Demandez à l'expert en conformité : 10 questions avec Rob Gutierrez, CISA, CSSK
Lorsque vous travaillez avec une entreprise d'automatisation de la conformité pour améliorer votre posture de sécurité et de confidentialité, vous pouvez avoir des questions techniques sur un audit à venir ou vouloir discuter d'une exigence de cadre spécifique.
Dans ce cas, vous ne voulez pas d'un chatbot qui régurgite des réponses standardisées ou vous informe que quelqu'un de l'équipe vous contactera. Vous voulez pouvoir vous connecter directement à un expert en conformité. Quelqu'un qui connaît réellement votre nom et peut répondre aux questions concernant votre environnement unique.
Chez Secureframe, nous comprenons la valeur d'avoir un expert à vos côtés tout au long du processus de conformité. C'est pourquoi nous assignons à chaque client un ancien auditeur pour les soutenir à chaque étape. Et c'est pourquoi nous lançons une nouvelle série de webinaires — Heures de bureau Secureframe | Demandez à un expert. C'est une opportunité ouverte à toute personne de rejoindre un membre de notre équipe d'experts internes en sécurité et conformité pour une séance de questions-réponses en direct.
Pour notre première session des Heures de bureau Secureframe, le spécialiste certifié en sécurité de l'information et ancien auditeur Rob Gutierrez partagera ses conseils pour simplifier le processus de certification de sécurité. Consultez le résumé du webinaire, et continuez à lire ci-dessous pour mieux connaître Rob.
1. Pouvez-vous nous parler de votre parcours et de votre expérience professionnelle antérieure ? Depuis combien de temps êtes-vous dans l'industrie de la sécurité et de la conformité ?
Je suis originaire de la région de DC, ce qui, je pense, fait partie de la raison pour laquelle je suis arrivé ici, en fait. Après avoir obtenu mon diplôme de Penn State avec une majeure en Supply Chain & Information Systems, j'ai reçu une offre de KPMG et je suis retourné à DC. Étant dans la capitale nationale, il n'est pas surprenant que j'aie atterri dans l'informatique fédérale.
Mon premier audit était un audit de l'état financier pour le département du Travail des États-Unis. J'étais chez KPMG pendant 4,5 ans en tant qu'auditeur externe fédéral, consultant en préparation aux audits et consultant en chaîne d'approvisionnement. J'ai effectué des audits FSA et FISMA avec diverses agences gouvernementales petites et grandes, et j'ai également fait un peu de travail de préparation aux audits.
Ensuite, j'ai passé près de deux ans chez Coalfire en tant qu'auditeur FedRAMP, travaillant avec des entreprises technologiques de premier plan. Je suis dans l'industrie de la sécurité et de la conformité depuis plus de six ans maintenant.
2. Quelle est votre spécialité/cadre de spécialisation ?
Sur la base de mes antécédents et de mon expérience, ma spécialité est le domaine fédéral : NIST et FedRAMP. Maintenant que je travaille avec Secureframe, j'ai maîtrisé beaucoup plus de cadres, y compris SOC 2. J'ai perdu le compte du nombre de clients que j'ai aidés à obtenir SOC 2 Type I et Type II.
Je suis maintenant très familier avec tous nos cadres. La plupart des cadres, y compris leurs contrôles et concepts, sont assez similaires, ils ont juste des nuances différentes. C'est comme apprendre différentes langues romanes. Si vous parlez couramment l'espagnol, le portugais et l'italien tendent à être plus faciles à apprendre car ils viennent tous de la même famille linguistique. Avec SOC 2, ISO, HIPAA — les concepts et les meilleures pratiques sont les mêmes, mais les exigences varient.
3. Qu'est-ce qui vous passionne le plus dans l'industrie de la conformité en matière de sécurité et de confidentialité ?
En tant qu'ancien auditeur, l'automatisation de la conformité est l'avenir et l'approche et la plateforme de Secureframe, leader de l'industrie, changent l'industrie de l'audit.
Historiquement, les audits étaient manuels, chronophages, nécessitant beaucoup de travail et frustrants. La plupart des audits sont un exercice de paperasserie glorifié conçu pour vérifier une chose : si quelqu'un fait ce qu'il est censé faire. Les audits devraient être automatisés, et c'est excitant d'être à la pointe de l'avenir de l'industrie.
4. Quelle est une idée reçue courante que les gens ont sur la conformité en matière de sécurité et de confidentialité ?
Les gens trouvent cela beaucoup plus intimidant qu'il ne l'est. En raison d'un manque de connaissances, de familiarité et de confort avec la conformité et ses cadres, les gens pensent que la sécurité et la confidentialité sont un défi beaucoup plus grand qu'ils ne le sont — surtout avec SOC 2 où les exigences peuvent être plus flexibles et moins directes que d'autres cadres.
C'est une autre idée fausse — souvent, les clients veulent qu'on leur dise qu'il n'y a qu'une seule façon de répondre à une exigence, surtout avec SOC 2. Mais il n'y a pas de solution unique pour la conformité. Nous travaillons avec les clients pour trouver la meilleure façon pour eux de se conformer et de le rester, en examinant différents contrôles et systèmes. Même les auditeurs savent qu'il existe plusieurs façons de répondre aux exigences en fonction de votre environnement et de votre situation uniques. Quelle est votre justification pour faire quelque chose ? Si vous utilisez la bonne logique et êtes prudent, c'est probablement acceptable pour votre système, votre sécurité, et votre conformité.
5. Pourquoi avez-vous choisi de travailler pour Secureframe?
J'ai toujours été intéressé par la conformité, mais je suis passionné par le problème que nous résolvons chez Secureframe. L'automatisation de la conformité est l'avenir, et c'était une chance de faire partie de quelque chose de spécial qui aura un impact positif sur la façon dont les affaires sont menées dans le monde.
Mais au final, ce sont les gens qui m'ont convaincu de rejoindre Secureframe. Dès mon tout premier entretien, toutes les personnes avec qui j'ai travaillé ont été authentiques, bienveillantes, travailleuses, intelligentes et passionnées par ce que nous faisons. Ils voient la vision et le but, et nous sommes tous dans le même bateau avec nos clients pour les aider à réussir — leur succès est notre succès.
6. Quel est votre rôle dans le processus de conformité pour les clients?
Si le client a besoin d'aide dès le départ, nous sommes là pour l'aider à déterminer ce qu'il doit faire pour cette première étape de son parcours de conformité. Ou peut-être qu'ils sont pressés parce qu'un accord est en jeu et qu'ils doivent obtenir une certification en six semaines. Cela dépend des besoins du client, mais c'est ce qui est génial avec notre équipe. Nous intervenons n'importe où, n'importe quand. Notre équipe de vente vend une expérience client personnalisée, et entre l'équipe de conformité et l'équipe de réussite client, nous exécutons cela avec passion et fierté.
Nous nous soucions vraiment de nos clients. Quand nous les voyons stressés, nous voulons les aider à se sentir confiants. Quand ils ont une question, nous voulons fournir une réponse d'expert. Et s'ils ont un problème, comment pouvons-nous prendre leurs retours et améliorer notre produit et notre expérience client ? Nous travaillons toujours à améliorer notre produit et notre méthodologie pour nos clients.
7. Quels points douloureux êtes-vous passionné de résoudre pour les clients?
En plus de leur faire gagner du temps et des efforts manuels, mon point douloureux préféré à résoudre pour les clients est de leur donner l'assurance pour leur audit et de soulager leur stress. Souvent, les clients ne savent pas ce qui est requis pour la conformité ou si ce qu'ils font est suffisant, et cela peut être stressant. J'aime discuter de leurs questions et préoccupations pour m'assurer qu'ils savent que ce qu'ils font les aidera à se conformer.
8. Pouvez-vous partager un exemple de défi que vous avez aidé un client à surmonter dans son parcours de conformité?
Certains clients sont très débordés. En particulier, un avait besoin de la certification en six semaines et ils commençaient de zéro. Ils étaient pressés et se sentaient perdus. Un autre client qui me vient à l'esprit est celui que j'ai aidé à se conformer à la fois avec SOC 2 et HIPAA.
En rendant la conformité un processus clair, j'ai pu soulager leur stress et mettre les deux entreprises sur la bonne voie. Ils ont tous les deux obtenu leurs certificats et étaient vraiment heureux. Je ne fais pas que les aider à obtenir un rapport, je leur facilite la vie et leur donne la tranquillité d'esprit. Il est important que nos clients ressentent ce sentiment de confiance et de responsabilité.
9. Quel est votre conseil numéro un pour les personnes qui se préparent à subir leur premier audit de conformité?
C'est compliqué car c'est différent pour tout le monde. Chacun de nos clients fait face à des attentes clients différentes, des ressources différentes, des systèmes différents. Je dirais, d’une manière générale, de commencer par les politiques. Les politiques posent les bases de tout. Assurez-vous que vos politiques correspondent à vos processus et vice versa — à la fin de la journée, c'est ce que votre auditeur cherche et atteste.
Un autre conseil est de ne pas trop se stresser à propos de la conformité. De nombreuses entreprises savent qu'elles doivent être conformes ou obtenir une certaine certification, mais elles ne savent pas ce que cela implique ni par où commencer. Travaillez avec Secureframe — nous rendrons cela aussi rapide et facile que possible et nous nous assurerons que vous obtenez la certification ou le rapport que vous recherchez.
10. Quel est, selon vous, le plus grand avantage organisationnel d'une posture de conformité en matière de sécurité et de confidentialité solide ?
La tranquillité d'esprit. Il faut 7 ans pour construire votre réputation et 7 secondes pour la perdre. Les piratages et les violations se produisent en un clin d'œil — vous ne voulez pas perdre tout ce pour quoi vous avez travaillé si dur à cause d'une violation évitable.
En priorisant la sécurité, la confidentialité et la conformité, vous savez que vos données sont en sécurité et que votre organisation fait tout ce qu'elle doit faire pour se protéger contre une violation.