Fragen an die Compliance-Expertin: 10 Fragen an Fortuna Gyeltsen, CISSP, CISA, PMP, CCSK, Security+

  • September 29, 2022

Es kann schwierig sein, kontinuierliche Sicherheit, Datenschutz und Compliance zu erreichen und aufrechtzuerhalten - insbesondere, wenn man es alleine macht. Die Mission von Secureframe ist es, modernste Automatisierung und fachkundige Anleitung bereitzustellen, um den Compliance-Prozess in jedem Schritt zu vereinfachen und zu optimieren.

Wir haben nicht nur eine GRC-Plattform, die den gesamten Compliance-Prozess automatisiert und optimiert. Wir haben auch zertifizierte Informationssicherheitsexperten und ehemalige Prüfer, die jedem Kunden umfassende Unterstützung vor, während und lange nach der Prüfung bieten.

Heute stellen wir Ihnen die Compliance-Expertin Fortuna Gyeltsen vor. Fortuna ist seit Oktober 2021 bei Secureframe. In dieser Zeit hat sie Dutzenden von Unternehmen geholfen, die strengsten globalen Compliance-Standards zu erreichen und aufrechtzuerhalten und eine stärkere Sicherheitslage zu erzielen.

1. Können Sie uns etwas über Ihren Hintergrund und Ihre bisherigen Berufserfahrungen erzählen? Wie lange sind Sie schon in der Sicherheits- und Compliance-Branche tätig?

Ich bin seit etwa 6,5 Jahren hauptberuflich in der Branche tätig, aber ich bin seit fast dreizehn Jahren insgesamt in der Branche, wenn man mein Praktikum mitzählt. Vom 16. Lebensjahr bis zum Abschluss meines Studiums mit 22 Jahren habe ich die Sommer- und Winterferien in einem Büro und Rechenzentrum einer Regierungsbehörde an Sicherheits- und Compliance-Aufgaben gearbeitet.

Als ich in Vollzeit zu arbeiten begann, war ich einige Jahre in der Gesundheitsbranche tätig und wechselte dann zurück zur Sicherheits- und Compliance-Branche. Bei Blue Canopy bot ich Sicherheitsunterstützungsdienste für eine Bundesbehörde an und führte Sicherheitskontrollbewertungen für eine andere Behörde durch. Ich begann eigentlich als Projektmanagerin, aber natürlich gab es mehr zu tun, als es Leute gab, also begann ich, mir selbst Arbeit zuzuweisen und nach Feierabend für die Security+ zu lernen. Schließlich ging ich von 80% Projektmanagement und 20% technischen Bewertungen zu 80% technischen Bewertungen und 20% Projektmanagement über.

Dann wechselte ich dazu, diese Bewertungen ausschließlich für eine Vielzahl von Kunden bei Coalfire durchzuführen. Bevor ich zu Secureframe kam, war ich eine dedizierte Ressource für einen großen Cloud-Infrastruktur-Kunden. In dieser Rolle weitete ich mich auf verschiedene Compliance-Rahmenwerke aus und verwaltete Dutzende ihrer Rechenzentrumsbewertungen.

2. Was ist Ihr Spezialgebiet/Rahmenwerk?

Weil ich in meiner letzten Rolle vor Secureframe einem Kunden zugeteilt war, konnte ich in verschiedene Rahmenwerke wie ISO 27001, SOC 2, PCI DSS, BSI C5 und DoD IL 4 und 5 expandieren. Bei Blue Canopy habe ich hauptsächlich FISMA gemacht.

Aber meine Hauptspezialisierung und wo ich den Großteil meiner Karriere bei Coalfire verbracht habe, ist in FedRAMP.

3. Was begeistert Sie am meisten an der Sicherheits- und Compliance-Branche?

Es gibt so viel unerforschtes Gebiet und es gibt immer Veränderungen in der Technologie, so dass ich mich nie langweilen könnte. Es erfordert ein gewisses Maß an kritischem Denken, Kreativität und Vorstellungskraft, wie man grundlegende Sicherheitskonzepte anwendet, und das ist spannend für mich.

4. Was ist ein häufiges Missverständnis, das die Leute über Sicherheit und Compliance haben?

Sicherheit und Compliance sind unterschiedliche Ziele und manchmal sprechen die Leute über sie austauschbar. Viele Missverständnisse drehen sich um die Idee, dass Sicherheit und Compliance nur ein Häkchen ist.

Das ist völlig in Ordnung als Ausgangspunkt. Tatsächlich existieren deshalb Compliance-Rahmenwerke: um den Menschen einen Ausgangspunkt zu geben. Aber Anforderungen können sehr vage und repetitiv sein und, wie gesagt, die Technologie und die Bedrohungsumgebung ändern sich ständig, also muss man proaktiv sein, wie man diese Anforderungen erfüllt. Das ist entscheidend, um eine starke Sicherheitslage aufrechtzuerhalten.

Über den Zweck nachzudenken, warum solche Anforderungen existieren, bringt auf lange Sicht viel mehr Wert, als nur das Nötigste zu tun, um die Kästchen abzuhaken.

5. Warum haben Sie sich entschieden, für Secureframe zu arbeiten?

Es gibt viele Gründe, aber ich nenne zwei. Der erste ist die Gelegenheit, etwas aufzubauen. Vor Secureframe war ich Auditorin. Aufgrund der Natur der Position kritisierte ich das System einer anderen Person und war auf eine Außenperspektive beschränkt. Ich konnte nichts aufbauen oder in die Tiefe gehen, und diese Gelegenheit habe ich hier.

Zweitens ist die Sicherheitsautomatisierung ein Bereich, in dem es unzählige Organisationen gibt, die versuchen, sie herauszufinden, und das ist aufregend. Ich wollte einen Platz am Tisch.

6. Welche Rolle spielen Sie im Compliance-Prozess für Kunden?

Ich beantworte viele compliance-bezogene Fragen von der Zeit, in der Organisationen potenzielle Kunden sind, bis nachdem sie ein Audit abgeschlossen haben. Mein Team ist immer eine Ressource.

Die meiste Beteiligung erfolgt, wenn wir Bereitschaftsbewertungen oder Scheinprüfungen durchführen, um deren Secureframe-Instanz zu überprüfen. In meinen Bereitschaftsbewertungen werfe ich persönlich einen Blick auf alle Artefakte, die sie in den Datenraum hochgeladen haben, und kritisiere die Qualität dieser Artefakte. Ich stelle auch Fragen und bitte um Klarstellungen, um sie auf die Art von Dingen vorzubereiten, die ihre Prüfer fragen werden.

7. Welche Schmerzpunkte sind Ihnen besonders wichtig, für Kunden zu lösen?

Traditionell ist die Vorbereitung auf ein Audit sehr manuell, wenn Sie keine automatisierten Tools haben. Sie machen Screenshots, füllen Tabellen zur Verfolgung aus und so weiter. Das beansprucht viel Zeit und Ressourcen. Für mich ist das sehr oberflächliche Arbeit. Sie verbringen so viel Zeit und Energie mit dem Sammeln von Beweismitteln, dass Sie nicht in der Lage sind, das große Ganze zu betrachten und darüber nachzudenken, was genau Sie tun und ob es den Bedürfnissen Ihrer Organisation entspricht. Denn wenn Sie unter Zeit- und Ressourcenmangel stehen, möchten Sie wahrscheinlich nur die Anforderungen erfüllen und, wie ich bereits erwähnt habe, das Minimum erreichen. Und das ist verständlich, denn irgendwann müssen Sie als Unternehmen weitermachen.

Das Coole daran und worüber ich leidenschaftlich gerne für Kunden löse, ist, diese oberflächliche Arbeit zu reduzieren, damit sie die Fähigkeit haben, groß zu denken, wenn sie möchten.

8. Können Sie ein Beispiel für eine Herausforderung teilen, bei der Sie einem Kunden geholfen haben, sie in ihrem Compliance-Prozess zu überwinden?

Viele der wirkungsvolleren Gespräche, die ich geführt habe, helfen Kunden, ihre Audits zu definieren und zu beantworten, wo fange ich überhaupt an und wo ziehe ich die Grenze?

Wir haben einige Kunden, deren Umgebungen einfacher sind und die nicht so viel Hilfe beim Verbinden von Integrationen und beim Bereitstellen von Beweismitteln benötigen. Aber wir haben andere Kunden, die sich in einer Multi-Cloud-Umgebung befinden oder Tools auf eine andere Art und Weise verwenden, als sie traditionell verwendet werden. Oder vielleicht haben sie unterschiedliche Arten von Daten oder die Art und Weise, wie sie diese Daten manipulieren, ist einzigartig. Für sie ist es also nicht so einfach wie: „Oh, ich benutze diese Integrationen. Lass mich sie verbinden und ich bin bereit zu gehen.“

Nachdem ich dieses Gespräch geführt habe, um die Umgebung des Kunden besser zu verstehen und ihnen zu helfen, den Umfang ihres Audits festzulegen, haben sie es viel einfacher, auditbereit zu werden. Ein großer Teil des Werts, den mein Team und ich bieten, besteht darin, praktische Beratung zu leisten, anstatt nur das Tool bereitzustellen und von den Kunden zu erwarten, dass sie wissen, was der Umfang ihres Audits ist und welche Artefakte hochgeladen werden sollen. Das wäre viel schwieriger.

9. Was ist Ihr wichtigster Ratschlag für Menschen, die sich auf ihr erstes Compliance-Audit vorbereiten?

Tun Sie es nicht alleine – nutzen Sie das Wissen von Experten. Etwas zum ersten Mal zu tun, ist viel einfacher und effektiver, wenn man einen Lehrer oder Coach hat.

Ich habe bereits erwähnt, dass die Compliance-Anforderungen ziemlich vage und repetitiv sein können, sodass dies für jemanden, der ein Audit zum ersten Mal durchführt, viel Zeit und Mühe kosten kann. Einen Experten von Anfang an an Ihrer Seite zu haben, kann wirklich dabei helfen, diese Anforderungen zu übersetzen und genau zu vereinfachen, was sie bedeuten und welche Art von Beweisen als akzeptabel angesehen würden.

10. Was sehen Sie als den größten organisatorischen Vorteil einer starken Sicherheits- und Compliance-Haltung?

Das Gewinnen und Behalten des Vertrauens Ihrer Kunden und einen soliden Ruf. Wie ich bereits diskutiert habe, sagen wir, dass eine Organisation eher auf Compliance und das Abhaken von Kästchen fokussiert ist, als auf Compliance und Sicherheit zu achten. Sie möchten keine bewährten Verfahren befolgen, weil sie nur das Minimum tun möchten, um die Anforderungen zu erfüllen und es hinter sich zu bringen. Wenn sie anschließend eine Verletzung haben, dann ist ihr Audit-Bericht oder ihre Zertifizierung als Verkaufsargument für ihre Kunden weniger wertvoll.

Mit Expertenhilfe konform werden

Möchten Sie mit Fortuna oder einem anderen Mitglied unseres Compliance-Teams zusammenarbeiten? Planen Sie eine Demo von Secureframe, um mehr darüber zu erfahren, wie unsere Plattform und unsere internen Experten Sicherheit, Datenschutz und Compliance schnell und einfach machen.