Fragen Sie den Compliance-Experten: 10 Fragen an Chris Sesi, JD

  • November 22, 2022

Secureframe wurde entwickelt, um Kunden alles zu bieten, was sie benötigen, um Sicherheits- und Datenschutzkonformität zu erreichen und aufrechtzuerhalten. Deshalb stellen wir jedem Kunden modernste Automatisierung und fachkundige Beratung zur Verfügung, um den Compliance-Prozess zu vereinfachen und zu rationalisieren.

Heute stellen wir Ihnen den VP of Compliance Chris Sesi vor. Chris ist seit der Gründung von Secureframe im Jahr 2020 dabei. In dieser Zeit hat er geholfen, das Portfolio von Secureframe an Governance-, Risiko- und Compliance-Lösungen zu erweitern, darunter unsere 14+ Sicherheits- und Datenschutzrahmenwerke. Er hat geholfen, die Grundlagen für Secureframe zu schaffen und Dutzende von Unternehmen bei der Erlangung und Aufrechterhaltung der Konformität mit den strengsten globalen Standards unterstützt.

1. Können Sie uns etwas über Ihren Hintergrund und Ihre bisherigen Berufserfahrungen erzählen? Wie lange sind Sie bereits in der Sicherheits- und Compliance-Branche tätig?

Mein Hintergrund liegt in der Informatik und im Recht. Ich habe meine juristische Karriere in einer großen Anwaltskanzlei begonnen und mich hauptsächlich mit Technologiegeschäften und kommerziellen Verträgen beschäftigt. Ein großer Teil meiner Rolle bestand darin, Sicherheitsnachträge für Technologieunternehmen zu überprüfen, die Teil unserer rechtlichen Verträge waren. Viele dieser Nachträge enthielten Anforderungen, die denen von SOC 2 oder ISO ähnlich waren. Viele der Kontrollen und Anforderungen dieser Rahmenwerke waren in das rechtliche Dokument eingebettet, sodass die Kunden vertraglich zustimmen mussten, ihnen zu folgen oder gegen den Vertrag zu verstoßen. Das war der Zeitpunkt, an dem ich anfing, viel über den Bereich der Informationssicherheit zu lernen.

Dann war eines der ersten Startups, zu denen ich gestoßen bin, zufällig ein Sicherheits-Startup. Wir hatten wirklich große Kunden, und diese fragten ständig nach diesem Bericht namens SOC 2, den ich schließlich half, für unser Unternehmen zu erhalten. Von dort aus wechselte ich zu einem anderen Sicherheits-Startup namens Duo Security, wo ich mehr über InfoSec lernte. Als dieses für 2,5 Milliarden Dollar an Cisco verkauft wurde, wollte ich in einem Startup bleiben, da ich es liebte, beim Aufbau zu helfen, also wechselte ich zu einem anderen. Dies war das erste außerhalb der Sicherheitsbranche, aber ich trat bei, um deren Sicherheitsprogramm als Leiter der Rechts- und Informationssicherheit sowie Sonderprojekte zu verwalten. Zu meinen Aufgaben gehörte unter anderem der Aufbau unserer InfoSec- und Rechtsprogramme von Grund auf. Wir verkauften an große Unternehmen im Versicherungsbereich, sodass Sicherheit von größter Bedeutung war. Der Aufbau eines robusten Sicherheitsprogramms – einschließlich der Erreichung von SOC 2 von Grund auf – und die Verhandlung dieser Geschäfte gehörten zu meinen Aufgaben und dabei habe ich ihnen geholfen.

Etwa zu dieser Zeit begann ich, in Startups zu investieren, und wurde Shrav vorgestellt, der über die Idee für Secureframe nachdachte. Da ich mehrmals SOC-2-Programme von Grund auf aufgebaut habe, half, diese Programme in mehreren Unternehmen zu organisieren und zu leiten und viel Zeit im Sicherheitsbereich verbracht habe, wusste ich, dass es eine gute Idee war und ein großes Problem lösen konnte, mit dem ich aus erster Hand Erfahrung hatte. Ich bot einige Ratschläge dazu an, was ich tun und worauf ich mich konzentrieren würde, und letztendlich investierte ich in das Unternehmen. Kurz darauf begann ich, Shrav zu beraten, und dann einigten wir uns darauf, dass es sinnvoll wäre, dem Team beizutreten. Also bin ich praktisch von Anfang an dabei.

Insgesamt habe ich acht Jahre Erfahrung in der Sicherheits- und Compliance-Branche, und etwa drei Jahre davon habe ich damit verbracht, beim Aufbau von Secureframe vom Vorproduktstadium bis hin zu Tausenden von Kunden zu helfen.

2. Was ist Ihr Spezialgebiet/Ihre Rahmenwerke?

SOC 2 ist, was ich zuerst gelernt und am besten gekannt habe, aber aus dem Sicherheitsbereich kommend, hatte ich viele allgemeine Best Practices und Kenntnisse. Das erlaubte mir, bei Secureframe schnell tief in andere Rahmenwerke einzutauchen. Tatsächlich habe ich in meinen ersten drei Monaten hier und innerhalb eines Monats nach dem Start von Secureframe geholfen, dass Secureframe ISO 27001-konform wurde, und wir waren das erste automatisierte Compliance-Tool, das die Zertifizierung erreicht hat.

Sobald Sie eine solide Grundlage in der Informationssicherheit haben, sind viele der Rahmenwerke ziemlich ähnlich, sodass Sie nur die nuancierten Unterschiede zwischen Rahmenwerken wie ISO 27001 und SOC 2 beherrschen müssen. Zum Beispiel ist die Struktur der Prüfung bei jedem Rahmenwerk normalerweise unterschiedlich. Einige Anforderungen sind unterschiedlich. Einige Rahmenwerke sind detaillierter und erfordern daher spezielle Sprache oder Anpassungen Ihrer Richtlinien. Bei ISO gibt es beispielsweise eine Anforderung für eine interne Prüfung, die SOC 2 nicht verlangt. Sobald Sie die Unterschiede verstehen, wird es viel einfacher, dieses neue Rahmenwerk in Ihr Kompetenzspektrum aufzunehmen.

3. Was begeistert Sie am meisten an der Sicherheits- und Compliance-Branche?

Da gibt es ein paar Dinge. Erstens denke ich, dass die Branche mehr Respekt gewinnt als früher — und das wird so weitergehen. Jetzt wird Sicherheit im Vorstandszimmer besprochen. Es ist kein nachträglicher Gedanke mehr. Es ist großartig zu sehen, dass der Sicherheits-Compliance-Bereich an Umfang gewinnt. SOC 2 oder ISO 27001 sind eines der ersten Dinge, die jedes B2B-Unternehmen anstrebt, da sie zu einem festen Bestandteil des Geschäfts geworden sind. Dadurch erweitert sich der Markt, sodass es viel mehr Möglichkeiten gibt, im Bereich Sicherheit und Compliance zu innovieren.

Ein weiterer Punkt ist die globale regulatorische Ausweitung, die sich auf Datensicherheit konzentriert. Viele Länder implementieren neue Cybersicherheitsvorschriften, und es wird immer schwieriger für multinationale Unternehmen, konform zu bleiben oder global zu expandieren, ohne gegen diese neuen Vorschriften zu verstoßen. Dies bietet eine spannende Gelegenheit für ein Unternehmen wie Secureframe, weiter zu skalieren und unseren Kunden auf der ganzen Welt zu helfen.

4. Was ist ein verbreiteter Irrglaube über Sicherheit und Compliance?

Ein Irrglaube, der sich zwar ändert, aber immer noch weit verbreitet ist, ist, dass Sie keine starke Sicherheits- und Compliance-Haltung benötigen, wenn Sie klein sind. Tatsache ist, dass Sicherheit und Compliance nicht nur entscheidend für die Datensicherheit, sondern auch für den Vertrieb sind, unabhängig davon, ob Sie ein großes oder kleines Unternehmen sind. Ja, Sie wollen sicher sein und sicherstellen, dass Sie nicht gehackt werden, aber es ist auch sehr wichtig für das Geschäft. Ich sage oft, dass eines der ersten Dinge, die Sie tun, wenn Sie ein Unternehmen gründen, ist, sich zu etablieren. Wenn Sie ein B2B-Unternehmen gründen wollen, ist der nächste Schritt, SOC 2 zu erwerben. Viel Glück beim Verkauf von Software, ohne Ihren Kunden und Partnern zu beweisen, dass Sie sicher sind.

Ein weiterer Irrglaube ist, dass Sicherheit und Compliance als eine Art Haken-Situation behandelt werden sollten. Haken-Erfüllung erhöht die Wahrscheinlichkeit, dass Sie auf ein Sicherheitsproblem stoßen, wenn Ihr Unternehmen wächst. Ein Sicherheitsvorfall bringt Sie in die Nachrichten und in eine schlechte Situation mit Kunden. Sicherheit und Compliance wie eine Haken-Situation zu behandeln, kann den Ruf und die Marke einer Organisation ruinieren.

5. Warum haben Sie sich entschieden, für Secureframe zu arbeiten?

Ich habe an das Problem geglaubt, das wir mit Secureframe lösen wollten. So sehr, dass ich in die Seed-Runde im März 2020 investiert habe, angefangen habe zu beraten und kurz darauf beigetreten bin. Da ich zuvor den SOC 2-Compliance-Prozess durchlaufen und selbst InfoSec-Programme aufgebaut hatte, wusste ich, dass die Chance, anderen zu helfen, die nicht wissen, was sie tun, riesig war. Ich wusste beim ersten Mal auch nicht, was ich tat, als ich vor vielen Jahren einem Unternehmen half, SOC 2-konform zu werden. Daher wusste ich, dass es eine Gelegenheit gab, im Wesentlichen ein Handbuch zu erstellen, das wiederholbar war, um die Einhaltung von SOC 2 und anderen Rahmenwerken zu erreichen, und ich wollte die Chance haben, dies von Grund auf zu erstellen.

Ich wollte auch diese Gelegenheit nutzen, etwas von Grund auf zu schaffen, weil ich in einer Unternehmerfamilie aufgewachsen bin und andere Unternehmen besessen und geholfen habe, sie zu gründen.

6. Wie sieht Ihre Rolle im Compliance-Prozess für Kunden aus?

Anfangs habe ich alles gemacht. Ich war im Kundenerfolg tätig. Ich war im Vertrieb tätig. Ich war Ingenieur. Ich war unser Compliance-Manager. Heute habe ich einen Schritt zurückgetreten, weil ich geholfen habe, einige dieser Teams zu rekrutieren und aufzubauen. Jetzt manage ich viele unserer Compliance-Manager im Tagesgeschäft und die Arbeit, die sie aus einer internen, kundenorientierten Perspektive leisten.

Aber der spannendere Teil meiner Rolle und das, was Secureframe einzigartig macht, ist, dass wir über 25 Teammitglieder haben, die ehemalige Prüfungs- und Compliance-Profis sind, und das sieht man in allem, was wir tun, von der Art und Weise, wie wir Kunden behandeln und mit ihnen zusammenarbeiten, über das Feedback und die strategischen Ratschläge, die wir geben, bis hin zu dem Produkt, das wir entwickeln. Es ist entscheidend, dass wir diese vielen, vielen Jahre an Erfahrung dieser Menschen sammeln und in alles, was wir tun und in unsere Kultur integrieren. Das zeigt sich in dem Produkt, das wir entwickelt haben, und in den Teams, die wir aufgebaut haben.

Da ich im Wesentlichen seit dem ersten Tag hier bin, konnte ich dazu beitragen, sicherzustellen, dass wir diese Menschen mit der richtigen Erfahrung einbringen, um ein Unternehmen aufzubauen, das anderen helfen kann, die diese spezialisierte Erfahrung und Wissen nicht haben, Compliance auf die richtige Weise zu erreichen.

Das ultimative Ziel von Secureframe ist es, Kunden zu helfen, Vertrauen zu ihren Kunden aufzubauen, und das kann man nicht tun, wenn man es noch nie durchgemacht hat. Es wurde wirklich wichtig, all diese Leute in unserem Team zu haben, um nicht nur Produkte zu entwickeln, sondern auch Kunden zu beraten.

7. Welche Schmerzpunkte sind Ihnen besonders wichtig, um sie für Kunden zu lösen?

Ich bin in einem Restaurant aufgewachsen, das meiner Familie gehörte. Meine Mutter hat mir beigebracht, dass der Kunde immer Recht hat und man einen Weg finden muss, ihn glücklich zu machen und dann Verantwortung für das zu übernehmen, was man tut. Es ist egal, ob man es besitzt, es zählt, dass man es so behandelt, als ob man es besitzt. Das sind die beiden Werte, die ich verkörpere und versuche, allen bei Secureframe zu vermitteln. Übernehmen Sie Verantwortung, ob es in Ihrer Stellenbeschreibung steht oder nicht. Wenn Sie einen unzufriedenen, wütenden, traurigen Kunden sehen, finden Sie heraus, wie Sie ihn glücklich machen können.

Ich löse wirklich gerne Kundenprobleme. Deshalb bauen wir Secureframe: um Schmerzen rund um Compliance zu lindern und die Zeit zu verkürzen, die benötigt wird, sie Jahr für Jahr aufrechtzuerhalten. Wenn wir dieses Ziel erreichen können, sollten wir unseren Kunden viel Zeit und Freiheit zurückgeben können, damit sie das tun können, was sie wirklich wollen, nämlich ihr Geschäft aufbauen.

8. Können Sie ein Beispiel für eine Herausforderung teilen, bei der Sie einem Kunden geholfen haben, seine Compliance-Reise zu meistern?

Zu Beginn bei Secureframe hatte ich einen Kunden, der ein Unternehmen mit weniger als 10 Mitarbeitern leitete. Der Kunde meldete sich an und sagte mir, dass seine Mutter die Informationssicherheit verwalten würde, da niemand sonst Zeit hatte. Ich erinnere mich, dass ich viele Gespräche mit jemandem geführt habe, der technisch nicht versiert war und Themen wie Cloud-Infrastruktur nicht verstand, was man von jemandem, der dies tut, erwarten könnte. Also verbrachte ich viel Zeit damit, ihr diese Themen zu erklären, wie Compliance funktioniert und warum sie wichtig ist. Ich konnte sie ziemlich schnell darin schulen, Secureframe zu nutzen, um SOC 2 zu erhalten und ein Sicherheitsprogramm in diesem kleineren Unternehmen umzusetzen. Das war eine große Leistung von mir und hat super viel Spaß gemacht.

Vor drei oder vier Jahren wäre es sehr schwierig gewesen, jemanden manuell alles erledigen zu lassen, was für SOC 2 notwendig ist.

9. Was ist Ihr wichtigster Ratschlag für Menschen, die ihre erste Compliance-Prüfung durchlaufen?

Mein wichtigster Tipp, wenn Sie sich auf Ihre erste Prüfung vorbereiten, ist, gut vorbereitet zu sein. Je unvorbereiteter Sie in eine Prüfung gehen, desto schwieriger und stressiger wird sie sich anfühlen.

Die Nutzung einer Automatisierungsplattform wie Secureframe kann einen riesigen Unterschied machen. Ohne die Plattform müssen Sie selbst bestätigen, ob Sie bereit sind oder nicht.

10. Was sehen Sie als den größten organisatorischen Vorteil einer starken Sicherheits- und Compliance-Haltung?

Ich sehe zwei große Vorteile. Erstens, wenn Sie eine Organisation mit Sicherheits- und Compliance-Bewusstsein aufbauen, verankern Sie diese in der Kultur, sodass die Menschen sie berücksichtigen. Ob es ein Verkäufer ist, der darüber nachdenkt, sensible Daten mit einem Kunden zu teilen, oder ein Ingenieur, der ein Feature entwickelt, die Mitarbeiter denken in ihrem täglichen Arbeitsleben über die Sicherheits-, Datenschutz- und Compliance-Aspekte ihrer Arbeit nach. Wenn Sie es nicht in die Kultur einbauen, werden Kundendaten preisgegeben oder es kommt zu Datenschutzproblemen und, wenn Ihre Organisation wächst, fallen Ihnen viele dieser Dinge zurück auf die Füße. Aber wenn Sie Sicherheits- und Compliance-Bewusstsein in alle Mitglieder Ihres Teams einfließen lassen, werden Sie auf lange Sicht viel besser dastehen, wenn Sie wachsen.

Der andere Vorteil ist, dass Sicherheit und Compliance heutzutage aus zwei Gründen ein Muss ist. Zum einen aus regulatorischer Sicht. Wenn Sie in Europa Geschäfte machen möchten, müssen Sie die DSGVO einhalten. Wenn Sie in den USA Geschäfte machen möchten, müssen Sie das CCPA einhalten, auch wenn es sich spezifisch auf Kalifornien bezieht. Verschiedene Rahmenwerke sind durch Dritte wie PCI erforderlich. Wenn Sie Gesundheitsdaten berühren, müssen Sie gesetzlich HIPAA-konform sein. Dann gibt es Rahmenwerke wie SOC 2 und ISO, die kommerziell erforderlich sind. Sie sind gesetzlich oder regulatorisch nicht vorgeschrieben, aber wenn Sie Geschäfte machen möchten, können Sie sicher sein, dass Kunden dies von Ihnen verlangen werden. Wenn Sie in den USA mit der Regierung Geschäfte machen möchten, sind Rahmenwerke wie NIST 800-53, NIST 800-171, FedRAMP oder CMMC erforderlich.

Der andere Grund ist, dass es in dieser sich ständig weiterentwickelnden Landschaft, die ich als kommerzielle und regulatorische Ausdehnung bezeichne, sehr wichtig ist, ein System zu haben, um sie alle zu organisieren. Sie werden nur weiter wachsen. Es wird immer mehr Anforderungen geben, denen gefolgt werden muss. Jedes Land wird beispielsweise seine eigenen Datenschutzanforderungen einführen. Australien, Kanada, die USA und das Vereinigte Königreich werden bald eigene Anforderungen haben. In dieser Landschaft, in der Rahmenwerke und Anforderungen zur Kontrolle von Daten aus verschiedenen Richtungen auf Sie zukommen, benötigen Sie ein System, um sich selbst zu organisieren. Es wird immer dringlicher werden, dass Sie von Dingen wie Tabellenkalkulationen abkommen, um sich selbst zu organisieren.

Werden Sie konform mit fachkundiger Hilfe

Möchten Sie mit Chris oder einem anderen Mitglied unseres Compliance-Teams zusammenarbeiten? Vereinbaren Sie eine Demo von Secureframe, um mehr darüber zu erfahren, wie unsere Plattform und unsere internen Experten Sicherheit, Datenschutz und Compliance schnell und einfach machen.