Pregunte al Experto en Cumplimiento: 10 Preguntas con Marc Rubbinaccio, CISSP, CISA
Buscar certificaciones de cumplimiento y construir una sólida postura de seguridad viene con una aparentemente interminable corriente de preguntas:
¿Debe este sistema o aplicación estar incluido en el alcance de mi auditoría?
¿Cuál debe ser mi ventana de auditoría? ¿Puedo cambiarla para mi próxima auditoría?
¿Existe una forma más fácil o efectiva de configurar mis sistemas para cumplir de manera continua?
Navegarlas solo puede ser estresante y confuso.
Es por eso que emparejamos a cada cliente con un experto dedicado en seguridad, privacidad y cumplimiento. Están contigo en cada paso, desde la preparación para la auditoría hasta el informe final y más allá.
Hoy, te presentamos al experto en cumplimiento Marc Rubbinaccio. Marc vive en Nueva York y ha estado con Secureframe desde febrero de 2021. Ha ayudado a docenas de empresas a lograr y mantener certificaciones y a construir posturas de seguridad más fuertes.
1. ¿Puedes contarnos sobre tu formación y experiencia laboral previa? ¿Cuánto tiempo has estado en la industria de la seguridad y el cumplimiento?
Obtuve mi licenciatura en Sistemas de Información Computacional en la Universidad DeVry e inmediatamente comencé mi carrera en seguridad como técnico de respuesta a incidentes para Colgate Palmolive, supervisando la disponibilidad de aplicaciones de producción e infraestructura.
Después de estudiar recursos de manera autodidacta para las pruebas de penetración, conseguí un puesto en A-LIGN como uno de los primeros probadores de penetración de la empresa. Aquí es donde aprendí cómo realizar pruebas de penetración en aplicaciones, infraestructura, inalámbricos e ingeniería social. Una vez construido el equipo de pruebas de penetración, aproveché la oportunidad para aprender PCI DSS y seguir de cerca a los auditores senior en A-LIGN. Una vez que obtuve mi certificación QSA, comencé a realizar evaluaciones de PCI DSS, y para cuando dejé A-LIGN era un auditor senior. Tengo aproximadamente 8 años de experiencia en ciberseguridad en general.
2. ¿Cuál es tu área/marco de especialización?
Considero que mi marco de especialización es PCI DSS. Tuve mucha suerte de trabajar con expertos en PCI durante mi tiempo en A-LIGN, realizando evaluaciones para clientes empresariales complicados bajo la experiencia de líderes de la industria. Ahora lidero la práctica de PCI DSS en Secureframe, construyendo los marcos y guiando a nuestros clientes a través de auditorías PCI exitosas y autoevaluaciones.
Con mi año y medio de experiencia aquí en Secureframe, también me siento muy cómodo ayudando a nuestros clientes a pasar por evaluaciones SOC 2 e ISO 27001.
Con mi experiencia como probador de penetración, puedo trabajar con nuestros socios de pruebas de penetración y clientes para facilitar una gran experiencia en esas pruebas.
3. ¿Qué es lo que más te emociona de la industria de la seguridad y el cumplimiento?
Cuando primero me interesé en el espacio de seguridad y cumplimiento, había muchos titulares sobre grandes empresas siendo vulneradas y los ciberataques estaban en aumento. Me interesé más en aprender sobre los diferentes tipos de ataques y varios métodos de seguridad, así como los roles específicos de trabajo dentro de la seguridad. Seguridad de aplicaciones, seguridad de infraestructura, equipo rojo/equipo azul: hay muchas oportunidades.
Lo que encuentro más emocionante ahora es la constante evolución y la necesidad de adaptarse. Hace cinco años estaba realizando recorridos por centros de datos y oficinas, y ahora estoy asistiendo a clientes completamente remotos que alojan su infraestructura en AWS y usan servicios en la nube para cumplir con los requisitos de cumplimiento.
4. ¿Cuál es una idea errónea común que las personas tienen sobre la seguridad y el cumplimiento?
El mayor malentendido es que el cumplimiento es difícil de lograr.
En realidad, el cumplimiento es solo una metodología de seguridad básica. El cumplimiento es tener controles adecuados de registro y monitoreo. El cumplimiento es asegurarse de que los datos del cliente estén seguros. Estos son solo principios subyacentes de mejores prácticas de seguridad.
Hay múltiples maneras de cumplir con los requisitos: es posible que ya estés cumpliendo con algunos requisitos. Con la ayuda de Secureframe, es más fácil prepararse para el cumplimiento y es más fácil mantenerlo.
5. ¿Por qué elegiste trabajar para Secureframe?
Realmente creía que había una manera más fácil de realizar auditorías. Personalmente, creé múltiples hojas de cálculo y plantillas de toma de notas para ayudar a facilitar una evaluación en el sitio más fácil, lo cual no era ideal.
Durante mis conversaciones iniciales con nuestro CEO Shrav Mehta, quien me explicaba lo que hace Secureframe, honestamente no lo creí. Tenía muchas preguntas. Hice demostraciones de la plataforma múltiples veces y profundicé para preguntar, "¿Cómo auditarías esto? ¿Cómo auditarías aquello?" Luego supe que sería mi trabajo ayudar a facilitar esas características en la plataforma, utilizando mi experiencia super específica para poder ayudar a construir software que facilite el trabajo de los auditores en todo el mundo. Me sonaba a mi vocación.
6. ¿Cuál es tu papel en el proceso de cumplimiento para los clientes?
Mi papel es asegurarme de que mis clientes estén completamente preparados para su auditoría. Esto comienza con la orientación sobre el alcance y la implementación, la preparación dentro de la plataforma Secureframe y ayudar a supervisar y facilitar la auditoría entre nuestros clientes y los auditores.
Los detalles específicos de lo que hago dependen de las necesidades de los clientes. Podrían ser una empresa con mucha experiencia que ha pasado por una cantidad de evaluaciones y están buscando una manera más fácil de hacer las cosas. Yo vengo y facilito la integración de administradores y personal involucrado en Secureframe, asisto con la comunicación y seguimiento del auditor y ayudo a los clientes a configurar el software para extraer esa evidencia sin esfuerzo. Todo esto en lugar de tener que realizar la auditoría manualmente a través de hojas de cálculo o como lo hayan hecho en el pasado.
O podría ser una empresa que no tiene un entorno de producción en su lugar. Tal vez tienen un entorno de staging y quieren que su implementación sea segura para su primer cliente. Lo que hago entonces es preguntarles cuál es su stack tecnológico y ayudarlos a introducir servicios y herramientas de seguridad y ayudarles a proteger sus datos cuando comiencen a ingerirlos de los clientes. El objetivo es que estén totalmente seguros, completamente preparados y listos para ese primer cliente, así como para una auditoría de ciberseguridad completa.
7. ¿Qué puntos problemáticos sientes una pasión especial por resolver para los clientes?
Creo que el mayor punto problemático es la implementación real de muchos de estos requisitos de cumplimiento. A menudo hay múltiples maneras de cumplir con un requisito específico y puede ser difícil para los clientes comprender exactamente cuál es ese requisito. Nuestros clientes realmente aprecian tener experiencia y orientación sobre lo que necesitas implementar para asegurar el cumplimiento sin restringir el negocio.
8. ¿Puedes compartir un ejemplo de un desafío que ayudaste a un cliente a superar en su camino hacia el cumplimiento?
Algunos clientes no tienen completamente desarrollado su entorno, pero para poder utilizar ciertos proveedores o procesadores de pagos, deben cumplir con PCI. Lo que he hecho con clientes anteriores es determinar la mejor manera de implementar un entorno compatible con PCI para cumplir con los requisitos de PCI lo antes posible y, al mismo tiempo, limitar el alcance.
Un ejemplo específico de un cliente al que asistí comenzó con el cliente buscando implementar un entorno compatible con PCI. Basándome en el servicio específico, hice recomendaciones para socios de tokenización, hice presentaciones y ayudé a los clientes a aprender sobre cómo la tokenización podría ayudarles a reducir significativamente su alcance en cuanto a cumplimiento PCI. Asistí con la implementación de dicha solución y generé un informe en Secureframe adaptándose al alcance de su implementación específica.
9. ¿Cuál es tu principal consejo para las personas que se preparan para someterse a su primera auditoría de cumplimiento?
Prepárate para ser flexible con los procesos que actualmente tienes en su lugar y cómo haces las cosas como empresa. El cumplimiento puede requerir muchos cambios, y a veces la clave para una postura de seguridad fuerte requiere restricciones en los procesos. Es más difícil luchar contra los requisitos que adaptarse a los controles de seguridad para cumplir y mantener el cumplimiento.
10. ¿Cuál ves como el mayor beneficio organizacional de una postura de seguridad y cumplimiento sólida?
El mayor beneficio que viene con el cumplimiento es asegurar que los datos de tus clientes estén seguros. Lo último que cualquier empresa quiere es experimentar una violación de datos donde se pierden los datos de los clientes y luego tener que anunciar públicamente que la información se ha filtrado potencialmente. Poder decirles con confianza a tus clientes que sus datos están protegidos realmente les da tranquilidad al compartir sus datos contigo como organización.
Ponte en cumplimiento con ayuda de expertos
¿Quieres trabajar con Marc u otro miembro de nuestro equipo de cumplimiento? Programa una demostración de Secureframe para aprender más sobre cómo nuestra plataforma y expertos internos hacen que la seguridad, privacidad y cumplimiento sean rápidos y fáciles.