Demandez à l'expert en conformité : 10 questions avec Cavan Leung, CISSP, CISA, CCSK

  • October 13, 2022
Author

Anna Fitzgerald

Senior Content Marketing Manager at Secureframe

Reviewer

Cavan Leung

Senior Compliance Manager at Secureframe

L'objectif de Secureframe est de permettre aux entreprises de gérer leurs programmes de sécurité, de confidentialité et de conformité pour répondre aux exigences du monde des affaires d'aujourd'hui et de demain.

Pour ce faire, nous agissons en tant que leur équipe de conformité interne. Chaque client dispose d'un expert certifié en sécurité de l'information et d'un ancien auditeur pour les aider à construire un programme de conformité efficace et évolutif dès le début.

Aujourd'hui, nous vous présentons l'expert en conformité Cavan Leung. Cavan travaille chez Secureframe depuis novembre 2021. Pendant ce temps, il a aidé des dizaines d'entreprises à répondre et à s'adapter aux besoins de conformité en constante évolution.

1. Pouvez-vous nous parler de votre parcours et de vos expériences de travail antérieures? Depuis combien de temps êtes-vous dans le domaine de la sécurité et de la conformité?

J'ai obtenu un diplôme en systèmes d'information de gestion (MIS) de l'Université de Floride. Après l'université, j'ai commencé ma carrière dans l'un des Big Four cabinets comptables, Deloitte. Chez Deloitte, j'étais impliqué dans la mise en œuvre de la sécurité de l'information sur les systèmes de planification des ressources de l'entreprise (ERP) et les audits de conformité Sarbanes-Oxley (SOX) pour les entreprises du Fortune 500.

Après Deloitte, j'ai rejoint Schellman où j'ai géré et effectué des évaluations de conformité pour des entreprises de taille moyenne à Fortune 500, touchant à différents cadres de conformité en matière de sécurité et de confidentialité, notamment SOC 1, SOC 2, RGPD, et ISO 27001, pour n'en citer que quelques-uns.

Au total, j'ai plus de huit ans d'expérience dans l'industrie de la sécurité et de la conformité.

2. Quelle est votre spécialité/cadre de spécialisation?

Mon expérience englobe de nombreux cadres, mais si je devais en choisir un, ce serait l'ISO car c'est là que réside mon intérêt personnel. Néanmoins, je suis très à l'aise avec divers cadres, y compris SOC 2, HIPAA, RGPD, CCPA, ISO 27001, ISO 27017, ISO 27018, ISO 27701, ISO 22301, ISO 9001, et d'autres.

3. Qu'est-ce qui vous passionne le plus dans l'industrie de la sécurité et de la conformité?

Pour moi, ce qui est le plus passionnant dans l'industrie de la sécurité et de la conformité, c'est qu'elle évolue toujours. Il y a constamment de nouvelles technologies qui apparaissent sur le marché, ou des technologies existantes qui évoluent pour le mieux. L'automatisation est un composant critique de l'évolution de l'industrie et aussi une grande partie de la raison pour laquelle j'ai rejoint Secureframe.

Je vois de nombreuses opportunités non seulement en termes d'automatisation de différents aspects de la sécurité et de la conformité sur le front de l'audit, mais aussi de technologies et de capacités émergentes qui permettraient aux organisations de mettre en œuvre, de surveiller et d'améliorer leur posture de sécurité dans son ensemble. Nous vivons tous cette évolution de première main et ce n'est que le début.

4. Quelle est une idée reçue courante que les gens ont à propos de la sécurité et de la conformité?

Une idée reçue courante sur la sécurité et la conformité est qu'elle s'arrête une fois que vous avez terminé un audit. La sécurité de l'information est continue et de plus en plus critique dans le cadre des affaires aujourd'hui.

Avec l'émergence constante de nouvelles technologies favorisant les affaires, cela signifie également l'émergence de nouveaux risques et menaces en matière de sécurité de l'information. Par conséquent, en tant qu'organisation, il est important d'intégrer la sécurité de l'information dans votre culture, et vous devriez toujours vous efforcer d'améliorer continuellement votre posture de sécurité et de conformité pour minimiser les nouveaux risques.

Certaines entreprises font de leur mieux pour obtenir leur conformité SOC 2 ou leur certification ISO puis, plus tard, ne continuent pas à améliorer leur propre posture de sécurité. La technologie évolue si rapidement que si vous ne la surveillez pas, vous pourriez être exposé à un risque encore plus grand d'incident de sécurité ou d'avoir une vulnérabilité dont vous n'êtes pas conscient.

5. Pourquoi avez-vous choisi de travailler pour Secureframe?

J'ai choisi de travailler pour Secureframe en raison de ce que nous faisons dans le domaine de la sécurité et de la conformité. Secureframe est à la pointe de l'évolution de la conformité en matière de sécurité et je voulais m'impliquer pour aider à ouvrir la voie. Nous aidons les organisations à rationaliser et à automatiser la conformité en matière de sécurité sur une plateforme unique.

Issu d'un milieu de conformité, j'ai vu de nombreux produits de conformité, mais la majorité étaient des solutions cloisonnées et ne fournissaient pas une plateforme complète et holistique. Ce fut donc une bouffée d'air frais d'apprendre ce que proposait Secureframe.

Depuis que j'ai rejoint l'entreprise, nous avons continué à élargir la portée de notre produit et à introduire de nouvelles fonctionnalités et capacités passionnantes. Mais nous ne nous arrêtons pas là — il y a encore plus à venir !

6. Quel est votre rôle dans le processus de conformité pour les clients ?

Je deviens un compagnon à chaque étape de leur parcours de conformité, expliquant comment mieux mettre en œuvre les contrôles et programmes de sécurité en fonction du contexte de leur organisation. En fin de compte, ma responsabilité est de m'assurer que les clients disposent d'un programme de sécurité bien mis en œuvre, de fournir des conseils sur toutes les nuances ou mises en garde, et de permettre à nos clients de passer un audit sans aucun problème majeur.

7. Quels points douloureux êtes-vous passionné de résoudre pour vos clients ?

Je suis surtout passionné par le fait de guider les clients tout au long du parcours de conformité. Cela peut être lourd sans une orientation adéquate. J'aime offrir cet aspect éducatif de la sécurité et de la conformité à tous mes clients.

Je suis également enthousiaste à l'idée de voir nos clients gagner du temps et des efforts en exploitant les capacités d'automatisation de notre plateforme. Cela rend de nombreux aspects de leurs efforts de conformité plus faciles et c'est certainement un soulagement pour eux.

Pour cette raison, je suis passionné par l'expansion de nos capacités d'automatisation en recueillant les retours de nos clients, puis en travaillant en interne avec nos équipes d'Ingénierie et de Produit pour aider à mettre en œuvre de nouvelles fonctionnalités. Cela simplifie leur parcours de conformité et les aide à mettre en place un programme de sécurité efficace et efficient qui peut être maintenu à long terme.

8. Pouvez-vous partager un exemple de défi que vous avez aidé un client à surmonter dans son parcours de conformité ?

De nombreuses entreprises ont du mal à comprendre lorsqu'elles travaillent avec différents cadres de conformité. Les cadres de sécurité ne sont pas les plus simples et peuvent nécessiter des connaissances en matière de conformité pour comprendre ce qui doit être mis en place. Dans le cadre du parcours du client, je ne me contente pas de les guider sur ce qu'ils doivent mettre en place, mais je leur fournis également cet aspect éducatif sur le « pourquoi » et je démystifie les nuances et mises en garde de chaque cadre de conformité qu'ils poursuivent.

En raison des besoins commerciaux, de nombreux clients poursuivent plus d'un cadre de conformité en même temps, comme la SOC 2, l'ISO 27001 et le RGPD. Les entreprises peuvent également disposer de ressources limitées en termes de temps et de personnel. Donc, je fournis un chemin clair pour le client, en tenant compte de leur environnement unique et de ce qui serait dans le cadre de chaque cadre. Je les aide à mettre en œuvre des contrôles et des pratiques de sécurité de manière appropriée, à comprendre pourquoi ils les mettent en œuvre et à les maintenir à long terme.

9. Quel est votre principal conseil pour les personnes qui se préparent à leur premier audit de conformité ?

Tous les cadres ont leurs particularités et mises en garde uniques. Écoutez votre expert en conformité car ils viennent de ce domaine et savent ce qui doit être mis en place. Il y a beaucoup de nuances que vous ne sauriez pas si vous le faisiez seul pour la première fois.

Et n'ayez pas peur de demander le « pourquoi » des choses. Comprendre quels risques les cadres ou les contrôles adressent donne aux entreprises une meilleure perspective sur pourquoi elles font ce qu'elles font. Mais envisagez également d'utiliser une plateforme de conformité complète comme Secureframe qui peut aider à simplifier votre parcours de conformité de bout en bout.

10. Quel est selon vous le plus grand avantage organisationnel d'une posture de sécurité et de conformité forte ?

Le plus grand avantage d'une posture de sécurité et de conformité forte est de minimiser les risques de sécurité de l'information. Aujourd'hui, il y a beaucoup de rançongiciels, de violations de données et d'autres cyberattaques. Les programmes de sécurité de l'information et de conformité aident à minimiser ces risques pour protéger ultimement vos propres données et celles de vos clients. En retour, cela aide à établir la confiance entre vous et vos clients.

Exploiter une plateforme comme Secureframe peut aider votre organisation non seulement à établir une posture de sécurité et de conformité solide, mais aussi à la maintenir à long terme.

Soyez conforme avec l'aide d'experts

Voulez-vous travailler avec Cavan ou un autre membre de notre équipe de conformité ? Planifiez une démonstration de Secureframe pour en savoir plus sur la façon dont notre plateforme et nos experts internes rendent la sécurité, la confidentialité et la conformité rapides et faciles.