Security is in Our DNA

Clarke Rodgers:
Bienvenido al pódcast Executive Insights, presentado por AWS. Soy Clarke Rodgers, director de estrategia empresarial, y seré su guía en una serie de conversaciones con los líderes de seguridad.

Hoy me acompaña Matt Garman, director ejecutivo de HAQM Web Services. Escuche mientras hablamos más sobre la cultura de seguridad de HAQM, cómo pensamos sobre las inversiones en seguridad y cómo los clientes pueden aprovechar la nube de AWS para proteger su entorno. Disfrute.

Matt Garman, director ejecutivo de HAQM Web Services. Muchas gracias por acompañarme hoy.

Matt Garman:
Sí, por supuesto. Gracias por la invitación.

Clarke Rodgers:
Así que fue el primer director de producto de AWS. ¿Puede volver a esa época y a cómo se reforzó la seguridad como parte de su trabajo?

Matt Garman:
De hecho, mi primer trabajo fue hacer una pasantía en una escuela de negocios para AWS antes de que se lanzara en 2005. Desde el primer día que empecé, Andy Jassy nos inculcó que la seguridad era la prioridad cero. Era lo primero en lo que teníamos que pensar, pasara lo que pasara. Por eso, cuando pensábamos en los primeros días de AWS, no dejábamos de pensar en lo que significaba. ¿Qué pensamos de la seguridad? ¿Qué pensamos sobre el aislamiento? En ese momento, en particular, había muchas dudas sobre la posibilidad de confiar tus datos a otra persona. Creo que el sesgo correcto para nosotros era centrarnos mucho en la seguridad, ser más diligentes en el aislamiento, en el aislamiento de las cargas de trabajo de los clientes, pero también en nuestra propia seguridad y en la forma en que pensamos sobre el acceso a los datos de los clientes y la forma en que pensamos sobre la protección de los datos de los clientes. Así que ese fue un gran objetivo para nosotros desde el principio. Fue una gran área de inversión para nosotros y, por supuesto, sigue siéndolo hoy en día.

Solo hemos seguido escalando a medida que crecen las amenazas a la seguridad. Pensamos cada vez más en cómo protegemos la seguridad de la nube, como nuestra propia seguridad, y protegemos las cargas de trabajo de los clientes de esa manera; pero también pensamos en ofrecer herramientas a los clientes para que puedan proteger sus propias cargas de trabajo en ese modelo de responsabilidad compartida. Así que todo lo que hacemos es lo primero en lo que pedimos a nuestros desarrolladores que piensen. Es lo primero que pedimos al personal de nuestros centros de datos que piense desde la perspectiva de la seguridad física, la seguridad lógica, la seguridad del software, el mantenimiento de nuestro software y servicios y las operaciones de nuestros servicios. Está en el centro de todo lo que hacemos.

Clarke Rodgers:
A medida que avanzaba en AWS, y especialmente ahora como director ejecutivo, ¿cómo ha hecho que los líderes empresariales de AWS sean responsables de la seguridad de sus operaciones y sus líneas de negocio reales?

Matt Garman:
Mire, la primera es que es la mayor ventaja, la ventaja que creo que tenemos es que nos centramos en la cultura. Nos centramos en garantizar que los líderes sepan que la seguridad es su responsabilidad y que deben pensar en ello. Por eso, tenemos un par de mecanismos que usamos para hacerlo cumplir y asegurarnos de que están aprendiendo de ello, porque creo que cuando las personas vienen de otros entornos en particular, en realidad no tienen el mismo sesgo y en otros lugares no necesariamente comienzan por la seguridad primero. En cierto modo, lo hacen después o es un problema de otra persona o tal vez el equipo de seguridad se encarga de la seguridad. Está en el equipo de seguridad. No dependemos de usted en cuestiones de seguridad. Todos somos responsables de la seguridad. Usted es un socio excelente en esa trayectoria que nos ayuda a desarrollar las prácticas recomendadas y a mejorar la seguridad.

Pero realmente tenemos que desarrollar eso como parte de la cultura. Por eso, definitivamente es parte del aprendizaje cuando participan los líderes de ingeniería o los líderes de producto. Tienen que pensar en esa responsabilidad como algo que se toman en serio para sus productos. Tenemos varios mecanismos en los que revisamos y tratamos de alentar a los líderes a que piensen en cómo están mejorando la seguridad o si piensan que sus productos son seguros, pero por eso hay recursos y herramientas de apoyo. ¿Dónde más podemos encontrar formas para seguir mejorando? Porque nuestro trabajo y la promesa que hacemos a los clientes es: “Seguimos mejorando”, ¿verdad? El panorama de la seguridad es cada vez más difícil, pero los malos son cada vez más hábiles y tenemos que seguir teniendo más capas de protección. Encontrar esos mecanismos en los que pueda reforzar esto con sus líderes, en los que no castigue a las personas, en los que no se castigue por aquello, sino que se comprenda que no enviaremos un producto si no tiene el nivel de seguridad adecuado.

Ni siquiera nos embarcaremos en algo si no creemos que tiene las estructuras correctas en torno a un aislamiento de seguridad. La primera vez que la gente recibe algo que no se lanza porque no creemos que tenga el nivel adecuado para entregarlo o leemos una sugerencia de oferta de un nuevo producto y decimos: “No me gusta lo que piensan de esta arquitectura en particular de una manera que no funciona”. Ese mensaje se refuerza y creo que impulsa gran parte del comportamiento correcto.

Clarke Rodgers:
Mencionó los mecanismos. La temporada pasada tuve la oportunidad de entrevistar al director de seguridad de la información de AWS y él describió la reunión semanal de directores ejecutivos y directores de seguridad de la información. ¿Podría hablar un poco sobre los beneficios que se obtienen de esa reunión?

Matt Garman:
Claro. Sí, hay unos cuantos. Uno es que es una gran oportunidad para ayudar a reforzarnos junto con nuestros líderes y, francamente, para mí y para todos es una gran oportunidad para aprender. Por eso tenemos esa reunión semanal en la que evaluamos. Muchas veces… De hecho, casi siempre se trata de problemas de seguridad en los que estamos buscando de manera superficial si esto podría haber sido un problema si no lo hubiéramos detectado o, de nuevo, si no hubiéramos establecido otros controles de mitigación. Pero es una muy buena oportunidad para que profundicemos y comprendamos dónde están los puntos críticos que es posible que hayamos pasado por alto, por qué algo se nos escapó y dónde hemos identificado un nuevo tipo de problema que queremos dar a conocer a muchos equipos diferentes. Por eso, hacemos esto cada semana, donde buscamos oportunidades en todos los equipos de AWS en los que queremos profundizar un poco más para saber dónde podemos realmente crearlas.

Creo que ese mecanismo es poderoso, es el número uno, es una gran oportunidad para enseñar a esos líderes cómo deben pensar realmente y profundizar. Tenemos una gran cantidad de líderes que están en esa llamada o que asisten a la reunión y que analizan esos problemas y comprenden lo que está sucediendo. A menudo debatimos sobre las ventajas y desventajas de hacer A o B porque, muchas veces, se trata de cuestiones sutiles en las que estamos intentando decidir que no hay un claro: “Oh, te olvidaste de cerrar un puerto” o no es eso, ¿no?

No son ese tipo de problemas. Son cosas más sutiles como: “Oh, esto podría suceder o esto podría suceder”. O lo que estamos viendo es un caso extremo. Luego está ese mecanismo de simplemente decir: “Está bien, genial. Ahora que lo hemos hecho, ¿cómo podemos hablar con los otros 50 o 100 equipos que pueden tener algo similar y asegurarnos de difundir ese aprendizaje?”. También nos ayuda como líderes cuando nos enteramos la semana que sigue, y la siguiente y la siguiente, dónde podemos aprovechar nuestro aprendizaje y comprensión y pensar en dónde podría haber otras áreas que estamos analizando de manera superficial. Por lo tanto, es un recordatorio muy poderoso para todos nosotros sobre lo que pensamos al respecto y, francamente, es una buena oportunidad para que aprendamos unos de otros sobre cómo seguimos mejorando.

Clarke Rodgers:
Y convierte la seguridad en un ritmo del negocio.

Matt Garman:
Es cierto. Creo que la otra parte importante es que… creo que se trata de un error, en el que algunas personas piensan en un mecanismo como ese cuando vamos a gritarle a alguien por haber cometido un error. Creo que esa es una parte muy importante, que no quiere que sea un castigo que se plantee un problema en esa reunión. En cierto modo, es bueno que lo haya identificado y encontrado, todos estamos aprendiendo de ello. Por lo tanto, creo que eso también es importante, porque no quiere una cultura en la que los equipos quieran esconder ese problema y que digan: “Oh, no quiero que nadie se entere de esto porque no quiero que nadie me grite”. Por eso, realmente queremos fomentar una cultura en la que las personas saquen estos asuntos a relucir para que la organización en general pueda aprender de ellos.

Clarke Rodgers: 
Y asegurarse de centrarse en el problema y no en la persona.

Matt Garman:
Es cierto. Es cierto.

Clarke Rodgers:
Otro tipo de efecto cascada de esa reunión es que sale a la luz. Sale a la luz que el director ejecutivo dedica al menos una hora a la semana a aprender todo lo relacionado con la seguridad. Por lo tanto, creo que eso ayuda a nuestra cultura de seguridad general en toda la organización y refuerza su importancia.

Matt Garman:
Puede ser. Creo que probablemente sea cierto.

Clarke Rodgers:
Al analizar lo que se quiere hacer con AWS en los próximos tres-cinco años, ¿cómo se incluyen la seguridad y el cumplimiento en general, los problemas normativos, etcétera, en su planificación?

Matt Garman:
Bueno, como he dicho, creo que no hay ninguna señal en ningún lugar del mercado de que la seguridad sea cada vez menos importante, ni de que los malos se estén volviendo menos sofisticados. Por lo tanto, tiene que ser algo en lo que sigamos invirtiendo y en lo que vayamos a invertir porque creo que es una de las cosas que, francamente, diferencia lo que hace AWS de los demás, especialmente lo que se puede hacer. Pero, francamente, incluso con respecto a los demás proveedores de servicios en la nube, realmente es una capacidad diferenciadora para AWS. Queremos que siga siendo así.

Creo que en los próximos dos años, habrá una superficie adicional que tendremos que pensar cómo proteger. Creo que al pensar en la IA, hay una gran cantidad de otros vectores de ataque en los que es necesario pensar y escapar de los vectores y formas en que la seguridad… Soy optimista en cuanto a que la IA es una herramienta, una capacidad y una tecnología increíblemente poderosa para que las empresas generen mucho valor, y probablemente también lo sea para los malos, y para luchar y ayudar a encontrar problemas de seguridad. Por lo tanto, creo que podría ser algo que estemos aprovechando para averiguar cómo podemos seguir mejorando nuestras ofertas y nuestra seguridad subyacente. Pero también creo que es una de esas cosas que va a aumentar el volumen de la superficie contra la que tendremos que protegernos.

Así que creo que esa va a ser un área en la que tendremos que redoblar y triplicar nuestros esfuerzos. Ya lo estamos haciendo. Creo que en los próximos tres-cinco años definitivamente será un espacio en el que tendremos que pensar. La otra cosa que creo que es importante es que, a medida que ese espacio se mueve rápidamente, la gente a veces tendrá la tentación de decir: “Sí, probablemente podamos pasar, podemos ocuparnos de la seguridad más adelante”.

Para mí, esa no es una concesión aceptable para nosotros. Cuando piensa dónde está el límite de aislamiento correcto y piensa en cuál es el momento adecuado para lanzar un producto o servicio o lo que sea, simplemente no es uno de los… No es un área en la que esté dispuesto a ceder ningún tipo de compromiso, pero sí creo que probablemente exista la tentación de hacerlo. Así que tendremos que seguir educando a nuestros equipos. Estoy seguro de que otros en el mercado se sentirán tentados a ceder en ese nivel para avanzar rápido. Apuesto a que será a largo plazo, esa será la elección equivocada.

Clarke Rodgers:
Sí. Al final, reforzar la seguridad nunca parece funcionar.

Matt Garman:
Bueno, ahora mismo hay un par de pruebas en el mercado que hacen que sea mucho, mucho, mucho más caro para el proveedor de servicios en la nube y para el cliente final hacerlo de esa manera.

Clarke Rodgers:
Seguro que sí. Cambiemos un poco de tema y hablemos de los clientes. Se reúne con muchos clientes que son directores ejecutivos. ¿De qué le hablan en cuanto a seguridad, no solo de lo que deben hacer, sino también de cómo les es útil AWS?

Matt Garman:
Sí. Veamos, está lo obvio. Creo que las personas están preocupadas por los ataques de apropiación y esos temas. Y creo que hay mucho que podemos hacer para seguir ayudando a los clientes en ese aspecto. Sin embargo, creo que algo que preocupa cada vez más a los clientes es darse cuenta de que uno de los mayores activos que poseen, y la parte más importante de su propiedad intelectual, son sus datos. Y entonces pienso en cómo protegen sus datos de una manera que garantice que no se filtren. Se trata de la seguridad desde una perspectiva diferente, pero es importante al pensar en las IA, en el análisis y en este amplio conjunto de datos. Se trata de cómo garantizar que las personas de su propia empresa y las externas puedan proteger los datos de la manera correcta. Y parte de eso son los datos de los propios clientes. Es información de identificación personal. Puede que solo los datos empresariales patentados que tenga sean fundamentales para lo que hace.

Y creo que esa es un área cada vez más importante que preocupa a las personas, porque creo que si esos datos se filtran o dejan de ser patentados, creo que muchos clientes se dan cuenta de que es en gran medida lo que les da valor. Y esa es un área interesante en la que creo que la gente seguirá pensando. Y luego creo que hay otra perspectiva, con la que creo que ayudamos a los clientes, es cómo se piensa sobre dónde deben residir los datos, y se piensa sobre la soberanía de los datos y cómo se piensa sobre el cifrado y quién es el propietario de las claves de cifrado. Y hay un montón de… Algunos de esos aspectos pueden dificultar mucho la gestión de su sistema y otros tienen total sentido, incluso si la dificultan. Así que creo que es otro nivel de decisión que no se trata de una decisión de sí o no. No es una de esas decisiones en las que hay una respuesta obvia correcta o incorrecta.

Sin embargo, creo que nuestro trabajo consiste en ayudar a los clientes a comprender cómo pueden equilibrar algunos de esos aspectos en los que, si tienen problemas de soberanía de datos, existe un entorno normativo cada vez mayor en el que los datos no pueden o no deben salir de un país, pero ¿cómo se administra una empresa mundial con esas restricciones? Y respecto a eso, tal vez tiene mucho que ver con la seguridad, pero es una especie de control de seguridad.

Clarke Rodgers:
Seguro que sí. Por lo tanto, proteger los datos e incorporarlos a la nube puede facilitar la protección de los datos desde el principio. Y ese es también uno de los requisitos más básicos que las personas deben aprovechar, como la IA generativa. Si los datos no se encuentran en la nube, no se pueden utilizar muchas de estas increíbles herramientas de IA generativa que existen.

Matt Garman:
Es un ámbito muy interesante en el que creo que, si me remonto a hace 18 años, todo el mundo estaba muy preocupado. Decían: “¿Cómo puedo confiar en la nube? Cómo puedo ser más… ¿Es segura la nube? Estoy en un entorno de varios inquilinos que parece aterrador”. Y ahora diría que la gran mayoría de los clientes cambiaron y se dieron cuenta de que están más seguros en la nube. Tenemos más funcionalidades. Gastamos miles de millones de dólares en crear seguridad en ese espacio. Ellos no lo hacen en sus centros de datos.

Clarke Rodgers:
Correcto.

Matt Garman:
Y esa es una gran diferencia. Ha sido un gran cambio. Por lo tanto, creo que muchos clientes aún tienen mucho trabajo por delante para hacer esa migración y modernización y llegar a donde quieren estar en la nube. De hecho, en el caso de la mayoría de los clientes, si los datos se encuentran en las instalaciones, están menos seguros, ¿cierto? Son más susceptibles a los hackers y a otros ataques y temas similares. Y no pueden aprovechar muchas de las mejores y más interesantes tecnologías relacionadas con la IA generativa, los datos y los análisis, las nuevas funcionalidades de computación y almacenamiento y otras herramientas similares que estamos implementando. Están un poco estancados en el legado, la infraestructura y la tecnología.

Clarke Rodgers:
Desde ese punto de vista, ¿mantiene más conversaciones de este tipo sobre migración y modernización con los clientes?

Matt Garman:
Sí. Es un factor muy positivo para el crecimiento de la empresa. Y creo que cada vez más clientes se dan cuenta de esto y solo quieren ir más rápido. Por eso, es parte del motivo por el que invertimos en aspectos como la transformación Q que ayuda a modernizar algunos de esos tipos de almacenes de datos heredados, como mainframe o VMware o cualquiera de esas herramientas, y ayuda a migrar a la nube más rápido.

Clarke Rodgers:
Y seguro.

Matt Garman:
Eso tiene mucho peso. Por lo tanto, migrar a la nube y llegar a un mundo en la nube contribuye a la seguridad. Salir de Windows contribuye a la seguridad. Adquirir una arquitectura más moderna contribuye a la seguridad. Esas son medidas importantes que las personas saben que representan riesgos en la actualidad. Y creo que ayuda a impulsar a las personas a migrar más rápido.

Clarke Rodgers:
¿Tiene algún consejo para los clientes que son directores ejecutivos con los que interactúa sobre cuáles son los tipos de preguntas que deben hacer a sus equipos de seguridad?

Matt Garman:
Hay un montón. Creo que, en primer lugar, cuando elige un proveedor de servicios en la nube, ¿qué piensa de la historia de la seguridad y cuál ha sido el historial? ¿Y cómo sabe que a donde va a migrar tiene ese nivel adecuado? Y en verdad es esa cultura de garantizar que cada nuevo producto, cada nueva oferta y cada cosa nueva comience con una idea basada en la seguridad de los clientes. Y creo que también desde la perspectiva del cliente, ¿cómo se desarrolla la cultura?

Porque es cierto, es este modelo compartido. Y esa es una parte muy importante de nuestro trabajo conjunto. Además, trabajamos con todos nuestros clientes más importantes para asegurarnos de que tienen la arquitectura correcta, que tienen la configuración correcta, que consideren cómo administrar una cuenta raíz en comparación con los permisos de su cuenta y cómo administran sus permisos de IAM, así como en el cifrado de sus datos y la protección de sus claves de cuenta y temas similares. Y que los clientes también tienen que encargarse de esa parte. Por eso, a los directores ejecutivos les recomendaría que tuvieran un proceso similar a este, que es del que hablamos, esa seguridad semanal, simplemente reforzar esa práctica recomendada de que en AWS la seguridad se conforma de partes en las que pueden confiar absolutamente, y esa es nuestra responsabilidad.

Matt Garman:
Y no hay nada de qué preocuparse. Hay muchas partes por las que simplemente no hay que preocuparse. No tiene que preocuparse por la seguridad del centro de datos. No tiene que preocuparse por ninguno de esos aspectos. No tiene que preocuparse por la seguridad del hipervisor, de todo ese tipo de piezas nuestras, nos encargamos nosotros. Pero hay un montón de estas que entran en el ámbito de las aplicaciones y de las que las empresas sí tienen que preocuparse. Para ello, es igual de importante que cuenten con un tipo de mecanismo similar en el que su director de seguridad de la información busque cada semana y destaque los aspectos en los que cree que pueden mejorar la seguridad de sus aplicaciones. Y, por cierto, nos encantaría ser socios como parte de eso.

Clarke Rodgers:
Seguro que sí.

Clarke Rodgers:
¿Qué consejo les daría a los directores de seguridad de la información de los clientes sobre cómo notificar los riesgos a la dirección? Entonces, ¿cómo le gustaría que se planteara el riesgo desde una perspectiva de seguridad?

Matt Garman:
Sí. Mire, lo primero y más importante es una escalada rápida y ser transparente. Si existe un riesgo real para la empresa, aferrarse a las malas noticias nunca es la respuesta correcta. Por eso me gusta saber que nuestro director de seguridad de la información, Chris, si hay algún problema que yo deba conocer, me lo hace saber de inmediato, no dos horas después, eso no está bien. Necesito saberlo lo antes posible para que podamos reunir a todas las personas adecuadas. Como una de las cosas que recomendaría es que la velocidad importa mucho en lo que respecta, especialmente, cuando hay algún tipo de problema de seguridad urgente. Por eso, actuar rápido es muy importante. Reunir a la gente en una habitación y, en cierto modo, ir al grano y asegurarse de dejar todo y ponerse al tanto con eso, ya sea que lo que tenga que hacer es enviar mensajes a sus clientes, si se trata de medidas que debe tomar, si hay otras cosas o no, es increíblemente importante y la velocidad de reacción es increíblemente importante en ese sentido.

La otra es simplemente… También, es que para los temas menos urgentes, que son importantes pero no necesariamente urgentes, creo que asegurarse de construir esa cultura de no culpar a otros para sacar ventaja, sino centrarse realmente en ese tema y quemar…

Clarke Rodgers:
Volviendo a ese tema.

Matt Garman:
Creo que es una diferencia sutil, pero realmente cambia la transparencia de los equipos y la medida en que ocultan los problemas en lugar de plantearlos. La empresa y el negocio no mejorarán si no puede ser transparente y aprender de las cosas que no han salido bien. La seguridad es un tema difícil. Por cierto, todos estamos descubriendo cosas nuevas todos los días. Por lo tanto, es un espacio difícil. Es un espacio que se mueve rápidamente. Tiene que aprender y tiene que estar dispuesto a aprender, lo que significa que no todo va a ser perfecto, solo tiene que aprender de ello, mejorar e intentar averiguar cómo tiene mitigaciones y cómo todo su equipo puede mejorar. Pero no lo va a conseguir si no fomenta esa transparencia. Creo que esas son unas cuantas cosas en las que quisiera que todos se animaran a pensar.

Clarke Rodgers:
Qué consejo tan fantástico. Matt, muchas gracias por acompañarme.

Matt Garman:
Sí, claro. Gracias por la invitación.

Escuche el pódcast ahora

Escuche el pódcast ahora

Escuche el pódcast ahora