Demandez à l'expert en conformité : 10 questions avec Fortuna Gyeltsen, CISSP, CISA, PMP, CCSK, Security+

  • September 29, 2022
Author

Anna Fitzgerald

Senior Content Marketing Manager at Secureframe

Reviewer

Fortuna Gyeltsen

Senior Compliance Manager at Secureframe

Atteindre et maintenir une sécurité, une confidentialité et une conformité continues peut être difficile, surtout si vous le faites seul. La mission de Secureframe est de fournir une automatisation de pointe et des conseils d'experts pour simplifier et rationaliser le processus de conformité à chaque étape.

Nous n'avons pas seulement une plateforme GRC qui automatise et rationalise le processus de conformité de bout en bout. Nous avons aussi des experts certifiés en sécurité de l'information et d'anciens auditeurs qui offrent un soutien complet à chaque client avant, pendant et longtemps après l'audit.

Aujourd'hui, nous vous présentons l'experte en conformité Fortuna Gyeltsen. Fortuna est avec Secureframe depuis octobre 2021. Pendant ce temps, elle a aidé des dizaines d'entreprises à obtenir et maintenir les normes de conformité mondiales les plus rigoureuses et des postures de sécurité plus solides.

1. Pouvez-vous nous parler de votre parcours et de votre expérience professionnelle ? Depuis combien de temps êtes-vous dans le secteur de la sécurité et de la conformité ?

Je suis dans l'industrie à plein temps depuis environ 6,5 ans, mais je fais partie de l'industrie depuis presque treize ans au total, en comptant mon stage. De l'âge de 16 ans jusqu'à l'obtention de mon diplôme universitaire à 22 ans, je passais les vacances d'été et d'hiver à travailler dans un bureau et un centre de données pour une agence gouvernementale sur des travaux liés à la sécurité et à la conformité.

Lorsque j'ai commencé à travailler à plein temps, j'ai d'abord travaillé dans le secteur de la santé pendant quelques années, puis j'ai fait la transition vers la sécurité et la conformité. Chez Blue Canopy, j'ai fourni des services de support de la sécurité à une agence fédérale et j'ai effectué des évaluations des contrôles de sécurité pour une autre agence. J'ai en fait commencé en tant que chef de projet, mais bien sûr, il y avait plus à faire que de personnes, alors j'ai commencé à m'assigner du travail et à étudier pour la certification Security+ pendant mes heures libres. J'ai finalement évolué de 80 % de gestion de projet et 20 % d'évaluations techniques à 80 % d'évaluations techniques et 20 % de gestion de projet.

Ensuite, je me suis consacré uniquement à ces évaluations pour une variété de clients chez Coalfire. Avant de rejoindre Secureframe, j'étais une ressource dédiée à un grand client d'infrastructure cloud. Dans ce rôle, j'ai étendu mes compétences à différents cadres de conformité et géré des dizaines des évaluations de leurs centres de données.

2. Quelle est votre spécialité/cadre de spécialisation ?

Parce que j'étais dédiée à ce client unique dans mon dernier poste avant Secureframe, j'ai pu m'étendre à différents cadres comme ISO 27001, SOC 2, PCI DSS, BSI C5, et DoD IL 4 et 5. Chez Blue Canopy, je faisais principalement du FISMA.

Mais ma spécialisation principale et là où j'ai passé la majeure partie de ma carrière chez Coalfire est le FedRAMP.

3. Qu'est-ce qui vous excite le plus dans le secteur de la sécurité et de la conformité ?

Il y a tellement de territoire inexploré et il y a toujours des changements technologiques, donc je ne pourrais jamais m'ennuyer. Cela demande un certain niveau de réflexion critique, de créativité et d'imagination sur comment appliquer des concepts de sécurité fondamentaux et cela m'enthousiasme.

4. Quelle est une idée reçue courante que les gens ont sur la sécurité et la conformité ?

La sécurité et la conformité sont des objectifs différents et parfois les gens en parlent de manière interchangeable. Beaucoup de conceptions erronées tournent autour de l'idée que la sécurité et la conformité ne sont qu'une case à cocher.

C'est tout à fait correct pour un point de départ. En fait, c'est pourquoi les cadres de conformité existent : pour donner aux gens un point de départ. Mais les exigences peuvent être très vagues et répétitives et, encore une fois, la technologie et l'environnement des menaces changent constamment, donc vous devez être proactif sur la manière dont vous répondez à ces exigences. C'est crucial pour maintenir une posture de sécurité solide.

Penser à l'intention derrière pourquoi de telles exigences existent apporte beaucoup plus de valeur à long terme que quelqu'un qui essaie simplement de faire le minimum pour cocher les cases.

5. Pourquoi avez-vous choisi de travailler pour Secureframe ?

Il y a de nombreuses raisons, mais j'en citerai deux. La première est l'opportunité de construire quelque chose. Avant Secureframe, j'étais auditeur. En tant qu'auditeur, par nature, je critiquais le système de quelqu'un d'autre et j'étais limité à une perspective extérieure. Je ne construisais rien ni n'allais en profondeur, et j'ai cette opportunité ici.

Deuxièmement, l'automatisation de la sécurité est un domaine où d'innombrables organisations essaient de trouver des solutions, et c'est passionnant. Je voulais une place à la table.

6. Quel est votre rôle dans le processus de conformité pour les clients ?

Je réponds à de nombreuses questions relatives à la conformité depuis le moment où les organisations sont des clients potentiels jusqu'à après qu'elles aient terminé un audit. Mon équipe est toujours une ressource.

La plus grande implication est lorsque nous effectuons des évaluations de préparation ou des audits simulés pour examiner leur instance Secureframe. Dans mes évaluations de préparation, je passe personnellement en revue tous les artefacts qu'ils ont téléchargés dans la salle des données et critique la qualité de ces artefacts. Je pose également des questions et demande des clarifications pour les préparer aux types de choses que leurs auditeurs demanderont.

7. Quels points douloureux êtes-vous passionné de résoudre pour les clients ?

Traditionnellement, si vous n'avez aucun outil automatisé, vous préparer à un audit est très manuel. Vous prenez des captures d'écran, vous remplissez des tableurs pour le suivi, etc. Cela consomme beaucoup de temps et de ressources. Pour moi, c'est un travail très superficiel. Vous passez tellement de temps et d'énergie à collecter des preuves que vous ne pouvez pas prendre du recul et réfléchir à ce que vous faites exactement et si cela répond aux besoins de votre organisation. Parce que lorsque vous êtes pressé par le temps et les ressources, vous êtes plus susceptible de vouloir simplement atteindre ce que les exigences sont et, comme je l'ai mentionné précédemment, de réaliser le strict minimum. Et cela a du sens parce qu'à un moment donné, vous devez passer à autre chose en tant qu'entreprise.

Ce qui est cool et ce que je suis passionné de résoudre pour les clients, c'est de réduire ce travail superficiel afin qu'ils aient la capacité de penser à grande échelle à des domaines d'amélioration, s'ils le souhaitent.

8. Pouvez-vous partager un exemple de défi que vous avez aidé un client à surmonter dans son parcours de conformité ?

Beaucoup des conversations les plus percutantes que j'ai eues consistent à aider les clients à délimiter leurs audits, en répondant à la question par où commencer et où tracer la ligne ?

Nous avons certains clients dont les environnements sont plus simples et ils n'ont pas besoin d'autant d'aide pour connecter des intégrations et savoir quoi fournir comme preuve. Mais nous avons d'autres clients qui sont dans un environnement multi-cloud ou qui utilisent des outils d'une manière différente de la manière dont ils sont traditionnellement utilisés. Ou peut-être qu'ils ont différents types de données ou comment ils manipulent ces données est unique. Donc, pour eux, ce n'est pas aussi simple que "Oh, j'utilise ces intégrations. Laissez-moi les connecter et je suis prêt à partir."

Après avoir eu cette conversation pour mieux comprendre l'environnement du client et les aider à déterminer ce qu'ils doivent prendre en compte pour leur audit, ils ont beaucoup plus de facilité à se préparer à l'audit. Une grande partie de la valeur que moi et mon équipe apportons est de fournir des conseils pratiques plutôt que simplement de fournir l'outil et de s'attendre à ce que les clients sachent ce qu'est leur périmètre d'audit et quels artefacts télécharger. Ce serait beaucoup plus difficile.

9. Quel est votre principal conseil pour les personnes qui se préparent à leur premier audit de conformité ?

Ne le faites pas seul — tirez parti des connaissances des experts. Faire quelque chose pour la première fois est beaucoup plus facile et plus efficace si vous avez un professeur ou un coach.

Comme je l'ai mentionné précédemment, les exigences de conformité peuvent être assez vagues et répétitives, donc pour quelqu'un qui passe un audit pour la première fois, cela peut signifier beaucoup d'efforts et de temps perdus. Avoir un expert à vos côtés dès le début peut vraiment aider à traduire ces exigences et à simplifier ce qu'elles signifient exactement et quel type de preuve serait considéré comme acceptable.

10. Quel est selon vous le plus grand avantage organisationnel d'une posture de sécurité et de conformité solide ?

Gagner et maintenir la confiance de vos clients et une solide réputation. Comme je l'ai déjà discuté, disons qu'une organisation est plus axée sur la conformité et la vérification des cases que sur la conformité et la sécurité. Ils ne veulent pas suivre les meilleures pratiques parce qu'ils veulent simplement faire le strict minimum pour répondre aux exigences et en finir. S'ils ont ensuite une violation, alors leur rapport d'audit ou certification n'est pas aussi précieux comme argument de vente pour leurs clients.

Se mettre en conformité avec l'aide d'experts.

Vous voulez travailler avec Fortuna ou un autre membre de notre équipe de conformité ? Planifiez une démonstration de Secureframe pour en savoir plus sur la façon dont notre plateforme et nos experts internes rendent la sécurité, la confidentialité et la conformité rapides et faciles.