La sicurezza è nel nostro DNA

Clarke Rodgers:
Benvenuti al podcast Executive Insights, creato da AWS. Sono Clarke Rodgers, Director of Enterprise Strategy, e sarò la tua guida in una serie di conversazioni con i responsabili della sicurezza.

Oggi sono affiancato da Matt Garman, CEO di HAQM Web Services. Ascolta mentre parliamo della cultura della sicurezza di HAQM, come concepiamo gli investimenti in sicurezza e come i clienti possono sfruttare il cloud AWS per proteggere il proprio ambiente. Divertitevi.

Matt Garman, CEO di HAQM Web Services. Grazie mille per essere qui con me oggi.

Matt Garman:
Certamente. Grazie a voi per l'invito.

Clarke Rodgers:
Quindi sei stato il primo product manager di AWS. Puoi raccontarmi di quel periodo e di come la sicurezza veniva rafforzata nell'ambito del tuo lavoro?

Matt Garman:
Il mio primo lavoro in realtà è stato uno stage presso una business school per AWS prima del nostro lancio nel 2005. E fin dal primo giorno in cui ho iniziato, Andy Jassy ci ha inculcato che la sicurezza era la priorità zero. Era la prima cosa a cui dovevamo pensare, in ogni caso. E così, quando pensavamo ai primi giorni di AWS, ci chiedevamo costantemente cosa significasse. Come concepiamo la sicurezza? Come concepiamo l'isolamento? All'epoca, in particolare, c'erano molte preoccupazioni riguardo all'affidare i propri dati a qualcun altro. E penso che sia stata la giusta predisposizione per noi quella di concentrarci molto sulla sicurezza, la giusta predisposizione ad essere particolarmente diligenti nell'isolamento, nell'isolamento dei carichi di lavoro dei clienti, ma anche nella nostra sicurezza e nel modo in cui pensiamo all'accesso ai dati dei clienti e al modo in cui pensiamo alla protezione dei dati dei clienti. E quindi questo è stato un grande obiettivo per noi fin dall'inizio. Per noi è stato un settore in cui abbiamo investito molto e, naturalmente, lo è ancora oggi.

E abbiamo continuato a crescere man mano che le minacce alla sicurezza diventavano più grandi. Riflettiamo sempre di più su come proteggere la sicurezza del cloud, come la nostra sicurezza e la protezione dei carichi di lavoro dei clienti in questo modo, ma anche su come fornire ai clienti gli strumenti per consentire loro di proteggere i propri carichi di lavoro in quel modello di responsabilità condivisa. Quindi, tutto ciò che facciamo è la prima cosa a cui chiediamo di pensare ai nostri sviluppatori. È la prima cosa che chiediamo al personale del nostro data center di considerare a livello di sicurezza fisica, di sicurezza logica, di sicurezza del software, di manutenzione del nostro software e dei nostri servizi, di operazioni dei nostri servizi. È al centro di tutto ciò che facciamo.

Clarke Rodgers:
Con il progredire del tuo percorso in AWS e soprattutto ora come CEO, in che modo hai ritenuto i leader aziendali all'interno di AWS responsabili della sicurezza delle loro operazioni e delle loro effettive linee di business?

Matt Garman:
Sì, guarda, la prima cosa che conta è che la leva più grande, la leva che penso abbiamo è quella di concentrarci sulla cultura. E l'obiettivo è far sì che i leader sappiano che la sicurezza è una loro responsabilità e che dovrebbero pensarci. Abbiamo quindi un paio di meccanismi che utilizziamo per far rispettare questa regola e per assicurarci che imparino, perché penso che quando le persone provengono da altri ambienti in particolare, non abbiano effettivamente gli stessi pregiudizi e in altri luoghi non si inizia necessariamente dalla sicurezza. In un certo senso lo fanno dopo o è un problema di qualcun altro o forse il team di sicurezza si occuperà della sicurezza. E tu fai parte del team di sicurezza. Non contiamo su di te per la sicurezza. Tutti sono responsabili della sicurezza. Sei un partner eccellente in questo percorso per aiutarci a sviluppare le best practice e migliorare la sicurezza.

Ma dobbiamo davvero costruirlo come parte della cultura. E quindi è sicuramente parte dell'apprendimento quando entrano in gioco i leader di progettazione, quando entrano in gioco i leader di prodotto. Devono pensare a questa responsabilità come qualcosa che prendono sul serio per i loro prodotti. E abbiamo diversi meccanismi che esaminiamo, cerchiamo di incoraggiare i leader a riflettere su come stanno migliorando la sicurezza, su come ritengono che i loro prodotti siano sicuri, ma è per questo che ci sono cinture, bretelle e cinture extra e dove altro possiamo trovare modi per continuare a migliorare? Perché il nostro lavoro e la promessa che facciamo ai clienti è: “Continuiamo a migliorare”, giusto? Il panorama della sicurezza diventa sempre più impegnativo, ma i malintenzionati diventano sempre più abili e dobbiamo continuare ad avere più livelli di protezione. Trovare quei meccanismi con cui puoi rafforzare questo concetto con i tuoi leader, dove non punisci le persone, dove non è una punizione, ma è la comprensione che non spediremo un prodotto se non ha i giusti standard di sicurezza.

Non ci imbarcheremo nemmeno in qualcosa se non pensiamo che abbia le giuste strutture attorno a un isolamento di sicurezza. E la prima volta che le persone ricevono qualcosa che non viene lanciato perché non pensiamo che abbia i requisiti giusti per essere lanciato o perché leggiamo un suggerimento di offerta per un nuovo prodotto e diciamo: "Non mi piace come pensa a questa particolare architettura in un modo che non funziona". Quel messaggio viene rafforzato e penso che spinga molti dei comportamenti corretti.

Clarke Rodgers:
Hai parlato di meccanismi. La scorsa stagione, ho avuto l'opportunità di intervistare il CISO di AWS e lui ha descritto la riunione settimanale di CEO e CISO. Puoi parlarci un po' dei vantaggi che si ottengono da questa riunione?

Matt Garman:
Certo. Sì, ce ne sono un paio. Il primo è che si tratta di una grande opportunità per noi di rafforzare il rapporto con i nostri leader e, francamente, una grande opportunità di imparare per me e, credo, per tutti noi. E così abbiamo quella riunione settimanale in cui esaminiamo. Spesso... In realtà, quasi sempre, si tratta di questi problemi di sicurezza per i quali cerchiamo di individuare situazioni in cui questo avrebbe potuto rappresentare un problema se non lo avessimo individuato o, ancora, se non avessimo messo in atto altri controlli di mitigazione. Ma è un'ottima opportunità per noi per approfondire e capire dove sono i punti critici che potremmo aver trascurato, perché qualcosa è sfuggito, dove abbiamo identificato un nuovo tipo di problema che vogliamo sottoporre a un gruppo di team diversi. E così facciamo ogni settimana: andiamo a cercare opportunità in tutti i team di AWS e vogliamo approfondire un po' di più per capire dove possiamo effettivamente realizzarle.

Penso che questo meccanismo sia potente, innanzitutto è una grande opportunità per insegnare ai leader come pensare davvero e andare in profondità. Abbiamo un'intera schiera di leader che partecipano a quella chiamata o sono presenti nella stanza e che approfondiscono quei problemi e capiscono cosa sta succedendo. E spesso discutiamo sui compromessi tra A o B perché, molte volte, si tratta di questioni sottili in cui cerchiamo di decidere che non c'è un chiaro "Oh, hai dimenticato di chiudere una porta", oppure non è così, giusto?

Non è quel tipo di problemi. Sono cose più sottili come: "Oh, potrebbe succedere questo o potrebbe succedere quest’altro". Oppure esaminiamo un caso limite. E poi c'è quel meccanismo che dice semplicemente: "Ok, fantastico. Ora che l'abbiamo fatto, come possiamo parlare con altri 50, cento team che potrebbero avere un tipo di problema simili e assicurarci di diffondere questa cosa che abbiamo imparato?" Ci aiuta anche come leader quando sentiamo che la settimana successiva, e quella dopo ancora, e quella dopo ancora, possiamo effettivamente mettere a frutto il nostro apprendimento e la nostra comprensione e pensare a dove potrebbero esserci altre aree da considerare. Per questo motivo è un promemoria molto potente per tutti noi su come la pensiamo e, francamente, una buona opportunità per imparare gli uni dagli altri su come continuare a migliorare.

Clarke Rodgers:
E fa della sicurezza il ritmo del business.

Matt Garman:
Esatto. Penso che l'altro aspetto importante sia... Penso che sia un errore pensare che un meccanismo del genere sia come urlare contro qualcuno per aver commesso un errore. E penso che la cosa davvero importante sia non trasformare una questione sollevata in una punizione durante quella riunione. In un certo senso è una buona cosa che tu l'abbia scoperto e segnalato, tutti noi ne stiamo imparando qualcosa. Penso che anche questo sia importante perché non si vuole una cultura in cui i team vogliono nascondere il problema, dicendo: "Oh, non voglio che nessuno lo scopra perché non voglio che nessuno mi urli contro". E quindi si vuole davvero incoraggiare una cultura in cui le persone portano e fanno emergere queste cose in modo che l'organizzazione nel suo complesso possa imparare da loro.

Clarke Rodgers: 
E assicurandoti di concentrarti sul problema e non sulla persona.

Matt Garman:
Esatto. Esatto.

Clarke Rodgers:
Un altro effetto collaterale di quella riunione è che la cosa si diffonde. Si scopre che l'amministratore delegato ha almeno un'ora alla settimana per imparare tutto sulla sicurezza. Quindi credo che ciò aiuti la nostra cultura generale della sicurezza in tutta l'organizzazione e ne rafforzi l'importanza.

Matt Garman:
Potrebbe essere. Penso che probabilmente sia vero.

Clarke Rodgers:
Guardando ai prossimi tre-cinque anni cosa vorresti fare con AWS, in che modo la sicurezza e la conformità in generale, i problemi normativi, eccetera, rientrano nella tua pianificazione?

Matt Garman:
Come ho detto, penso che non ci siano segnali sul mercato che indichino che la sicurezza stia diventando meno importante, né che i malintenzionati stiano diventando meno sofisticati. Quindi deve essere qualcosa in cui continuiamo a investire perché penso che sia una delle cose che francamente differenzia ciò che AWS fa da tutti gli altri, soprattutto ciò che si può fare. Ma francamente, anche rispetto agli altri fornitori di servizi cloud, è davvero una capacità di differenziazione per AWS. E vogliamo che rimanga tale.

Penso che nei prossimi due anni ci sarà ulteriore superficie su cui dovremo riflettere per capire come proteggerla. Penso che quando si pensa all'intelligenza artificiale, ci sia tutta una serie di altri vettori di attacco a cui si vuole pensare e vettori di fuga e modi in cui la sicurezza... Sono ottimista sul fatto che l'intelligenza artificiale sia uno strumento, una capacità e una tecnologia incredibilmente potenti per le aziende in grado di generare molto valore e probabilmente anche per i malintenzionati e per combattere e aiutare a trovare problemi di sicurezza. Quindi penso che potrebbe essere qualcosa che stiamo sfruttando per capire come possiamo continuare a migliorare le nostre offerte e la nostra sicurezza sottostante. Ma penso anche che sia una di quelle cose che farà aumentare il volume della superficie da cui dobbiamo proteggerci.

Quindi penso che sarà un'area in cui dovremo raddoppiare e triplicare i nostri sforzi già da subito. Penso che nei prossimi tre-cinque anni, sarà sicuramente qualcosa a cui dovremo pensare. E l'altra cosa che ritengo importante è che, poiché quest’area si sta evolvendo rapidamente, a volte le persone saranno tentate di dire: "Sì, probabilmente possiamo farcela e poi ci occuperemo della sicurezza".

E per me, questo non è un compromesso accettabile. E se pensi a qual è il giusto confine di isolamento e pensi a quale sia il momento giusto per lanciare un prodotto o un servizio o altro, semplicemente non è uno dei... Non è un'area su cui sono disposto a scendere a compromessi, ma penso che probabilmente ci sia la tentazione di farlo. E quindi non ci resta che continuare a formare i nostri team. E sono sicuro che altri sul mercato saranno tentati di cedere a quel livello per muoversi velocemente. E scommetto che a lungo termine sarà la scelta sbagliata.

Clarke Rodgers:
Esatto. Aggiungere la sicurezza solo alla fine non sembra mai funzionare.

Matt Garman:
Bene, ci sono un paio di prove disponibili che indicano che procedere in questo modo risulta molto, molto, molto più costoso sia per il fornitore del cloud che per il cliente finale.

Clarke Rodgers:
Sì, certo. Cambiamo argomento e parliamo un po' dei clienti. Incontrerai molti CEO di clienti. Cosa ti dicono in termini di sicurezza, non solo cosa dovrebbero fare, ma anche come AWS li sta aiutando?

Matt Garman:
Esatto. Senti, alcune cose sono ovvie. Penso che la gente sia preoccupata per gli attacchi di acquisizione degli account e cose del genere. E penso che ci sia molto che possiamo fare per continuare ad aiutare i clienti su questo fronte. Penso però che una delle cose che preoccupa sempre di più i clienti sia rendersi conto che uno dei beni più importanti in loro possesso e la parte più importante della loro proprietà intellettuale sono i loro dati. E quindi come possono proteggere i loro dati in modo da evitare che trapelino? Si tratta di sicurezza da una prospettiva diversa, ma è importante quando si pensa all'intelligenza artificiale, quando si pensa all'analisi, quando si pensa a questo ampio insieme di dati. La questione è come garantire che le persone all'interno e all'esterno della tua azienda possano proteggere i dati nel modo giusto. E alcuni di questi sono i dati dei tuoi clienti. Si tratta di informazioni personali di identificazione (PII). Potrebbero essere semplicemente i dati aziendali proprietari in tuo possesso a essere fondamentali per ciò che fai.

E penso che questo sia un aspetto sempre più importante di cui le persone si preoccupano, perché penso che se quei dati trapelano o cessano di essere di loro proprietà, penso che molti clienti si renderanno conto che questa è una parte importante di ciò che li rende preziosi. E quindi questo è un aspetto interessante su cui penso che la gente continuerà a riflettere. E poi penso che ci sia un'altra prospettiva, su cui credo stiamo aiutando i clienti, ovvero come concepire dove dovrebbero risiedere i dati, come concepire la sovranità dei dati, come concepire la crittografia e chi possiede le chiavi di crittografia. E ci sono tante... Alcune di queste azioni possono rendere il funzionamento del sistema molto più difficile, mentre altre hanno perfettamente senso, anche se è così. Quindi penso che si tratti di un diverso livello di decisione, non è bianco o nero. Non è una di quelle decisioni per cui è ovvio che la risposta sia giusta o sbagliata.

Penso che il nostro compito sia aiutare i clienti a trovare dei compromessi: se si preoccupano della sovranità dei dati, in un contesto normativo sempre più rigido in cui i dati non possono o non dovrebbero uscire da un Paese, come si gestisce un'azienda globale con questi vincoli? E pensandoci bene, forse è vicino alla sicurezza, ma è più una specie di controllo di sicurezza.

Clarke Rodgers:
Sì, certo. Quindi proteggere i dati e trasferirli effettivamente nel cloud può rendere più semplice la protezione dei dati in primo luogo. E questo è anche uno dei requisiti più basilari di cui le persone devono trarre vantaggio, cose come l'IA generativa. Se i tuoi dati non si trovano nel cloud, non potrai utilizzare molti di questi fantastici strumenti di IA generativa disponibili.

Matt Garman:
È un argomento molto interessante e, se ripenso a 18 anni fa, tutti erano molto preoccupati. Dicevano: "Come posso fidarmi del cloud? Come posso essere più... Il cloud è sicuro? "Mi trovo in un ambiente multi-tenant che sembra spaventoso." Ora invece direi che la stragrande maggioranza dei clienti ha cambiato idea e si è resa conto di essere più sicura nel cloud. Abbiamo più possibilità. Spendiamo miliardi di dollari per rafforzare la sicurezza in quello spazio. Nei data center non viene fatto.

Clarke Rodgers:
Giusto.

Matt Garman:
E questa è una grande differenza. È stato un grande cambiamento. Penso quindi che ci sia ancora molto lavoro da fare per i clienti, per eseguire la migrazione e modernizzare, portandoli dove vogliono nel cloud. In realtà, per la maggior parte dei clienti, se i loro dati sono in locale, sono meno sicuri, giusto? Sono più suscettibili agli hacker e ad altri attacchi e cose del genere. E non possono trarre vantaggio da molte delle migliori e più innovative tecnologie in ambito di IA generativa, di dati e analisi, di nuove capacità di elaborazione e archiviazione e altre cose del genere che stiamo implementando. Sono abbastanza fermi su sistemi tradizionali, infrastruttura e tecnologia.

Clarke Rodgers:
In quest'ottica, state portando avanti più conversazioni con i clienti su migrazione e modernizzazione?

Matt Garman:
Esatto. Rappresenta un enorme vantaggio per la crescita dell'azienda E penso che sempre più clienti se ne rendano conto e vogliano semplicemente andare più veloci. Ed è per questo che abbiamo investito in soluzioni come la trasformazione Q, che aiuta a modernizzare alcuni di quei tipi di archivi dati legacy, come mainframe o VMware o qualsiasi altra cosa del genere, e aiuta a passare più velocemente al cloud.

Clarke Rodgers:
E sicurezza.

Matt Garman:
Penso che sia uno dei fattori più importanti. Quindi passare al cloud e arrivare a un mondo basato sul cloud aiuta a migliorare la sicurezza. Uscire da Windows aiuta con la sicurezza. Entrare in un'architettura più moderna aiuta con la sicurezza. Si tratta di mosse importanti che oggi la gente sa essere rischiose. E penso che questo sproni le persone a muoversi più rapidamente.

Clarke Rodgers:
Hai qualche consiglio ai CEO dei clienti con cui interagisci su quali sono i tipi di domande che dovrebbero porre ai loro team di sicurezza?

Matt Garman:
Ce ne sarebbero alcuni. Innanzitutto, quando si sceglie un fornitore di servizi cloud, bisogna considerare la storia della sicurezza e i suoi precedenti. E come fai a sapere che ti stai spostando sulla strada giusta? È proprio questa cultura a garantire che ogni nuovo prodotto, ogni nuova offerta e ogni novità parta da una riflessione sulla sicurezza dei clienti. E poi penso che anche dal punto di vista del cliente la domanda sia: come si sta costruendo questa cultura?

Perché stiamo parlando di un modello condiviso quindi questa è una parte molto importante del nostro lavoro insieme. Collaboriamo con tutti i nostri clienti più importanti per garantire che abbiano la giusta architettura, la giusta configurazione, che riflettano su un account root e sulle autorizzazioni dei loro account, su come concepiscono le autorizzazioni IAM e la crittografia dei loro dati, la protezione delle chiavi del loro account e cose del genere. Anche i clienti devono fare la loro parte. Quindi, consiglierei ai CEO di adottare un processo simile a questo di cui abbiamo parlato, ovvero controlli di sicurezza settimanali, adozione delle best practice, garantire che ci siano parti della sicurezza in AWS su cui si può assolutamente fare affidamento, e questa è una nostra responsabilità.

Matt Garman:
E non devi preoccuparti. Ci sono molte cose di cui non devi preoccuparti. Non devi preoccuparti della sicurezza del data center. Non devi preoccuparti di nessuna di queste cose. Non devi preoccuparti della sicurezza dell'hypervisor, di tutte quelle parti che sono nostre. Tuttavia, ci sono alcuni fattori nello spazio applicativo di cui le aziende devono tenere conto. Per questo motivo, è altrettanto fondamentale che dispongano di un meccanismo simile in cui il loro CISO effettui controlli ogni settimana e sottolinei dove ritengono di poter alzare l'asticella della sicurezza delle loro applicazioni. E a proposito, ci piacerebbe molto essere partner di una cosa del genere.

Clarke Rodgers:
Sì, certo.

Clarke Rodgers:
Quale consiglio daresti ai CISO dei clienti su come segnalare i rischi ai dirigenti? E poi, come preferisci che il rischio sia inquadrato per te dal punto di vista della sicurezza?

Matt Garman:
Esatto. La prima cosa e anche la più importante è l'escalation rapida e la trasparenza. Se c'è un rischio reale nell'azienda, aggrapparsi alle cattive notizie non è mai la risposta giusta. Mi piace sapere che il nostro CISO, Chris, se c'è un problema di cui ho bisogno di essere informato, me lo fa sapere subito e non due ore. Ho bisogno di saperlo il prima possibile in modo da poter coinvolgere tutte le persone giuste. E io lo incoraggerei, perché una delle cose che consiglierei è che la velocità è molto importante, soprattutto quando ci sono urgenti problemi di sicurezza. E quindi muoversi velocemente è davvero importante. Attirare le persone in una stanza, tirare un po' la corda e assicurarsi di mollare tutto e di occuparsi solo di quello, che si tratti di inviare messaggi ai clienti, di intraprendere azioni o di fare altro, tutto questo è incredibilmente importante e la velocità di movimento è estremamente importante su questo fronte.

L'altra è solo... Inoltre, per questioni meno urgenti, importanti ma non necessariamente urgenti, penso che sia necessario assicurarsi di costruire quella cultura di non gettare le persone sotto l'autobus e incolpare poi la persona, ma concentrarsi davvero su quella questione e andare avanti...

Clarke Rodgers:
Tornando a quel problema.

Matt Garman:
Penso che sia una differenza sottile, ma cambia davvero il modo in cui i tuoi team sono trasparenti e quanto nascondono i problemi invece di sollevarli e l'azienda e il business non miglioreranno se non riesci a essere trasparente e a imparare dalle cose che non sono andate bene. E la sicurezza è difficile. E comunque, tutti scoprono cose nuove ogni giorno. Quindi è uno spazio difficile. È uno spazio in rapido movimento. Devi imparare e devi essere disposto a imparare, il che significa che non sarà tutto perfetto, e devi solo imparare da ciò e migliorare e cercare di capire come ottenere il meglio e come tutto il tuo team può migliorare. Ma non lo otterrai se non incoraggi quella trasparenza. Quindi penso che queste siano un paio di cose su cui consiglierei a tutti di riflettere.

Clarke Rodgers:
Un consiglio fantastico. Grazie mille per essere stato qui con me oggi.

Matt Garman:
Sì, certo. Grazie a voi per l'invito.

Ascolta ora

Ascolta ora

Ascolta ora