Iccha Sethi，Vanta 工程副总裁 – 采访系列

Iccha Sethi 是 Vanta 的工程副总裁，Vanta 是领先的信任管理平台，她领导着专注于增强安全性和合规性自动化的项目。之前，她曾是 GitHub 的工程领导者，负责 Actions、Hosted Runners、Codespaces、Packages、Pages 和 npm 的多产品组合。Iccha 还曾在 InVision、Atlassian 和 Rackspace 等公司担任过首席工程师。

是什么吸引你加入 Vanta 的工程管理副总裁职位？

公司对其使命的坚定承诺。我们的 CEO Christina Cacioppo 创立了 Vanta，目标是保护互联网和消费者数据，从第一天开始，她就坚持这一愿景。

她建立的平台对于超过 8,000 家新兴企业和大型企业来说是不可或缺的，确保数据安全和促进信任。

作为 Atlassian 的首席工程师，我亲身经历了导航 GDPR 等法规的挑战，并在 GitHub 获得了 SOC 2 验证，我深刻了解这些过程的复杂性和痛点。Vanta 正在解决一个真正的问题，使合规性更易于管理和更具成本效益。

你在 GitHub 的经验如何影响你在 Vanta 的工程方法？

我的 GitHub 经验极大地影响了我在 Vanta 的工程方法。在 GitHub，我管理着 Actions、Codespaces、Packages、Pages 和 npm 等多个产品，每个产品都处于不同的成熟阶段。例如，Codespaces 处于早期市场适应阶段，而 Actions 正在经历快速的用户增长。这教会了我如何根据产品在不同阶段的独特需求量身定制我的策略。

随着 Vanta 的继续增长，我正在应用这一经验来平衡执行、创新和可靠性，确保我们能够有效地支持我们的扩张业务。就像在 GitHub，我们专注于创建开发者喜爱的产品，在 Vanta，我们致力于在安全和合规领域打造一个愉悦的自动化体验。在一个成熟的行业中，减少手动努力和摩擦至关重要，这种关注用户体验尤其重要。

GitHub 等大型组织和 Vanta 等快速增长的初创公司之间的工程策略有什么不同？

在像 GitHub 这样的大公司中，工程策略主要集中在扩展、可靠性和性能上，因为涉及大量的客户和工程师。这需要成熟的事件响应流程和对运营健康的强烈关注。有更多的人，也需要重点建立一个强大的平台，以确保工程师的高效率。虽然构建和发布功能仍然很重要，但由于任何更改的更广泛影响，这个过程更加谨慎。

在像 Vanta 这样的快速增长的初创公司中，策略集中在平衡创新、上市速度和为小型和大型客户打造可靠、用户友好的产品上。我们旨在吸引和留住企业客户，因此虽然快速开发的平台的重要性仍然存在，但我们可以更有选择性地投资。关键是要意识到哪些领域可以接受快速迭代和快速失败，以及哪些领域需要建立坚实的长期基础。

Vanta 如何利用 AI 来自动化关键的安全功能？

安全是任何业务的关键方面，无论您是销售产品并需要解决客户对安全状况的担忧，还是在进行购买时评估供应商风险。这些过程通常涉及筛选大量文档，例如 SOC 2 报告，以做出明智的风险判断。

Vanta 利用 AI，特别是大型语言模型（LLM），这些模型非常适合处理大量信息并识别最相关的数据。

我们将 AI 无缝地集成到我们的供应商风险管理、信任中心和问卷自动化产品中，允许我们的客户通过简化关键的安全功能节省数周的时间。有了 AI，关键的安全工作流程现在变得更快、更高效。

例如，供应商安全审查变得显著更快，Vanta 启用了安全团队仅需几秒钟即可从 SOC 2 报告、DPA 和其他供应商文档中分析和提取相关信息。

我们的安全问卷自动化功能允许团队从各种来源中立即获取见解，无论是他们现有的库、以前的问卷回复还是新上传的政策和文档——所有这些只需几次点击。

我们还使用 AI 来建议每个合规框架最有效的测试和策略，将原本手动的过程转变为流线型的自动化任务。

你能解释 AI 驱动的问卷自动化在改善安全审查过程中的作用吗？

传统上，当您销售产品时，您的客户会发送安全问卷，这可能需要几小时到几周的时间来完成。

在 Vanta，我们通过允许您上传示例问卷或知识库来简化此过程。我们的 AI 然后使用 LLM 生成问卷的回复，为您提供信息来源和每个答案背后的上下文。您可以根据需要修改、重新生成或编辑整个回复。

这为安全团队节省了大量时间，并允许他们专注于更富有成效和战略性的工作。

连续控制监控与传统方法相比有什么好处？

Vanta 的主要优势之一是能够在合规问题升级为违规之前检测和解决它们，而不是在审计期间或最后一刻匆忙修复。Vanta 通过连续监控控制和测试来自动化此过程，使组织能够保持领先于潜在问题并保持持续的合规性。

通过 Vanta 的控制和测试的连续监控，客户可以在不需要每周花费数小时进行手动检查的情况下保持合规。这使得治理、风险和合规（GRC）以及安全团队放心，他们将在任何时候被告知其计划的任何部分何时脱离合规，从而腾出时间来关注其安全计划的其他更战略性的方面。

对于评估供应商的客户来说，知道安全计划得到 Vanta 的连续控制监控的支持，这提供了保证，即合规性不仅仅是在初始审计时是一个一次性的复选框，而是在此之后的每一天、每一小时和每一分钟都保持合规。这标志着从传统的、特定时间点的合规性转变为一个始终在线的方法，提供了更高的信任和安全水平，这作为一个战略性的业务杠杆发挥作用。

Vanta 最近的 1.5 亿美元 C 轮融资如何影响其 AI 开发和产品提供？

最近的融资将使我们能够加倍扩大我们的高端势头、国际市场和 AI 能力的发展。

它还使我们能够扩大我们的 AI 团队，以继续满足客户不断变化的安全需求，提供最先进的 AI 和自动化。

Vanta 如何与其他工具和平台集成，以提供无缝的合规和安全解决方案？

Vanta 与广泛的工具和平台集成，以针对不同阶段的公司提供无缝的合规和安全解决方案。

对于初创公司，Vanta 提供了一套全面的“合规性套件”解决方案，集成了基本工具，并提供访问审查、背景检查、设备管理甚至网络保险等服务。

对于大型企业，Vanta 支持更广泛和更深入的集成，包括云管理、漏洞管理提供商、人力资源信息系统（HRIS）解决方案以及供应商风险管理（VRM）方面的采购工具。

Vanta 提供什么样的定制选项，以适应特定组织的安全和合规计划？

组织可以创建和监控与特定政策相符的自定义安全控制，确保他们的做法符合确切的要求。对于具有行业特定或内部标准的组织，Vanta 允许团队相应地调整合规框架。风险评估也可以根据组织的独特风险配置文件进行定制，帮助团队优先考虑最重要的事情。

此外，Vanta 允许设计无缝集成到现有流程的自动化和手动工作流。平台的灵活性还延伸到工具集成，允许通过 API 访问进行自定义集成，以连接到组织的技术栈。可以设置自定义警报和通知以支持事件响应计划，而用户角色和权限可以精细地调整以控制团队访问。最后，Vanta 提供生成自定义报告的能力，确保满足内部需求并让利益相关者保持知情。

Vanta 如何在 AI 驱动的世界中塑造信任管理的未来？

通过利用 AI 自动化合规流程，Vanta 确保公司可以轻松遵守行业标准，如 SOC 2 和 ISO 27001。该平台还支持 AI 合规性，提供示例框架，使组织更容易满足这些不断演变的要求。

在风险管理方面，Vanta 的 AI 能力使组织能够从被动转变为主动，通过在它们成为问题之前识别潜在的安全风险。这不仅加强了安全性，还增强了整体的组织韧性。

Vanta 还简化了安全问卷的常常繁琐的过程。平台的 AI 从以前的回复中学习，并自动为新的、准确的答案生成，允许团队更快、更准确地移动。

此外，Vanta 的 AI 增强了可搜索性，使得通过熟悉的搜索功能扫描文档以找到安全审查所需的所有信息变得简单。

感谢这次精彩的采访，希望了解更多的读者请访问 Vanta。