Fragen Sie den Compliance-Experten: 10 Fragen an Cavan Leung, CISSP, CISA, CCSK
Das Ziel von Secureframe ist es, Unternehmen zu befähigen, ihre Sicherheits-, Datenschutz- und Compliance-Programme zu verwalten, um den Anforderungen der heutigen und zukünftigen Geschäftswelt gerecht zu werden.
Dazu agieren wir als ihr internes Compliance-Team. Jedem Kunden wird ein zertifizierter Informationssicherheitsexperte und ehemaliger Prüfer zur Verfügung gestellt, um ihnen von Anfang an beim Aufbau eines effektiven und skalierbaren Compliance-Programms zu helfen.
Heute stellen wir Ihnen den Compliance-Experten Cavan Leung vor. Cavan ist seit November 2021 bei Secureframe. In dieser Zeit hat er dutzenden Unternehmen geholfen, die sich entwickelnden Compliance-Anforderungen zu erfüllen und sich an diese anzupassen.
1. Können Sie uns etwas über Ihren Hintergrund und Ihre bisherige Berufserfahrung erzählen? Wie lange sind Sie bereits in der Sicherheits- und Compliance-Branche tätig?
Ich habe mein Studium an der University of Florida mit einem Abschluss in Management Information Systems (MIS) abgeschlossen. Nach dem Studium begann ich meine Karriere bei einem der Big Four Wirtschaftsprüfungsgesellschaften, Deloitte. Bei Deloitte war ich an der Implementierung von Informationssicherheit auf Enterprise Resource Planning (ERP) Systemen und Sarbanes-Oxley (SOX) Compliance-Prüfungen für Fortune 500-Unternehmen beteiligt.
Nach meiner Zeit bei Deloitte bin ich zu Schellman gewechselt, wo ich Compliance-Bewertungen für mittelständische bis Fortune 500-Unternehmen durchführte und leitete. Dabei befasste ich mich mit verschiedenen Sicherheits- und Datenschutz-Compliance-Rahmenwerken, darunter SOC 1, SOC 2, GDPR und ISO 27001, um nur einige zu nennen.
Insgesamt habe ich über acht Jahre Erfahrung in der Sicherheits- und Compliance-Branche.
2. Was ist Ihr Spezialgebiet/Rahmenwerk?
Meine Erfahrung umfasst viele Rahmenwerke, aber wenn ich eines wählen müsste, wäre es ISO, da dies mein persönliches Interessensgebiet ist. Nichtsdestotrotz bin ich sehr vertraut und versiert mit einer Vielzahl von Rahmenwerken, einschließlich SOC 2, HIPAA, GDPR, CCPA, ISO 27001, ISO 27017, ISO 27018, ISO 27701, ISO 22301, ISO 9001 und anderen.
3. Was begeistert Sie am meisten an der Sicherheits- und Compliance-Branche?
Für mich ist das Spannendste an der Sicherheits- und Compliance-Branche, dass sie sich ständig weiterentwickelt. Es gibt ständig neue Technologien, die auf den Markt kommen, oder bestehende Technologien, die sich zum Besseren verändern. Automatisierung ist ein entscheidender Bestandteil der Evolution der Branche und auch ein wesentlicher Grund, warum ich zu Secureframe gekommen bin.
Ich sehe viele Möglichkeiten, nicht nur im Hinblick auf die Automatisierung verschiedener Aspekte der Sicherheit und Compliance im Prüfungsbereich, sondern auch auf neue Technologien und Fähigkeiten, die es Organisationen ermöglichen, ihre Sicherheitslage als Ganzes zu implementieren, zu überwachen und zu verbessern. Wir alle erleben diese Entwicklung aus erster Hand und es ist erst der Anfang.
4. Was ist ein häufiger Missverständnis, das Menschen über Sicherheit und Compliance haben?
Ein häufiges Missverständnis über Sicherheit und Compliance ist, dass es aufhört, sobald Sie ein Audit abgeschlossen haben. Informationssicherheit ist kontinuierlich und wird als Teil des heutigen Geschäfts immer wichtiger.
Mit dem ständigen Auftreten neuer geschäftsunterstützender Technologien bedeutet dies auch das Aufkommen neuer Informationssicherheitsrisiken und -bedrohungen. Daher ist es als Organisation wichtig, Informationssicherheit als Teil Ihrer Kultur zu verankern und stets bestrebt zu sein, Ihre Sicherheits- und Compliance-Lage kontinuierlich zu verbessern, um neue Risiken zu minimieren.
Einige Unternehmen bemühen sich nach Kräften, ihre SOC 2 Compliance oder ISO-Zertifizierung zu erhalten und hören dann im weiteren Verlauf auf, ihre eigene Sicherheitslage zu verbessern. Die Technologie entwickelt sich so schnell, dass, wenn Sie nicht ein Auge darauf haben, Sie einem noch größeren Risiko eines Sicherheitsvorfalls oder einer Schwachstelle ausgesetzt sind, von der Sie nichts wissen.
5. Warum haben Sie sich entschieden, bei Secureframe zu arbeiten?
Ich habe mich entschieden, für Secureframe zu arbeiten, weil wir im Bereich Sicherheit und Compliance tätig sind. Secureframe steht an der Spitze der Sicherheits-Compliance-Evolution und ich wollte dabei sein, um den Weg zu ebnen. Wir helfen Organisationen, Sicherheits-Compliance in einer All-in-One-Plattform zu rationalisieren und zu automatisieren.
Aus einem Compliance-Hintergrund kommend, habe ich viele Compliance-Produkte gesehen, aber die meisten waren isolierte Lösungen und boten keine umfassende und ganzheitliche Plattform. Daher war es eine erfrischende Abwechslung zu erfahren, was Secureframe zu bieten hatte.
Seit meinem Beitritt haben wir unseren Produktumfang erweitert und neue aufregende Funktionen und Fähigkeiten eingeführt. Aber wir hören hier nicht auf - es kommt noch mehr!
6. Was ist Ihre Rolle im Compliance-Prozess für Kunden?
Ich werde zum Begleiter in jedem Schritt ihrer Compliance-Reise und erkläre, wie Sicherheitskontrollen und -programme am besten im Kontext ihrer Organisation implementiert werden können. Letztendlich ist es meine Verantwortung sicherzustellen, dass die Kunden ein gut implementiertes Sicherheitsprogramm haben, sie zu Nuancen und besonderen Aspekten zu beraten und ihnen zu ermöglichen, eine Prüfung ohne größere Probleme abzuschließen.
7. Welche Schmerzpunkte sind Ihnen bei der Lösung für Kunden am wichtigsten?
Ich bin am meisten daran interessiert, Kunden durch die Compliance-Reise zu führen. Ohne ordnungsgemäße Anleitung kann dies belastend sein. Ich genieße es, allen meinen Kunden diesen Bildungsaspekt von Sicherheit und Compliance zu vermitteln.
Ich freue mich auch zu sehen, wie unsere Kunden durch die Automatisierungsmöglichkeiten unserer Plattform Zeit und Aufwand sparen. Dies erleichtert viele Aspekte ihrer Compliance-Bemühungen und ist sicherlich eine Erleichterung für sie.
Aus diesem Grund bin ich leidenschaftlich daran interessiert, unsere Automatisierungsmöglichkeiten zu erweitern, indem ich Feedback von unseren Kunden sammle und dann intern mit unseren Engineering- und Produktteams zusammenarbeite, um neue Funktionen zu implementieren. Dies vereinfacht ihre Compliance-Reise und hilft ihnen, ein effizientes und effektives Sicherheitsprogramm zu implementieren, das langfristig aufrechterhalten werden kann.
8. Können Sie ein Beispiel für eine Herausforderung teilen, bei der Sie einem Kunden geholfen haben, seine Compliance-Reise zu meistern?
Viele Unternehmen kämpfen mit mangelnder Klarheit, wenn sie mit verschiedenen Compliance-Rahmenwerken arbeiten. Sicherheitsrahmenwerke sind nicht die unkompliziertesten und erfordern möglicherweise einen Compliance-Hintergrund, um zu verstehen, was genau vorhanden sein muss. Daher bin ich als Teil der Reise des Kunden nicht nur dabei, um ihnen zu sagen, was vorhanden sein muss, sondern auch, um diesen Bildungsaspekt des „Warum“ zu vermitteln und die Nuancen und Besonderheiten der Anforderungen jedes verfolgten Compliance-Rahmenwerks zu entmystifizieren.
Aufgrund geschäftlicher Erfordernisse verfolgen viele Kunden mehr als ein Compliance-Rahmenwerk gleichzeitig - wie SOC 2, ISO 27001 und GDPR. Unternehmen verfügen möglicherweise auch über begrenzte Ressourcen in Bezug auf Zeit und Personal. Daher biete ich dem Kunden einen klaren Pfad, der seine einzigartige Umgebung und den Umfang jedes Rahmenwerks berücksichtigt. Ich helfe ihnen, Kontrollen und Sicherheitspraktiken angemessen zu implementieren, zu verstehen, warum sie diese umsetzen, und sie fortlaufend zu pflegen.
9. Was ist Ihr wichtigster Ratschlag für Personen, die sich auf ihre erste Compliance-Prüfung vorbereiten?
Alle Rahmenwerke haben ihre eigenen einzigartigen Nuancen und Besonderheiten. Hören Sie auf Ihren Compliance-Experten, denn er kommt aus diesem Bereich und weiß, was vorhanden sein muss. Es gibt viele Nuancen, die man nicht kennt, wenn man es zum ersten Mal allein macht.
Und scheuen Sie sich nicht, nach dem „Warum“ zu fragen. Das Verstehen, welche Risiken die Rahmenwerke oder Kontrollen adressieren, gibt den Unternehmen eine bessere Perspektive darauf, warum sie tun, was sie tun. Erwägen Sie aber auch die Nutzung einer umfassenden Compliance-Plattform wie Secureframe, die Ihnen helfen kann, Ihre Compliance-Reise von Anfang bis Ende zu vereinfachen.
10. Was sehen Sie als den größten organisatorischen Vorteil einer starken Sicherheits- und Compliance-Haltung?
Der größte Vorteil einer starken Sicherheits- und Compliance-Haltung ist die Minimierung von Informationssicherheitsrisiken. Heutzutage gibt es viele Ransomware, Datenschutzverletzungen und andere Cyberangriffe. Informationssicherheits- und Compliance-Programme tragen dazu bei, diese Risiken zu minimieren, um letztendlich Ihre eigenen Daten und die Daten Ihrer Kunden zu schützen. Dies trägt wiederum dazu bei, Vertrauen zwischen Ihnen und Ihren Kunden aufzubauen.
Die Nutzung einer Plattform wie Secureframe kann Ihrem Unternehmen nicht nur helfen, eine starke Sicherheits- und Compliance-Haltung zu etablieren, sondern diese auch fortlaufend zu pflegen.
Werden Sie mit Expertenhilfe compliant.
Möchten Sie mit Cavan oder einem anderen Mitglied unseres Compliance-Teams zusammenarbeiten? Vereinbaren Sie eine Demo von Secureframe, um mehr darüber zu erfahren, wie unsere Plattform und unsere internen Experten Sicherheit, Datenschutz und Compliance schnell und einfach machen.