Pregúntale al Experto en Cumplimiento: 10 Preguntas con Cavan Leung, CISSP, CISA, CCSK
El objetivo de Secureframe es capacitar a las empresas para gestionar sus programas de seguridad, privacidad y cumplimiento para satisfacer las demandas del entorno empresarial actual y del mañana.
Para ello, actuamos como su equipo interno de cumplimiento. A cada cliente se le proporciona un experto certificado en seguridad de la información y ex auditor para ayudarlos a construir un programa de cumplimiento efectivo y escalable desde el principio.
Hoy te presentamos al experto en cumplimiento Cavan Leung. Cavan ha estado con Secureframe desde noviembre de 2021. En ese tiempo, ha ayudado a docenas de empresas a cumplir y adaptarse a las necesidades de cumplimiento en evolución.
1. ¿Puedes contarnos sobre tu formación y experiencia laboral previa? ¿Cuánto tiempo llevas en la industria de la seguridad y el cumplimiento?
Me gradué de la Universidad de Florida con un título en Sistemas de Información Gerencial (MIS). Después de la universidad, comencé mi carrera en una de las Cuatro Grandes firmas de contabilidad, Deloitte. En Deloitte, estuve involucrado en la implementación de seguridad de la información en sistemas de planificación de recursos empresariales (ERP) y auditorías de cumplimiento de Sarbanes-Oxley (SOX) para empresas Fortune 500.
Después de Deloitte, me uní a Schellman donde gestioné y realicé evaluaciones de cumplimiento para empresas medianas y Fortune 500, tocando diferentes marcos de cumplimiento de seguridad y privacidad, incluyendo SOC 1, SOC 2, GDPR e ISO 27001, por nombrar algunos.
En total, tengo más de ocho años de experiencia en la industria de la seguridad y el cumplimiento.
2. ¿Cuál es tu área/marco de especialización?
Mi experiencia abarca muchos marcos, pero si tuviera que elegir uno, sería ISO, ya que ese es donde reside mi interés personal. No obstante, estoy muy cómodo y bien versado en una variedad de marcos, incluyendo SOC 2, HIPAA, GDPR, CCPA, ISO 27001, ISO 27017, ISO 27018, ISO 27701, ISO 22301, ISO 9001 y otros.
3. ¿Qué es lo que más te entusiasma de la industria de la seguridad y el cumplimiento?
Para mí, lo más emocionante de la industria de la seguridad y el cumplimiento es que siempre está evolucionando. Constantemente surgen nuevas tecnologías en el mercado o las tecnologías existentes cambian para mejor. La automatización es un componente crítico de la evolución de la industria y también una gran parte de la razón por la que me uní a Secureframe.
Veo muchas oportunidades no solo en términos de automatizar diferentes aspectos de la seguridad y el cumplimiento en el frente de la auditoría, sino también tecnologías emergentes y capacidades que permitirían a las organizaciones implementar, monitorear y mejorar su postura de seguridad en su conjunto. Todos estamos experimentando esta evolución de primera mano y esto es solo el principio.
4. ¿Cuál es una idea errónea común que la gente tiene sobre la seguridad y el cumplimiento?
Una idea errónea común sobre la seguridad y el cumplimiento es que se detiene una vez que terminas una auditoría. La seguridad de la información es continua y cada vez más crítica como parte de hacer negocios hoy en día.
Con la constante aparición de nuevas tecnologías habilitadoras de negocios, también significa la aparición de nuevos riesgos y amenazas de seguridad de la información. Por lo tanto, como organización, es importante integrar la seguridad de la información como parte de tu cultura, y siempre debes esforzarte por mejorar continuamente tu postura de seguridad y cumplimiento para minimizar los nuevos riesgos.
Algunas empresas hacen todo lo posible para obtener su cumplimiento SOC 2 o su certificación ISO y luego, más adelante, no continúan mejorando su propia postura de seguridad. La tecnología está evolucionando tan rápido que, si no le prestas atención, podrías estar en un riesgo aún mayor de un incidente de seguridad o tener una vulnerabilidad de la que no eres consciente.
5. ¿Por qué elegiste trabajar para Secureframe?
Elegí trabajar para Secureframe debido a lo que estamos haciendo en el ámbito de la seguridad y el cumplimiento. Secureframe está a la vanguardia de la evolución del cumplimiento de seguridad y quería estar involucrado para ayudar a marcar el camino. Estamos ayudando a las organizaciones a simplificar y automatizar el cumplimiento de seguridad en una plataforma integral.
Venir de un trasfondo de cumplimiento, he visto muchos productos de cumplimiento, pero la mayoría eran soluciones aisladas y no proporcionaban una plataforma integral y holística. Así que fue un soplo de aire fresco aprender lo que Secureframe estaba ofreciendo.
Desde que me uní, hemos seguido ampliando el alcance de nuestro producto e introducido nuevas características y capacidades emocionantes. Sin embargo, no nos detendremos aquí: ¡aún queda mucho por venir!
6. ¿Cuál es tu rol en el proceso de cumplimiento para los clientes?
Me convierto en un acompañante en cada paso de su viaje de cumplimiento, explicando la mejor manera de implementar controles y programas de seguridad según el contexto de su organización. En última instancia, mi responsabilidad es asegurar que los clientes tengan un programa de seguridad bien implementado, proporcionar orientación sobre cualquier matiz o salvedad, y permitir que nuestros clientes completen una auditoría sin problemas significativos.
7. ¿Qué puntos problemáticos te apasiona solucionar para los clientes?
Me apasiona guiar a los clientes a través del viaje de cumplimiento. Puede ser oneroso sin la orientación adecuada. Disfruto proporcionando ese aspecto educativo de la seguridad y el cumplimiento a todos mis clientes.
También me entusiasma ver a nuestros clientes ahorrar tiempo y esfuerzo aprovechando las capacidades de automatización de nuestra plataforma. Esto facilita muchos aspectos de sus esfuerzos de cumplimiento y ciertamente es un alivio para ellos.
Por ello, me apasiona expandir nuestras capacidades de automatización recopilando feedback de nuestros clientes y luego trabajando internamente con nuestros equipos de Ingeniería y Producto para ayudar a implementar nuevas características. Esto simplifica su viaje de cumplimiento y les ayuda a implementar un programa de seguridad eficiente y efectivo que se pueda mantener a largo plazo.
8. ¿Puedes compartir un ejemplo de un desafío que ayudaste a un cliente a superar en su viaje de cumplimiento?
Muchas empresas luchan con la falta de claridad al trabajar con diferentes marcos de cumplimiento. Los marcos de seguridad no son los más sencillos y pueden requerir un trasfondo de cumplimiento para entender qué es exactamente lo que debe estar en su lugar. Así que como parte del viaje del cliente, no solo les guío sobre lo que necesitan tener en su lugar, sino que también proporciono ese aspecto educativo sobre el “por qué” y desmitifico los matices y salvedades de cada uno de los marcos de cumplimiento que están buscando.
Debido a las necesidades comerciales, muchos clientes buscan más de un marco de cumplimiento al mismo tiempo, como SOC 2, ISO 27001 y GDPR. Las empresas también pueden tener recursos limitados en términos de tiempo y personal. Así que proporciono un camino claro para el cliente, teniendo en cuenta su entorno único y lo que estaría dentro del alcance de cada marco. Les ayudo a implementar controles y prácticas de seguridad de manera adecuada, comprender por qué las están implementando y mantenerlas en el futuro.
9. ¿Cuál es tu consejo número uno para las personas que se están preparando para su primera auditoría de cumplimiento?
Todos los marcos tienen sus propios matices y salvedades únicos. Escucha a tu experto en cumplimiento porque vienen de ese trasfondo y saben lo que debe estar en su lugar. Hay muchos matices que no conocerías si lo haces por primera vez por tu cuenta.
Y no tengas miedo de preguntar el “por qué” de las cosas. Entender qué riesgos están abordando los marcos o controles da a las empresas una mejor perspectiva de por qué están haciendo lo que están haciendo. Pero también considera utilizar una plataforma integral de cumplimiento como Secureframe que puede ayudar a simplificar tu viaje de cumplimiento de principio a fin.
10. ¿Cuál consideras que es el mayor beneficio organizacional de una postura sólida de seguridad y cumplimiento?
El mayor beneficio de una sólida postura de seguridad y cumplimiento es minimizar los riesgos de seguridad de la información. Hoy en día, hay mucho ransomware, brechas de datos y otros ciberataques. Los programas de seguridad de la información y cumplimiento ayudan a minimizar esos riesgos para, en última instancia, proteger tus propios datos y los datos de tus clientes. A su vez, esto ayuda a establecer confianza entre tú y tus clientes.
Aprovechar una plataforma como Secureframe puede ayudar a tu organización no solo a establecer una sólida postura de seguridad y cumplimiento, sino también a mantenerla en el futuro.
Cumplir con la ayuda de expertos.
¿Quiere trabajar con Cavan u otro miembro de nuestro equipo de cumplimiento? Programe una demostración de Secureframe para obtener más información sobre cómo nuestra plataforma y expertos internos hacen que la seguridad, la privacidad y el cumplimiento sean rápidos y fáciles.