Adeguare le pratiche di sicurezza al nuovo panorama di minacce

Sara Duffer:
Direi di entrare subito nel vivo. Quindi entrambi siete responsabili della sicurezza rispettivamente di HAQM e AWS. Potete raccontarmi qualcosa sui meccanismi che utilizzate per mantenere un allineamento costante?

Steve Schmidt:
Certo. Una cosa da chiarire subito è che non tutte le aziende sono uguali, come chi ascolta sa bene. Ma quando si gestisce una grande organizzazione come HAQM, può sorprendere quanto possano essere diverse le modalità operative anche all'interno della stessa azienda. Ci sono organizzazioni estremamente avverse al rischio, e altre che, in determinate situazioni, sono molto più disposte a spingersi oltre i limiti. Questo dipende in gran parte dal tipo di attività svolta, dai dati gestiti e da altri fattori. E abbiamo scoperto che è necessario disporre di una serie di metriche comuni in tutta l'azienda per avere una valutazione uniforme delle performance in materia di sicurezza. Inoltre, per ogni organizzazione vengono redatti report specifici o personalizzati che evidenziano dei rischi che corrono e le loro preferenze in merito alla gestione dei dati affidati dai clienti e delle informazioni in loro possesso, eccetera.

Tuttavia, il reporting comune è fondamentale per darci una visione omogenea. In questo modo, possiamo dialogare con chiunque, dal CEO dell'azienda, Andy Jassy, fino ai livelli operativi, utilizzando un linguaggio condiviso. Per noi è immediato capire come sta andando una parte dell'organizzazione rispetto a un'altra e, soprattutto, evidenzia le aree in cui non stiamo esaminando gli aspetti nel modo giusto perché abbiamo imparato a conoscere una particolare serie di opportunità di miglioramento in una parte dell'organizzazione rispetto a un'altra. E diciamolo chiaramente: tutti i nostri leader in azienda sono competitivi. Quindi, quando si utilizzano reporting comuni che confrontano i risultati con quelli dei loro pari incentiva i comportamenti che ci interessano davvero. Aiuta a orientare le persone nella giusta direzione.

Chris Betz:
Senti, per quanto odi definirmi intollerante, in AWS siamo intolleranti al rischio. Siamo quindi una delle organizzazioni che dedica concretamente molto tempo all'analisi delle proprie metriche aziendali specifiche. Anche all'interno di AWS, trovo che questi stessi approcci tendano a funzionare per noi e che la natura competitiva e la possibilità di trarne vantaggio tra le organizzazioni si riveli incredibilmente efficace. Ed essere molto, molto allineati con l'azienda, comprendendo che AWS non ha la stessa tolleranza al rischio che potrebbe trovarsi altrove. Per capire cosa ci sta a cuore e assicurarci che tali metriche aziendali rimangano strettamente allineate con l'azienda ed emergano chiaramente nei nostri processi di revisione aziendale.

Sara Duffer:
Quindi, Steve, hai detto di aver parlato con il CEO, Andy Jassy. Come si comunicano al CEO e al Consiglio di amministrazione gli aggiornamenti sulla sicurezza?

Steve Schmidt:
Allora, la comunicazione con il CEO, e anzi, dal mio punto di vista, con i CEO, dal momento che ad HAQM abbiamo più CEO, ancora una volta, è adattata al modo in cui opera la loro organizzazione. Ad esempio, Chris organizza una riunione settimanale con il CEO di AWS perché la cadenza della sicurezza tende ad essere super veloce. Dobbiamo reagire alle minacce molto rapidamente, dobbiamo comprendere i cambiamenti nell'ambiente che ci circonda. Dobbiamo essere in grado di adattare le nostre risposte in modo appropriato in base al modo in cui il mondo funziona intorno a noi. Collaboriamo anche con Doug Herrington, che è il CEO del settore dei negozi, ma per qualcosa di più focalizzato sulla sua attività, in cui l'intervallo di rotazione tende ad essere leggermente diverso, che si tratti di una recensione di un mese o cose del genere.

Andy Jassy decide di partecipare a una riunione specifica per la revisione della sicurezza su base trimestrale. Quindi, ogni tre mesi andiamo da lui con una serie di metriche comuni e rapporti coerenti nel tempo, ma anche con una sezione del nostro report in continua evoluzione. La chiamiamo eventi di attualità ed è una sezione in cui ci concentriamo su quale sia il cambiamento per noi più rilevante nell'ambiente in cui operiamo. Come la pensano i russi in questo momento in confronto ai cinesi? Come stanno cercando le aziende? Quali nuovi metodi utilizzano le persone per causare problemi e come reagiamo o ci prepariamo ad affrontarli?

Ora, hai menzionato anche il Consiglio. Il nostro Consiglio è relativamente unico. Molti consigli di amministrazione scelgono di affidare la supervisione della propria organizzazione di sicurezza al comitato di audit o a un comitato per il rischio, in genere a un istituto finanziario. HAQM ha scelto di avere un sottocomitato specifico solo per la sicurezza e, per questo, tre membri del nostro Consiglio si concentrano esclusivamente sulla sicurezza. Li incontriamo regolarmente. Ricevono un report trimestrale su ciò che riguarda HAQM e analizzano tutte le nostre attività. I membri del Consiglio ci dicono che vorrebbero concentrarsi su un paio di attività alla volta, quindi scelgono. È come far girare la manopola e dire quale attività si presenterà la prossima volta.

E poi ancora, abbiamo la sezione sugli eventi di attualità alla base, perché si tratta di nuovo degli interessi comuni riguardo a dove ci troviamo ora, dove stiamo andando, cosa sta cambiando intorno a noi e come dobbiamo evolverci. E penso che quel ciclo di tempo molto breve tra un cambiamento nel mondo e informare il Consiglio di amministrazione su come stiamo gestendo tale cambiamento sia davvero importante per la nostra continua capacità di garantire la giusta protezione per i clienti.

Sara Duffer:
Chris, qualcosa da aggiungere?

Chris Betz:
Tre riflessioni aggiuntive. Innanzitutto, una delle cose che apprezzo sia delle conversazioni con Andy che con i CEO, ma anche all'interno di AWS, è che queste conversazioni non avvengono in isolamento. Non è solo un gruppo molto ristretto con il CEO. È con il CEO e il suo team dirigenziale, perché nulla accade in isolamento. Per questo motivo, assicurarsi che l'azienda partecipi alla conversazione, che ci impegniamo a fondo con l'azienda prima e durante le conversazioni, è incredibilmente importante. In secondo luogo, ad AWS abbiamo un Consiglio oltre al Consiglio di HAQM. E questo ci consente, come meccanismo, di approfondire su base trimestrale la sicurezza e gli argomenti correlati sul rischio, in modo da poter continuare a tenere tali conversazioni e assicurarci di mettere in atto la giusta governance.

Il terzo pensiero, dopo aver visto più Consigli diverse, ogni Consiglio con cui ho interagito è incredibilmente diverso. Credo che molto sia determinato dall'aspetto delle persone, dalle personalità e in parte dalla natura dell'attività. Penso che una delle cose più importanti che ho scoperto, in quanto CISO o leader tecnologico nel coinvolgimento del Consiglio, sia capire come opera il Consiglio in altri ambiti. In che modo l'azienda vede se stessa e parla di sé? Qual è il linguaggio da utilizzare? Qual è il contesto? Perché parlare di sicurezza isolatamente non aiuta. È la sicurezza nel contesto aziendale ad essere così importante. E poi, terza cosa, assicurarsi di capire il pubblico. Persone diverse nei Consigli hanno competenze molto diverse. Occorre essere in grado di parlare con tutte loro.

Quindi, che si tratti leader tecnologici coinvolti in una conversazione sulla sicurezza o di CISO, assicurarsi di comprendere quel pubblico, la natura del Consiglio, il modo in cui l'azienda vede se stessa e come sicurezza e tecnologia si adattano a tutto ciò rende una conversazione realmente produttiva.

Steve Schmidt:
Voglio approfondire una cosa che ha appena detto Chris. L'errore più grande che riscontriamo nei nuovi dirigenti quando si rivolgono all'alta direzione o all'alta leadership dell'azienda, come un Consiglio di amministrazione, è l'eccessiva attenzione alle questioni tecniche, specialmente nell'ambito della sicurezza. È un grande inibitore per la tua capacità di far capire il tuo punto di vista al tuo cliente che è quel membro del Consiglio. Dobbiamo parlare, come ha detto Chris, nel contesto dell'azienda. Non importa se si tratta di una vulnerabilità critica con un punteggio CVSS di 9,86 o se non ha rilevanza. È un'opportunità per un avversario di accedere a questo tipo di informazioni che appartengono ai nostri clienti, il che ha questo risultato e una ragionevole probabilità che ciò si verifichi entro i prossimi 60 giorni. Che un membro del Consiglio possa metterci le mani invece di dire: “Questa cosa è spaventosa.” Penso che la contestualizzazione sia incredibilmente importante.

Sara Duffer:
Entrambi avete un contatto diretto e costante con i clienti. Quali sono le attuali sfide o problematiche in ambito sicurezza che vengono segnalate più spesso dai clienti? E cosa sta facendo AWS per aiutare i clienti in questo ambito?

Steve Schmidt:
Al primo posto c'è l'IA. Molte persone, ovviamente, si chiedono: come posso utilizzarla in modo sicuro? Come posso utilizzare l'IA in modo responsabile? Come posso gestire le informazioni garantendo l'accesso ai dati pertinenti quando serve, impedendone l'accesso quando non è necessario? Quando parliamo con i clienti, la prima cosa che chiedo è: “Quante applicazioni che utilizzano l'IA generativa avete in azienda? Lo sapete in questo momento? Potete monitorarle con regolarità?” La maggior parte delle persone risponde: “Oh sì, le abbiamo contato il mese scorso o il trimestre scorso, o l'altro. ”E indovina? Gli sviluppatori si muovono molto più rapidamente di così. Abbiamo dovuto creare processi interni che ci permettono di vedere ogni volta che uno sviluppatore effettua una chiamata a un motore di IA generativa sia dal proprio laptop aziendale sia da uno degli asset di produzione di cui disponiamo in azienda.

E questo ci dà visibilità che poi trasmettiamo ai team di sicurezza delle applicazioni per aiutarli a capire cosa sta succedendo con quel particolare servizio. Quando abbiamo fatto il conteggio per la prima volta qualche tempo fa, abbiamo riportato i risultati a Andy dicendo: “Oh sì, attualmente sono operative o in fase di sviluppo oltre mille app di IA generativa in tutta l'azienda.” E la reazione è stata di totale sorpresa: “Cosa? Stai scherzando?” Assolutamente no. E tra l'altro, sta crescendo a ritmi estremamente rapidi, il che è positivo perché significa che i nostri sviluppatori si stanno impegnando seriamente e stanno andando avanti, ma implica anche che i nostri team devono affrettarsi e monitorare il lavoro di queste persone per assicurarsi che tutto venga portato avanti in modo corretto, responsabile, eccetera. Ma tutto è partito da quella visibilità e dalla creazione di un motore che la rendesse possibile alla base.

Chris Betz:
Penso che l'altro tema di cui parlo molto spesso è: quali funzionalità sono già disponibili all'interno di AWS mentre la gente riflette su come essere allo stesso tempo sicuri ed efficienti dal punto di vista dei costi? Nessuno vuole investire tempo ed energia in attività per cui esistono già soluzioni consolidate o processi già avviati. Uno dei temi più discussi riguarda l'architettura e i controlli: garantire che le persone abbiano architetture ben progettate e capire come implementare controlli semplici ed efficaci su larga scala. Quindi penso che per noi sia diventato uno dei principali filoni di discussione anche internamente: come assicurarci di offrire una sicurezza semplice e scalabile a questi clienti. Un altro ambito di cui discutiamo, e di cui abbiamo effettivamente parlato moltissimo di recente, è l'intelligence sulle minacce. Aziende diverse, diversi fornitori di cloud, trattano l'intelligence sulle minacce in modo diverso.

Il nostro approccio consiste nell'integrare l'intelligence sulle minacce direttamente nel funzionamento dei sistemi. Per questo abbiamo investito molto tempo a parlarne perché non ne abbiamo avuto bisogno in passato, ma è importante che i clienti sappiano cosa aspettarsi. Che abbiamo una serie di provider di intelligence sulle minacce, honeypot e sensori che raccolgono dati ogni giorno, con oltre 100 milioni di interazioni al giorno solo attraverso i nostri honeypot. E che queste tecnologie, questi dati vengono combinati con gli altri dei nostri sensori provenienti da sistemi come Sonaris e ci consentono di intervenire. Tutto questo avviene senza che i clienti debbano nemmeno esserne consapevoli.

Siamo in grado di proteggerci da diversi attacchi una volta identificato un indirizzo dannoso. E quel traffico non raggiunge nemmeno i sistemi dei clienti. Quindi, ad esempio, solo nell'ultimo anno abbiamo bloccato oltre 24 miliardi di tentativi di enumerazione dei bucket S3, più di 2,6 miliardi di tentativi di individuare servizi vulnerabili in EC2. E laddove non possiamo intervenire direttamente in automatico, perché il livello di accuratezza non è sufficiente, integriamo direttamente queste informazioni in strumenti come GuardDuty, e altri. Per questo motivo, una delle conversazioni che ho più spesso con i responsabili della sicurezza riguarda proprio come possono sfruttare al meglio la tecnologia già integrata, sia le componenti senza interruzioni sia quelle in cui forniamo informazioni aggiuntive per consentire ai team di sicurezza di operare?

Steve Schmidt:
Ci sono alcuni dati davvero interessanti che, secondo me, rafforzano un punto che hai sollevato sull'intelligence sulle minacce. E l'intelligence sulle minacce è una cosa estremamente delicata. Ciò che la maggior parte delle persone non sa è che, da ciò che osserviamo su Internet, circa il 23% dello spazio IP si trasforma in circa tre minuti. Significa che se il feed di intelligence sulle minacce che si utilizza ha anche solo una settimana o un mese, è ormai completamente obsoleto. Ci sono altri aspetti che dimostrano quanto sia fondamentale agire con immediatezza non appena si ottengono nuove informazioni di intelligence sulle minacce. Quando esponiamo un honeypot su Internet, si impiega meno di 90 secondi, 90 secondi, perché venga individuato da un avversario, e meno di tre minuti prima che tenti di sfruttarlo. Si tratta di situazioni in cui se lo sviluppatore dice: “Oh, aprirò questo bucket su Internet, andrà bene. Tanto nessuno saprà che è lì.” La realtà è che si hanno solo tre minuti prima che diventi un problema reale. Dunque, si scopre cosa sta succedendo attraverso un solido feed di intelligence e si è in grado di agire rapidamente. E, cosa ancora più importante, non bisogna dipendere da un intervento umano. Bisogna assicurarsi che l'automazione lo faccia.

Chris Betz:
Ben detto.

Sara Duffer:
Adesso passiamo a un argomento che mi sta molto a cuore, ovvero il mondo delle normative in continua evoluzione, delle certificazioni standard e così via; riuscire a rimanere al passo con questa conformità, questa evoluzione della conformità, è una bella sfida. Chris, puoi parlarci un po' di come AWS pensa alla conformità su larga scala?

Chris Betz:
Ne possiamo parlare moltissimo.

Sara Duffer:
Certamente.

Chris Betz:
Per cominciare, una delle cose che ritengo incredibilmente potenti in termini di conformità su larga scala è iniziare con una base sicura. Pensare alla sicurezza in termini di sicurezza fin dalla progettazione, assicurandosi che questa sia integrata nel processo di sviluppo, offre un ottimo punto di partenza prima ancora di dover pensare alla regolamentazione o alla conformità. Quando facciamo le cose al meglio, la conformità è un effetto collaterale intenzionale di quel lavoro di sicurezza. E, ad essere onesti, anche la maggior parte degli enti di regolamentazione lo desidera.

Il loro motivo della conformità è garantire la tua sicurezza. Pertanto, è davvero importante progettare un programma di sicurezza incentrato sulla sicurezza con l'obiettivo di dimostrare, di accertare intenzionalmente la conformità. Inoltre, non è sufficiente avere sempre questa conformità fin dalla progettazione come parte dei processi di sicurezza, è necessario essere in grado di dimostrarla e mostrarla. Per questo, riuscire a riunire quei dati, renderli visibili, renderli comprensibili per gli altri è incredibilmente importante. Tutto ciò riguarda anche la progettazione. È un investimento utile, direi, ma tu passi più tempo di me in questo mondo, quindi sono curioso di conoscere anche il tuo punto di vista.

Sara Duffer:
Bene, sento molto i clienti in questo momento, principalmente sui programmi di IA responsabile e su come renderli operativi molto rapidamente. Si tratta effettivamente di questo, proprio a causa di questa rapida evoluzione, di riuscire a passare dal concetto di conformità, che è molto attuale, molto binario, molto focalizzato sul rispetto delle norme e dei regolamenti, come l'EU AI Act, ad esempio. Ed essere in grado di far evolvere rapidamente quel programma verso una maggiore mentalità di sicurezza e verso una sicurezza in grado di fornire un livello di fiducia su qualità, affidabilità ed efficacia della conformità che abbiamo potuto illustrare. Come possiamo farlo?

E molto spesso, solitamente lo si sfrutta attraverso standard tecnici. Quindi, cose come lo standard ISO 42001, che consente alle organizzazioni di illustrare ai clienti finali che stanno operando, sia implementando che sviluppando, utilizzando pratiche di IA in modo responsabile, per poi racchiudere tutto dal punto di vista della governance. Dunque, come puoi assicurarti che l'organizzazione stia facendo ciò che ti aspetti effettivamente e come riferisci agli alti dirigenti e al Consiglio di amministrazione ciò che stai facendo per quanto riguarda l'IA responsabile? E, soprattutto, facendo tutto questo in modo da incontrare i creatori nel punto in cui si trovano senza rallentare l'innovazione. Sei quindi in grado di raggiungere quel livello elevato e allo stesso tempo di farlo rapidamente.

Sara Duffer:
Quindi, cambiando un po' argomento, Steve, passiamo a te. Molto spesso e abbastanza frequentemente, quando parliamo di sicurezza, entriamo molto nella nuova tecnologia e nei mondi in evoluzione che abbiamo davanti a noi. Ma. alla fine, una minaccia è una minaccia ed è un essere umano. Mi piacerebbe sapere qualcosa in più su come concepisci la dimensione umana in associazione alla sicurezza informatica.

Steve Schmidt:
Naturalmente. Dunque, le ultime notizie, la sicurezza informatica, la sicurezza delle informazioni, comunque le si voglia chiamare, non sono un problema tecnico. Sono un problema di persone. Una delle cose che ho imparato molto tempo fa, quando ero nell'FBI e mi concentravo sul controspionaggio, è che anche se inseguire le spie è, sì, un lavoro, e interessante, esse esistono per un motivo. Sono motivate da qualcosa. Tradizionalmente, nel mondo dello spionaggio, si trattava di denaro, ideologia, coercizione o ego. La stessa cosa vale nel mondo della sicurezza informatica. Le persone sono interessate al denaro. Questo è il nostro attore ransomware. L'ideologia. È il tradizionale attore nazionalista che sta raccogliendo informazioni o preparando un campo di battaglia. L'influenza, che è una novità in questo spazio, sta inducendo una popolazione a pensare in un modo particolare, cambiando le sue opinioni, facendo sì che accadano cose nel mondo. O l'ego. Si tratta dell'hacker improvvisato, che vuole davvero essere il più grande e cattivo hacker in circolazione e causa un attacco DDoS come parte del suo progetto.

E perché ci interessa sapere perché queste persone lo stanno facendo o la loro motivazione? Perché ci aiuta a capire i tipi di strumenti, i tipi di capacità di cui disporranno, dove è probabile che ci seguano e la loro tolleranza al rischio o all'esposizione. Per esempio: è un grosso problema se vengono scoperti e l'FBI bussa alla loro porta, o è irrilevante perché attualmente si trovano in uno scantinato in Bielorussia o qualcosa del genere? Questo è il tipo di spettro con cui dobbiamo lavorare per capire cosa fare come difensori e come costruire sistemi che aiutino a impedire a quelle persone di ottenere l'accesso.

La cosa interessante è che la stessa mentalità deve essere applicata ai nostri dipendenti. I nostri dipendenti sono universalmente ben intenzionati. Vogliono fare la cosa giusta, vogliono aiutare e così via. Ma, ammettiamolo, sono anche umani. Quindi, a volte hanno problemi economici. A volte non amano la direzione in cui qualcosa sta andando. A volte hanno solo una brutta giornata. Di conseguenza, noi difensori dobbiamo riuscire ad essere preparati a capire cosa stanno facendo, perché lo stanno facendo e come assicurarci che non stiano facendo qualcosa che non dovrebbero.

Ma la gran parte di ciò che veramente conta nella sicurezza informatica e nelle persone all'interno di un'azienda sta nella cultura dell'azienda. La cultura della sicurezza di un'azienda è ciò che ne segna il successo o la rovina. Dalle notizie di cronaca si evince chiaramente cosa accade quando la cultura della sicurezza è carente: gli hacker nazionalisti penetrano ripetutamente in un'organizzazione e la sfruttano a proprio vantaggio. Perché? Perché le persone all'interno dell'azienda non vengono valutate o incentivate nel modo giusto.

Non sono state motivate a proteggere i tuoi dati o le tue informazioni. Sono state orientate verso qualcos'altro. Quindi, costruire la tua cultura, vale a dire la cosa più importante per te come persona, sviluppatore nella mia azienda, significa, in primo luogo, essere al sicuro fisicamente e, in secondo luogo, proteggere i dati dei tuoi clienti. Perché questo consente loro di prendere buone decisioni ogni volta in cui, durante la giornata, pensano a qualcosa. “Devo andare a sinistra? Devo andare a destra? Devo fare una cosa? Devo farne un'altra? Devo chiedere aiuto perché davvero non lo so? Fammi andare a cercare un esperto in questo settore.”

E penso che l'incentivo di assicurarsi di avere la giusta cultura sia che questo comporterà una riduzione dei costi in futuro, poiché non dovrai risolvere i problemi causati da qualcuno perché si stava muovendo rapidamente per raggiungere un obiettivo di profitto, di margine o di consegna invece di garantire la sicurezza giusta ai tuoi clienti finali nelle aziende.

Sara Duffer:
E mi semplifica la vita anche nel mondo della garanzia della sicurezza. È un bel risultato. Chris, parlando di cultura, ad AWS si parla molto della sicurezza come priorità assoluta. Parlami un po' di come lo facciamo effettivamente. Come si costruisce questa cultura?

Chris Betz:
Uno dei motivi per cui ritengo che la cultura sia così importante non è solo perché comporta un lungo investimento, ma penso che ogni azienda che conosco lavori per formare, fornire strumenti, fornire capacità in materia di sicurezza informatica. E una delle principali discriminanti è la cultura. Perché la sicurezza è in continua evoluzione. Riguardo a quanto dicevi poco fa, quante volte ci siamo ritrovati a parlare di intelligenza artificiale di recente? L'IA è in continua evoluzione. E quella capacità di adattamento. Quella capacità di alzare la mano e dire: “Lo sai? Qui vedo un conflitto, o un modo migliore per fare sicurezza.” Pensiamoci. Possiamo farlo meglio? Non basta seguire ciecamente il processo e gli strumenti, ma porre realmente la domanda.

Oppure: “Penso che a questi processi e strumenti manchi qualcosa. Vedo questo rischio, vedo questo problema. Come lo faccio venire fuori?” Queste cose sono incredibilmente importanti. E quindi, come hai detto, la cultura ripaga nel tempo in un modo meraviglioso. Costruire quella cultura richiede tempo ed energia con consapevolezza. Inizia dall'alto. Inizia con l'allineamento della cultura al modo in cui funziona l'organizzazione. Parte di questo è dire a te stesso chi sei. Tanto internamente che esternamente, sentendo Matt dire: “Tutto inizia con la sicurezza.”

Inoltre, è il modo in cui le persone trascorrono il loro tempo. Steve e io abbiamo parlato entrambi delle riunioni settimanali che si svolgono sotto la guida del nostro CEO. Ancora una volta, assicurarsi che questo faccia parte del funzionamento dell'organizzazione è incredibilmente importante. Una volta integrata nella cultura dell'organizzazione, è importante sottolineare che la sicurezza è compito di tutti. Ogni persona ha un ruolo specifico. Questa è l'occasione per alzare la mano e dire: “Dobbiamo fare qualcosa di diverso. Pensiamo che ci manchi qualcosa. Sono confuso. Non sono sicuro.” Sicurezza, tutti devono capire che la sicurezza è il loro mestiere ed è nostro compito come responsabili della sicurezza rendere quel lavoro il più semplice possibile. Perché, se le persone dedicano il loro tempo alla sicurezza in ogni fase del processo, si aggiungerà attrito all'organizzazione. Ciò che va di pari passo col rendere la sicurezza il lavoro di tutti è lavorare per rendere la sicurezza facile e naturale per le persone. Vale a dire che la sicurezza deve essere distribuita in tutta l'azienda. Dobbiamo assicurarci che la formazione, le conoscenze e le capacità siano ben concepite per garantire che ciò avvenga in tutta l'organizzazione.

E infine, dobbiamo essere disposti a investire. Dobbiamo essere disposti a investire nell'innovazione che migliori la sicurezza. Dobbiamo essere disposti a investire nell'innovazione che renda più facile essere al sicuro. Perché, in caso contrario, si finisce per rimanere intrappolati nel passato e non si può mai andare avanti come organizzazione. Uno dei modi per farlo è attraverso iniziative come un programma di guardiani della sicurezza, in cui contiamo sul nostro personale, lo formiamo su questioni di sicurezza approfondite all'interno dei team di assistenza o di progettazione, in modo che possano assicurarsi che le persone pensino alla sicurezza fin dal principio dei processi di sviluppo e continuamente e abbiano le giuste conoscenze. E aiuta a rendere le cose molto, molto, molto scalabili. Quindi, una cosa che tutti possono fare con i team è esaminare molto a fondo la possibilità creare un programma di guardiani della sicurezza e come creare una cultura della sicurezza all'interno dell'azienda.

Sara Duffer:
Va bene. Dunque, quali sono le tre domande che i dirigenti aziendali presenti possono riportare nei loro programmi di sicurezza e conformità?

Chris Betz:
Te ne darò una che amo fare sempre. Per tutti noi leader tecnologici, non so quanti di voi abbiano quella che chiamiamo un'organizzazione di strumenti per creatori o per sviluppatori. In qualità di leader della sicurezza, queste organizzazioni sono le mie preferite nell'intera organizzazione. Se non ne avete uno, questi sono i team che creano strumenti che semplificano la vita agli sviluppatori. C'è un enorme vantaggio. Se c'è un posto in cui mi piace vedere le aziende mettere i loro migliori talenti, è nell'organizzazione di strumenti per creatori, perché in un'unica organizzazione è possibile rendere tutti i processi di sviluppo molto, molto migliori. Dal punto di vista della sicurezza, è qui che sta il vantaggio. Perché è possibile prendere conoscenze e capacità di sicurezza, integrarle in quegli strumenti, ottenere una scalabilità enorme e rendere la sicurezza un movimento naturale.

Pertanto, quello che chiederei ai vostri responsabili della sicurezza e degli strumenti per creatori, se fossi in voi, è qual è il loro rapporto, quanto riescono a collaborare e quanto tutti i risultati di sicurezza che state cercando sono integrati nella capacità degli strumenti per creatori.

Sara Duffer:
Steve?

Steve Schmidt:
Dunque, ribadendo grosso modo ciò che ho detto prima, chiederei ai team: “Dove stiamo sviluppando applicazioni di IA generativa in questo momento?” E poi chiederei: “Qual è il meccanismo che abbiamo messo in atto per sapere domani dove creeremo applicazioni di IA generativa e qual è la latenza tra qualcuno che ne crea una nuova e noi che ne veniamo a conoscenza?” Scopriremo che in molti casi la risposta è: “Corri, sbrigati, cerca. Veloce, trova alcuni dati. Ecco la risposta.” Complimenti! Ora è il giorno successivo. Va bene.
        
Hai bisogno di un metodo, di un meccanismo, di uno strumento che ti consenta di farlo regolarmente, di tenerti aggiornato, di assicurarti di essere un operatore e un amministratore responsabile di quell'infrastruttura e di poter essere proprietario responsabile dei dati che raccogli per conto dei tuoi clienti.

Il secondo punto è chiederti quali guardrail hai messo in atto e se esiste un meccanismo per aggiornarli man mano che il mondo cambia intorno all'IA generativa. Da quando siamo seduti su questo palco, il mondo dell'IA generativa è progredito incredibilmente. Sta succedendo qualcosa di nuovo. C'è un nuovo modo per causare problemi con il modello di base che una persona intelligente ha ideato, e dobbiamo essere in grado di difenderci da esso. Allora, qual è il metodo di iterazione rapida per poter influenzare i guardrail intorno alle applicazioni di IA generativa?

Sara Duffer:
Penso che tu abbia barato. Credo che fossero due. Anch'io ho intenzione di barare un po'. E direi che è molto importante chiedere ai team come stanno effettivamente garantendo la conformità. Con questo intendo dire che non si tratta solo di capire se siamo conformi o meno ai vari standard, leggi, eccetera, ma anche di capire in che modo è possibile ottenere una garanzia continua nel tempo in modo da poter determinare realmente qual è il costo dei creatori.

Perciò, direi che le domande fondamentali sono due, ovvero qual è il livello di conformità a pratiche o leggi interne all'azienda e qual è il costo dei creatori, il che è davvero importante perché desideri innovare molto velocemente e assicurarti di monitorare quanto costa ai creatori e assicurarti comunque di mantenere la conformità.

Quindi, per concludere, l'ultima domanda che ho è, parlando regolarmente con i clienti, qual è il miglior consiglio che avete per consentire ai clienti di approvare immediatamente la loro posizione in quanto a sicurezza?

Chris Betz:
Per la tua azienda interna e per i tuoi clienti, trova il modo di implementare le passkey. Abbandonare le password cambia le carte in tavola per i dipendenti e per i clienti. Approfitta di questa tecnologia. È un grande balzo in avanti. Implementale subito.

Steve Schmidt:
E quindi non solo è tutto molto più sicuro, ma si offre anche un'esperienza utente migliore. È così semplice. Fa' sì che i tecnici si concentrino su questo e scopri perché non lo stanno già facendo.

Inoltre, è molto meno entusiasmante delle passkey, si tratta del lato noioso ma fondamentale della sicurezza. Gestione delle vulnerabilità. Aggiornati in tutto. È la miglior difesa che hai contro le persone là fuori.

Chris Betz:
Oppure chiedi a noi di farlo per te.

Steve Schmidt:
Esatto.

Chris Betz:
Utilizza Lambda e altro ancora.

Steve Schmidt:
Sì.

Sara Duffer:
Bene, grazie mille per esserti unito a noi oggi e grazie ancora per il tempo che ci hai dedicato.

Ascolta ora

Ascolta ora

Ascolta ora