Demandez à l'expert en conformité : 10 questions avec Marc Rubbinaccio, CISSP, CISA

  • October 27, 2022

Poursuivre des certifications de conformité et établir une posture de sécurité solide s'accompagne d'un flot apparemment interminable de questions :

Ce système ou cette application doit-il être inclus dans le périmètre de mon audit ?

Quelle doit être ma période d'audit ? Puis-je la changer pour mon prochain audit ?

Y a-t-il un moyen plus facile ou plus efficace de configurer mes systèmes pour une conformité continue ?

Les naviguer seul peut être stressant et déroutant.

C'est pourquoi nous associons chaque client à un expert dédié en sécurité, confidentialité et conformité. Ils vous accompagnent à chaque étape, de la préparation de l'audit au rapport final et au-delà.

Aujourd'hui, nous vous présentons l'expert en conformité Marc Rubbinaccio. Marc vit à New York et travaille chez Secureframe depuis février 2021. Il a aidé des dizaines d'entreprises à obtenir et maintenir des certifications et à renforcer leurs postures de sécurité.

1. Pouvez-vous nous parler de vos antécédents et de votre expérience professionnelle ? Depuis combien de temps travaillez-vous dans le domaine de la sécurité et de la conformité ?

J'ai obtenu mon diplôme de licence en Systèmes d'Information Informatiques de l'Université DeVry et j'ai immédiatement commencé ma carrière dans la sécurité en tant que technicien de réponse aux incidents pour Colgate Palmolive, supervisant la disponibilité des applications et infrastructures de production.

Après avoir étudié en autodidacte les ressources pour les tests d'intrusion, j'ai décroché un poste chez A-LIGN en tant que l'un des premiers testeurs d'intrusion de l'entreprise. C'est là que j'ai appris à réaliser des tests d'intrusion sur des applications, des infrastructures, des réseaux sans fil et des ingénieries sociales. Une fois l'équipe de tests d'intrusion constituée, j'ai saisi l'opportunité d'apprendre le PCI DSS et d'observer les auditeurs seniors chez A-LIGN. Une fois ma certification QSA obtenue, j'ai commencé à effectuer des évaluations PCI DSS, et à mon départ d'A-LIGN, j'étais auditeur principal. J'ai environ 8 ans d'expérience en cybersécurité dans l'ensemble.

2. Quelle est votre spécialisation/cadre de spécialisation ?

Je considère que ma spécialisation est le PCI DSS. J'ai eu la chance de travailler avec des experts en PCI lors de mon passage chez A-LIGN, réalisant des évaluations pour des clients d'entreprises complexes sous l'expertise de leaders de l'industrie. Maintenant, je dirige la pratique PCI DSS chez Secureframe, en construisant les cadres et en guidant nos clients à travers des audits PCI réussis et des auto-évaluations.

Avec mes un an et demi d'expérience ici chez Secureframe, je suis également très à l'aise pour aider nos clients à passer les évaluations SOC 2 et ISO 27001.

Avec mon expérience en tant que testeur d'intrusion, je peux travailler avec nos partenaires de test d'intrusion et nos clients pour faciliter une excellente expérience pour ces tests.

3. Qu'est-ce qui vous enthousiasme le plus dans le secteur de la sécurité et de la conformité ?

Lorsque j'ai commencé à m'intéresser au domaine de la sécurité et de la conformité, il y avait beaucoup de gros titres sur les principales entreprises subissant des violations et les cyberattaques étaient en augmentation. Je suis devenu plus intéressé à en apprendre davantage sur les différents types d'attaques et diverses méthodes de sécurité, ainsi que sur les rôles spécifiques au sein de la sécurité. La sécurité des applications, la sécurité des infrastructures, les équipes rouges/bleues — il y a tellement d'opportunités.

Ce que je trouve le plus excitant maintenant, c'est l'évolution constante et la nécessité de s'adapter. Il y a cinq ans, je faisais des visites de centres de données et de bureaux, et maintenant j'aide des clients entièrement distants hébergeant leur infrastructure sur AWS et utilisant des services cloud pour répondre aux exigences de conformité.

4. Quelle est l'idée reçue la plus courante que les gens ont à propos de la sécurité et de la conformité ?

La plus grande idée reçue est que la conformité est difficile à atteindre.

En réalité, la conformité est simplement une méthodologie de sécurité de base. La conformité consiste à avoir des contrôles appropriés de journalisation et de surveillance. La conformité c'est s'assurer que les données des clients sont sécurisées. Ce sont simplement des principes de sécurité de bonnes pratiques sous-jacentes.

Il existe plusieurs façons de répondre aux exigences — il est possible que vous répondiez déjà à certaines exigences. Avec l'aide de Secureframe, il est plus facile de se préparer à la conformité et il est plus facile de maintenir la conformité.

5. Pourquoi avez-vous choisi de travailler pour Secureframe ?

Je croyais vraiment qu'il y avait un moyen plus facile de faire des audits. J'ai personnellement créé plusieurs feuilles de route et modèles de prise de notes pour faciliter une évaluation sur site plus facile, ce qui n'était pas idéal.

Lors de mes premières conversations avec notre PDG Shrav Mehta m'expliquant ce que fait Secureframe, je n'y croyais pas honnêtement. J'avais beaucoup de questions. J'ai démontré la plateforme plusieurs fois et j'ai approfondi pour demander : « Comment auditeriez-vous cela ? Comment auditeriez-vous cela ? » J'ai ensuite appris que ce serait mon travail d'aider à faciliter ces fonctionnalités dans la plateforme, en utilisant mon expertise super pointue pour aider à développer un logiciel afin de faciliter la tâche des auditeurs du monde entier. Cela ressemblait à ma vocation.

6. Quel est votre rôle dans le processus de conformité pour les clients ?

Mon rôle est de m'assurer que mes clients sont pleinement préparés pour leur audit. Cela commence par une orientation et des conseils de mise en œuvre, une préparation au sein de la plateforme Secureframe, et aider à superviser et faciliter l'audit entre nos clients et les auditeurs.

Les détails de ce que je fais dépendent tous des besoins des clients. Il peut s'agir d'une entreprise entièrement expérimentée qui a déjà passé plusieurs évaluations et qui recherche un moyen plus simple de faire les choses. J'interviens et facilite l'intégration des administrateurs et du personnel concerné dans Secureframe, j'assiste à la communication et aux suivis de l'auditeur, et j'aide les clients à configurer le logiciel pour extraire ces preuves sans effort. Tout cela au lieu de devoir réaliser l'audit manuellement via des tableurs ou de la manière dont ils l'ont fait dans le passé.

Ou cela peut être une entreprise qui n'a pas encore d'environnement de production en place. Peut-être ont-ils un environnement de test et ils veulent que leur mise en œuvre soit sécurisée pour leur tout premier client. Ce que je fais alors est de leur demander quelle est leur pile technologique et de les aider à introduire des services et des outils de sécurité et à protéger leurs données lorsqu'ils commencent à les ingérer de leurs clients. L'objectif est de les rendre entièrement sécurisés, pleinement préparés et prêts pour ce premier client ainsi qu'un audit de cybersécurité complet.

7. Quels points de douleur êtes-vous passionné à résoudre pour les clients ?

Je pense que le plus gros point de douleur est la mise en œuvre réelle de bon nombre de ces exigences de conformité. Il y a souvent plusieurs façons de répondre à une exigence spécifique et il peut être difficile pour les clients de comprendre exactement ce qu'est cette exigence. Nos clients apprécient vraiment d'avoir une expertise et des conseils sur ce que vous devez mettre en œuvre pour garantir la conformité sans restreindre l'entreprise.

8. Pouvez-vous partager un exemple de défi que vous avez aidé un client à surmonter dans son parcours de conformité ?

Certains clients n'ont pas encore entièrement construit leur environnement, mais pour pouvoir utiliser certains fournisseurs ou processeurs de paiement, ils doivent être conformes au PCI. Ce que j'ai fait avec des clients précédents, c'est déterminer la meilleure façon de mettre en œuvre un environnement conforme au PCI pour répondre aux exigences du PCI dès que possible et simultanément limiter la portée.

Un exemple spécifique client que j'ai aidé a commencé avec le client cherchant à mettre en œuvre un environnement conforme au PCI. En fonction du service spécifique, j'ai fait des recommandations pour des partenaires de tokenisation, fait des introductions et aidé les clients à apprendre comment la tokenisation pourrait les aider à réduire considérablement la portée de leur conformité PCI. Aidé à la mise en œuvre d'une telle solution et généré un rapport dans Secureframe en fonction de la portée de leur mise en œuvre spécifique.

9. Quel est votre conseil numéro un pour les personnes qui se préparent à passer leur premier audit de conformité ?

Préparez-vous à être flexible avec les processus que vous avez actuellement en place et la façon dont vous faites les choses en tant qu'entreprise. La conformité peut nécessiter de nombreux changements, et parfois la clé d'une posture de sécurité forte nécessite des restrictions dans les processus. Il est plus difficile de lutter contre les exigences que de s'adapter aux contrôles de sécurité afin d'être conforme et de maintenir la conformité.

10. Quel est, selon vous, le plus grand avantage organisationnel d'une posture de sécurité et de conformité solide ?

Le principal avantage qui découle de la conformité est de s'assurer que les données de vos clients sont en sécurité. La dernière chose que toute entreprise souhaite, c'est vivre une violation de données où vous perdez les données des clients et ensuite devoir annoncer publiquement que des informations sont potentiellement divulguées. Pouvoir dire avec confiance à vos clients que leurs données sont protégées leur donne vraiment la tranquillité d'esprit lorsqu'ils partagent leurs données avec vous en tant qu'organisation.

Devenez conforme avec l'aide d'experts

Vous voulez travailler avec Marc ou un autre membre de notre équipe de conformité ? Planifiez une démo de Secureframe pour en savoir plus sur la manière dont notre plateforme et nos experts internes rendent la sécurité, la confidentialité et la conformité rapides et faciles.