Pregúntele al Experto en Cumplimiento: 10 Preguntas con Chris Sesi, JD
Secureframe está diseñado para proporcionar a los clientes todo lo que necesitan para lograr y mantener la conformidad con la seguridad y privacidad. Por eso ofrecemos a cada cliente automatización de vanguardia y asesoría experta para simplificar y agilizar el proceso de cumplimiento.
Hoy les presentamos al VP de Cumplimiento Chris Sesi. Chris ha estado con Secureframe desde su fundación en 2020. En ese tiempo, ha ayudado a expandir la suite de soluciones de gobernanza, riesgo y cumplimiento de Secureframe, incluyendo nuestros más de 14 marcos de trabajo de seguridad y privacidad. Ha ayudado a construir la base de Secureframe y ha apoyado a docenas de empresas a obtener y mantener el cumplimiento con los estándares globales más rigurosos.
1. ¿Puede contarnos sobre su historial y experiencia laboral previa? ¿Cuánto tiempo ha estado en la industria de la seguridad y el cumplimiento?
Mi formación es en ciencias de la computación y derecho. Comencé mi carrera legal en un gran bufete de abogados, principalmente haciendo transacciones tecnológicas y acuerdos comerciales. Una gran parte de mi trabajo consistía en revisar addendos de seguridad para empresas tecnológicas que formaban parte de nuestros contratos legales. Muchos de estos addendos contenían requisitos similares a SOC 2 o ISO. Muchos de los controles y requisitos de esos marcos estaban incrustados en el documento legal para que los clientes tuvieran que acordar contractualmente seguirlos o estar en incumplimiento del contrato. Ahí fue cuando comencé a aprender mucho sobre el ámbito de la seguridad de la información.
Luego, una de las primeras startups a las que me uní resultó ser una startup de seguridad. Atendíamos a clientes muy grandes y ellos seguían pidiendo este informe llamado SOC 2 que eventualmente ayudé a nuestra empresa a obtener. A partir de ahí, me uní a otra startup de seguridad llamada Duo Security, donde aprendí más sobre InfoSec. Cuando esta se vendió a Cisco por $2.5 mil millones, quise quedarme en una startup ya que me encantaba ayudar a construir, así que me fui para unirme a otra. Esta fue la primera que no estaba en la industria de la seguridad, pero me uní para ayudar a gestionar su programa de seguridad como Jefe de Legal, Seguridad de la Información y Proyectos Especiales. Mis responsabilidades incluían construir nuestros programas de InfoSec y legales desde cero, entre otras responsabilidades operativas. Vendíamos a grandes empresas de insurtech, por lo que la seguridad era de suma importancia. Desarrollar un programa de seguridad robusto, que incluía lograr el cumplimiento de SOC 2 desde cero, y negociar esos acuerdos era mi responsabilidad y lo que ayudé a hacer.
En ese momento, comencé a hacer algunas inversiones ángel y me presentaron a Shrav, quien pensaba en la idea de Secureframe. Como había construido programas SOC 2 desde cero un par de veces, ayudé a organizar y dirigir esos programas en varias empresas y pasé mucho tiempo en el ámbito de la seguridad, sabía que era una buena idea y que podría resolver un gran problema que había experimentado de primera mano. Ofrecí algunos consejos sobre lo que haría y en qué me centraría y finalmente terminé invirtiendo en la empresa. Poco después, comencé a asesorar a Shrav y luego acordamos que tenía sentido que me uniera al equipo. Así que me uní prácticamente desde el primer día.
En total, tengo ocho años de experiencia en la industria de seguridad y cumplimiento y unos tres años de eso los he pasado ayudando a construir Secureframe desde el preproducto hasta miles de clientes.
2. ¿Cuál es su área/marco de especialización?
SOC 2 es lo que aprendí primero y mejor conocí, pero al provenir del ámbito de la seguridad, tenía muchas prácticas y conocimientos generales. Esto me permitió profundizar en otros marcos en Secureframe rápidamente. De hecho, en mis primeros tres meses aquí y dentro de un mes de lanzar Secureframe, ayudé a Secureframe a convertirse en conforme con ISO 27001 y fuimos la primera herramienta de automatización de cumplimiento en lograr la certificación.
Una vez que tienes una base sólida en seguridad de la información, muchos de los marcos son bastante similares, así que solo tienes que dominar las diferencias sutiles entre marcos como ISO 27001 y SOC 2. Por ejemplo, para cada marco, la estructura de la auditoría suele ser diferente. Algunos requisitos son diferentes. Algunos marcos son más prescriptivos, por lo que requieren un lenguaje especial o ajustes en tus políticas. Con ISO, hay un requisito de una auditoría interna, que SOC 2 no requiere. Una vez que entiendes las diferencias, añadir ese nuevo marco a tu conjunto de habilidades se vuelve mucho más fácil.
3. ¿Qué es lo que más te emociona de la industria de la seguridad y el cumplimiento?
Hay un par de cosas. Una, creo que la industria está ganando más respeto del que solía tener, y eso continuará. Ahora ves la seguridad discutida en la sala de juntas. No es una idea de última hora. Es increíble ver la cumplimiento de la seguridad expandiéndose en alcance. SOC 2 o ISO 27001 es una de las primeras cosas que cada compañía B2B se propone lograr ya que se han convertido en un pilar para hacer negocios. Con esto, el mercado se está expandiendo, por lo que hay muchas más oportunidades para innovar en el espacio de la seguridad y el cumplimiento.
Lo otro a destacar es la expansión regulatoria global centrada en la seguridad de los datos que está en marcha. Muchos países están implementando nuevas regulaciones de ciberseguridad, y se está volviendo cada vez más difícil para las organizaciones multinacionales mantener el cumplimiento o continuar expandiéndose globalmente sin violar estas nuevas regulaciones. Esto crea una oportunidad emocionante para una empresa como Secureframe para continuar escalando y ayudar a nuestros clientes a crecer en todo el mundo.
4. ¿Cuál es una idea errónea común que la gente tiene sobre la seguridad y el cumplimiento?
Una idea errónea, que está cambiando pero sigue siendo prevalente, es que no necesitas una posición fuerte en seguridad y cumplimiento si eres pequeño. La realidad es que la seguridad y el cumplimiento son críticos para mantener los datos seguros pero también para habilitar las ventas, ya sea que seas una compañía grande o pequeña. Sí, quieres estar seguro, quieres asegurarte de no ser vulnerado, pero también es muy crítico para hacer negocios. A menudo digo que una de las primeras cosas que haces al iniciar una empresa es incorporarte. Si quieres iniciar una empresa B2B, lo siguiente que tienes que hacer es obtener SOC 2. Buena suerte intentando vender software sin probar a tus clientes y socios que eres seguro.
La otra idea errónea es que la seguridad y el cumplimiento deben tratarse como una actividad de marcar casillas. Marcar casillas aumenta la probabilidad de que te enfrentes a una brecha de seguridad a medida que tu empresa crece. Una brecha te pone en las noticias y en una mala situación con los clientes. Así que tratar la seguridad y el cumplimiento como una situación de marcar casillas puede arruinar la reputación y la marca de una organización.
5. ¿Por qué elegiste trabajar para Secureframe?
Creí en el problema que estábamos tratando de resolver con Secureframe. Tanto es así que invertí en la ronda inicial en marzo de 2020, comencé a asesorar y me uní poco después. Porque anteriormente había pasado por el proceso de cumplimiento de SOC 2 y había construido programas de InfoSec por mí mismo, sabía que la oportunidad de ayudar a otros que no saben lo que están haciendo era enorme. Ciertamente no sabía lo que estaba haciendo la primera vez que ayudé a una compañía a cumplir con SOC 2 hace muchos años. Así que sabía que había una oportunidad para esencialmente construir un playbook que fuera repetible para lograr el cumplimiento con SOC 2 y otros marcos, y quería la oportunidad de construir eso desde cero.
También quería esta oportunidad de construir algo desde cero porque crecí en una familia emprendedora y había tenido y ayudado a iniciar otros negocios.
6. ¿Cuál es tu papel en el proceso de cumplimiento para los clientes?
Al principio, hacía todo. Era éxito del cliente. Era ventas. Era ingeniería. Era nuestro gerente de cumplimiento. Hoy, he dado un paso atrás porque ayudé a contratar y construir algunos de esos equipos. Ahora gestiono muchos de nuestros gerentes de cumplimiento día a día y el trabajo que están haciendo desde una perspectiva interna, orientada al cliente.
Pero la parte más emocionante de mi rol y lo que hace que Secureframe sea único es que tenemos más de 25 miembros del equipo que son ex-profesionales de auditoría y cumplimiento, y eso se nota en todo lo que hacemos, desde la forma en que tratamos y trabajamos con los clientes, hasta los comentarios y consejos estratégicos que damos, y hasta el producto que estamos construyendo. Es fundamental que recopilemos esos muchos años de experiencia de estas personas y lo fusionemos en todo lo que estamos haciendo y en nuestra cultura. Se nota en el producto que hemos construido y en los equipos que hemos formado.
Habiendo estado aquí desde el primer día, pude ayudar a asegurarme de que trajéramos a estas personas con la experiencia adecuada para construir una empresa que pueda ayudar a otros que no tienen esta experiencia y conocimientos especializados a lograr el cumplimiento de la manera correcta.
El objetivo final de Secureframe es ayudar a los clientes a generar confianza con sus propios clientes y no se puede hacer eso si nunca has pasado por ello. Tener a todas estas personas en nuestro equipo para no solo ayudarnos a construir productos, sino también asesorar a los clientes, se volvió realmente crucial.
7. ¿Qué puntos críticos te apasiona resolver para los clientes?
Crecí trabajando en un restaurante que era propiedad de mi familia. Mi madre me enseñó que el cliente siempre tiene la razón y que hay que encontrar la manera de hacerlo feliz, y luego asumir la responsabilidad de lo que estés haciendo. No importa si eres dueño del negocio, importa que lo trates como si lo fueras. Esos son los dos valores que encarné y que trato de ayudar a todos en Secureframe a encarnar. Asume la responsabilidad ya sea que esté en la descripción de tu trabajo o no. Si ves a un cliente decepcionado, enojado, triste, averigua cómo hacerlo feliz.
Realmente disfruto resolviendo los puntos críticos de los clientes. Por eso estamos construyendo Secureframe: para aliviar el estrés relacionado con el cumplimiento y reducir el tiempo que lleva mantenerlo año tras año. Si podemos lograr ese objetivo, deberíamos poder devolver a nuestros clientes mucho tiempo y libertad para hacer lo que quieren hacer, que es construir su negocio.
8. ¿Puedes compartir un ejemplo de un desafío que ayudaste a un cliente a superar en su viaje de cumplimiento?
Al principio en Secureframe, tuve un cliente que dirigía una empresa de menos de 10 personas. El cliente se inscribió y me dijo que su madre iba a gestionar InfoSec porque nadie más tenía tiempo. Recuerdo haber tenido muchas llamadas con alguien que no era experto en tecnología y no entendía temas como la infraestructura en la nube, con los que esperarías que alguien en esta posición pudiera estar familiarizado. Así que pasé mucho tiempo enseñándole sobre estos temas, cómo funciona el cumplimiento y por qué es importante. Pude entrenarla bastante rápido para usar Secureframe, obtener el SOC 2 e implementar un programa de seguridad en esta empresa en una etapa inicial. Ese fue un gran logro mío y muy divertido.
Hace tres o cuatro años, habría sido muy difícil conseguir que alguien hiciera todo lo que necesitaban hacer para el SOC 2 manualmente.
9. ¿Cuál es tu principal consejo para las personas que están pasando por su primera auditoría de cumplimiento?
Mi mayor consejo cuando te estás preparando para tu primera auditoría es estar preparado antes de comenzarla. Cuanto más despreparado estés al entrar en una auditoría, más difícil y estresante se sentirá.
Usar una plataforma de automatización como Secureframe puede hacer una gran diferencia. Sin la plataforma, tienes que confirmar por ti mismo si estás listo o no.
10. ¿Cuál crees que es el mayor beneficio organizacional de una postura fuerte en seguridad y cumplimiento?
Veo dos grandes beneficios. Primero, cuando construyes una organización con la seguridad y el cumplimiento en mente, los integras en la cultura para que las personas sean conscientes de ellos. Ya sea un vendedor pensando en compartir datos sensibles con un cliente o un ingeniero construyendo una característica, los empleados están pensando en los aspectos de seguridad, privacidad y cumplimiento de lo que están trabajando en su día a día. Cuando no lo integras en la cultura, los datos del cliente se filtran o tienes un problema de privacidad y, a medida que tu organización crece, muchas de estas cosas recaen sobre ti. Pero si logras que la seguridad y el cumplimiento corran por las venas de todas las personas en tu equipo, estarás mucho mejor a largo plazo a medida que escalas.
El otro beneficio es que hoy en día, la seguridad y el cumplimiento son imprescindibles por dos razones. Una es desde la perspectiva de los requisitos regulatorios. Si deseas hacer negocios en Europa, debes cumplir con GDPR. Si deseas hacer negocios en EE. UU., debes cumplir con CCPA, aunque es específico de California. Varios marcos son requeridos por terceros como PCI. Si estás manejando datos de salud, por ley debes cumplir con HIPAA. Luego están los marcos como SOC 2 e ISO que son requeridos comercialmente. No son requeridos por ninguna ley o regulación, pero si quieres hacer negocios, es mejor que creas que los clientes van a requerir que los tengas. Si deseas hacer negocios con el gobierno en EE. UU., se requieren marcos como NIST 800-53, NIST 800-171, FedRAMP o CMMC.
La otra razón es que en este paisaje en constante evolución de lo que llamo una expansión comercial y regulatoria de marcos, es muy importante tener un sistema para organizarlos todos. Solo seguirán creciendo. Solo habrá más requisitos que seguir. Cada país lanzará sus propios requisitos de privacidad de datos, por ejemplo. Australia, Canadá, EE. UU. y el Reino Unido están próximos a lanzar los suyos. Entonces, en este escenario donde los marcos y los requisitos sobre el control de datos continúan llegando desde diferentes ángulos, necesitas un sistema para organizarte. Cada vez será más apremiante que dejes de usar cosas como hojas de cálculo para mantenerte en línea.
Cumple con la ayuda de expertos
¿Quieres trabajar con Chris u otro miembro de nuestro equipo de cumplimiento? Programa una demostración de Secureframe para obtener más información sobre cómo nuestra plataforma y nuestros expertos internos hacen que la seguridad, la privacidad y el cumplimiento sean rápidos y fáciles.