Fragen Sie den Compliance-Experten: 10 Fragen an Rob Gutierrez, CISA, CSSK

  • October 06, 2022
Author

Emily Bonnie

Senior Content Marketing Manager at Secureframe

Reviewer

Rob Gutierrez

Senior Compliance Manager at Secureframe

Wenn Sie mit einem Compliance-Automatisierungsunternehmen zusammenarbeiten, um Ihre Sicherheits- und Datenschutzposition zu verbessern, haben Sie möglicherweise technische Fragen zu einer bevorstehenden Prüfung oder möchten eine spezifische Rahmenanforderung besprechen.

In diesem Fall möchten Sie keinen Chatbot, der Standardantworten wiedergibt oder Ihnen mitteilt, dass sich jemand aus dem Team mit Ihnen in Verbindung setzen wird. Sie möchten direkt mit einem Compliance-Experten sprechen. Jemanden, der tatsächlich Ihren Namen kennt und Fragen zu Ihrer einzigartigen Umgebung beantworten kann.

Bei Secureframe verstehen wir den Wert, einen Experten an Ihrer Seite während des gesamten Compliance-Prozesses zu haben. Deshalb weisen wir jedem Kunden einen ehemaligen Prüfer zu, der sie bei jedem Schritt unterstützt. Und deshalb starten wir eine neue Webinar-Reihe — Secureframe Office Hours | Fragen Sie einen Experten. Es ist eine offene Möglichkeit für jeden, an einem Live-Q&A mit einem Mitglied unseres Teams von internen Sicherheits- und Compliance-Experten teilzunehmen.

In unseren ersten Secureframe Office Hours wird der zertifizierte Informationssicherheitsspezialist und ehemalige Prüfer Rob Gutierrez seine Ratschläge zur Vereinfachung des Sicherheitszertifizierungsprozesses teilen. Schauen Sie sich die Webinar-Zusammenfassung an, und lesen Sie weiter unten, um Rob kennenzulernen.

1. Können Sie uns etwas über Ihren Hintergrund und Ihre bisherigen Arbeitserfahrungen erzählen? Wie lange sind Sie bereits in der Sicherheits- und Compliance-Branche tätig?

Ich stamme ursprünglich aus der DC-Region, was, glaube ich, teilweise erklärt, wie ich hier gelandet bin. Nach meinem Abschluss an der Penn State mit einem Hauptfach in Supply Chain & Information Systems erhielt ich ein Angebot von KPMG und kehrte nach DC zurück. Da ich in der Hauptstadt der Nation war, war es keine Überraschung, dass ich im föderalen IT-Bereich landete.

Meine erste Prüfung war eine Finanzberichterstattungsprüfung für das US-Arbeitsministerium. Ich war 4,5 Jahre bei KPMG als externer Prüfer im föderalen Bereich, Berater für Prüfungsbereitschaft und Lieferkettenberater tätig. Ich führte FSA- und FISMA-Prüfungen bei verschiedenen kleinen und großen Regierungsbehörden durch und leistete auch einige Prüfungsbereitschaftsarbeiten.

Dann verbrachte ich fast zwei Jahre bei Coalfire als FedRAMP-Prüfer und arbeitete mit branchenführenden Technologieunternehmen zusammen. Ich bin seit mehr als sechs Jahren in der Sicherheits- und Compliance-Branche tätig.

2. Was ist Ihr Spezialgebiet/Framework?

Basierend auf meinem Hintergrund und meiner Erfahrung liegt mein Spezialgebiet im föderalen Bereich: NIST und FedRAMP. Bei Secureframe habe ich viele weitere Rahmenwerke gemeistert, einschließlich SOC 2. Ich habe die Anzahl der Kunden, denen ich geholfen habe, SOC 2 Typ I und Typ II zu erreichen, verloren.

Ich bin jetzt sehr vertraut mit allen unseren Rahmenwerken. Die meisten Rahmenwerke, einschließlich ihrer Kontrollen und Konzepte, sind ziemlich ähnlich; sie haben nur verschiedene Nuancen. Es ist wie das Erlernen verschiedener romanischer Sprachen. Wenn Sie fließend Spanisch sprechen, sind Portugiesisch und Italienisch tendenziell einfacher zu lernen, da sie alle von demselben Familienbaum abstammen. Mit SOC 2, ISO, HIPAA — die Konzepte und Best Practices sind die gleichen, aber die Anforderungen variieren.

3. Was begeistert Sie am meisten an der Sicherheits- und Datenschutz-Compliance-Branche?

Als ehemaliger Prüfer ist die Compliance-Automatisierung die Zukunft, und Secureframes branchenführender Ansatz und die Plattform verändern die Prüfungsbranche.

Historisch gesehen waren Prüfungen manuell, zeitaufwendig, arbeitsintensiv und frustrierend. Die meisten Prüfungen sind eine glorifizierte Papierübung, die eine Sache feststellen soll: ob jemand das tut, was er tun soll. Prüfungen sollten automatisiert werden, und es ist aufregend, an der Spitze der Zukunft der Branche zu stehen.

4. Was ist ein häufiges Missverständnis, das Menschen über Sicherheits- und Datenschutz-Compliance haben?

Die Menschen empfinden es als viel einschüchternder, als es ist. Aufgrund mangelnder Kenntnisse, Vertrautheit und Komfort mit Compliance und ihren Rahmenwerken denken die Menschen, dass Sicherheits- und Datenschutz-Compliance eine viel größere Herausforderung darstellt, als sie tatsächlich ist – insbesondere bei SOC 2, bei dem die Anforderungen flexibler und nicht so direkt wie bei anderen Rahmenwerken sein können.

Das ist ein weiteres Missverständnis – oft möchten Kunden hören, dass es einen Weg gibt, eine Anforderung zu erfüllen, insbesondere bei SOC 2. Aber es gibt keine Einheitslösung für Compliance. Wir arbeiten mit Kunden zusammen, um die beste Methode für sie zu finden, um compliant zu werden und zu bleiben. Wir betrachten verschiedene Kontrollen und Systeme. Selbst Auditoren wissen, dass es je nach Ihrer einzigartigen Umgebung und Situation mehrere Möglichkeiten gibt, Anforderungen zu erfüllen. Was ist Ihre Begründung dafür, etwas zu tun? Wenn Sie die richtige Logik verwenden und risikoscheu sind, ist es wahrscheinlich in Ordnung für Ihr System, Ihre Sicherheit und Ihre Compliance.

5. Warum haben Sie sich entschieden, für Secureframe zu arbeiten?

Ich habe mich schon immer für Compliance interessiert, aber ich bin leidenschaftlich an dem Problem interessiert, das wir bei Secureframe lösen. Compliance-Automatisierung ist die Zukunft, und dies war eine Gelegenheit, Teil von etwas Besonderem zu sein, das sich positiv darauf auswirken wird, wie Geschäfte weltweit gemacht werden.

Letztendlich waren es jedoch die Menschen, die mich dazu gebracht haben, bei Secureframe anzufangen. Ab meinem allerersten Interview waren alle, mit denen ich gearbeitet habe, authentisch, fürsorglich, hart arbeitend, klug und leidenschaftlich bei dem, was wir tun. Sie sehen die Vision und das Ziel, und wir sind alle zusammen mit unseren Kunden dabei, um ihnen zum Erfolg zu verhelfen – ihr Erfolg ist unser Erfolg.

6. Was ist Ihre Rolle im Compliance-Prozess für Kunden?

Wenn der Kunde von Anfang an Hilfe benötigt, sind wir da, um ihm zu helfen, zu bestimmen, was er für den ersten Schritt auf seiner Compliance-Reise tun muss. Oder vielleicht haben sie es eilig, weil ein Geschäft auf dem Spiel steht und sie in sechs Wochen eine Zertifizierung benötigen. Es hängt von den Bedürfnissen des Kunden ab, aber genau das macht unser Team so großartig. Wir springen überall und jederzeit ein. Unser Vertriebsteam verkauft eine personalisierte Kundenerfahrung, und zwischen den Compliance- und den Customer-Success-Teams setzen wir das mit Leidenschaft und Stolz um.

Wir kümmern uns aufrichtig um unsere Kunden. Wenn wir sehen, dass sie gestresst sind, möchten wir ihnen ein sicheres Gefühl geben. Wenn sie eine Frage haben, möchten wir eine fachkundige Antwort liefern. Und wenn sie ein Problem haben, wie können wir ihr Feedback nutzen, um unser Produkt und ihre Kundenerfahrung zu verbessern? Wir arbeiten ständig daran, unser Produkt und unsere Methodik für unsere Kunden zu verbessern.

7. Welchen Schmerzpunkten widmen Sie sich leidenschaftlich, um sie für Kunden zu lösen?

Abgesehen davon, dass wir Kunden Zeit und manuelle Arbeit sparen, liegt mein Lieblingsschmerzpunkt, den ich für Kunden löse, darin, ihnen Sicherheit für ihre Prüfung zu geben und ihren Stress zu lindern. Oft wissen Kunden nicht, was für die Compliance erforderlich ist oder ob das, was sie tun, ausreicht, und das kann stressig sein. Ich genieße es, ihre Fragen und Bedenken durchzugehen, um sicherzustellen, dass sie wissen, dass das, was sie tun, ihnen helfen wird, die Compliance zu erreichen.

8. Können Sie ein Beispiel für eine Herausforderung teilen, bei der Sie einem Kunden geholfen haben, diese auf seiner Compliance-Reise zu überwinden?

Einige Kunden sind sehr überwältigt. Ein bestimmter Kunde benötigte eine Zertifizierung in sechs Wochen und fing bei null an. Sie hatten es eilig und fühlten sich verloren. Ein anderer Kunde, an den ich mich erinnere, ist einer, dem ich gleichzeitig geholfen habe, sowohl SOC 2 als auch HIPAA-konform zu werden.

Indem ich Compliance zu einem klaren Prozess gemacht habe, konnte ich ihren Stress lindern und beide Unternehmen auf den richtigen Weg bringen. Beide haben ihre Zertifikate erhalten und waren sehr glücklich. Ich helfe ihnen nicht nur, einen Bericht zu erhalten, sondern mache ihnen das Leben leichter und gebe ihnen Seelenfrieden. Es ist wichtig, dass unsere Kunden dieses Vertrauen und Verantwortungsbewusstsein spüren.

9. Was ist Ihr wichtigster Ratschlag für Menschen, die sich auf ihre erste Compliance-Prüfung vorbereiten?

Das ist knifflig, weil es für jeden anders ist. Jeder unserer Kunden hat es mit unterschiedlichen Kundenerwartungen, verschiedenen Ressourcen und verschiedenen Systemen zu tun. Ich würde sagen, allgemein gesprochen, dass man mit Richtlinien beginnen sollte. Richtlinien bilden die Grundlage für alles. Stellen Sie sicher, dass Ihre Richtlinien mit Ihren Prozessen übereinstimmen und umgekehrt – am Ende des Tages ist das, was Ihr Auditor prüft und bestätigt.

Ein weiterer Hinweis ist, sich nicht zu sehr um die Einhaltung von Vorschriften zu stressen. Viele Unternehmen wissen, dass sie konform sein oder eine bestimmte Zertifizierung erreichen müssen, aber sie wissen nicht, was dafür erforderlich ist oder wo sie anfangen sollen. Arbeiten Sie mit Secureframe – wir machen es so schnell und einfach wie möglich und sorgen dafür, dass Sie die gewünschte Zertifizierung oder den gewünschten Bericht erhalten.

10. Was sehen Sie als den größten organisatorischen Vorteil einer starken Sicherheits- und Datenschutz-Compliance-Haltung an?

Seelenfrieden. Es dauert 7 Jahre, Ihren Ruf aufzubauen, und 7 Sekunden, ihn zu verlieren. Hacks und Verstöße passieren im Handumdrehen – Sie möchten nicht alles verlieren, wofür Sie hart gearbeitet haben, nur wegen eines vermeidbaren Verstoßes.

Indem Sie Sicherheit, Datenschutz und Compliance priorisieren, wissen Sie, dass Ihre Daten sicher sind und Ihre Organisation alles tut, was sie tun muss, um sich vor einem Verstoß zu schützen.