获得 SOC 2。但是,我们有客户意识到他们的产品正在用于患者医疗保健信息。所以,现在他们也在做 HIPAA。因为 HIPAA 处理患者的医疗保健信息。好消息是所有这些事情都有一些重叠。您为其中一个所做的一些工作通常会应用于另一个。您真正只想做的是寻找差距并填补该差距。
埃里克:好吧,让我们在这里稍微了解一下 Strike Graph 的业务。也许首先从业务角度介绍它,然后我们才能进入技术领域。在某种程度上,这显然是世界上每家公司都必须思考的话题。但作为一家公司,你必须选择你的战斗。那么,您主要与谁一起工作?
贾斯汀:我们的主要客户是中端市场客户。我们专注于拥有 50 名员工至 5,000 名员工的公司。这是我们关注的一个很好的市场。我们发现这些客户更有经验,更有弹性。他们也往往有专门的资源来解决这个问题。这可能是每个人,从知道他们需要花时间在这上面的 CTO 到 CSO、安全副总裁、首席风险官或合规总监。这对我们来说真的是一个很好的关系开始,我们在组织内部有一位领导者和拥护者,他们将推出更广泛的安全态势。
埃里克:你是否更多地与技术供应商、软件供应商、设备制造商或运营商合作?如果这三者都有一点,那么了解这些不同公司中的每一个将根据其运营模式面临的不同挑战是什么会很棒?
贾斯汀:是的,这是一个很大的组合。这是一个非常庞大的市场和许多不同类型的公司。但我很高兴谈论一些主要的、一些我们认为是 Strike Graph 客户的更大的人群。最大的群体可能是 B2B SaaS Web 应用程序。在市场上运营几乎是一项要求,以获得这些合规性认证之一。所以,我会说这是最大的群体。他们正在处理典型的 AWS 或您的类型云实施,然后是他们公司的业务流程。
这跨越多个垂直领域。所以,我想说我们在金融科技、健康科技、人工智能科技方面几乎同样拥有公司。我不知道怎么形容这个。几乎就像为技术而技术的数据库供应商,甚至是硬件供应商文件系统、软件供应商之类的东西。我们在该垂直领域拥有相当数量的教育技术公司。所以,这是一个真正的混合物。
我想说,我们确实有一些公司更多地基于移动应用程序,还有一些公司从事设备管理。所以,有一些组织。但他们也将有一个中央服务器,在那里他们处理开启和关闭的数据传输。假设他们正在执行 BYOD 移动设备管理。他们仍将拥有集中式服务器,他们必须在其中管理相当多的重要数据。
然后我们有一些公司是咨询公司。正如您所提到的,我们开始越来越多地看到这种影响,从根本上说,公司将走向何方——它们对更大组织的运营至关重要。他们只是被要求满足这些安全标准作为成熟的标志,而不是网络安全实施。
埃里克:明白了。然后,如果我们看看您在这里引入市场的解决方案,至少在您的网页上处于较高水平,我会看到三种产品:AI 安全问卷、渗透测试和集成。我直觉上想到的方式是,问卷调查是关于检查您是否有正确的流程。笔测试正在挑战这些过程并弄清楚它们中是否存在任何漏洞。然后集成听起来像是您可能有一些可以帮助人们应对挑战的解决方案,一些软件解决方案。但是也许您可以从您的解决方案堆栈中阐明它是什么样子,然后如果我们深入了解您如何在客户端上部署的一些技术细节。
贾斯汀:埃里克,我可能会把它拉回来一点。当我们为我们的产品做广告时,很多人都在思考解决方案是什么。但我认为,有一种更好的方法来捕捉 Strike Graph 提供的广泛价值。
Strike Graph 是一个安全编排和测量平台。我将分解这两个方面。我们解决方案的安全编排包括三个主要步骤——设计正确的安全态势。我的组织的安全范围是什么?我们拥有风险评分工具、控制识别工具、标准映射工具等功能,因此您可以设计适合您业务的正确安全态势。
Strike Graph 安全编排的第二部分是在您的组织中分配该安全化的责任。因此,您的人力资源副总裁被分配了对在职和离职人才的控制权。作为我们的首席执行官,我拥有对 Strike Graph 透明度的控制权。例如,我们的 CTO 负责数据加密。这是安全编排的另一个重要方面。
然后最后一部分是验证该安全操作。验证发生的方式是你必须收集证据,几乎就像收据一样,你在那个控制下操作。这是在 Strike Graph 平台上以多种方式完成的。最简单的方法之一是,用户可以登录并上传该数据。例如,我可能会上传之前董事会会议的董事会会议记录,以显示董事会的透明度。但是我们也有深度集成,可以自动收集证据,这样我们就可以从您的 AWS 云环境中提取,这样我们就可以从陪审员中提取,这样我们就可以从 GitHub 或 JIRA 中提取安全实施的示例一些真正关键的云提供商通过集成。这就是安全编排泡沫。
现在让我们谈谈测量。您提到了我们进行测量的两种非常简单的方法。一是渗透测试。因此,我们拥有经过认证的网络渗透测试员。我们可以针对移动应用程序中的任何内容执行渗透任务。我们可以对 Web 应用程序进行渗透测试。我们进行合规渗透测试——ISO 27001、SOC 2、PCI DSS 类型渗透测试。这就是测量。我们希望作为独立评估员来衡量安全实施,并获得什么是销售资产,即来自 Strike Graph 的渗透测试的结果。
此外,还有安全问卷工具,您可以在其中收到一份安全问卷,这是对您的安全状况的自我评估。我们接受这些问题,并使用自然语言处理来识别您正在操作的控件,以证明您的主动安全操作。但是还有一种更大的测量形式。从作为外包内部审计师执行的一切,像 SOC 2 审计作为 ISO 27001 审计的一切都不是认证机构,而是您的 ISO 27001 合规性的审计员。我们也提供 HIPAA 认证。所以,我们也可以对照标准来衡量。
回顾一下,Strike Graph 作为解决方案的真正强大之处在于,我们不仅提供了安全编排平台,以便您的公司可以运行满足您业务需求的安全态势,而且我们将测量要求紧随其后,以获得这些认证或对适当安全操作的独立评估。对于我们的客户来说,它只是一个非常强大的工具。
埃里克:使用节奏是什么样的?这是需要每年重新评估的大量年度活动,还是在有特定产品更新时?这是一个持续收集数据的集成,并且有一个仪表板,您可以在其中看到最新状态?我想,您还必须在客户方面与不断发展的组织合作。
贾斯汀:是的。那么,让我们从这些测量活动开始吧。我需要多久更新一次 SOC 2 审核或 ISO 27001 认证?一般要求是您每年需要经历一次该测试阶段。但正在发生的事情与财务审计非常相似。评估不只是针对那个时刻。它实际上是对您前一年实践的历史分析。
可以说,Strike Graph 平台上发生的事情只是一个简单的证据。我们需要提供一年中最新的政策变化。也许你每六个月才这样做一次。也许您在更改政策时及时这样做。也许是一年一次。但在那段时间里,Strike Graph 系统要么通过自动集成收集信息,系统会提示用户上传信息。
但是当我们处理防火墙配置时,我们可能会从每天到每季度收集所有内容,并定期从您的云提供商处收集所有内容。就像财务审计一样,您不能关闭一个月的银行记录并期望通过您的财务审计。同样,对于合规性审计,您全年都需要 Strike Graph。因此,当您进行测量时,您已经收集了前一年的所有收据。
节奏非常不同,具体取决于需要收集证据的频率。但这是一项持续的活动,因为安全应该如此。对吧,埃里克?我们应该全年运行我们的安全态势。
埃里克:明白了。是的,我猜你有这些年度要求,合规要求。是否也有临时情况?比方说,是否存在诉讼,然后争先恐后地收集数据以分配特定案件或其他临时情况的责任?那些通常会被定期完成更多的年度工作所涵盖吗?
贾斯汀:当然,如果你确定你有重大违规行为并且你想在实践中进行调查,你可以回顾我们收集的数据。这通常不是我们所看到的。但随着公司的成熟,某些标准将需要更频繁的审计。例如,FedRAMP——在美国是与联邦政府合作的要求——有季度审计要求。当您进入市场以获得更大的合同时,数据会更加敏感。您会发现越来越需要定期进行评估。
埃里克:好吧,让我们谈谈这里涉及的人。您之前提到过,您通常与拥有 CSO 的组织合作,或者他们有专人负责此事。因此,我想这将是您在运行审计方面的主要接触点。
但是后来,你也提到了其他人。您可能涉及人力资源部。因为,很明显,在网络安全方面,人们是一个很大的担忧来源。因此,需要进行培训等。你提到销售是这里的重要价值之一。也许销售人员需要知道如何向他们的客户展示这些信息。那么,平台的不同用户或从平台接收信息的人是谁?
Justin:平台的主要用户是领导安全范围定义的人。所以,这可能是 CSO。我将定义我们需要实施的安全控制。但是,我们当然建议——它既提高了安全性,又提高了运营效率——实际上是将所有权分配给拥有所有权的组织的其他部分。
我将描述一些典型的区域。但是每个公司都有点不同。我们通常看到的是 5 到 25 名用户,他们正在操作他们负责的部分安全性。那可能是开发人员运营总监,或者领导 DevOps 或系统管理的任何人。 IT 负责人通常负责控制运营。 CTO 将负责控制运营,或担任工程副总裁。
在业务方面,我们肯定会看到 HR 大量参与运营。首席运营官通常也可以参与其中。当然,从财务欺诈风险的角度来看,某些高管(如 CEO 或 CFO)可能会参与进来。如果您有数据隐私官,他们将控制他们作为数据隐私官的运作。
你想对两者做的是,再次实施良好的安全措施并传播一点爱,所以不是一个人试图操作这个,而是真正将责任分配给那些所有者。关于 Strike Graph 平台的一个好处是我们有一个深度库,其中包含映射到控件本身的这些不同控件的及时资源。
如果说人力资源副总裁以前从未真正处理过这个问题,他们想确保自己做得很好并且不太确定,他们可以单击有关入职和离职员工的控件。我们为他们提供了大量信息,从要共享的策略模板到典型的资产管理模板,只是关于如何推出特定安全性的深入描述。
现在,消费者掌握了信息,对吗?因此,尤其是您的销售团队,当他们要进行销售时,尤其是在 RFP 流程中或与企业客户合作时,他们将获得安全问卷之类的东西,需要返回 Strike Graph 以接收报告关于如何回答该问卷。他们还将要求获得任何已获得的认证,例如 SOC 2 审核、ISO 27001 认证、HIPAA 认证,例如,如果他们正在与医疗保健组织合作。
我想强调您的客户是这些信息的最终消费者。他们正在阅读这些认证并查看您的测试方式以及您实施的控制类型。我认为,这实际上是您在构建这些安全态势时需要考虑的最终团队,因为他们会深入了解他们对您的信任。
埃里克:明白了。好的。谢谢你。比如说,关于利益相关者这个话题,你在这里提到了——实际上,我不确定我是否在解释这个。您提到了与 Strike Graph 合作的公司。但也许那些是你的客户。是否有您在技术集成基础上与之合作的公司?那么,这些伙伴关系在哪些领域具有价值?
贾斯汀:是的,我们当然有相当多的整合。从技术集成来看,我认为人们知道的大公司可能像 AWS 或 Azure,它们与这些系统进行了非常广泛的集成,真的,这样我们的客户就可以按照他们想要的方式配置他们的云环境。然后他们可以告诉我们数据在哪里,我们可以去收集它。
当然,用于变更管理的工具。例如,JIRA 就是一个不错的选择。像 Git 和 GitLab 或 GitHub 这样的并发版本控制系统或代码版本控制系统是非常典型的。我们还仅与 Office 365 或 Google Drive 等文档存储库集成,其中可能有您想要收集的业务文档。
但是还有其他合作伙伴是我们生态系统的一部分。我们真正喜欢的方式之一是与托管安全服务提供商或 MSP 合作。我们不是深度网络安全专家。有时,从托管安全服务提供商那里获得咨询分析以帮助确定安全范围确实很有帮助。因此,我们也确实按照这些思路建立了伙伴关系。
埃里克:让我们快速谈谈你们的商业模式。我看到您有一个年度计划,这可能适合您的许多中型客户。我认为查看公司定价页面上的要点总是很有趣,因为您真正了解在此证据示例、存储库和您在此处提到的不同内容中 280 加放弃控制的价值。
变量是什么?所以,这里有一个起始价格。影响定价的复杂性变量是什么?是您经营所在的国家/地区的数量、您遵守的法规的数量,还是仅仅是公司的规模?这里的因素是什么?
贾斯汀:是的,我会告诉你一些我们没有关注的问题。因为我认为让我们的客户在平台上获得最大价值真的很重要,所以我们不按席位收费。因此,我们进行年度订阅。但欢迎您邀请尽可能多的团队成员,以帮助您在平台上操作您的安全态势。这对我们来说真的很重要。因为我们认为通过广泛分布该安全活动可以实现最佳价值。它带有平台上任何年度订阅的所有风险和控制以及证据内容。
我们开始调整定价的地方是客户希望采用的标准数量。这是确定我们提供的价值的好方法。因为假设您只选择 SOC 2。那是非常典型的一个,也是大多数人经历过的一个。但后来,您开始向健康技术销售产品,并准备升级到 HIPAA,或者您已经添加了围绕信用卡处理的功能集。因此,您需要 PCI DSS。
或者您决定准备好在美国这里为国防部推销,并且您需要 CMMC 标准,然后我们会在您选择这些不同标准时提高价格。但我们也相信您正在获得这些标准以获得新的销售。因此,您的收入随着 Strike Graph 帮助您获得的价值而增长。
这实际上是我们主要调整定价的方式。我们提供了一些非常有用的捆绑包。例如,如果一家公司只想通过 SOC 2 认证,我们可以将其捆绑在一起。这包括渗透测试。这包括仅与一家供应商就单一价格进行的实际审计和报告。老实说,对于我们的许多客户来说,这是一个真正成功的组合。他们真的很喜欢。当然,他们获得了所有的平台,所有的内容和他们今天可能喜欢使用的用户数量一样多。
我们试图以一种真正超值的方式排列年度订阅定价。如果您获得了 SOC 2 审核,比方说,或 ISO 27001,并且您在一个季度内增加了 500,000 美元的收入,而这些客户中有四分之三要求您提供 SOC 2 证书,那么价值就过大了。这是巨大的。
埃里克:也许我们可以用一个客户示例的端到端演练来结束这里。我认为形象化使用解决方案的实际情况总是有帮助的。如果您通过端到端的方式思考,也许我们使用这些示例之一,比方说,SOC 2 类型的集成包。比如说,客户是一家中型 SAS 公司,他们遇到了一些销售问题。从第一次对话到实施会是什么样子?那么他们完成审计的时间表是什么时候?如果你能给我们一个很好的演练,看看这个过程会是什么样子。
贾斯汀:是的,我很高兴。比方说,有兴趣。他们想解决这个问题。他们来到我们的网站。他们与我们联系,并安排了与我们的一位客户经理进行演示。一般来说,第一次会议需要 30 分钟。我们能够提供该软件的演示。他们真正清楚地了解了价值支柱以及它是如何快速发挥作用的。
我们通常看到的是,在一两次会议之后,我们进入了合同阶段。实际上,平均而言,我们在 30 天内完成交易。所以,它进行得非常快。但我们刚刚设计好它,所以客户看到所提供的所有价值并不痛苦,作为一个团队很容易做出决定。
在我们购买商品的那天,我们要做的第一件事就是安排与我们的一位客户成功代表进行入职电话会议。他们是一支非常有才华的球队。他们在审计和审计管理方面有丰富的经验。因此,他们可以帮助澄清一些关于预期的内容。因为您从我们这里购买的主要原因是您想获得该证书。因此,我们需要帮助定义我们将如何帮助您取得成功。
我们要做的第一件事是设计安全态势。我们的客户这样做的一种方式,因为我们在应用程序上有大约 45 个风险问题。当您完成每个风险问题,并根据可能性和影响向量对风险进行评分时,我们建议采用不同的安全控制措施来减轻该风险。
当你回答风险评估时,客户会坐下来说,“好吧,我已经在加密我的静态数据了。我要激活那个控制。我已经有员工手册了。我要去激活那个控制。”在他们登机后的短短几个小时内,他们可能已经选择了 60 到 100 个他们将要积极使用的控件。
现在,在背面,在我们的数据库中,我们已经将所有这些控制映射到 SOC 2。第二年完成后,我们的客户成功团队可以告诉你,“嘿,你在 SOC 2 标准下进行精益审计还有差距15 个控件。这就是我们需要实施的所有内容,您已经准备就绪。
然后他们会帮助您添加这些额外的控件。然后,我们建议的下一步是,与我们一起完成初始流程的 CSO 开始将这些控制权分配给所有者,并邀请团队的其他成员加入该平台。
好的。现在,您已经从责任的角度在整个组织中分配了安全性。您需要开始收集您正在操作该安全态势的证据。对于您激活的每个控件,我们已经列出了一到三个不同的证据,这些是您将要收集的典型证据,以证明您在该控件上进行操作。因此,您的团队现在正在努力推出这些控件并进行集成。因此,您要从 AWS 中提取防火墙配置或将显示资产管理的员工列表上传到系统。
我们正在平台上为您计算,如果提供的所有证据都符合标准。第二,所有证据都已提供,您就可以进行审计了。届时,Strike Graph 能够引导您完成审核流程。三到六周后的任何时间,您都会从审计员那里得到报告。现在你有证书了。
所以,这不是很复杂。我们让系统感觉就像您正在将过程的各个部分分解成您可以接受的东西,每个人都可以并且确实能够跟踪到达那里的过程。我会说,平均而言,你当然可以走得非常快。我们的客户在几周内就接受了审计。不过,那可能真的很痛苦。它真的可以让你的整个团队在几周内脱离中介。
因此,我们通常建议给自己 45 天的时间来完成第一次审核,这相当快。比方说,你提到了它,我们一直都在收到它,我今天收到了一份 RFP 或一份客户合同。我真的必须解决这个问题。 Strike Graph 将如何帮助我?
我们可以提供的其中一件事是保证书。我们可以说,“嘿,你正在使用 Strike Graph。这是由 Strike Graph 团队签署的。你在 SOC 2 上推动它,你设定了一个目标来实现它。我将通过这个与你交谈日。”您可以使用该初始保证函来完成该合同。然后当我们完成证书时,您将其交还给客户。现在你正处于那个年度周期。每年,您都会在收集证据时重新进行审计。因此,您与该客户保持信任。
埃里克:太好了。谢谢你。非常清楚。也许只是我这边的最后一个问题。你仍然是一家成立于 2020 年的相对年轻的公司。你在 2020 年筹集了一些相当健康的种子轮,然后是去年的第八轮。在风险投资市场出现一点点下跌之前,这是一个很好的时机。我猜你现在也在不断地开发新产品,将新事物推向市场。在接下来的 12 个月、24 个月的产品开发中,有什么让您感到兴奋的?
贾斯汀:我对最大限度地发挥我们收集的数据的影响感到非常兴奋。我认为,Strike Graph 的一个非常独特的地方是,市场上有很多解决方案都是盒装 SOC 2。当他们这样做时,他们会尝试让每家公司都适应相同的技术架构、运营架构。对于每家公司来说,这实际上是一套相同的控制措施。
作为 CTO,我可以告诉你,那是行不通的。我所有的公司都与我工作过的不同。我们需要灵活性。 Strike Graph 已将其融入我们的平台和价值支柱。我们在头两年的销售中收集了 200 多名客户,这是对不同类型的公司和不同类型的安全态势的真实、几乎了解。我很高兴能够为采用我们的组织最大化这些数据的价值。
我们可以称之为基准测试或报告。我们也许能够围绕使用数据科学的有效实践构建一些非常有趣的建模技术。但我认为这些是我们继续构建的东西类型。我们可能会继续通过我们的解决方案提升市场。我们有机地发现企业客户,5,000 多名员工,确实从我们的解决方案中发现了很多价值。因此,随着时间的推移,我们将继续在该特定市场进行创新。
埃里克:嗯,你肯定在一个很好的市场。这可能不会让任何人特别高兴,但合规性和网络安全变得越来越重要。所以,你来对地方了。我真的很感谢你今天抽出时间来。谢谢你,贾斯汀。
贾斯汀:埃里克,这是我的荣幸。我不会猜到这就是我们结束的地方,但我想找到一个真正有影响力的问题,让世界变得更美好。老实说,我真的很自豪我们的客户能够从根本上根据公司的成熟度进行销售,并将其作为买家谈话的一部分。当我们这样做时,我们建立了一个更值得信赖的市场。当我们有一个更值得信赖的市场时,希望有一个更有活力和更好的经济来运作。
埃里克:是的,很好的心态。谢谢,贾斯汀。
贾斯汀:谢谢。