Fragen Sie einen Compliance-Experten: 10 Fragen an Jonathan Leach, CISSP, CCSFP, CCSK
„Secureframe war das einzige Unternehmen mit Sicherheitsexperten, denen wir vertrauen konnten.”
Eine Sache, die wir ständig von Kunden hören, ist, dass unser Team von Compliance-Experten ihre Lebensader ist.
Die Einhaltung strenger Rahmenwerke wie SOC 2 und ISO 27001 oder umfassender Datenschutzgesetze wie GDPR kann stressig und überwältigend sein. Es ist Secureframes Mission, den Compliance-Prozess sowohl durch modernste Automatisierung als auch durch fachkundige Anleitung zu vereinfachen und zu optimieren.
Einen zertifizierten Informationssicherheitsexperten und ehemaligen Prüfer während des gesamten Prozesses an Ihrer Seite zu haben, kann einen großen Unterschied machen. Er kann all Ihre technischen und prüfungsspezifischen Fragen beantworten und Ihnen helfen, Sicherheitsprozesse und bewährte Verfahren umzusetzen. Deshalb stellen wir jedem Kunden einen dedizierten Compliance-Manager zur Verfügung, der umfassende Unterstützung in jeder Phase bietet — vor, während und lange nach der Prüfung.
Heute stellen wir Ihnen den Compliance-Experten Jonathan Leach vor. Jonathan lebt in Steamboat Springs, Colorado und ist seit März 2021 bei Secureframe. Er hat Dutzenden von Unternehmen geholfen, Zertifizierungen zu erreichen und aufrechtzuerhalten sowie ihre Sicherheitspositionen zu stärken.
1. Können Sie uns etwas über Ihren Hintergrund und Ihre bisherige Berufserfahrung erzählen? Wie lange sind Sie schon in der Sicherheits- und Compliance-Branche tätig?
Ich habe an der University of Denver studiert, wo ich International Business und Mandarin studiert habe, und danach in der IT und Rechnungsweseninformation gearbeitet. Ich war für Aufgaben wie die Überprüfung von Bilanzen und Zugangskontrollen, Netzwerksicherheit usw. verantwortlich. Ich arbeite nun seit über einem Jahrzehnt speziell im Bereich IT und Informationssicherheit.
Während meiner Zeit bei InteliSecure begann ich in einem kleinen Managed-Services-Team zu arbeiten, das Sicherheitstools verwaltete. Eines Tages fragte der CEO, ob jemand dem Vertriebsteam beitreten wollte. Sie brauchten jemanden, der die Feinheiten des Produkts kannte und es den Kunden erklären konnte. Ich wechselte in diese Rolle, bis sich die Struktur des Vertriebsteams änderte. Sie wollten jemanden vor Ort, um jede Region zu vertreten, und ich wollte nicht aus Denver wegziehen. Jemand aus dem Beratungsteam lud mich ein, mich ihnen anzuschließen, und seitdem bin ich eher auf der Beratungsseite tätig.
Ich bin also von der Verwaltung verschiedener Programme wie ISO 27001 zum Verkauf dieser und nun zur Beratung übergegangen, um diese umzusetzen oder die Umsetzung zu verbessern. Bei Coalfire war ich wieder ein Berater, manchmal ein virtueller CISO, aber meine Aufgabe war es, Sicherheitsprogramme zu erstellen, entweder nach einem bestimmten Rahmenwerk oder nach Best Practices, und Audits durchzuführen. Bei Coalfire habe ich Kunden dabei geholfen, ihre Sicherheitsprogramme aufzubauen und sich auf eine Prüfung vorzubereiten, und sie dann entweder durch eine Prüfung begleitet oder eine Prüfung durchgeführt.
Jetzt kann ich all diese verschiedenen Rollen hier bei Secureframe übernehmen, sei es, einem Kunden zu helfen, ein neues Sicherheitsprogramm von Grund auf zu erstellen, sich an einen bestimmten Rahmen zu halten oder mehrere Rahmenwerke zu befolgen, ein internes Audit durchzuführen oder den externen Prüfungsprozess zu durchlaufen.
2. Was ist Ihr Spezialgebiet/Rahmenwerk?
Ich bin ein Certified Information Systems Security Professional (CISSP), was weithin als die ultimative Zertifizierung in der Informationssicherheit angesehen wird, weil sie sowohl breit als auch tief ist.
Das gesagt, ist meine größte Vertrautheit wahrscheinlich um ISO herum — ich bin seit meinen Tagen bei InteliSecure ein ISO 27001 Lead Auditor. Ich habe auch geholfen, Secureframes ISO 27701 Angebot mit einem bestimmten Kunden vor der Umsetzung zu erweitern. Daher bin ich sehr gut vertraut mit den internationalen Rahmenwerken: ISO 27001, ISO 27701, GDPR sowie HIPAA und HITRUST.
3. Was begeistert Sie am meisten an der Sicherheits- und Compliance-Branche?
Die Zukunft dieser Branche ist so aufregend. Es ist ein großer Teil dessen, was mich zu Secureframe gezogen hat – wir bringen wirklich neuen Schwung mit automatisierten Beweismitteln. Die Möglichkeit, so viel hin und her Bestätigung zu umgehen, ist eine absolute Veränderung. „Erfüllt dieser Screenshot diese spezielle Kontrolle?“ Das ist die Steintafel- und Meißelmethode der Compliance, die alte Art, Dinge zu tun.
Verglichen mit der Art und Weise, wie wir es jetzt mit fast sofortiger Verifizierung machen. Sie verbinden die Integration, klicken auf Synchronisieren, und bei den meisten unserer Tests können Sie sofort wissen, ob etwas die Anforderungen eines bestimmten Rahmens erfüllt. Die Möglichkeit, der Branche dabei zu helfen, sich daran zu gewöhnen und es zum neuen Standard zu machen, ist ziemlich cool. Jetzt sehen Sie, wie größere Unternehmen in gewissem Maße aufholen.
4. Was ist ein weit verbreiteter Irrglaube über Sicherheit und Compliance?
Dass es nicht großartig oder interessant ist. Es könnte etwas sein, das Sie tun müssen, aber das bedeutet nicht, dass es mühsam sein muss. Wir sind hier, um den Prozess von Anfang bis Ende und darüber hinaus so schmerzlos wie möglich zu gestalten und vielleicht sogar Spaß zu machen.
5. Warum haben Sie sich entschieden, bei Secureframe zu arbeiten?
Letztendlich haben mich die Menschen und die Kultur zu Secureframe gezogen, und es ist das, was ich auch jetzt noch am meisten genieße. Offensichtlich spielt das gesamte Secureframe-Team sowie die Personen, mit denen Sie direkt zusammenarbeiten, eine große Rolle dabei, aber auch unsere Kunden und Partner. Alle Menschen, mit denen ich interagieren darf, von meinen Teamkollegen in der Compliance bis hin zu den Kunden, mit denen ich arbeite, und unseren Prüf- und Penetrationstest-Partnern, jeder ist eine Freude, mit ihnen zusammenzuarbeiten.
Es gibt auch eine allgegenwärtige Eigentumsmentalität hier bei Secureframe. Die Leute sind motiviert, das zu übernehmen, woran sie arbeiten, und wenn Sie jemanden kennen, der Ihnen helfen kann, können Sie direkt zu ihm gehen, um diese Hilfe zu bekommen.
6. Was ist Ihre Rolle im Compliance-Prozess für Kunden?
Wir kommen normalerweise ins Spiel, nachdem ein Kunde die Integration mit dem Customer-Success-Team abgeschlossen hat. Sie haben ihre Nutzung der Plattform optimiert und alles integriert und zum Laufen gebracht. Wenn der Kunde eine Frage hat, die das Customer-Success-Team nicht beantworten kann, kann eine Compliance-Ressource direkt eingreifen oder als Team eine Antwort geben. Wenn ein Kunde frühzeitig eine Menge technischer oder auditspezifischer Fragen hat, bei denen es für uns einfacher wäre, direkt mit ihm zu sprechen, ist dies ein weiterer Fall, bei dem wir früher im Prozess eingreifen und involviert werden würden.
Typischerweise, sobald ein Kunde die Integration abgeschlossen hat und die meisten verschiedenen Tests bestanden hat, planen wir eine Bereitschaftsbewertung mit dem Compliance-Team. Wir führen ein Schein-Audit durch und vervollständigen einen Überblick auf hoher Ebene, bei dem wir allgemeine Fragen beantworten oder über spezifische Tests sprechen. Zum Beispiel machen sie vielleicht etwas etwas anders, als was der Test sucht, und sie möchten wissen, ob das, was sie tun, immer noch die Anforderungen erfüllt.
Wir bleiben während des gesamten Audit-Prozesses involviert. Einige Kunden benötigen möglicherweise zusätzliche Unterstützung oder ihre Auditoren haben Fragen, die der Kunde klären möchte, bevor sie eine Antwort zurücksenden.
Wir bieten auch Unterstützung an, wenn sie im folgenden Jahr ein weiteres Audit haben oder sich möglicherweise etwas auf ihrer Seite ändert. Zum Beispiel implementieren sie etwas Neues oder eine neue Person übernimmt die Rolle und wir zeigen ihnen die Seile.
Einige unserer Kunden haben ihre eigenen Berater, und wir arbeiten mit ihnen zusammen, um zu zeigen, wie sie sowohl das Management des Systems als auch die zugehörigen Sicherheitsframeworks und Zertifizierungen übernehmen können, während wir zeigen, wie ein effizienterer Ansatz entweder Geld für ihren Kunden spart oder ihnen ermöglicht, sich auf größere Prioritäten zu konzentrieren.
7. Welche Schmerzpunkte sind Ihnen besonders wichtig, um sie für Kunden zu lösen?
Mein Ziel ist es, den gesamten Zertifizierungs-/Auditprozess und das Management so stressfrei und schmerzlos wie möglich zu gestalten – ihnen die Möglichkeit zu geben, genau zu sehen, was sie von Anfang bis Ende des gesamten Prozesses tun müssen, was passieren soll und wann, wer dafür verantwortlich ist, wann es fertig sein wird. All diese Dinge können wirklich schwer nachzuverfolgen sein, wenn Sie Secureframe nicht verwenden.
8. Können Sie ein Beispiel für eine Herausforderung teilen, bei der Sie einem Kunden auf seinem Compliance-Weg geholfen haben?
Eine Herausforderung, die mir in den Sinn kommt und mit der ich mich inzwischen mehrfach auseinandergesetzt habe, ist die, dass neue Kunden nach dem Abgang von einem anderen Sicherheitsunternehmen, das weniger hilfreich bei der Audit-Bereitschaft und der laufenden Sicherheitsüberwachung war, als erhofft oder bezahlt wurde, an Bord geholt wurden. Ich habe viele neue Kunden von Skeptikern zu Fans nicht nur der Secureframe-Plattform, sondern auch der herausragenden Dienstleistungen, die wir im Rahmen der laufenden Partnerschaft bieten, gemacht.
In einigen dieser Fälle war es entweder schwierig oder unmöglich, die vorherigen Richtlinien, Verfahren und Kontrollbeweise des Kunden zu exportieren. In anderen Fällen waren die Richtliniensätze entweder unvollständig oder nicht vollständig auf das neue Rahmenwerk anwendbar, mit dem sie die Konformität erreichen wollten. In beiden Fällen waren wir, wie bei allen Kunden, in der Lage, einen neuen Richtliniensatz zusammen mit einer Liste der erforderlichen Kontrollen und einer benutzerfreundlichen Oberfläche bereitzustellen, die zeigt, wie diese auf die verschiedenen Tests abgebildet sind und wo sie in Bezug auf die Audit-Bereitschaft stehen.
Oft sagen mir Kunden, dass sie sich bei ihrem vorherigen Anbieter für die Audit-Bereitschaft mit einem Produkt allein gelassen fühlten und niemanden hatten, der ihnen zeigte, wie man es verwendet oder ihre Fragen beantwortete. Wir gehen den gegenteiligen Ansatz. Von Anfang bis Ende haben sie dedizierte Ressourcen zur Verfügung, die mit den Anforderungen vertraut sind und wissen, wonach die Auditoren suchen und was der Kunde tun muss, um sicherzustellen, dass er konform ist.
Wir sind da, um ihnen zu helfen, ihre vorhandenen Dokumentationen zu verstehen und zuvor undokumentierte oder nicht standardisierte Verfahren zu formalisieren. Und dann machen wir mit der Secureframe-Plattform alles zu einer gut geölten Maschine für Sicherheits- und Konformitätsbereitschaft und -überwachung.
9. Was ist Ihr wichtigster Ratschlag für Menschen, die sich auf ihre erste Compliance-Prüfung vorbereiten?
Es ist nicht so beängstigend, wie es scheint! Wir sind hier, um zu helfen, und obwohl einige der Anforderungen komplex sind, machen wir es unseren Kunden wirklich einfach, alles zu befolgen.
10. Was sehen Sie als den größten organisatorischen Vorteil einer starken Sicherheits- und Compliance-Haltung?
Unabhängig von Zertifizierungen werden Sie aus dem Prozess mit einer stärkeren Sicherheitslage und einem besseren Verständnis, wie Sie Ihre Daten sicher halten, hervorgehen.
Zertifizierungen bedeuten nicht immer Sicherheit, und Audits erfassen nicht immer jedes kleine Detail. Aber mit unserem Tool erkennen wir jedes einzelne Beispiel, nicht nur durch jede Kontrolle, sondern durch jedes einzelne Beispiel, das in den Geist dieser Kontrolle einfließt. Sie werden wissen, ob etwas durch die Lücken fällt, damit Sie sofort nachverfolgen können. Sie werden so sicher wie möglich sein, indem Sie dieses blitzschnelle Wissen nutzen, wann all Ihre Sicherheitsschalter umgelegt sind und wann nicht.
Mit Secureframe können Sie Ihre Integrität zeigen, indem Sie alles, was Sie für Ihre Kunden tun, offenlegen – und Sie können nachts ruhig schlafen, weil Sie alles getan haben, was Sie konnten und sollten, basierend auf branchenweit anerkannten Standards. Sie werden zweifelsfrei wissen, dass Sie das Richtige für Ihre Kunden getan haben, indem Sie proaktiv in Bezug auf Sicherheit vorgehen und mit uns zusammenarbeiten, um den zusätzlichen Schritt zu gehen.
Werden Sie mit Expertenhilfe konform
Möchten Sie mit Jonathan oder einem anderen Mitglied unseres Compliance-Teams zusammenarbeiten? Vereinbaren Sie eine Demo von Secureframe, um mehr darüber zu erfahren, wie unsere Plattform und interne Experten Sicherheit, Datenschutz und Compliance schnell und einfach machen.