Mengadaptasi Praktik Keamanan ke Lanskap Ancaman Baru

Januari 2025

Executive Summit di AWS re:Invent

Simak penjelasan dari Steve Schmidt CSO HAQM, Chris Betz CISO AWS, dan Sara Duffer Security Assurance, VP AWS untuk diskusi panel mendalam tentang evolusi praktik terbaik keamanan di era modern. Pelajari bagaimana teknologi baru membentuk ulang lanskap risiko, cara mempersiapkan peraturan kepatuhan baru, dan cara menetapkan strategi tata kelola yang tepat untuk menjaga organisasi Anda tetap aman di setiap tingkat. (Januari 2025)

Transkrip percakapan

Menampilkan Sara Duffer, VP, Security Assurance, AWS, Chris Betz, CISO, AWS, dan Steve Schmidt, CSO, HAQM

Selera risiko yang berbeda untuk bisnis yang berbeda

Sara Duffer:
Jadi saya akan melanjutkan dan langsung mempelajarinya. Jadi Anda berdua bertanggung jawab atas keamanan di masing-masing HAQM dan AWS. Apakah Anda bisa menceritakan sedikit tentang mekanisme yang Anda gunakan untuk tetap selaras?

Steve Schmidt:
Tentu. Menurut saya salah satu hal yang perlu dibahas di awal adalah bahwa semua bisnis tidak sama, ini hal yang jelas bagi orang-orang di luar sini. Namun, ketika Anda mengoperasikan organisasi besar seperti HAQM, terkadang perbedaan dalam operasi bisnis dalam satu perusahaan menjadi hal yang mengejutkan. Kami memiliki beberapa organisasi yang sangat tidak toleran terhadap risiko, beberapa yang jauh lebih bersedia untuk mendorong batasan dalam keadaan tertentu. Itu sangat tergantung pada bidang bisnis mereka, data yang mereka tangani, dan lain-lain. Dan kami menyadari bahwa perlu untuk memiliki set metrik umum di seluruh perusahaan yang memberi kami pemeriksaan dasar tentang cara performa orang dari perspektif keamanan. Lalu pelaporan khusus bisnis atau disesuaikan untuk setiap organisasi yang membahas tentang risiko yang mereka miliki dan apa yang ingin mereka lakukan dalam hal mengelola data yang dipercayakan oleh pelanggan mereka, informasi yang mereka miliki, dan lain-lain.

Pelaporan umum adalah hal yang paling penting yang memberi kami pandangan keseragaman. Sehingga saat kami bertemu dan berbicara dengan siapa pun, mulai dari CEO perusahaan, Andy Jassy, hingga para karyawan di sana, kami memiliki pandangan yang sama. Kami dapat cepat memahami performa satu bagian organisasi dibandingkan dengan bagian lainnya dan yang paling penting, hal ini menunjukkan kesenjangan pada tempat-tempat di mana kami tidak memeriksa berbagai hal sebagaimana mestinya karena kami telah mempelajari serangkaian peluang tertentu untuk meningkatkan satu bagian organisasi dibandingkan dengan bagian lainnya. Dan kita semua tahu, semua pemimpin kami di perusahaan sangat kompetitif. Jadi ketika Anda menggunakan pelaporan umum yang mencantumkan nama mereka dan sejawat mereka, itu memotivasi perilaku yang benar-benar kami minati. Hal ini membuat orang fokus ke arah yang benar.

Chris Betz:
Meskipun saya benci menyebut diri saya tidak toleran, kami tidak toleran terhadap risiko di AWS. Jadi kami adalah salah satu organisasi yang benar-benar meluangkan lebih banyak waktu pada metrik khusus bisnis kami. Bahkan secara internal ke AWS, saya menyadari bahwa pendekatan yang sama ini cenderung berhasil bagi kami, bahwa sifat kompetitif dan memanfaatkannya di seluruh organisasi sangat kuat. Dan untuk menjadi sangat selaras dengan bisnis, untuk memahami bahwa AWS tidak memiliki toleransi yang sama seperti tempat lain terhadap risiko. Untuk memahami hal yang kami pedulikan dan memastikan bahwa metrik bisnis tersebut tetap selaras dengan bisnis serta muncul sebagai bagian dari proses peninjauan bisnis kami.

Pembaruan keamanan CEO dan dewan

Sara Duffer:
Jadi, Steve, Anda menyebutkan tentang berbincang dengan CEO, Andy Jassy. Bagaimana Anda berkomunikasi dengan CEO dan pembaruan keamanan dewan?

Steve Schmidt:
Jadi, komunikasi dengan CEO, dan seharusnya, dari sudut pandang saya, berkomunikasi dengan CEO karena kami memiliki beberapa CEO di HAQM, sekali lagi, disesuaikan dengan cara organisasi mereka beroperasi. Misalnya, Chris mengadakan pertemuan mingguan dengan CEO AWS karena tingkat keamanan di sana cenderung sangat cepat. Ini adalah sesuatu yang harus kami tanggapi dengan sangat cepat, kami harus memahami perubahan di lingkungan sekitar kami. Kami harus dapat menyesuaikan respons kami dengan tepat mengingat cara dunia berfungsi di sekitar kami. Kami juga bekerja sama dengan Doug Herrington, yang merupakan CEO dari bisnis toko, tetapi tentang sesuatu yang lebih fokus pada bisnisnya, dengan interval rotasi yang cenderung sedikit berbeda, entah semacam tinjauan bulanan atau sejenisnya.

Andy Jassy memilih untuk berada dalam pertemuan khusus tinjauan keamanan setiap kuartal. Jadi, setiap kuartal kami memberikan serangkaian metrik umum dan pelaporan yang konsisten dari waktu ke waktu, tetapi juga bagian dari laporan kami yang selalu berubah. Kami menyebutnya peristiwa terkini, dan ini adalah sesuatu yang kami fokuskan pada perubahan apa yang terjadi di lingkungan tempat kami beroperasi yang paling signifikan bagi kami. Bagaimana pendapat orang Rusia tentang hal-hal saat ini versus orang Tiongkok? Bagaimana mereka mengejar perusahaan? Metode baru apa yang digunakan untuk menyebabkan masalah dan bagaimana kami meresponsnya atau mempersiapkan diri sendiri untuk hal itu?

Anda menyebutkan dewan juga. Dewan kami relatif unik. Banyak dewan memilih untuk menempatkan pengawasan organisasi keamanan mereka baik di komite audit atau di komite risiko, biasanya di lembaga keuangan. HAQM telah memilih untuk memiliki subkomite khusus hanya untuk keamanan sehingga kami memiliki tiga anggota dewan yang hanya berfokus pada keamanan. Kami mengadakan pertemuan dengan mereka secara teratur. Mereka mendapatkan laporan kuartalan tentang apa yang terjadi di HAQM dan memeriksa semua bisnis kami. Anggota dewan memberi tahu kami bahwa mereka ingin fokus pada beberapa bisnis sekaligus, jadi mereka memilih. Hal ini semacam memutar tombol dan mengatakan bisnis mana yang akan muncul di waktu berikutnya.

Dan sekali lagi, kami memiliki bagian acara terkini di bagian bawah, karena sekali lagi, ini adalah kepentingan bersama dalam hal posisi kita sekarang, ke mana kita akan pergi, apa yang berubah di sekitar kita, dan bagaimana kita harus berevolusi. Dan saya pikir waktu siklus yang sangat singkat di antara sesuatu yang berubah di dunia, dan dewan mendapatkan informasi tentang bagaimana kami mengelola perubahan itu sangat penting bagi kemampuan kami untuk memastikan bahwa kami memiliki perlindungan yang tepat bagi pelanggan.

Sara Duffer:
Chris, ada tambahan?

Chris Betz:
Tiga pemikiran tambahan. Pertama, salah satu hal yang saya apresiasi baik tentang percakapan dengan Andy dan CEO, tetapi juga bahkan di dalam AWS, kami tidak melakukan percakapan tersebut secara terpisah. Ini bukan grup yang sangat kecil dengan CEO. Itu dilakukan dengan CEO dan tim kepemimpinannya karena tidak ada yang terjadi secara terpisah. Jadi, memastikan bahwa bisnis tersebut ikut serta dalam percakapan, serta kami terlibat secara mendalam tentang arah bisnis dan sebagai bagian dari percakapan tersebut sangatlah penting. Hal kedua adalah di AWS, kami memiliki dewan dan juga dewan HAQM. Hal ini memungkinkan kami sebagai sebuah mekanisme untuk mempelajari lebih dalam tentang keamanan dan topik-topik terkait risiko secara kuartalan sehingga kami dapat terus melakukan percakapan tersebut dan memastikan bahwa kami menerapkan tata kelola yang tepat.

Dan pemikiran ketiga, setelah melihat beberapa dewan yang berbeda, setiap dewan yang berinteraksi dengan saya sangat berbeda. Menurut saya, sebagian besar dari hal tersebut didorong oleh aspek manusia, kepribadian, dan sebagian lagi didorong oleh sifat bisnis. Jadi, menurut saya, salah satu hal yang penting sebagai CISO atau sebagai pemimpin teknologi dalam melibatkan dewan, adalah memahami bagaimana dewan beroperasi di domain lain. Bagaimana pendapat bisnis tentang dirinya sendiri dan berbicara tentang dirinya sendiri? Bahasa apa yang harus Anda gunakan? Apa konteksnya karena berbicara tentang keamanan secara terpisah tidak akan membantu. Hal ini merupakan keamanan dalam konteks bisnis yang sangat penting. Dan yang ketiga, pastikan Anda memahami audiens. Setiap orang yang ada di dalam diskusi memiliki keahlian yang berbeda. Anda harus berbicara dengan mereka semua.

Jadi, baik kita sebagai pemimpin teknologi yang terlibat dalam percakapan keamanan atau CISO, memastikan bahwa kita memahami audiens tersebut, sifat diskusi, cara berpikir bisnis, dan bagaimana keamanan dan teknologi cocok dengan hal tersebut akan membuat percakapan menjadi lancar.

Steve Schmidt:
Saya ingin menekankan yang baru saja dikatakan oleh Chris. Kesalahan terbesar yang kita lihat dari para pemimpin baru saat mereka berbicara dengan manajemen paling senior atau kepemimpinan senior di perusahaan, seperti dewan direksi, adalah terlalu fokus pada hal-hal teknis, terutama di bidang keamanan. Ini adalah penghambat utama bagi kemampuan Anda untuk menyampaikan maksud Anda kepada pelanggan yang merupakan anggota direksi itu. Kita perlu membahas, seperti yang dikatakan Chris, dalam konteks bisnis. Tidak masalah bahwa ini adalah kerentanan penting dengan skor CVSS 9,86 atau tidak peduli. Ini adalah peluang bagi pihak lawan untuk mendapatkan akses ke jenis informasi milik pelanggan kami, yang memiliki hasil seperti ini, dan memiliki kemungkinan yang masuk akal untuk terjadi dalam 60 hari ke depan. Bahwa seorang anggota dewan dapat mengatasi hal ini dan bukannya mengatakan, "Ini adalah hal yang menakutkan." Menurut saya, ini adalah kontekstualisasi yang sangat penting.

Memecahkan kendala keamanan pelanggan

Sara Duffer:
Anda berdua berbicara dengan pelanggan secara rutin. Apa kendala atau masalah keamanan saat ini yang Anda dengar dari pelanggan? Dan apa yang dilakukan AWS untuk membantu pelanggan kami di bidang itu?

Steve Schmidt:
Nomor satu adalah AI. Tentu saja, banyak orang yang sangat tertarik tentang bagaimana cara menggunakan ini dengan aman? Bagaimana saya bisa menggunakan AI dengan tanggung jawab? Bagaimana saya bisa mendapatkan informasi dan memastikan bahwa saya mendapatkan akses yang tepat ke data itu ketika saya membutuhkannya, dan mencegah akses ketika saya tidak membutuhkannya? Ketika kami berbicara dengan pelanggan, hal pertama yang saya tanyakan adalah, "Berapa banyak aplikasi yang Anda miliki di seluruh perusahaan Anda yang menggunakan AI generatif? Apakah Anda mengetahuinya sekarang? Apakah Anda bisa menghitungnya secara teratur?" Kebanyakan orang berkata, "Oh ya, kami sudah menghitungnya bulan lalu atau kuartal lalu atau entahlah. "Coba tebak? Developer Anda bergerak jauh lebih cepat dari itu. Kami harus membangun proses secara internal, yang memungkinkan kami melihat setiap kali developer memanggil mesin AI generatif dari laptop perusahaan mereka atau dari salah satu aset produksi yang kami miliki di sekitar perusahaan.

Dan hal ini memungkinkan kami untuk memiliki visibilitas yang dapat kami berikan kepada tim keamanan aplikasi untuk membantu mereka memahami apa yang sedang terjadi dengan layanan tersebut. Saat pertama kali kami melakukan penghitungan tersebut dan mulai melakukannya beberapa waktu yang lalu, kami datang dan melaporkannya kepada Andy dan berkata, "Oh ya, ada lebih dari seribu aplikasi AI generatif yang saat ini beroperasi atau dikembangkan di seluruh perusahaan." Dan kami terkejut seperti, "Apa? Apa Anda bercanda?" Tidak. Dan omong-omong, trennya meningkat dengan sangat cepat, yang merupakan hal bagus karena artinya para developer kami benar-benar berkembang dan terus maju, tetapi ini juga berarti bahwa tim kami harus bekerja keras dan terus memantau para developer ini untuk memastikan bahwa mereka melakukan sesuatu dengan cara yang masuk akal, tepat, dan semacamnya. Namun, semuanya dimulai dengan visibilitas dan membangun mesin visibilitas di bagian bawah sana.

Chris Betz:
Saya rasa percakapan lain yang akhirnya banyak saya bahas adalah, kemampuan apa saja yang sudah ada di dalam AWS karena orang-orang berpikir tentang bagaimana mereka merasa aman, tetapi juga hemat biaya? Orang-orang tidak ingin menghabiskan waktu dan energi di tempat yang solusinya sudah ada atau saat sesuatu sudah terjadi. Salah satu bidang yang sering kami bicarakan adalah arsitektur dan kontrol, yang memastikan bahwa orang-orang memanfaatkan alat yang dirancang dengan baik, melihat cara mengimplementasikan kontrol yang sederhana dan mudah dalam skala besar. Jadi saya pikir hal itu telah berubah menjadi salah satu percakapan yang sering kami lakukan secara internal tentang cara memastikan bahwa kami menghasilkan keamanan sederhana dalam skala besar untuk para pelanggan ini. Hal lain yang menjadi fokus utama kami, dan kami banyak membicarakannya akhir-akhir ini, adalah intelijen ancaman. Perusahaan yang berbeda, penyedia cloud yang berbeda, memperlakukan intelijen ancaman secara berbeda.

Pendekatan kami adalah tentang menjadikan intelijen ancaman sebagai bagian yang tak terpisahkan dari cara kerja sistem. Jadi, kami telah menghabiskan banyak waktu untuk membicarakan hal ini karena kami belum pernah membicarakannya pada masa lalu, tetapi penting bagi pelanggan untuk mengetahui apa yang akan terjadi. Bahwa kami memiliki serangkaian penyedia intelijen ancaman, honeypot, dan sensor yang mengumpulkan data setiap hari, lebih dari 100 juta interaksi per hari hanya dalam honeypot kami. Dan bahwa teknologi ini, data ini digabungkan dengan data sensor kami yang lain dari sistem seperti Sonaris dan memungkinkan kami untuk bertindak. Tindakan ini terjadi tanpa harus disadari oleh pelanggan.

Kami dapat melindungi dari serangan yang berbeda setelah kami mengidentifikasi alamat yang berbahaya. Dan lalu lintas itu bahkan tidak pernah mengganggu sistem Anda. Jadi misalnya, pada tahun lalu, kami telah menolak lebih dari 24 miliar upaya untuk menghitung bucket S3, lebih dari 2,6 triliun upaya untuk menemukan layanan yang rentan di EC2. Dan jika kami tidak dapat menyediakannya secara otomatis untuk Anda, jika kami tidak memiliki tingkat ketelitian seperti itu, kami dapat langsung memasukkannya ke dalam alat seperti GuardDuty, dan sebagainya. Jadi, percakapan yang saya lakukan dengan orang-orang di bagian keamanan adalah bagaimana mereka memanfaatkan teknologi yang sudah ada di dalamnya, baik dari sisi kelancarannya maupun dari sisi di mana kami menyediakan informasi tambahan bagi tim keamanan untuk beroperasi?

Steve Schmidt:
Ada beberapa data yang sangat menarik, saya ingin menekankan poin yang Anda bicarakan tentang intelijen ancaman. Dan intelijen ancaman adalah hal yang sangat rapuh. Kebanyakan orang tidak menyadari bahwa apa yang kita lihat di internet, sekitar 23% ruang IP di internet berubah dalam waktu sekitar tiga menit. Artinya, jika informasi intelijen ancaman Anda sudah berumur seminggu atau sebulan atau berapa pun itu, Anda sudah ketinggalan zaman. Dan beberapa hal lain yang membahas tentang immediacy tindakan, segera setelah Anda mendapatkan informasi intelijen ancaman. Ketika kita mengekspos honeypot ke internet, dibutuhkan waktu kurang dari 90 detik, 90 detik, bagi musuh untuk menemukannya, dan kurang dari tiga menit bagi musuh untuk mencoba mengeksploitasinya. Ini adalah situasi ketika developer Anda seandainya berkata, "Oh, saya hanya akan membuka bucket ini ke internet, ini tidak akan jadi masalah. Tidak ada yang tahu kalau bucket ada di sana." Tiga menit, adalah waktu yang diperlukan sebelum Anda mengalami masalah nyata. Jadi, ketahuilah apa yang terjadi melalui umpan intelijen yang kuat, dan mampu bertindak dengan cepat. Dan yang lebih penting, jangan melibatkan manusia di dalam prosesnya untuk menindaklanjutinya. Pastikan otomatisasi yang melakukannya.

Chris Betz:
Bagus sekali.

Meningkatkan kepatuhan keamanan

Sara Duffer:
Saya akan beralih ke topik yang sangat dekat di hati saya, yaitu di dunia dengan peraturan yang terus berkembang, sertifikasi standar, dan sebagainya, terbukti menjadi tantangan untuk dapat tetap berada di atas kepatuhan, evolusi kepatuhan. Chris, bisakah Anda menceritakan sedikit tentang bagaimana pendapat AWS tentang kepatuhan dalam skala besar?

Chris Betz:
Kita sering membicarakan hal ini.

Sara Duffer:
Ya, benar.

Chris Betz:
Untuk memulainya, salah satu hal yang menurut saya sangat kuat dalam hal cara Anda menjalankan kepatuhan dalam skala besar adalah Anda dapat memulai dengan fondasi yang aman. Memikirkan tentang keamanan dalam hal aman berdasarkan desain, memastikan bahwa keamanan sudah dimasukkan ke dalam proses pengembangan, memberi Anda tempat awal yang baik bahkan sebelum Anda memikirkan tentang peraturan atau kepatuhan. Saat kami melakukan hal yang terbaik, kepatuhan adalah efek samping yang disengaja dari pekerjaan keamanan itu. Dan sejujurnya, sebagian besar badan pengatur menginginkannya juga.

Alasan kepatuhan mereka adalah untuk memastikan Anda aman. Jadi, sangat penting untuk merancang program keamanan yang berfokus pada keamanan dengan tujuan untuk menunjukkan dan membuktikan kepatuhan dengan sengaja. Dan kemudian bagian ketiga adalah tidak cukup hanya dengan selalu menjalankan kepatuhan sesuai desain sebagai bagian dari proses keamanan Anda, Anda harus bisa mendemonstrasikan dan menunjukkannya. Jadi, kemampuan untuk menyatukan data tersebut, membuatnya terlihat, dan membuatnya mudah dimengerti oleh orang lain sangatlah penting. Dan ada rekayasa yang terlibat dalam hal itu juga. Menurut saya, ini adalah investasi yang berharga, tetapi Anda menghabiskan lebih banyak waktu di bidang ini daripada saya, jadi saya juga ingin tahu dari perspektif Anda.

Sara Duffer:
Yah, saya mendengar banyak dari pelanggan saat ini, terutama di atas program AI yang bertanggung jawab dan cara mengoperasionalkannya dengan sangat cepat. Jadi, ini benar-benar merupakan percakapan, karena evolusi yang sangat cepat ini, untuk dapat beralih dari konsep kepatuhan, yang sangat terfokus pada waktu, sangat biner, sangat terfokus pada apakah kita mematuhi aturan dan peraturan, misalnya Undang-Undang AI UE. Dan mampu mengembangkan program tersebut dengan cepat menjadi lebih ke arah pola pikir jaminan dan kepastian yang mampu memberikan tingkat kepercayaan pada kualitas, keandalan, dan efektivitas kepatuhan yang dapat kami ilustrasikan. Jadi bagaimana kita dapat melakukannya?

Dan cukup sering, itu biasanya dimanfaatkan melalui standar teknis. Jadi, hal-hal seperti ISO 42001, yang memungkinkan organisasi untuk dapat mengilustrasikan kepada pelanggan akhir bahwa mereka beroperasi, baik melakukan deployment dan mengembangkan, menggunakan praktik AI yang bertanggung jawab, dan kemudian membungkus semua itu dari perspektif tata kelola. Jadi, bagaimana Anda memastikan bahwa organisasi melakukan hal yang sebenarnya Anda harapkan dan bagaimana Anda melaporkan kepada pemimpin senior dan dewan tentang hal yang Anda lakukan terkait AI yang bertanggung jawab. Dan yang paling penting, melakukan semua itu dengan cara yang memungkinkan Anda untuk bertemu dengan para builder di tempat mereka berada dan Anda tidak memperlambat inovasi. Jadi, Anda dapat memenuhi standar tinggi itu dan pada saat yang sama dapat melakukannya dengan cepat.

Budaya keamanan untuk tenaga kerja

Sara Duffer:
Jadi beralih topik sedikit, Steve, saya akan meminta pendapat Anda. Cukup sering dan sering sekali saat kita berbicara tentang keamanan, kita sangat sering membahas tentang teknologi baru dan dunia yang terus berkembang yang ada di depan kita. Namun pada akhirnya, aktor ancaman tetaplah pelaku ancaman dan juga manusia. Dan saya ingin mendengar lebih banyak lagi tentang bagaimana pendapat Anda tentang dimensi manusia yang terkait dengan keamanan siber.

Steve Schmidt:
Tentu saja. Jadi, berita terkini, keamanan komputer, keamanan informasi, keamanan siber, apa pun sebutannya, bukanlah masalah teknis. Masalahnya ada di manusia. Salah satu hal yang saya pelajari sejak lama saat saya masih di FBI yang berfokus pada pekerjaan kontraintelijen adalah bahwa meskipun mengejar mata-mata adalah pekerjaannya, dan ini menarik, mereka ada di sana karena suatu alasan. Mereka termotivasi oleh sesuatu. Secara tradisional dalam dunia spionase, motivasi mereka adalah uang, ideologi, paksaan, atau ego. Hal yang sama berlaku di dunia keamanan siber. Orang-orang tertarik pada uang. Itulah aktor ransomware Anda. Ideologi. Ini adalah aktor tradisional negara bangsa yang mengumpulkan informasi intelijen atau mempersiapkan medan perang. Pengaruh, yang merupakan hal baru di bidang ini, membuat masyarakat berpikir dengan cara tertentu dan mengubah opini mereka sehingga menyebabkan berbagai hal terjadi di dunia. Atau ego. Itulah script kiddie, yang benar-benar ingin menjadi peretas terbesar dan paling jahat di luar sana dan menyebabkan serangan DDoS sebagai bagian dari hal tersebut.

Dan mengapa kita harus tahu alasan dan motivasi orang-orang ini melakukan hal tersebut? Karena hal ini membantu kita memahami jenis alat, jenis kemampuan yang akan mereka miliki, ke mana mereka akan mengincar kita, dan toleransi mereka terhadap risiko atau eksposur. Misalnya, apakah ini masalah besar jika mereka tertangkap dan FBI datang mengetuk pintu, atau apakah ini hal yang tidak terlalu penting karena mereka saat ini sedang berada di ruang bawah tanah di Belarusia atau semacamnya? Spektrum seperti inilah yang harus kita kerjakan untuk memahami apa yang harus kita lakukan sebagai pelindung dan bagaimana kita membangun sistem yang dapat membantu mencegah orang-orang tersebut mendapatkan akses.

Hal yang menarik adalah pola pikir yang sama juga perlu diterapkan untuk karyawan kita sendiri. Karyawan kita pada dasarnya memiliki niat baik. Mereka ingin melakukan hal yang benar, mereka ingin membantu, dan sebagainya. Namun, faktanya, mereka juga manusia. Terkadang mereka mengalami kesulitan keuangan. Terkadang mereka kurang senang dengan arah kehidupan mereka. Terkadang mereka hanya mengalami hari yang buruk. Dan akibatnya, kita sebagai pelindung harus siap untuk memahami apa yang mereka lakukan, mengapa mereka melakukannya, dan bagaimana kita dapat memastikan bahwa mereka tidak melakukan sesuatu yang tidak seharusnya.

Namun, komponen yang paling penting dari keamanan siber dan orang-orang di dalam perusahaan adalah budaya perusahaan. Budaya keamanan suatu perusahaan adalah hal yang akan menentukan keberhasilan atau kegagalannya. Kita semua telah melihat apa yang terjadi di berita publik saat Anda memiliki budaya keamanan yang buruk. Anda berakhir dengan aktor negara-bangsa membobol organisasi berulang kali dan mengeksploitasinya untuk keuntungan mereka sendiri. Mengapa? Karena SDM di perusahaan tersebut tidak teratur atau termotivasi oleh hal yang benar.

Mereka tidak termotivasi untuk melindungi data atau informasi Anda. Mereka ditargetkan untuk hal lain. Jadi, membangun budaya Anda, yang menerapkan, hal yang paling penting bagi Anda sebagai pribadi, seorang developer di perusahaan saya adalah, nomor satu, aman secara fisik, dan nomor dua, melindungi data pelanggan Anda. Karena hal tersebut memungkinkan mereka untuk membuat keputusan yang baik setiap saat ketika mereka memikirkan sesuatu. “Haruskah saya belok kiri? Haruskah saya belok kanan? Haruskah saya melakukan satu hal? Haruskah saya melakukan hal lain? Haruskah saya meminta bantuan karena saya benar-benar tidak tahu? Saya akan mencari ahli di bidang ini.”

Dan menurut saya, insentif dari memastikan bahwa Anda memiliki budaya yang tepat adalah bahwa hal ini akan membuat Anda dapat menekan biaya di kemudian hari karena Anda tidak perlu membereskan kekacauan yang dibuat oleh seseorang karena mereka bergerak cepat untuk mencapai target laba, target margin, atau target pengiriman dibandingkan dengan mendapatkan keamanan yang tepat bagi pelanggan akhir Anda dalam bisnis.

Sara Duffer:
Ini membuat hidup saya lebih mudah, di dunia jaminan keamanan juga. Ini adalah hasil yang bagus. Chris, berbicara seputar budaya, kami banyak membahas di AWS tentang keamanan yang menjadi prioritas utama. Ceritakan sedikit tentang bagaimana kita melakukannya. Bagaimana Anda membangun budaya itu?

Chris Betz:
Salah satu alasan mengapa budaya sangat penting adalah tidak hanya mengarah pada investasi yang panjang, tetapi saya pikir setiap perusahaan yang saya kenal bekerja untuk melatih, menyediakan alat, menyediakan kemampuan seputar keamanan siber. Dan salah satu pembeda utamanya adalah budaya. Karena keamanan terus berubah. Terkait pembahasan Anda sebelumnya, saya tidak tahu berapa kali kita akhirnya berbicara tentang AI baru-baru ini, bukan? AI terus berubah. Begitu pula kemampuan beradaptasi. Kemampuan untuk mengangkat tangan dan berkata, "Tahukah Anda? Saya menemukan ada konflik di sini, atau saya mengetahui cara yang lebih baik untuk melakukan keamanan." Mari kita pikirkan tentang hal ini. Apakah kita dapat melakukannya dengan lebih baik? Tidak hanya mengikuti proses dan alat secara sembarangan, tetapi benar-benar mengajukan pertanyaan.

Atau, “Menurut saya, ada yang kurang dari proses dan alat ini. Saya melihat risiko ini, saya melihat masalah ini. Bagaimana cara saya mengatasinya?” Hal-hal itu sangatlah penting. Dan seperti yang Anda katakan, budaya tersebut akan membuahkan hasil yang positif dengan cara yang luar biasa. Membangun budaya itu membutuhkan waktu dan energi yang banyak. Hal ini dimulai dari atas. Dimulai dengan menyelaraskan budaya dengan cara organisasi berfungsi. Bagian dari hal itu adalah mengatakan pada diri sendiri siapa kita. Secara internal sama seperti eksternal, mendengar Matt berkata, "Semuanya dimulai dengan keamanan."

Dan lebih jauh lagi, bagaimana orang-orang menghabiskan waktu mereka. Steve dan saya sama-sama membicarakan tentang pertemuan mingguan yang terjadi yang dipimpin oleh CEO kami. Sekali lagi, memastikan bahwa itu adalah bagian dari bagaimana organisasi berfungsi sangatlah penting. Setelah Anda memiliki keamanan yang dibangun ke dalam budaya organisasi, penting untuk menekankan bahwa keamanan adalah tugas semua orang. Setiap orang mendapat peran tertentu. Itu adalah peluang untuk mengangkat tangan Anda dan berkata, "Kita harus melakukan sesuatu yang berbeda. Kami pikir kami melewatkan sesuatu. Saya bingung. Saya tidak yakin." Keamanan, semua orang perlu memahami bahwa keamanan adalah tugas mereka dan tugas kita sebagai pemimpin keamanan untuk membuat tugas itu semudah mungkin. Karena jika orang-orang menghabiskan waktu mereka untuk fokus pada keamanan di setiap langkahnya, hal itu akan menambah gesekan pada organisasi. Hal yang sejalan dengan menjadikan keamanan sebagai tugas semua orang adalah keamanan yang bekerja untuk membuatnya mudah dan alami bagi orang-orang untuk melakukan keamanan. Hal itu berarti bahwa keamanan perlu didistribusikan di seluruh perusahaan. Kita perlu memastikan bahwa pelatihan, pengetahuan, dan kemampuan dirancang dengan baik untuk memastikan hal itu terjadi di seluruh organisasi.

Dan terakhir, kita harus bersedia untuk berinvestasi. Kita harus bersedia berinvestasi dalam inovasi yang meningkatkan keamanan. Kita harus bersedia berinvestasi dalam inovasi yang membuatnya lebih mudah untuk menjadi aman. Karena jika tidak, Anda akhirnya terjebak di masa lalu dan Anda tidak pernah bisa melangkah maju sebagai organisasi. Salah satu cara untuk melakukan hal ini adalah melalui berbagai hal seperti program penjaga keamanan, tempat kami mengandalkan karyawan kami, melatih mereka tentang masalah keamanan yang mendalam di dalam tim layanan, di dalam tim rekayasa sehingga mereka dapat memastikan bahwa orang-orang memikirkan keamanan sejak awal selama proses pengembangan dan secara terus menerus, serta memiliki pengetahuan yang benar. Dan ini sangat membantu membuat segala sesuatunya menjadi amat sangat terukur. Jadi, ada satu hal yang dapat Anda semua lakukan dengan tim Anda, yaitu melihat lebih dalam lagi tentang dapatkah kita membuat program penjaga keamanan, dan bagaimana cara kita menciptakan budaya keamanan di dalam perusahaan kita?

Sara Duffer:
Oke. Jadi, apa saja tiga pertanyaan yang bisa diajukan oleh para pemimpin bisnis di ruangan ini untuk program keamanan dan kepatuhan mereka?

Chris Betz:
Saya akan memberi satu pertanyaan yang selalu ingin saya ajukan. Bagi kita semua pemimpin teknologi, saya tidak tahu seberapa banyak dari Anda yang memiliki hal yang kita sebut alat builder atau organisasi alat developer. Sebagai pemimpin keamanan, organisasi-organisasi itu adalah organisasi favorit saya di seluruh organisasi. Jika Anda tidak memilikinya, ini adalah tim yang membangun alat yang memudahkan hidup developer Anda. Ada pengaruh besar di sana. Jika ada tempat yang saya sukai untuk melihat perusahaan menempatkan bakat terbaiknya, itu ada di organisasi alat builder, karena dalam satu organisasi, Anda dapat membuat semua proses pengembangan Anda jauh lebih baik. Dari sudut pandang keamanan, di situlah pengaruhnya. Karena Anda dapat mengambil pengetahuan keamanan dan kemampuan keamanan Anda serta membangunnya ke dalam alat tersebut dan mendapatkan skalabilitas yang sangat besar sekaligus menjadikan keamanan sebagai sebuah gerakan yang alami.

Jadi, pertanyaan yang akan saya ajukan kembali jika saya menjadi Anda adalah tanyakan kepada pemimpin keamanan dan pemimpin alat builder Anda tentang hubungan mereka, seberapa baik mereka bekerja sama, dan seberapa baik semua hasil keamanan yang Anda cari dibangun ke dalam kemampuan alat pembangun.

Sara Duffer:
Steve?

Steve Schmidt:
Jadi, ini untuk mengulangi sesuatu yang saya katakan sebelumnya, yaitu tanyakan kepada tim Anda, "Di mana kita membangun aplikasi AI Gen saat ini?" Dan kemudian tanyakan kepada tim Anda, "Apa mekanisme yang kita miliki sehingga kita tahu besok di mana kita membangun aplikasi GenAI, dan berapa lama waktu yang dibutuhkan di antara seseorang yang membangun aplikasi baru dan kita mengetahuinya?" Dan Anda akan menemukan bahwa dalam banyak kasus jawabannya adalah, "Ayo, bergegas. Cepat, cari beberapa data. Inilah jawabannya." Luar biasa. Sekarang, sudah memasuki hari berikutnya. Oke.

Jadi, Anda memerlukan metode, mekanisme, alat yang memungkinkan Anda untuk melakukannya secara teratur, untuk terus memperbaruinya, untuk memastikan bahwa Anda adalah operator dan pengelola yang bertanggung jawab atas infrastruktur tersebut, dan Anda dapat menjadi pemilik yang bertanggung jawab atas data yang Anda kumpulkan atas nama pelanggan Anda.

Bagian kedua adalah pagar pembatas apa yang Anda miliki, dan apakah ada mekanisme untuk memperbarui pagar pembatas tersebut saat dunia berubah di sekitar AI generatif? Selama kita duduk di atas panggung ini, dunia AI generatif telah berkembang pesat. Ada sesuatu yang baru yang sedang terjadi. Ada beberapa cara baru untuk menyebabkan masalah dengan model fondasi yang telah dipikirkan oleh beberapa orang pintar, dan kita harus bisa mempertahankannya. Jadi, apa metode iterasi cepat yang dapat memengaruhi pagar pembatas yang Anda miliki di sekitar aplikasi AI Gen Anda?

Sara Duffer:
Saya rasa Anda curang. Saya pikir ada dua. Saya juga akan sedikit curang. Dan menurut saya, saya akan banyak bertanya kepada tim tentang bagaimana mereka benar-benar memastikan kepatuhan. Dan yang saya maksud dengan hal itu adalah bukan hanya kasus pada saat ini, bagaimana kita dapat mengetahui apakah kita patuh atau tidak terhadap berbagai standar, hukum, dan sebagainya, tetapi juga benar-benar memahami bagaimana Anda bisa mendapatkan kepastian yang berkelanjutan dari waktu ke waktu sehingga Anda benar-benar dapat menentukan berapa biaya pembuatannya.

Jadi menurut saya, ada dua pertanyaan inti, yaitu, bagaimana Anda patuh terhadap praktik internal Anda atau hukum, serta berapa biaya yang harus dikeluarkan oleh builder, yang mana hal ini sangat penting karena Anda ingin dapat berinovasi dengan sangat cepat dan Anda ingin memastikan bahwa Anda memonitor berapa biaya yang harus dikeluarkan oleh builder dan tetap memastikan bahwa Anda tetap patuh.

Jadi sebagai penutup, pertanyaan terakhir yang saya ajukan adalah, ketika berbicara dengan pelanggan secara teratur, apa saran terbaik yang Anda miliki bagi pelanggan untuk segera menyetujui postur keamanan mereka?

Chris Betz:
Untuk perusahaan internal Anda dan untuk pelanggan Anda, temukan cara untuk menerapkan kunci sandi. Beralih dari kata sandi akan mengubah cara kerja karyawan dan pelanggan Anda. Manfaatkan teknologi tersebut. Ini merupakan terobosan besar di masa mendatang. Terapkan sekarang.

Steve Schmidt:
Dan tidak hanya jauh lebih aman, tetapi juga pengalaman pengguna yang lebih baik. Sangat lancar. Jadi, buatlah tim teknologi Anda fokus pada hal ini dan cari tahu alasan mereka tidak melakukannya sekarang.

Nomor dua jauh lebih tidak menarik daripada kunci sandi dan keamanannya. Manajemen kerentanan. Perbaiki data Anda. Hal ini adalah satu-satunya pertahanan terbaik yang Anda miliki untuk melawan orang-orang di luar sana.

Chris Betz:
Atau biarkan kami memperbaikinya untuk Anda.

Steve Schmidt:
Pasti.

Chris Betz:
Gunakan Lambda dan lainnya.

Steve Schmidt:
Yap.

Sara Duffer:
Baiklah, terima kasih banyak telah bergabung dengan kami hari ini dan sekali lagi terima kasih atas waktunya.