Pregúntele al experto en cumplimiento: 10 preguntas con Rob Gutierrez, CISA, CSSK
Cuando trabaja con una empresa de automatización de cumplimiento para mejorar su postura de seguridad y privacidad, es posible que tenga preguntas técnicas sobre una auditoría próxima o quiera hablar sobre un requisito específico del marco.
En ese caso, no quiere un chatbot que recite respuestas estándar o le informe que alguien del equipo se pondrá en contacto con usted. Quiere poder conectarse directamente con un experto en cumplimiento. Alguien que realmente sepa su nombre y pueda responder preguntas sobre su entorno único.
En Secureframe, entendemos el valor de tener un experto a su disposición durante todo el proceso de cumplimiento. Es por eso que asignamos a cada cliente un exauditor para apoyarlos en cada paso. Y es por eso que estamos lanzando una nueva serie de seminarios web: Secureframe Office Hours | Pregunte a un Experto. Es una oportunidad abierta para que cualquiera se una a un miembro de nuestro equipo de expertos internos en seguridad y cumplimiento para una sesión en vivo de preguntas y respuestas.
Para nuestra primera sesión de Secureframe Office Hours, el especialista certificado en seguridad de la información y exauditor Rob Gutierrez compartirá sus consejos para simplificar el proceso de certificación de seguridad. Vea el resumen del seminario web y continúe leyendo a continuación para conocer a Rob.
1. ¿Puede contarnos sobre su formación y experiencia laboral previa? ¿Cuánto tiempo ha estado en la industria de la seguridad y el cumplimiento?
Soy originario del área de DC, que creo que es en parte cómo terminé aquí, de hecho. Después de graduarme de Penn State con una especialización en Cadena de Suministro y Sistemas de Información, recibí una oferta de KPMG y terminé regresando a casa en DC. Estando en la capital de la nación, no es sorpresa que terminara en TI federal.
Mi primera auditoría fue una auditoría de estados financieros para el Departamento de Trabajo de EE. UU. Estuve con KPMG durante 4.5 años como auditor externo federal, consultor de preparación de auditorías y consultor de cadena de suministro. Hice auditorías de FSA y FISMA con varias agencias gubernamentales pequeñas y grandes, y también hice algo de trabajo de preparación de auditorías.
Luego pasé casi dos años con Coalfire como auditor de FedRAMP, trabajando con empresas tecnológicas líderes en la industria. He estado en la industria de la seguridad y el cumplimiento durante más de seis años.
2. ¿Cuál es su área/marco de especialización?
Basado en mi formación y experiencia, mi especialización es el ámbito federal: NIST y FedRAMP. Ahora, trabajando con Secureframe, he dominado muchos más marcos, incluidos SOC 2. He perdido la cuenta de la cantidad de clientes a los que he ayudado a lograr SOC 2 Tipo I y Tipo II.
Ahora me he familiarizado mucho con todos nuestros marcos. La mayoría de los marcos, incluidos sus controles y conceptos, son bastante similares, solo tienen diferentes matices. Es como aprender diferentes lenguas romances. Si eres fluido en español, el portugués y el italiano tienden a ser más fáciles de aprender porque todos provienen del mismo árbol genealógico. Con SOC 2, ISO, HIPAA: los conceptos y las mejores prácticas son los mismos, pero los requisitos varían.
3. ¿Qué es lo que más le entusiasma de la industria de la seguridad y el cumplimiento de la privacidad?
Como exauditor, la automatización del cumplimiento es el futuro y el enfoque y la plataforma líderes en la industria de Secureframe están cambiando la industria de la auditoría.
Históricamente, las auditorías han sido manuales, que consumen mucho tiempo, intensivas en mano de obra y frustrantes. La mayoría de las auditorías son un ejercicio glorificado de papeleo diseñado para determinar una cosa: si alguien está haciendo lo que se supone que debe hacer. Las auditorías deberían automatizarse, y es emocionante estar a la vanguardia del futuro de la industria.
4. ¿Cuál es una idea errónea común que la gente tiene sobre la seguridad y el cumplimiento de la privacidad?
La gente cree que es mucho más abrumador de lo que es. Debido a la falta de conocimiento, familiaridad y comodidad con el cumplimiento y sus marcos, la gente piensa que la seguridad y el cumplimiento de la privacidad son un desafío mucho mayor de lo que son, especialmente con SOC 2, donde los requisitos pueden ser más flexibles y no tan simples como en otros marcos.
Esa es otra idea equivocada: a menudo los clientes quieren que se les diga que hay una forma de cumplir con un requisito, especialmente con SOC 2. Pero no hay una solución única para el cumplimiento. Trabajamos con los clientes para encontrar la mejor manera de que se mantengan en cumplimiento, analizando diferentes controles y sistemas. Incluso los auditores saben que hay múltiples formas de cumplir con los requisitos dependiendo de tu entorno y situación únicos. ¿Cuál es tu justificación para hacer algo? Si usas la lógica adecuada y eres adverso al riesgo, probablemente esté bien para tu sistema, seguridad y cumplimiento.
5. ¿Por qué elegiste trabajar para Secureframe?
Siempre me ha interesado el cumplimiento, pero me apasiona el problema que estamos resolviendo en Secureframe. La automatización del cumplimiento es el futuro, y esta fue una oportunidad para ser parte de algo especial que tendrá un impacto positivo en la forma en que se hacen negocios en todo el mundo.
Sin embargo, en última instancia, son las personas las que me convencieron de unirme a Secureframe. Desde mi primera entrevista, todos con los que he trabajado han sido genuinos, cariñosos, trabajadores, inteligentes y apasionados por lo que hacemos. Ven la visión y el objetivo, y todos estamos juntos con nuestros clientes para ayudarles a tener éxito: su éxito es nuestro éxito.
6. ¿Cuál es tu papel en el proceso de cumplimiento para los clientes?
Si el cliente necesita ayuda desde el principio, estamos allí para ayudarle a determinar qué necesita hacer en ese primer paso de su viaje de cumplimiento. O tal vez tienen prisa porque un trato está en juego y necesitan obtener una certificación en seis semanas. Depende de las necesidades del cliente, pero eso es lo increíble de nuestro equipo. Intervenimos en cualquier lugar, en cualquier momento. Nuestro equipo de ventas vende una experiencia personalizada para el cliente, y entre el equipo de cumplimiento y el de éxito del cliente, ejecutamos eso con pasión y orgullo.
Nos preocupamos genuinamente por nuestros clientes. Cuando los vemos estresados, queremos ayudarles a sentirse seguros. Cuando tienen una pregunta, queremos proporcionar una respuesta experta. Y si tienen un problema, ¿cómo podemos tomar sus comentarios y mejorar nuestro producto y la experiencia del cliente? Siempre estamos trabajando para mejorar nuestro producto y nuestra metodología para nuestros clientes.
7. ¿Qué puntos de dolor te apasiona resolver para los clientes?
Aparte de ahorrar tiempo y esfuerzo manual para los clientes, mi punto de dolor favorito para solucionarles es darles seguridad en su auditoría y aliviar su estrés. A menudo, los clientes no saben qué se requiere para el cumplimiento o si lo que están haciendo es suficiente, y esto puede ser estresante. Disfruto hablando sobre sus preguntas y preocupaciones para asegurarme de que sepan que lo que están haciendo les ayudará a lograr el cumplimiento.
8. ¿Puedes compartir un ejemplo de un desafío que ayudaste a un cliente a superar en su viaje de cumplimiento?
Algunos clientes están muy abrumados. Uno en particular necesitaba la certificación en seis semanas, y estaban comenzando desde cero. Tenían prisa y se sentían perdidos. Otro cliente que viene a la mente es uno al que ayudé a cumplir con SOC 2 y HIPAA al mismo tiempo.
Al hacer del cumplimiento un proceso claro, pude aliviar su estrés y poner a ambas compañías en el camino correcto. Ambos obtuvieron sus certificados y estaban realmente felices. No solo estoy ayudándoles a obtener un informe, estoy haciendo sus vidas más fáciles y dándoles tranquilidad. Es importante que nuestros clientes sientan ese sentido de confianza y responsabilidad.
9. ¿Cuál es tu consejo número 1 para las personas que se están preparando para su primera auditoría de cumplimiento?
Eso es complicado porque es diferente para todos. Cada uno de nuestros clientes está lidiando con diferentes expectativas de los clientes, diferentes recursos, diferentes sistemas. Yo diría, en términos generales, que empiecen con las políticas. Las políticas establecen la base de todo. Asegúrate de que tus políticas coincidan con tus procesos y viceversa: al final del día, eso es lo que tu auditor está buscando y certificando.
Otro consejo es no estresarse demasiado por el cumplimiento. Muchas empresas saben que necesitan cumplir con las normativas o lograr una certificación determinada, pero no saben lo que se necesita o por dónde empezar. Trabaja con Secureframe: haremos que sea lo más rápido y fácil posible y nos aseguraremos de que obtengas la certificación o el informe que buscas.
10. ¿Cuál considera que es el mayor beneficio organizacional de una postura sólida en materia de seguridad y privacidad?
Tranquilidad. Se necesitan 7 años para construir tu reputación y 7 segundos para perderla. Los hackeos y las brechas ocurren en un abrir y cerrar de ojos; no quieres perder todo lo que has trabajado tan duro para construir como resultado de una brecha prevenible.
Al priorizar la seguridad, la privacidad y el cumplimiento, sabes que tus datos están seguros y que tu organización está haciendo todo lo que se supone que debe hacer para prevenir una brecha.