Pregunte a un Experto en Cumplimiento: 10 Preguntas con Jonathan Leach, CISSP, CCSFP, CCSK

  • September 22, 2022

“Secureframe fue la única compañía con expertos en seguridad en la que sentimos que podíamos confiar.” 

Una cosa que siempre escuchamos de los clientes es que nuestro equipo de expertos en cumplimiento es su salvavidas.  

Lograr el cumplimiento con marcos estrictos como SOC 2 e ISO 27001 o leyes integrales de privacidad de datos como GDPR puede ser estresante y abrumador. La misión de Secureframe es simplificar y agilizar el proceso de cumplimiento, tanto con automatización de vanguardia como con orientación experta. 

Tener un experto certificado en seguridad de la información y ex auditor de tu lado durante todo el proceso puede hacer una gran diferencia. Pueden responder todas tus preguntas técnicas y específicas de auditoría y ayudarte a implementar procesos y mejores prácticas de seguridad. Es por eso que proporcionamos a cada cliente un gerente de cumplimiento dedicado para un soporte completo en cada paso: antes, durante y mucho después de la auditoría. 

Hoy, te presentamos al experto en cumplimiento Jonathan Leach. Jonathan vive en Steamboat Springs, Colorado y ha estado con Secureframe desde marzo de 2021. Ha ayudado a docenas de empresas a lograr y mantener certificaciones y posturas de seguridad más fuertes. 

1. ¿Puedes contarnos sobre tu formación y experiencia laboral anterior? ¿Cuánto tiempo llevas en la industria de la seguridad y el cumplimiento?

Me gradué de la Universidad de Denver, donde estudié Negocios Internacionales y Mandarín, y luego trabajé en TI e información contable. Estaba a cargo de tareas como verificar saldos y controles de acceso, seguridad de red, etc. Llevo trabajando en TI y seguridad de la información específicamente durante más de una década. 

Durante mi tiempo en InteliSecure, comencé a trabajar en un pequeño equipo de servicios gestionados administrando herramientas de seguridad. Luego, un día, el CEO preguntó si alguien quería unirse al equipo de ventas. Necesitaban a alguien que conociera los detalles del producto y pudiera explicárselo a los clientes. Hice el cambio a ese rol hasta que la estructura del representante de ventas cambió. Querían a alguien local para representar cada geografía, y yo no quería mudarme de Denver. Alguien del equipo de consultoría me invitó a unirme a ellos, y desde entonces he estado más del lado de la consultoría. 

Así que he pasado de gestionar diferentes programas como ISO 27001 a venderlos y ahora del lado de la consultoría, implementándolos o ayudando a mejorar la implementación. En Coalfire, una vez más fui consultor, a veces un CISO virtual, pero mi papel era construir programas de seguridad, ya sea para un marco específico o para adoptar mejores prácticas, y realizar auditorías. En Coalfire ayudé a los clientes a construir sus programas de seguridad y prepararse para una auditoría, y luego los ayudé a pasar por una auditoría o realicé una auditoría. 

Ahora puedo usar todos estos diferentes sombreros aquí en Secureframe, ya sea ayudando a un cliente a construir un nuevo programa de seguridad desde cero, adherirse a un marco específico o a múltiples marcos, hacer una auditoría interna, o pasar por el proceso de auditoría externa. 

2. ¿Cuál es tu área/marco de especialización?

Soy un Profesional Certificado en Seguridad de Sistemas de Información (CISSP), que es ampliamente considerado como la certificación definitiva en seguridad de la información porque es tanto amplia como profunda.

Dicho esto, mi mayor familiaridad probablemente sea alrededor de ISO — he sido un auditor líder de ISO 27001 desde mis días en InteliSecure. También ayudé a pionerar la oferta de ISO 27701 de Secureframe con un cliente específico antes de que saliéramos al mercado con ella. Así que estoy muy bien versado en los marcos internacionales: ISO 27001, ISO 27701, GDPR, así como HIPAA y HITRUST. 

3. ¿Qué es lo que más te entusiasma de la industria de la seguridad y el cumplimiento?

El futuro de esta industria es muy emocionante. Es una gran parte de lo que me atrajo a Secureframe: realmente estamos revolucionando las cosas con pruebas automatizadas. Poder evitar tanto vaivén en confirmaciones es un cambio total. "¿Esta captura de pantalla satisface este control en particular?" Esa es la forma antigua de cumplir con las normas, el método de la tabla de piedra y el cincel.

Comparado con cómo lo estamos haciendo ahora, con una verificación casi instantánea. Conectas la integración, presionas sincronizar, y para la mayoría de nuestras pruebas puedes saber de inmediato si algo cumple con los requisitos de un marco específico. La oportunidad de ayudar a la industria a acostumbrarse a eso y convertirlo en el nuevo estándar es bastante genial. Ahora estás viendo a empresas más grandes ponerse al día en cierta medida.

4. ¿Cuál es una idea errónea común que la gente tiene sobre la seguridad y el cumplimiento?

Que no es impresionante ni interesante. Puede ser algo que tienes que hacer, pero eso no significa que tenga que ser una tarea ardua. Estamos aquí para hacer que el proceso, desde el principio hasta el final y más allá, sea lo menos doloroso posible, y tal vez incluso divertido.

5. ¿Por qué elegiste trabajar para Secureframe?

En última instancia, las personas y la cultura me atrajeron a Secureframe, y es lo que más disfruto incluso ahora. Obviamente, todo el equipo de Secureframe así como los individuos con los que trabajas directamente son una gran parte de eso, pero también nuestros clientes y socios. Todas las personas con las que llego a interactuar, desde mis compañeros en cumplimiento hasta los clientes con los que trabajo y nuestros socios de auditoría y pruebas de penetración, todos son un verdadero placer para trabajar.

También hay una mentalidad de propiedad generalizada aquí en Secureframe. Las personas están motivadas para asumir la responsabilidad de lo que están trabajando, y si conoces a alguien que puede ayudarte, puedes ir directamente a ellos para obtener esa ayuda.

6. ¿Cuál es tu rol en el proceso de cumplimiento para los clientes?

Usualmente entramos después de que un cliente ha terminado su integración con el éxito del cliente. Han optimizado el uso de la plataforma y han integrado y hecho que todo funcione. Si el cliente tiene una pregunta que confunde al equipo de éxito del cliente, es cuando puede involucrarse un recurso de cumplimiento directamente o proporcionar una respuesta como equipo. Además, si un cliente tiene un montón de preguntas técnicas o específicas de auditoría desde el principio donde sería más fácil para nosotros tener una conversación directa con ellos, ese es otro caso donde intervendríamos y nos involucraríamos antes en el proceso.

En general, sin embargo, una vez que un cliente ha terminado su integración y tiene la mayoría de las diferentes pruebas aprobadas, es cuando programamos una evaluación de preparación con el equipo de cumplimiento. Hacemos una auditoría simulada y completamos una visión general de alto nivel donde respondemos cualquier pregunta general o hablamos sobre pruebas específicas. Por ejemplo, tal vez están haciendo algo ligeramente diferente de lo que la prueba está buscando, y quieren saber si lo que están haciendo aún cumple con el requisito.

Nos mantenemos involucrados durante todo el proceso de auditoría. Algunos clientes necesitarán un poco de apoyo adicional o sus auditores tendrán preguntas que el cliente quiere aclarar antes de enviar una respuesta.

También ofrecemos asistencia cuando tienen otra auditoría en los años siguientes, o tal vez algo en su lado cambia. Por ejemplo, implementan algo nuevo o una nueva persona asume el rol y les mostramos cómo funciona todo.

Algunos de nuestros clientes tienen sus propios consultores, y trabajamos con ellos para mostrar cómo pueden gestionar tanto el sistema como los marcos y certificaciones de seguridad asociados mientras mostramos cómo un enfoque más eficiente está ahorrando dinero a su cliente o permitiéndoles centrarse en prioridades mayores.

7. ¿Qué puntos de dolor te apasiona resolver para los clientes?

Mi objetivo es hacer que todo el proceso de certificación/auditoría y gestión sea lo menos estresante y doloroso posible, dándoles la capacidad de ver exactamente lo que necesitan hacer desde el principio hasta el final de todo el proceso, lo que se supone que debe suceder y cuándo, quién es responsable de ello, cuándo estará terminado. Todas esas cosas pueden ser realmente difíciles de seguir si no estás usando Secureframe.

8. ¿Puedes compartir un ejemplo de un desafío que ayudaste a un cliente a superar en su camino de cumplimiento?

Un desafío que me viene a la mente, y con el que he lidiado varias veces, es el de los nuevos clientes que se incorporan después de desligarse de otra empresa de seguridad que fue menos útil con la preparación para auditorías y la supervisión de seguridad continua de lo que esperaban o pagaban. He convertido a muchos nuevos clientes de escépticos a fanáticos no solo de la plataforma Secureframe, sino también de los servicios estelares que brindamos como parte de la asociación continua.

En algunos de esos casos, el conjunto anterior de políticas, procedimientos y evidencia de controles del cliente era difícil o imposible de exportar. En otros casos, los conjuntos de políticas estaban incompletos o no eran totalmente aplicables al nuevo marco con el que buscaban cumplir. En ambos casos, pudimos, como con todos los clientes, proporcionar un nuevo conjunto de políticas junto con una lista de controles requeridos y una interfaz fácil de navegar que muestra cómo se mapean a las diversas pruebas y cómo están en relación con la preparación para auditorías.

A menudo, los clientes me dicen que con su proveedor anterior de preparación para auditorías se sentían solos con un producto y no tenían a nadie que les mostrara cómo usarlo o responder a sus preguntas. Nosotros tomamos el enfoque opuesto. De principio a fin, tienen recursos dedicados que están familiarizados con lo que exigen los requisitos y que saben lo que buscan los auditores y lo que el cliente necesita hacer para asegurarse de que cumple con los requisitos.

Estamos ahí para ayudarles a darle sentido a su documentación existente y para formalizar procedimientos previamente no documentados o no estandarizados. Luego, con la plataforma Secureframe, convertimos todo en una máquina bien engrasada, lista para seguridad y cumplimiento y de monitoreo continuo.

9. ¿Cuál es tu consejo número 1 para las personas que se están preparando para someterse a su primera auditoría de cumplimiento?

¡No es tan aterrador como parece! Estamos aquí para ayudar, y aunque algunos de los requisitos son complejos, lo hacemos muy fácil para nuestros clientes seguir todo.

10. ¿Qué ves como el mayor beneficio organizacional de una postura sólida de seguridad y cumplimiento?

Independientemente de las certificaciones, saldrás del proceso con una postura de seguridad más fuerte y una mayor comprensión de cómo mantener tus datos seguros.

La certificación no siempre significa seguridad, y las auditorías no siempre detectan cada pequeño detalle. Pero con nuestra herramienta, detectamos cada ejemplo, no solo por cada control, sino por cada instancia individual que alimenta el espíritu de ese control. Sabrás si algo se escapa para que puedas darle seguimiento de inmediato. Estarás lo más seguro posible aprovechando ese conocimiento a la velocidad de la luz de cuándo todos tus interruptores de seguridad están activados y cuándo no lo están.

Con Secureframe, podrás demostrar tu integridad mostrando lo que estás haciendo por tus clientes, y podrás dormir tranquilo sabiendo que has hecho todo lo posible y necesario según las normas aceptadas por la industria. Sabrás sin lugar a dudas que has hecho lo correcto por tus clientes al ser proactivo sobre la seguridad y asociarte con nosotros para ir más allá.

Ponte en regla con ayuda de expertos

¿Quieres trabajar con Jonathan u otro miembro de nuestro equipo de cumplimiento? Agenda una demostración de Secureframe para aprender más sobre cómo nuestra plataforma y nuestros expertos internos hacen que la seguridad, la privacidad y el cumplimiento sean rápidos y fáciles.