Fragen Sie den Compliance-Experten: 10 Fragen an Marc Rubbinaccio, CISSP, CISA

  • October 27, 2022

Der Erwerb von Compliance-Zertifizierungen und der Aufbau einer starken Sicherheitslage bringen eine scheinbar endlose Reihe von Fragen mit sich:

Sollte dieses System oder diese Anwendung in den Umfang meines Audits einbezogen werden?

Wie sollte mein Auditfenster aussehen? Kann ich es für mein nächstes Audit ändern?

Gibt es einen einfacheren oder effektivere Möglichkeit, meine Systeme für kontinuierliche Compliance zu konfigurieren?

Die Bewältigung dieser Fragen alleine kann stressig und verwirrend sein.

Deshalb paaren wir jeden Kunden mit einem engagierten Experten für Sicherheit, Datenschutz und Compliance. Sie begleiten Sie in jedem Schritt, von der Audit-Bereitschaft bis zum Abschlussbericht und darüber hinaus.

Heute stellen wir Ihnen den Compliance-Experten Marc Rubbinaccio vor. Marc lebt in New York und ist seit Februar 2021 bei Secureframe. Er hat Dutzenden von Unternehmen geholfen, Zertifizierungen zu erreichen und aufrechtzuerhalten sowie stärkere Sicherheitslagen aufzubauen.

1. Können Sie uns etwas über Ihren Hintergrund und Ihre bisherigen Arbeitserfahrungen erzählen? Wie lange sind Sie schon in der Sicherheits- und Compliance-Branche tätig?

Ich habe meinen Bachelor-Abschluss in Computerinformationssystemen an der DeVry University gemacht und sofort meine Karriere im Sicherheitsbereich als Incident-Response-Techniker bei Colgate Palmolive begonnen, wo ich die Verfügbarkeit von Produktionsanwendungen und -infrastrukturen überwachte.

Nach dem Selbststudium von Ressourcen für Penetrationstests erhielt ich eine Stelle bei A-LIGN als einer der ersten Penetrationstester des Unternehmens. Hier habe ich gelernt, wie man Penetrationstests gegen Anwendungen, Infrastrukturen, drahtlose Netzwerke und Social Engineering durchführt. Nachdem das Penetrationstest-Team aufgebaut war, habe ich die Gelegenheit genutzt, PCI DSS zu lernen und den leitenden Auditoren bei A-LIGN über die Schulter zu schauen. Nachdem ich meine QSA-Zertifizierung erhalten hatte, begann ich mit der Durchführung von PCI DSS-Bewertungen, und als ich A-LIGN verließ, war ich leitender Auditor. Insgesamt habe ich etwa 8 Jahre Erfahrung im Bereich Cybersicherheit.

2. Was ist Ihr Spezialisierungsbereich/-rahmenwerk?

Ich betrachte PCI DSS als mein Spezialisierungsrahmenwerk. Ich hatte extrem viel Glück, während meiner Tätigkeit bei A-LIGN mit PCI-Experten zusammenzuarbeiten und Bewertungen für komplizierte Unternehmenskunden unter der Leitung von Branchenführern durchzuführen. Jetzt leite ich die PCI DSS-Praxis bei Secureframe, baue die Frameworks auf und führe unsere Kunden durch erfolgreiche PCI-Audits und Selbstbewertungen.

Mit meinen anderthalb Jahren Erfahrung bei Secureframe bin ich auch äußerst vertraut damit, unseren Kunden bei SOC 2 und ISO 27001-Bewertungen zu helfen.

Durch meine Erfahrung als Penetrationstester kann ich auch mit unseren Partnern und Kunden für Penetrationstests zusammenarbeiten, um eine hervorragende Erfahrung bei diesen Tests zu ermöglichen.

3. Was begeistert Sie am meisten an der Sicherheits- und Compliance-Branche?

Als ich mich zum ersten Mal für den Bereich Sicherheit und Compliance interessierte, gab es viele Schlagzeilen über große Unternehmen, die Opfer von Sicherheitsverletzungen wurden, und Cyberangriffe nahmen zu. Ich wurde neugieriger auf die verschiedenen Arten von Angriffen und Sicherheitstechniken sowie auf die spezifischen Jobrollen innerhalb der Sicherheit. Anwendungssicherheit, Infrastruktursicherheit, rotes Team/blaues Team – es gibt so viele Möglichkeiten.

Was ich jetzt am aufregendsten finde, ist die ständige Weiterentwicklung und die Notwendigkeit, sich anzupassen. Vor fünf Jahren habe ich Rundgänge durch Rechenzentren und Büros gemacht, und jetzt unterstütze ich vollständig Remote-Kunden, die ihre Infrastruktur in AWS hosten und Cloud-Dienste nutzen, um Compliance-Anforderungen zu erfüllen.

4. Was ist ein häufiges Missverständnis, das die Leute über Sicherheit und Compliance haben?

Das größte Missverständnis ist, dass Compliance schwer zu erreichen ist.

In Wirklichkeit ist Compliance nur eine grundlegende Sicherheitsmethode. Compliance bedeutet, über ordnungsgemäße Protokollierungs- und Überwachungskontrollen zu verfügen. Compliance bedeutet, sicherzustellen, dass Kundendaten sicher sind. Dies sind nur grundlegende Sicherheitsprinzipien.

Es gibt verschiedene Wege, um die Anforderungen zu erfüllen – es ist möglich, dass Sie bereits einige Anforderungen erfüllen. Mit der Hilfe von Secureframe ist es einfacher, sich auf Compliance vorzubereiten und die Compliance aufrechtzuerhalten.

5. Warum haben Sie sich entschieden, für Secureframe zu arbeiten?

Ich glaubte wirklich, dass es einen einfacheren Weg gibt, Audits durchzuführen. Ich habe persönlich mehrere Leitblätter und Notizvorlagen erstellt, um eine einfachere Vor-Ort-Bewertung zu erleichtern, was nicht ideal war.

Während meiner ersten Gespräche mit unserem CEO Shrav Mehta, in denen er mir erklärte, was Secureframe macht, konnte ich es ehrlich gesagt nicht glauben. Ich hatte viele Fragen. Ich habe die Plattform mehrfach vorgeführt und tiefgehend gefragt: „Wie würden Sie das überprüfen? Wie würden Sie das überprüfen?“ Dann erfuhr ich, dass es meine Aufgabe sein würde, diese Funktionen auf der Plattform zu unterstützen – meine sehr spezielle Expertise zu nutzen, um Software zu entwickeln, die es Prüfern auf der ganzen Welt erleichtert. Es klang nach meiner Berufung.

6. Was ist Ihre Rolle im Compliance-Prozess für Kunden?

Meine Aufgabe ist es, sicherzustellen, dass meine Kunden vollständig auf ihre Prüfung vorbereitet sind. Dies beginnt mit der Konzeption und Implementierungsanleitung, der Bereitschaft innerhalb der Secureframe-Plattform und der Unterstützung bei der Überwachung und Durchführung der Prüfung zwischen unseren Kunden und den Prüfern.

Die konkreten Aufgaben, die ich ausführe, hängen alle von den Bedürfnissen der Kunden ab. Es könnte sich um ein voll erfahrenes Unternehmen handeln, das bereits zahlreiche Bewertungen durchlaufen hat und nach einer einfacheren Möglichkeit sucht, Dinge zu erledigen. Ich komme und unterstütze die Einführung von Administratoren und im Umfang befindlichem Personal in Secureframe, helfe bei der Kommunikation und den Nachverfolgungen des Prüfers und unterstütze die Kunden bei der Konfiguration der Software, um diese Nachweise mühelos zu ziehen. All dies anstelle der manuellen Durchführung der Prüfung über Tabellenkalkulationen oder wie auch immer sie es früher gemacht haben.

Oder es könnte ein Unternehmen sein, das noch keine Produktionsumgebung eingerichtet hat. Vielleicht haben sie eine Staging-Umgebung und möchten ihre Implementierung für ihren allerersten Kunden sicher gestalten. Was ich dann tue, ist, sie nach ihrem Tech-Stack zu fragen und ihnen dabei zu helfen, Sicherheitsdienste und -tools einzuführen und ihre Daten zu schützen, wenn sie anfangen, Daten von Kunden zu verarbeiten. Das Ziel ist es, sie vollständig sicher, vollständig vorbereitet und bereit für diesen ersten Kunden sowie für ein vollständig ausgereiftes Cybersicherheitsaudit zu machen.

7. Welche Schmerzpunkte sind Ihnen besonders wichtig, für Kunden zu lösen?

Ich denke, der größte Schmerzpunkt ist die eigentliche Umsetzung vieler dieser Compliance-Anforderungen. Oft gibt es mehrere Möglichkeiten, eine spezifische Anforderung zu erfüllen, und es kann für Kunden schwierig sein, genau zu verstehen, was diese Anforderung ist. Unsere Kunden schätzen wirklich die Expertise und Anleitung, was implementiert werden muss, um Konformität zu gewährleisten, ohne das Geschäft zu beeinträchtigen.

8. Können Sie ein Beispiel für eine Herausforderung nennen, die Sie einem Kunden auf seiner Compliance-Reise geholfen haben, zu überwinden?

Einige Kunden haben ihre Umgebung nicht vollständig aufgebaut, aber um bestimmte Anbieter oder Zahlungsabwickler nutzen zu können, müssen sie PCI-konform sein. Was ich mit früheren Kunden gemacht habe, ist, den besten Weg zu finden, eine PCI-konforme Umgebung zu implementieren, um die PCI-Anforderungen so schnell wie möglich zu erfüllen und gleichzeitig den Umfang zu begrenzen.

Ein konkretes Kundenbeispiel, das ich unterstützt habe, begann damit, dass der Kunde eine PCI-konforme Umgebung implementieren wollte. Basierend auf dem spezifischen Dienst habe ich Empfehlungen für Tokenisierungspartner gegeben, Einführungen gemacht und den Kunden geholfen zu verstehen, wie Tokenisierung ihnen erheblich helfen könnte, ihren PCI-Bereich zu verkleinern. Unterstützte bei der Implementierung einer solchen Lösung und erstellte einen Bericht in Secureframe, der sich an den Umfang ihrer spezifischen Implementierung anpasst.

9. Was ist Ihr wichtigster Ratschlag für Personen, die sich auf ihre erste Compliance-Prüfung vorbereiten?

Bereiten Sie sich darauf vor, flexibel mit den Prozessen umzugehen, die Sie derzeit eingeführt haben und wie Sie Dinge als Unternehmen tun. Die Einhaltung von Vorschriften kann viele Änderungen erfordern, und manchmal erfordert eine starke Sicherheitsstellung Einschränkungen in den Prozessen. Es ist schwieriger, gegen Anforderungen anzukämpfen, als sich an Sicherheitskontrollen anzupassen, um konform zu sein und die Konformität aufrechtzuerhalten.

10. Was sehen Sie als den größten organisatorischen Vorteil einer starken Sicherheits- und Compliance-Position?

Der größte Vorteil, der mit der Konformität einhergeht, ist die Sicherstellung, dass die Daten Ihrer Kunden sicher sind. Das Letzte, was ein Unternehmen will, ist, einen Datenverlust zu erleben, bei dem Sie Kundendaten verlieren und dann öffentlich ankündigen müssen, dass die Informationen möglicherweise geleakt sind. Ihren Kunden mit Überzeugung sagen zu können, dass ihre Daten geschützt sind, gibt ihnen wirklich ein beruhigendes Gefühl, wenn sie ihre Daten mit Ihnen als Organisation teilen.

Erhalten Sie Unterstützung bei der Konformität von Experten

Möchten Sie mit Marc oder einem anderen Mitglied unseres Compliance-Teams zusammenarbeiten? Vereinbaren Sie eine Demo von Secureframe, um mehr darüber zu erfahren, wie unsere Plattform und In-House-Experten Sicherheit, Datenschutz und Konformität schnell und einfach machen.