Pregunte al Experto en Cumplimiento: 10 Preguntas con Fortuna Gyeltsen, CISSP, CISA, PMP, CCSK, Security+

  • September 29, 2022

Lograr y mantener una seguridad, privacidad y cumplimiento continuos puede ser un desafío, especialmente si lo haces por tu cuenta. La misión de Secureframe es proporcionar automatización de vanguardia y asesoramiento experto para simplificar y agilizar el proceso de cumplimiento en cada paso.

No solo tenemos una plataforma GRC que automatiza y agiliza el proceso de cumplimiento de extremo a extremo. También contamos con expertos certificados en seguridad de la información y ex auditores que ofrecen a cada cliente un apoyo completo antes, durante y mucho después de la auditoría.

Hoy te presentamos a la experta en cumplimiento Fortuna Gyeltsen. Fortuna ha estado con Secureframe desde octubre de 2021. En ese tiempo, ha ayudado a decenas de empresas a obtener y mantener los estándares de cumplimiento global más rigurosos y posturas de seguridad más sólidas.

1. ¿Puedes contarnos sobre tu experiencia y tu trabajo anterior? ¿Cuánto tiempo llevas en la industria de la seguridad y el cumplimiento?

He estado en la industria a tiempo completo durante unos 6,5 años, pero he formado parte de la industria durante casi trece años contando mi pasantía. Desde que tenía 16 años hasta que me gradué de la universidad a los 22, pasé los descansos de verano e invierno trabajando en una oficina y centro de datos para una agencia gubernamental en trabajo relacionado con la seguridad y el cumplimiento.

Cuando comencé a trabajar a tiempo completo, empecé en la industria de la salud durante unos años y luego volví a la seguridad y el cumplimiento. En Blue Canopy, brindé servicios de soporte de seguridad a una agencia federal y realicé evaluaciones de controles de seguridad para otra agencia. De hecho, comencé como gerente de proyectos, pero por supuesto había más trabajo por hacer que personas, así que comencé a asignarme tareas y a estudiar para el Security+ fuera del horario laboral. Eventualmente pasé de hacer un 80% de gestión de proyectos y un 20% de evaluaciones técnicas a un 80% de evaluaciones técnicas y un 20% de gestión de proyectos.

Luego, pasé a realizar únicamente esas evaluaciones para una variedad de clientes en Coalfire. Antes de unirme a Secureframe, fui un recurso dedicado a un importante cliente de infraestructura en la nube. En ese rol, me expandí a diferentes marcos de cumplimiento y gestioné docenas de sus evaluaciones de centros de datos.

2. ¿Cuál es tu área/marco de especialización?

Debido a que estaba dedicada a ese único cliente en mi último rol antes de Secureframe, pude expandirme a través de diferentes marcos como ISO 27001, SOC 2, PCI DSS, BSI C5 y DoD IL 4 y 5. En Blue Canopy, principalmente hice FISMA.

Pero mi especialización principal y donde he pasado la mayor parte de mi carrera en Coalfire es en FedRAMP.

3. ¿Qué es lo que más te entusiasma de la industria de la seguridad y el cumplimiento?

Hay mucho terreno inexplorado y siempre hay cambios en la tecnología, así que nunca podría aburrirme. Se necesita un cierto nivel de pensamiento crítico, creatividad e imaginación sobre cómo aplicar conceptos fundamentales de seguridad y eso me entusiasma.

4. ¿Cuál es un concepto erróneo común que la gente tiene sobre la seguridad y el cumplimiento?

La seguridad y el cumplimiento son objetivos diferentes y a veces las personas hablan de ellos indistintamente. Muchos conceptos erróneos giran en torno a la idea de que la seguridad y el cumplimiento son solo una lista de verificación.

Eso está completamente bien como punto de partida. De hecho, por eso existen los marcos de cumplimiento: para dar a las personas un punto de partida. Pero los requisitos pueden ser muy vagos y repetitivos y, de nuevo, la tecnología y el entorno de amenazas están cambiando constantemente, así que tienes que ser proactivo sobre cómo cumples esos requisitos. Eso es crucial para mantener una postura de seguridad fuerte.

Reflexionar sobre la intención detrás de por qué existen tales requisitos aporta mucho más valor a largo plazo que alguien que solo trata de hacer lo mínimo para marcar las casillas.

5. ¿Por qué elegiste trabajar para Secureframe?

Hay muchas razones, pero nombraré dos. La primera es la oportunidad de construir algo. Antes de Secureframe, era auditora. Como auditora, la naturaleza de la posición es que yo criticaba el sistema de alguien y me limitaba a una perspectiva externa. No tenía la oportunidad de construir nada ni de profundizar y tengo esa oportunidad aquí.

En segundo lugar, la automatización de la seguridad es un área donde hay innumerables organizaciones tratando de entenderla y eso es emocionante. Quería un asiento en la mesa.

6. ¿Cuál es tu papel en el proceso de cumplimiento para los clientes?

Respondo a muchas preguntas relacionadas con el cumplimiento desde el momento en que las organizaciones son clientes potenciales hasta después de que han completado una auditoría. Mi equipo siempre es un recurso.

La mayor participación es cuando realizamos evaluaciones de preparación o auditorías simuladas para revisar su instancia de Secureframe. En mis evaluaciones de preparación, personalmente reviso todos los artefactos que han subido a la sala de datos y critico la calidad de esos artefactos. También hago preguntas y pido aclaraciones para prepararlos para los tipos de cosas que sus auditores les preguntarán.

7. ¿Qué puntos críticos te apasiona resolver para los clientes?

Tradicionalmente, si no tienes herramientas automatizadas, prepararte para una auditoría es muy manual. Estás tomando capturas de pantalla, llenando hojas de cálculo para el seguimiento, y así sucesivamente. Consume mucho tiempo y recursos. Para mí, es un trabajo muy superficial. Estás gastando tanto tiempo y energía recopilando evidencia que no puedes alejarte y pensar en qué exactamente estás haciendo y si está cumpliendo con las necesidades de tu organización. Porque cuando tienes poco tiempo y recursos, es más probable que solo quieras cumplir con los requisitos y, como mencioné antes, lograr lo mínimo. Y eso tiene sentido porque en algún momento, tienes que seguir adelante como negocio.

Lo que es genial y lo que me apasiona resolver para los clientes es reducir ese trabajo superficial para que tengan la capacidad de pensar en la gran perspectiva sobre áreas de mejora, si así lo desean.

8. ¿Puedes compartir un ejemplo de un desafío que ayudaste a un cliente a superar en su camino hacia el cumplimiento?

Muchas de las conversaciones más impactantes que he tenido son ayudar a los clientes a delinear sus auditorías, respondiendo a preguntas como ¿por dónde empiezo y dónde trazo la línea?

Tenemos algunos clientes que tienen entornos más simples y no necesitan tanta ayuda para conectar integraciones y saber qué proporcionar como evidencia. Pero tenemos otros clientes que están en un entorno multi-nube o usan herramientas de una manera diferente a como se usan tradicionalmente. O tal vez tienen diferentes tipos de datos o la forma en que manipulan esos datos es única. Entonces, para ellos, no es tan sencillo como "Oh, uso estas integraciones. Déjame conectarlas y estoy listo para comenzar".

Después de tener esa conversación para comprender mejor el entorno del cliente y ayudarlos a delinear qué necesitan considerar para su auditoría, entonces tienen mucho más fácil estar listos para la auditoría. Gran parte del valor que yo y mi equipo ofrecemos es brindar consultas prácticas en lugar de simplemente proporcionar la herramienta y esperar que los clientes sepan cuál es el alcance de su auditoría y qué artefactos subir. Eso sería mucho más difícil.

9. ¿Cuál es tu consejo número 1 para las personas que se están preparando para su primera auditoría de cumplimiento?

No lo hagas solo: aprovecha el conocimiento de los expertos. Hacer algo por primera vez es mucho más fácil y efectivo si tienes un maestro o entrenador.

Mencioné antes que los requisitos de cumplimiento pueden ser bastante vagos y repetitivos, por lo que para alguien que está pasando por una auditoría por primera vez, eso puede significar mucho esfuerzo y tiempo desperdiciados. Tener a un experto a tu lado desde el principio realmente puede ayudar a traducir esos requisitos y simplificar exactamente qué significan y qué tipo de evidencia se consideraría aceptable.

10. ¿Cuál crees que es el mayor beneficio organizacional de una postura de seguridad y cumplimiento sólida?

Ganar y mantener la confianza de tus clientes y una sólida reputación. Como discutí anteriormente, digamos que una organización está más enfocada en el cumplimiento y en marcar casillas que en ver tanto el cumplimiento como la seguridad. No quieren seguir las mejores prácticas porque solo quieren hacer lo mínimo para cumplir con los requisitos y terminar. Si posteriormente tienen una brecha, entonces su informe de auditoría o certificación no es tan valioso como punto de venta para sus clientes.

Ponte en cumplimiento con ayuda de expertos.

¿Quieres trabajar con Fortuna u otro miembro de nuestro equipo de cumplimiento? Programa una demostración de Secureframe para aprender más sobre cómo nuestra plataforma y expertos internos hacen que la seguridad, la privacidad y el cumplimiento sean rápidos y fáciles.