Demander à un expert en conformité : 10 questions à Jonathan Leach, CISSP, CCSFP, CCSK
Une chose que nous entendons constamment de la part de nos clients est que notre équipe d'experts en conformité est leur bouée de sauvetage.
Obtenir la conformité avec des cadres stricts comme SOC 2 et ISO 27001 ou des lois complètes sur la confidentialité des données comme le RGPD peut être stressant et accablant. La mission de Secureframe est de simplifier et rationaliser le processus de conformité, à la fois par une automatisation de pointe et par des conseils d'experts.
Avoir un expert certifié en sécurité de l'information et ancien auditeur à vos côtés tout au long du processus peut faire une énorme différence. Ils peuvent répondre à toutes vos questions techniques et spécifiques à l'audit et vous aider à mettre en place des processus de sécurité et des meilleures pratiques. C'est pourquoi nous fournissons à chaque client un gestionnaire de conformité dédié pour un soutien complet à chaque étape — avant, pendant, et bien après l'audit.
Aujourd'hui, nous vous présentons l'expert en conformité Jonathan Leach. Jonathan vit à Steamboat Springs, Colorado, et travaille chez Secureframe depuis mars 2021. Il a aidé des dizaines d'entreprises à obtenir et maintenir des certifications et à renforcer leur posture de sécurité.
1. Pouvez-vous nous parler de votre parcours et de votre expérience professionnelle précédente ? Depuis combien de temps êtes-vous dans l'industrie de la sécurité et de la conformité ?
J'ai obtenu mon diplôme de l'Université de Denver, où j'ai étudié le commerce international et le mandarin, puis j'ai travaillé dans l'informatique et les informations comptables. J'étais responsable de tâches telles que la vérification des soldes et des contrôles d'accès, la sécurité des réseaux, etc. Je travaille dans l'informatique et la sécurité de l'information depuis plus de dix ans maintenant.
Pendant mon temps chez InteliSecure, j'ai commencé à travailler dans une petite équipe de services gérés gérant des outils de sécurité. Puis un jour, le PDG a demandé si quelqu'un voulait rejoindre l'équipe de vente. Ils avaient besoin de quelqu'un qui connaissait les subtilités du produit et pouvait l'expliquer aux clients. J'ai fait le changement vers ce rôle jusqu'à ce que la structure des représentants commerciaux change. Ils voulaient quelqu'un de local pour représenter chaque géographie, et je ne voulais pas déménager de Denver. Quelqu'un de l'équipe de conseil m'a invité à les rejoindre, et depuis, je suis plus du côté du conseil.
J'ai donc évolué de la gestion de différents programmes comme ISO 27001 à leur vente et maintenant du côté du conseil, les mettant en place ou aidant à améliorer leur mise en œuvre. Chez Coalfire, j'étais à nouveau consultant, parfois un CISO virtuel, mais mon rôle était de construire des programmes de sécurité, soit pour un cadre spécifique, soit pour adopter les meilleures pratiques, et effectuer des audits. Chez Coalfire, j'ai aidé les clients à développer leurs programmes de sécurité et à se préparer à un audit, puis soit à les aider à passer un audit, soit à effectuer un audit.
Maintenant, je peux porter tous ces différents chapeaux ici chez Secureframe, que ce soit aider un client à construire un nouveau programme de sécurité de A à Z, adhérer à un cadre spécifique ou à plusieurs cadres, faire un audit interne, ou passer par le processus d'audit externe.
2. Quelle est votre spécialisation ou votre cadre de spécialisation ?
Je suis un Certified Information Systems Security Professional (CISSP), ce qui est largement considéré comme la certification ultime en sécurité de l'information car elle est à la fois large et approfondie.
Cela dit, ma plus grande familiarité est probablement autour d'ISO — je suis auditeur principal ISO 27001 depuis mes jours chez InteliSecure. J'ai également aidé à lancer l'offre ISO 27701 de Secureframe avec un client spécifique avant que nous ne la lancions officiellement. Donc, je connais très bien les cadres internationaux : ISO 27001, ISO 27701, RGPD, ainsi que HIPAA et HITRUST.
3. Qu'est-ce qui vous enthousiasme le plus dans l'industrie de la sécurité et de la conformité ?
L'avenir de cette industrie est tellement excitant. C'est en grande partie ce qui m'a attiré chez Secureframe - nous bouleversons vraiment les choses avec des preuves automatisées. Pouvoir contourner autant de confirmations en aller-retour est un véritable bouleversement. "Cette capture d'écran satisfait-elle ce contrôle particulier ?" C’est la méthode de la tablette de pierre et du ciseau pour la conformité, l'ancienne façon de faire les choses.
Comparé à la façon dont nous le faisons maintenant avec une vérification presque instantanée. Vous connectez l'intégration, appuyez sur synchroniser et pour la plupart de nos tests, vous pouvez savoir immédiatement si quelque chose répond aux exigences d'un cadre spécifique. La possibilité d'aider l'industrie à s'habituer à cela et d'en faire la nouvelle norme est plutôt cool. Vous voyez maintenant de plus grandes entreprises jouer à rattraper dans une certaine mesure.
4. Quelle est une idée fausse courante que les gens ont sur la sécurité et la conformité ?
Que ce n'est pas génial ou intéressant. Cela pourrait être quelque chose que vous devez faire, mais cela ne signifie pas que cela doit être une corvée. Nous sommes ici pour rendre le processus aussi indolore que possible, du début à la fin et au-delà, et peut-être même amusant.
5. Pourquoi avez-vous choisi de travailler pour Secureframe ?
En fin de compte, ce sont les gens et la culture qui m'ont attiré chez Secureframe, et c'est ce que j'apprécie le plus même maintenant. Évidemment, toute l'équipe de Secureframe ainsi que les individus avec lesquels vous travaillez directement en font une grande partie, mais nos clients et partenaires aussi. Toutes les personnes avec lesquelles je peux interagir, de mes coéquipiers en conformité aux clients avec lesquels je travaille et nos partenaires en audit et test de pénétration, c'est un vrai plaisir de travailler avec eux.
Il y a aussi une mentalité de propriété omniprésente ici chez Secureframe. Les gens sont motivés à posséder ce sur quoi ils travaillent, et si vous connaissez quelqu'un qui peut vous aider, vous pouvez aller directement vers lui pour obtenir cette aide.
6. Quel est votre rôle dans le processus de conformité pour les clients ?
Nous intervenons généralement après qu'un client ait terminé son onboarding avec le succès client. Ils ont optimisé leur utilisation de la plate-forme et tout intégré et fonctionne. Si le client a une question qui laisse perplexe l'équipe de succès client, c'est à ce moment-là qu'une ressource de conformité peut intervenir directement ou fournir une réponse en équipe. De plus, si un client a un tas de questions techniques ou spécifiques à l'audit dès le début où il serait plus facile pour nous d'avoir une conversation directe avec eux, c'est un autre cas où nous interviendrions plus tôt dans le processus.
Cependant, en général, une fois qu'un client a terminé l'onboarding et que la plupart des différents tests sont réussis, c'est à ce moment-là que nous planifions une évaluation de l'état de préparation avec l'équipe de conformité. Nous effectuons un audit factice et réalisons une vue d'ensemble de haut niveau où nous répondons à toutes les questions générales ou parlons de tests spécifiques. Par exemple, peut-être qu'ils font quelque chose de légèrement différent de ce que le test recherche, et ils veulent savoir si ce qu'ils font répond toujours à l'exigence.
Nous restons impliqués tout au long du processus d'audit. Certains clients auront besoin d'un peu de soutien supplémentaire ou leurs auditeurs auront des questions que le client souhaite clarifier avant d'envoyer une réponse.
Nous offrons également une assistance lorsqu'ils ont un autre audit dans les années suivantes, ou peut-être que quelque chose de leur côté change. Par exemple, ils mettent en place quelque chose de nouveau, ou une nouvelle personne prend le rôle et nous leur montrons les ficelles du métier.
Certains de nos clients ont leurs propres consultants, et nous travaillons avec eux pour montrer comment ils peuvent à la fois gérer le système et les cadres de sécurité et de certifications associés, tout en montrant comment une approche plus efficace permet soit d'économiser de l'argent à leur client, soit de focaliser leur attention sur des priorités plus importantes.
7. Quels sont les points douloureux que vous aimez résoudre pour les clients ?
Mon objectif est de rendre le processus de certification/audit et de gestion aussi sans stress et indolore que possible - leur donner la capacité de voir exactement ce qu'ils doivent faire du début à la fin de tout le processus, ce qui est censé se passer et quand, qui en est responsable, quand cela sera terminé. Toutes ces choses peuvent être vraiment difficiles à suivre si vous n'utilisez pas Secureframe.
8. Pouvez-vous partager un exemple de défi que vous avez aidé un client à surmonter dans son parcours de conformité ?
Un défi qui me vient à l'esprit, auquel j'ai d'ailleurs déjà été confronté à plusieurs reprises, est celui de nouveaux clients étant intégrés après s'être désengagés d'une autre entreprise de sécurité qui était moins utile avec la préparation aux audits et la surveillance continue de la sécurité qu'ils ne l'avaient espéré ou payé. J'ai transformé de nombreux nouveaux clients sceptiques en fans non seulement de la plate-forme Secureframe, mais aussi des services exceptionnels que nous offrons dans le cadre du partenariat en cours.
Dans certains de ces cas, soit l'ensemble des politiques, procédures et preuves de contrôles précédents du client était difficile voire impossible à exporter. Dans d'autres cas, les ensembles de politiques étaient soit incomplets, soit pas totalement applicables au nouveau cadre avec lequel ils cherchaient à se conformer. Dans les deux cas, nous avons pu, comme pour tous les clients, fournir un nouvel ensemble de politiques accompagné d'une liste de contrôles requis et une interface facile à naviguer montrant comment ceux-ci se rapportent aux différents tests et où ils en sont en termes de préparation à l'audit.
Souvent, les clients me disent qu'avec leur ancien fournisseur de préparation aux audits, ils se sentaient seuls avec un produit sans personne pour leur montrer comment l'utiliser ou répondre à leurs questions. Nous adoptons l'approche opposée. Du début à la fin, ils ont des ressources dédiées qui connaissent bien les exigences et savent ce que les auditeurs rechercheront et ce que le client doit faire pour s'assurer qu'il est en conformité.
Nous sommes là pour les aider à donner un sens à leur documentation existante et à formaliser les procédures précédemment non documentées ou non standardisées. Et puis avec la plate-forme Secureframe, nous transformons tout cela en une machine bien huilée de préparation et de surveillance de la sécurité et de la conformité.
9. Quel est votre principal conseil pour les personnes qui se préparent à passer leur premier audit de conformité ?
Ce n'est pas aussi effrayant qu'il n'y paraît ! Nous sommes là pour aider, et même si certaines des exigences sont complexes, nous facilitons vraiment la tâche à nos clients de tout suivre.
10. Quel est selon vous le plus grand avantage organisationnel d'une posture de sécurité et de conformité forte ?
Indépendamment des certifications, vous sortirez du processus avec une posture de sécurité plus solide et une meilleure compréhension de la manière de sécuriser vos données.
La certification ne signifie pas toujours sécurisé, et les audits ne détectent pas toujours chaque petite chose. Mais avec notre outil, nous repérons chaque exemple unique, non seulement pour chaque contrôle, mais pour chaque instance individuelle qui contribue à l'esprit de ce contrôle. Vous saurez si quelque chose passe entre les mailles du filet afin que vous puissiez procéder à un suivi immédiat. Vous serez aussi sécurisé que possible en tirant parti de cette connaissance à la vitesse de la lumière de l'état de vos paramètres de sécurité.
Avec Secureframe, vous pourrez afficher votre intégrité en montrant ce que vous faites pour vos clients - et vous pourrez dormir sur vos deux oreilles en sachant que vous avez fait tout ce que vous pouviez et deviez faire selon les normes acceptées par l'industrie. Vous saurez sans aucun doute que vous avez bien agi envers vos clients en étant proactif en matière de sécurité et en collaborant avec nous pour aller au-delà.
Conformez-vous avec une aide d'expert
Vous souhaitez travailler avec Jonathan ou un autre membre de notre équipe de conformité ? Planifiez une démonstration de Secureframe pour en savoir plus sur la façon dont notre plate-forme et nos experts internes rendent la sécurité, la confidentialité et la conformité rapides et faciles.