การรักษาความปลอดภัยอยู่ในดีเอ็นเอของเรา

Clarke Rodgers:
ยินดีต้อนรับสู่พ็อดแคสต์ Executive Insights ที่นำมาให้คุณโดย AWS ผมClarke Rodgers, ผู้อำนวยการฝ่ายกลยุทธ์องค์กร และผมจะเป็นไกด์ของคุณตลอดซีรีส์การสนทนากับผู้นำด้านการรักษาความปลอดภัย

วันนี้ Matt Garman, CEO ของ HAQM Web Services มาร่วมพูดคุยกับเรา รับฟังขณะที่เราพูดคุยเพิ่มเติมเกี่ยวกับวัฒนธรรมด้านการรักษาความปลอดภัยของ HAQM วิธีคิดเกี่ยวกับการลงทุนด้านการรักษาความปลอดภัย และวิธีที่ลูกค้าสามารถใช้ประโยชน์จากคลาวด์ AWS เพื่อรักษาความปลอดภัยให้กับสภาพแวดล้อมของตน ขอให้สนุกครับ

Matt Garman, CEO ของ HAQM Web Services ขอบคุณมากครับที่มาร่วมพูดคุยกับผมในวันนี้

Matt Garman:
ครับ แน่นอน ขอบคุณที่เชิญผมมาในวันนี้

Clarke Rodgers:
คุณเป็นผู้จัดการผลิตภัณฑ์คนแรกของ AWS คุณช่วยพาฉผมกลับไปในช่วงเวลานั้นและวิธีที่การรักษาความปลอดภัยได้รับการเสริมสร้างเป็นส่วนหนึ่งของงานของคุณได้ไหม

Matt Garman:
จริง ๆ แล้วงานแรกของผมคือ ผมฝึกงานที่โรงเรียนธุรกิจของ AWS ก่อนที่เราจะเปิดตัวในปี 2005 และตั้งแต่วันแรกที่ผมเริ่มต้น Andy Jassy ก็ปลูกฝังให้พวกเราตระหนักว่าการรักษาความปลอดภัยคือสิ่งสำคัญที่สุด มันเป็นสิ่งแรกที่เราต้องคิด ไม่ว่าจะเกิดอะไรขึ้น และเมื่อเราคิดถึงยุคแรก ๆ ของ AWS เรามักจะคิดอยู่เสมอว่ามันหมายถึงอะไร เราคิดอย่างไรเกี่ยวกับการรักษาความปลอดภัย เราคิดเรื่องการแยกส่วนอย่างไร โดยเฉพาะอย่างยิ่ง ในเวลานั้น มีความกังวลมากมายเกี่ยวกับการมอบความไว้วางใจข้อมูลของคุณให้กับบุคคลอื่น และผมคิดว่ามันเป็นอคติที่ถูกต้องสำหรับเราที่จะมุ่งเน้นไปที่การรักษาความปลอดภัยเป็นอย่างมาก อคติที่ถูกต้องคือการเอาใจใส่เป็นพิเศษในเรื่องการแยกส่วน การแยกส่วนเวิร์กโหลดของลูกค้า แต่ยังรวมถึงการรักษาความปลอดภัยของเราเองด้วย และวิธีที่เราคิดเกี่ยวกับการเข้าถึงข้อมูลของลูกค้า และวิธีที่เราคิดเกี่ยวกับการปกป้องข้อมูลของลูกค้า และนั่นจึงเป็นจุดสนใจอย่างมากสำหรับเราตั้งแต่ช่วงแรก ๆ มันเป็นพื้นที่สำคัญของการลงทุนสำหรับเราและแน่นอนว่ายังคงเป็นแบบนั้นในปัจจุบัน

และเราก็ยังคงปรับขนาดต่อไปเมื่อภัยคุกคามด้านการรักษาความปลอดภัยยิ่งใหญ่ขึ้น เราคิดมากขึ้นเรื่อย ๆ ว่าเราจะปกป้องความปลอดภัยของคลาวด์อย่างไร ไม่ว่าจะเป็นการรักษาความปลอดภัยของเราเองและการปกป้องเวิร์กโหลดของลูกค้าด้วยวิธีนั้น แต่ยังรวมถึงการมอบเครื่องมือต่าง ๆ ให้กับลูกค้าเพื่อให้พวกเขาสามารถปกป้องเวิร์กโหลดของตนเองได้ในรูปแบบความรับผิดชอบร่วมกันอีกด้วย ดังนั้นทุกสิ่งที่เราทำ การรักษาความปลอดภัยเป็นสิ่งแรกที่เราขอให้นักพัฒนาของเราคิดถึง นี่เป็นสิ่งแรกที่เราขอให้คนในศูนย์ข้อมูลของเราคิดเกี่ยวกับเรื่องนี้จากการรักษาความปลอดภัยทางกายภาพ จากความปลอดภัยทางตรรกะ จากความปลอดภัยของซอฟต์แวร์ จากการบำรุงรักษาซอฟต์แวร์และบริการของเรา จากการดำเนินงานบริการของเรา มันเป็นหน้าด่านและศูนย์กลางของทุกสิ่งที่เราทำ

Clarke Rodgers:
ในขณะที่การเดินทางของคุณดำเนินไปใน AWS และโดยเฉพาะอย่างยิ่งในตอนนี้ในฐานะ CEO คุณได้ทำให้ผู้นำทางธุรกิจภายใน AWS รับผิดชอบต่อการรักษาความปลอดภัยของการดำเนินงานและสายธุรกิจที่แท้จริงของตนได้อย่างไร

Matt Garman:
ครับ อันดับหนึ่งคือมันเป็นแรงผลักดันที่ใหญ่ที่สุด แรงผลักดันที่ฉันคิดว่าเรามีก็คือการมุ่งเน้นไปที่วัฒนธรรม และเน้นให้ผู้นำทราบว่าการรักษาความปลอดภัยเป็นความรับผิดชอบของตนและควรคำนึงถึงเรื่องนี้ด้วย ดังนั้น เราจึงมีกลไกสองสามอย่างที่เราใช้บังคับใช้และทำให้แน่ใจว่าพวกเขาเรียนรู้ เพราะผมคิดว่าเมื่อผู้คนมาจากสภาพแวดล้อมอื่นโดยเฉพาะ พวกเขาจะไม่ได้มีอคติแบบเดียวกัน และสถานที่อื่น ๆ ไม่จำเป็นต้องเริ่มต้นด้วยการรักษาความปลอดภัยก่อนเสมอ พวกเขาทำแบบนี้ทีหลังหรือไม่ก็เป็นปัญหาของคนอื่นหรือบางทีทีมรักษาความปลอดภัยอาจจะดูแลเรื่องการรักษาความปลอดภัยให้ และคุณอยู่ในทีมรักษาความปลอดภัย เราไม่พึ่งพาคุณเพื่อการรักษาความปลอดภัย ทุกคนมีความรับผิดชอบต่อการรักษาความปลอดภัย คุณเป็นพาร์ทเนอร์ที่ยอดเยี่ยมในการเดินทางนี้เพื่อช่วยเราสร้างแนวทางปฏิบัติที่ดีที่สุดและเพิ่มความปลอดภัย

แต่เราต้องสร้างสิ่งนั้นเป็นส่วนหนึ่งของวัฒนธรรม ดังนั้น นี่จึงเป็นส่วนหนึ่งของการเรียนรู้อย่างแน่นอนเมื่อผู้นำด้านวิศวกรรมเข้ามา และเมื่อผู้นำด้านผลิตภัณฑ์เข้ามา พวกเขาต้องคิดถึงความรับผิดชอบนั้นเป็นสิ่งที่พวกเขาพิจารณาอย่างจริงจังกับผลิตภัณฑ์ของพวกเขา และเรามีกลไกต่างๆ มากมายที่เราใช้ทบทวนและพยายามส่งเสริมให้ผู้นำคิดถึงวิธีที่พวกเขาจะปรับปรุงการรักษาความปลอดภัย พวกเขาคิดว่าผลิตภัณฑ์ของพวกเขามีความปลอดภัยได้อย่างไร แต่เพราะเหตุนี้จึงมีเข็มขัด สายสะพาย และเข็มขัดพิเศษ แล้วเราจะหาวิธีอื่น ๆ เพื่อปรับปรุงให้ดีขึ้นได้อีกจากที่ใด เพราะงานของเราและสัญญาที่เรากำลังสร้างลูกค้าคือ: “เรากำลังดีขึ้นเรื่อย ๆ” ใช่มั้ย ภูมิทัศน์ด้านการรักษาความปลอดภัยที่นั่นยังคงท้าทายมากขึ้นเรื่อย ๆ แต่คนร้ายมีทักษะมากขึ้นเรื่อย ๆ และเราต้องมีการป้องกันอย่างต่อเนื่อง การค้นหากลไกที่คุณสามารถเสริมความแข็งแกร่งให้กับสิ่งนั้นกับผู้นำของคุณ โดยที่คุณจะไม่ลงโทษผู้คน ซึ่งไม่ใช่การลงโทษ แต่เป็นการเข้าใจว่าเราจะไม่ส่งมอบผลิตภัณฑ์หากไม่มีมาตรฐานการรักษาความปลอดภัยที่เหมาะสม

เราจะไม่เริ่มทำอะไรก็ตามหากเราไม่คิดว่ามันมีโครงสร้างที่ถูกต้องรอบๆ การแยกส่วนเพื่อรักษาความปลอดภัย และครั้งแรกที่ผู้คนได้รับสิ่งที่ไม่ได้เปิดตัวเพราะเราคิดว่ามันไม่มีมาตรฐานที่เหมาะสมในการส่งมอบ หรือเราอ่านคำแนะนำเกี่ยวกับผลิตภัณฑ์ใหม่ที่นำเสนอและเราคิดว่า "ฉันไม่ชอบวิธีการคิดเกี่ยวกับสถาปัตยกรรมเฉพาะนี้ในแบบที่ไม่ได้ผล" ข้อความนั้นได้รับการเสริมแรงและผมคิดว่ามันขับเคลื่อนพฤติกรรมที่ถูกต้อง

Clarke Rodgers:
คุณได้พูดถึงกลไก ในซีซันที่แล้ว ผมมีโอกาสสัมภาษณ์ AWS CISO และเขาอธิบายการเกี่ยวกับประชุม CEO CISO รายสัปดาห์ คุณช่วยเล่าสักนิดหน่อยเกี่ยวกับประโยชน์ที่คุณได้รับจากการประชุมนั้นได้ไหม

Matt Garman:
ได้เลย ใช่ มีสองสามอย่าง ข้อที่หนึ่งคือนั่นเป็นโอกาสอันดีสำหรับเราในการช่วยเสริมสร้างกับผู้นำของเรา และพูดตรง ๆ ว่าเป็นโอกาสอันดีสำหรับฉันที่จะได้เรียนรู้ และผมคิดว่าเราทุกคนก็ควรเรียนรู้เช่นกัน และเราก็มีการประชุมรายสัปดาห์เพื่อทบทวนกัน บ่อยครั้ง... อันที่จริง แทบทุกครั้ง ปัญหาเหล่านี้จะเป็นเรื่องของความปลอดภัยที่เรามักจะมองข้ามไป ซึ่งปัญหาเหล่านี้อาจเกิดขึ้นได้หากเราไม่ตรวจพบ หรืออีกครั้ง หากเราไม่มีการควบคุมบรรเทาปัญหาอื่น ๆ แต่เป็นโอกาสที่ดีมากสำหรับเราที่จะเจาะลึกและทำความเข้าใจว่าจุดที่เป็นประเด็นที่เราอาจมองข้ามไปคือจุดไหน เหตุใดบางสิ่งจึงหลุดผ่านไป และจุดใดที่เราระบุถึงข้อกังวลประเภทใหม่ที่เราต้องการนำไปใช้กับทีมต่าง ๆ ราจึงทำสิ่งนี้ทุกสัปดาห์โดยไปค้นหาโอกาสต่าง ๆ รอบ ๆ ทีมต่าง ๆ ทั่วทั้ง AWS โดยที่เราต้องการเจาะลึกมากขึ้น เพื่อเรียนรู้ว่าเราสามารถสร้างสิ่งนั้นได้จริงที่ใด

ผมคิดว่ากลไกนั้นทรงพลังเป็นข้อที่หนึ่ง ถือเป็นโอกาสที่ดีในการสอนผู้นำเหล่านั้นให้คิดอย่างแท้จริงและเจาะลึก และเรามีผู้นำจำนวนมากที่รับสายหรือในห้องที่จะเจาะลึกปัญหาเหล่านั้นและทำความเข้าใจกับสิ่งที่เกิดขึ้น และบ่อยครั้งที่เราถกเถียงกันไปมาเกี่ยวกับทางเลือกที่จะทำ A หรือ B เพราะหลายครั้งสิ่งเหล่านี้เป็นปัญหาละเอียดอ่อนที่เราพยายามตัดสินใจว่าไม่มีความชัดเจนหรือว่า "โอ้ คุณลืมปิดพอร์ต" หรือไม่ใช่แบบนั้น ใช่ไหม

มันไม่ใช่ปัญหาประเภทนั้น มันเป็นเรื่องที่ละเอียดอ่อนกว่า เช่น "โอ้ สิ่งนี้อาจเกิดขึ้นได้ หรือสิ่งนี้อาจเกิดขึ้นได้" หรือมันเป็นเคสที่เรากำลังจับตามองดูอยู่ และจากนั้นก็มีกลไกที่ว่า “โอเค ดีมาก ตอนนี้เราได้ทำสิ่งนี้แล้ว เราจะพูดคุยกับทีมอื่น ๆ อีก 50 ทีมหรือร้อยทีมที่อาจมีสิ่งที่คล้ายกันได้อย่างไร และทำให้แน่ใจว่าเราเผยแพร่การเรียนรู้เหล่านั้นออกไป” นอกจากนี้ยังช่วยให้เราในฐานะผู้นำสามารถเรียนรู้และเข้าใจในสัปดาห์หน้าและสัปดาห์ถัดไปได้ อีกทั้งช่วยให้เราสามารถคิดวิเคราะห์ด้านอื่น ๆ ได้ด้วย และมันเป็นการเตือนใจอันทรงพลังสำหรับเราทุกคนเกี่ยวกับวิธีคิดของเราเกี่ยวกับเรื่องนี้ และพูดตรง ๆ ว่าเป็นโอกาสที่ดีสำหรับเราที่จะเรียนรู้จากกันและกันว่าเราจะพัฒนาตนเองให้ดีขึ้นได้อย่างไร

Clarke Rodgers:
และมันทำให้การรักษาความปลอดภัยเป็นจังหวะของธุรกิจ

Matt Garman:
ใช่มั้ย และผมคิดว่าส่วนสำคัญอีกประการหนึ่งก็คือ... ผมคิดว่านี่เป็นความผิดพลาดที่บางคนคิดเกี่ยวกับกลไกเช่นนั้น เนื่องจากเราจะตะโกนใส่ใครสักคนเมื่อทำผิดพลาด และผมคิดว่านั่นเป็นส่วนที่สำคัญจริง ๆ ซึ่งคุณคงไม่อยากถือเป็นการลงโทษหากมีปัญหาที่ถูกหยิบยกขึ้นมาในการประชุมนั้น ในบางแง่มุม มันเป็นเรื่องดีที่คุณได้ทำเครื่องหมายไว้และค้นพบมัน และเราทุกคนต่างก็เรียนรู้จากมัน ผมจึงคิดว่ามันสำคัญเช่นกัน เพราะคุณไม่ต้องการวัฒนธรรมที่ทีมต้องการซ่อนปัญหาในลักษณะที่ว่าพวกเขาคิดว่า "โอ้ ฉันไม่ต้องการให้ใครรู้เกี่ยวกับเรื่องนี้ เพราะฉันไม่อยากให้ใครตะโกนใส่ฉัน" ดังนั้นคุณจึงต้องการส่งเสริมวัฒนธรรมที่ผู้คนนำสิ่งเหล่านี้ออกมาเผยแพร่เพื่อให้องค์กรที่กว้างขวางขึ้นสามารถเรียนรู้จากสิ่งเหล่านี้ได้

Clarke Rodgers: 
และตรวจสอบให้แน่ใจว่าคุณกำลังมุ่งเน้นไปที่ปัญหาไม่ใช่บุคคล

Matt Garman:
ใช่มั้ย ใช่มั้ย

Clarke Rodgers:
ผลที่เกิดขึ้นอีกประการหนึ่งของการประชุมดังกล่าวก็คือผลลัพธ์มันออกไป ปรากฏว่า CEO จะได้รับเวลาอย่างน้อยหนึ่งชั่วโมงต่อสัปดาห์เพื่อเรียนรู้ทุกอย่างเกี่ยวกับการรักษาความปลอดภัย ดังนั้น ผมเชื่อว่าสิ่งนี้จะช่วยให้วัฒนธรรมการรักษาความปลอดภัยของเราโดยรวมทั่วทั้งองค์กรดีขึ้น และช่วยเสริมสร้างความสำคัญของมันด้วย

Matt Garman:
มันอาจเป็นได้ ผมคิดว่านั่นอาจเป็นความจริง

Clarke Rodgers:
เมื่อคุณมองไปยังอีกสามถึงห้าปีข้างหน้าเกี่ยวกับสิ่งที่คุณต้องการทำกับ AWS การรักษาความปลอดภัย การปฏิบัติตามข้อกำหนดโดยทั่วไป ปัญหาด้านกฎระเบียบ ฯลฯ เหล่านี้จะอยู่ในแผนของคุณอย่างไร

Matt Garman:
ก็อย่างที่ผมพูดไป ผมคิดว่าไม่มีสัญญาณไหนในตลาดที่บ่งบอกว่าการรักษาความปลอดภัยมีความสำคัญน้อยลง หรือผู้ร้ายมีความซับซ้อนน้อยลง มันจะต้องเป็นบางอย่างที่เราจะลงทุนต่อไปและจะลงทุนด้วย เพราะผมคิดว่ามันคือสิ่งหนึ่งที่ทำให้สิ่งที่ AWS ทำแตกต่างจากรายอื่น ๆ โดยเฉพาะอย่างยิ่งสิ่งที่คุณทำได้ แต่พูดตรง ๆ ว่าแม้จะเทียบกับผู้ให้บริการคลาวด์รายอื่น แต่ AWS ก็ยังมีความสามารถที่โดดเด่นจริง ๆ และเราต้องการให้มันเป็นแบบนั้นต่อไป

เมื่อผมคิดถึงอีกสองสามปีข้างหน้า ผมคิดว่าจะมีพื้นที่เพิ่มเติมที่เราต้องคิดว่าเราจะรักษาความปลอดภัยได้อย่างไร ฉันคิดว่าเมื่อคุณคิดเกี่ยวกับ AI จะมีเวกเตอร์โจมตีอื่น ๆ อีกมากมายที่คุณอยากจะคิดและหลบเลี่ยงเวกเตอร์และวิธีการที่ระบบรักษาความปลอดภัย... ฉันมองในแง่ดีว่า AI เป็นเครื่องมือและความสามารถอันทรงพลังอย่างเหลือเชื่อ และเป็นเทคโนโลยีที่ช่วยให้บริษัทต่าง ๆ สามารถสร้างมูลค่าจำนวนมากได้ และอาจจะทรงพลังสำหรับผู้ร้ายด้วย รวมถึงสำหรับการต่อสู้และช่วยค้นหาปัญหาการรักษาความปลอดภัยด้วย ผมคิดว่ามันอาจจะเป็นสิ่งที่เราใช้เพื่อหาแนวทางในการปรับปรุงข้อเสนอและการรักษาความปลอดภัยพื้นฐานของเราต่อไปได้ แต่ฉันก็คิดว่ามันเป็นหนึ่งในสิ่งเหล่านี้ ที่จะช่วยเพิ่มพื้นที่ที่เราต้องป้องกัน

และผมคิดว่านั่นจะเป็นพื้นที่ที่เราต้องเพิ่มความพยายามเป็นสองเท่าหรือสามเท่า และเราก็ทำไปแล้ว ผมคิดว่าในช่วงสามถึงห้าปีข้างหน้า นั่นจะเป็นพื้นที่ที่เราต้องคิดถึงอย่างแน่นอน อีกอย่างหนึ่งที่ผมคิดว่าสำคัญก็คือ ในขณะที่พื้นที่นั้นกำลังเปลี่ยนแปลงอย่างรวดเร็ว ผู้คนบางครั้งอาจเกิดความคิดที่จะพูดว่า "ใช่ เราอาจจะพอผ่านมาได้ แล้วค่อยไปจัดการเรื่องการรักษาความปลอดภัยทีหลัง"

และสำหรับผม นั่นไม่ใช่การแลกเปลี่ยนที่ยอมรับได้สำหรับเรา และเมื่อคุณคิดว่าขอบเขตการแยกตัวที่เหมาะสมอยู่ตรงไหน และคุณคิดว่าเวลาที่เหมาะสมในการเปิดตัวผลิตภัณฑ์ บริการ หรือสิ่งใดก็ตามคือเมื่อใด มันไม่ใช่หนึ่งในนั้น มันไม่ใช่พื้นที่ที่ผมเต็มใจจะยอมประนีประนอมในเรื่องใด ๆ แต่ผมคิดว่าคงมีแรงดึงดูดบางอย่างที่จะทำเช่นนั้น ดังนั้นเราจะต้องให้ความรู้แก่ทีมของเราต่อไป และผมแน่ใจว่ารายอื่น ๆ ในตลาดก็คงจะยอมแพ้และเคลื่อนไหวอย่างรวดเร็วเช่นกัน และผมเดิมพันในระยะยาวว่านั่นจะเป็นทางเลือกที่ผิด

Clarke Rodgers:
ใช่ การเพิ่มความปลอดภัยในตอนท้ายไม่เคยดูเหมือนจะได้ผลเลย

Matt Garman:
มีหลักฐานสองสามชิ้นในตลาดขณะนี้ที่แสดงให้เห็นว่าการดำเนินการแบบนั้นมีราคาแพงกว่ามากทั้งสำหรับผู้ให้บริการคลาวด์และสำหรับลูกค้าปลายทาง

Clarke Rodgers:
แน่นอน มาเปลี่ยนเรื่องไปที่ลูกค้าสักหน่อยดีกว่า คุณพบกับ CEO ของลูกค้ามากมาย พวกเขากำลังพูดคุยกับคุณเกี่ยวกับอะไรในแง่ของการรักษาความปลอดภัย ไม่ใช่แค่สิ่งที่พวกเขาควรทำ แต่ AWS ช่วยเหลือพวกเขาอย่างไร

Matt Garman:
ใช่ ดูสิ มีสิ่งต่าง ๆ ที่ชัดเจน ผมคิดว่าผู้คนกังวลเกี่ยวกับการโจมตีเพื่อเข้าครอบครองและอะไรพวกนั้น และผมคิดว่ามีหลายสิ่งที่เราสามารถทำได้เพื่อช่วยเหลือลูกค้าต่อไปได้ ผมคิดว่าสิ่งหนึ่งที่ลูกค้ากังวลมากขึ้นคือการตระหนักว่าหนึ่งในสินทรัพย์ที่ใหญ่กว่าที่พวกเขาเป็นเจ้าของและส่วนที่สำคัญที่สุดของ IP ก็คือข้อมูลของพวกเขา ลองคิดดูว่าพวกเขาจะปกป้องข้อมูลของตนอย่างไรเพื่อให้มั่นใจว่าข้อมูลจะไม่รั่วไหลออกมา เป็นเรื่องความปลอดภัยในมุมมองที่แตกต่างออกไป แต่เป็นสิ่งสำคัญเมื่อคุณคิดเกี่ยวกับ AI เมื่อคุณคิดเกี่ยวกับการวิเคราะห์ เมื่อคุณคิดเกี่ยวกับชุดข้อมูลที่กว้างขวางนี้ เป็นทั้งวิธีการที่คุณมั่นใจได้ว่าผู้คนภายในบริษัทของคุณและภายนอกบริษัทของคุณ คุณสามารถปกป้องข้อมูลด้วยวิธีที่ถูกต้อง และบางส่วนนั้นเป็นข้อมูลลูกค้าของคุณเอง มันคือข้อมูลที่ระบุตัวตนของบุคคลได้ อาจเป็นเพียงข้อมูลองค์กรที่เป็นกรรมสิทธิ์ของคุณซึ่งเป็นหัวใจสำคัญของสิ่งที่คุณทำ

และผมคิดว่านั่นเป็นประเด็นสำคัญอย่างยิ่งที่ผู้คนกังวลมากขึ้นเรื่อย ๆ เพราะผมคิดว่าหากข้อมูลนั้นรั่วไหลหรือกลายเป็นกรรมสิทธิ์สำหรับพวกเขา ผมคิดว่าลูกค้าจำนวนมากตระหนักดีว่านั่นเป็นส่วนสำคัญของสิ่งที่ทำให้มีคุณค่า นั่นคือหัวข้อที่น่าสนใจที่ผมคิดว่าผู้คนจะยังคงคิดถึงต่อไป จากนั้นผมก็คิดว่ามีอีกมุมมองหนึ่ง ซึ่งผมคิดว่าเรากำลังช่วยเหลือลูกค้าอยู่ เพียงวิธีที่คุณคิดว่าข้อมูลควรอยู่ที่ใด และคุณคิดเกี่ยวกับความอิสระของข้อมูล และวิธีที่คุณคิดเกี่ยวกับการเข้ารหัส และคุณคิดว่าใครเป็นเจ้าของคีย์การเข้ารหัส และมีจำนวนมาก... บางส่วนอาจทำให้ระบบของคุณทำงานได้ยากขึ้น และบางส่วนก็สมเหตุสมผลที่จะทำ แม้ว่าจะเป็นเช่นนั้นก็ตาม ผมจึงคิดว่ามันเป็นระดับการตัดสินใจที่แตกต่างกัน ซึ่งไม่ใช่การตัดสินใจแบบหนึ่งหรือศูนย์ มันไม่ใช่หนึ่งในการตัดสินใจที่มีคำตอบที่ถูกหรือผิดที่ชัดเจน

แต่ผมคิดว่างานของเราคือการช่วยให้ลูกค้าเข้าใจว่าพวกเขาสามารถรักษาสมดุลของสิ่งเหล่านั้นได้อย่างไร โดยหากคุณมีข้อกังวลด้านความอิสระของข้อมูลซึ่งมีสภาพแวดล้อมด้านกฎระเบียบเพิ่มมากขึ้น ซึ่งข้อมูลไม่สามารถออกนอกประเทศหรือไม่ควรออกจากประเทศ แต่คุณจะดำเนินธุรกิจระดับโลกภายใต้ข้อจำกัดเหล่านั้นได้อย่างไร และเมื่อคิดถึงเรื่องนั้น บางทีมันอาจจะใกล้เคียงกับการรักษาความปลอดภัย แต่มันเป็นการควบคุมความปลอดภัย

Clarke Rodgers:
แน่นอน ดังนั้นการปกป้องข้อมูลและการนำข้อมูลเข้าสู่ระบบคลาวด์จริง ๆ จะทำให้การปกป้องข้อมูลตั้งแต่แรกง่ายขึ้น นั่นยังเป็นหนึ่งในข้อกำหนดขั้นพื้นฐานที่สุดที่ผู้คนจำเป็นต้องใช้ประโยชน์ เช่น AI ช่วยสร้าง หากข้อมูลของคุณไม่อยู่ในคลาวด์ คุณไม่สามารถใช้เครื่องมือ AI ช่วยสร้างอันน่าทึ่งมากมายที่มีอยู่ได้

Matt Garman:
เป็นหัวข้อที่น่าสนใจสุด ๆ ที่ผคิดว่าถ้าผมมองย้อนกลับไป 18 ปีที่แล้ว ทุกคนกังวลมาก พวกเขาพูดว่า “ฉันจะไว้วางใจคลาวด์ได้อย่างไร ฉันจะสามารถไว้ใจมากขึ้นกว่านี้ได้อย่างไร... ระบบคลาวด์ปลอดภัยหรือไม่ ฉันอยู่ในสภาพแวดล้อมที่มีผู้เช่าหลายคนที่ดูน่ากลัว“ และตอนนี้ผมอยากจะบอกว่าลูกค้าส่วนใหญ่ได้เปลี่ยนไปแล้วและตระหนักแล้วว่าในระบบคลาวด์นั้นมีความปลอดภัยมากกว่า เรามีความสามารถมากขึ้น เราใช้เงินหลายพันล้านดอลลาร์เพื่อสร้างความปลอดภัยในพื้นที่นั้น พวกเขาไม่ได้ลงทุนแบบนั้นในศูนย์ข้อมูลของพวกเขา

Clarke Rodgers:
ถูกต้อง

Matt Garman:
และนั่นคือความแตกต่างที่สำคัญ มันเป็นการเปลี่ยนแปลงครั้งใหญ่ ผมคิดว่ายังคงมีงานอีกมากสำหรับลูกค้าหลายรายที่จะต้องทำการย้ายและปรับปรุงให้ทันสมัยและไปสู่จุดที่พวกเขาต้องการบนคลาวด์ อันที่จริงแล้ว ลูกค้าส่วนใหญ่หากข้อมูลของพวกเขาเป็นแบบในองค์กร มันจะปลอดภัยน้อยกว่าใช่ไหม พวกเขามีแนวโน้มที่จะถูกแฮกและการโจมตีอื่น ๆ ได้ง่าย และพวกเขาไม่สามารถใช้ประโยชน์จากเทคโนโลยีที่เยี่ยมมากใหม่ ๆ ที่ยิ่งใหญ่ที่สุดมากมายเกี่ยวกับ AI ช่วยสร้าง ข้อมูลและการวิเคราะห์ ความสามารถใหม่ ๆ จากการประมวลผลและพื้นที่จัดเก็บข้อมูล และสิ่งอื่น ๆ ที่คล้ายกันที่เรากำลังเปิดตัว พวกเขาติดอยู่กับสิ่งเก่าที่ตกทอดมา โครงสร้างพื้นฐาน และเทคโนโลยี

Clarke Rodgers:
ภายใต้มุมมองดังกล่าว คุณมีการสนทนาเกี่ยวกับการย้ายและการปรับปรุงให้ทันสมัยกับลูกค้ามากขึ้นหรือไม่

Matt Garman:
ใช่ มันเป็นพลังหนุนที่ยิ่งใหญ่ต่อการเติบโตของธุรกิจ และผมคิดว่าลูกค้าตระหนักถึงเรื่องนี้มากขึ้นและพวกเขาต้องการที่จะก้าวไปให้เร็วขึ้น นี่จึงเป็นส่วนหนึ่งว่าทำไมเราจึงลงทุนในสิ่งต่าง ๆ เช่น การแปลง Q ที่ช่วยปรับปรุงที่เก็บข้อมูลแบบเดิมบางประเภทให้ทันสมัย สิ่งต่าง ๆ เช่น เมนเฟรมหรือ VMware หรือสิ่งเหล่านั้น และช่วยย้ายไปยังระบบคลาวด์ได้เร็วขึ้น

Clarke Rodgers:
และปลอดภัย

Matt Garman:
ผมคิดว่านั่นเป็นเรื่องใหญ่ การย้ายไปยังระบบคลาวด์และเข้าสู่โลกคลาวด์ช่วยในเรื่องการรักษาความปลอดภัย การออกจากระบบ Windows ช่วยรักษาความปลอดภัย การเข้าสู่สถาปัตยกรรมที่ทันสมัยมากกว่าช่วยรักษาความปลอดภัย นั่นคือการเคลื่อนไหวที่สำคัญที่ผู้คนรู้ว่ามีความเสี่ยงในปัจจุบัน และผมคิดว่ามันช่วยกระตุ้นให้ผู้คนเคลื่อนไหวเร็วขึ้น

Clarke Rodgers:
คุณมีคำแนะนำใด ๆ ให้กับ CEO ของลูกค้าที่คุณร่วมงานด้วยเกี่ยวกับประเภทของคำถามที่พวกเขาควรจะถามทีมรักษาความปลอดภัยของพวกเขาหรือไม่

Matt Garman:
มีสิ่งต่าง ๆ มากมาย ผมคิดว่า อันดับหนึ่งเลย เมื่อคุณเลือกผู้ให้บริการคลาวด์ คุณคิดอย่างไรเกี่ยวกับประวัติความปลอดภัย และผลงานที่ผ่านมาเป็นอย่างไร และคุณรู้ได้อย่างไรว่าสิ่งที่คุณกำลังจะย้ายเข้าไปมีมาตรฐานที่ถูกต้อง และจริง ๆ แล้ววัฒนธรรมนั้นคือการทำให้แน่ใจว่าผลิตภัณฑ์ใหม่ทั้งหมด ข้อเสนอใหม่ทั้งหมด และสิ่งใหม่ ๆ ทั้งหมดเริ่มต้นด้วยรากฐานของการคำนึงถึงความปลอดภัยของลูกค้า แล้วผมคิดว่ามันจากมุมมองของลูกค้าคือคุณสร้างวัฒนธรรมอย่างไร

เพราะมันเป็นความจริง มันจึงเป็นโมเดลที่ใช้ร่วมกัน และนั่นเป็นส่วนสำคัญอย่างยิ่งในการทำงานร่วมกัน และเราทำงานร่วมกับลูกค้ารายใหญ่ที่สุดของเราทั้งหมดเพื่อให้แน่ใจว่าพวกเขามีสถาปัตยกรรมที่ถูกต้อง พวกเขามีการตั้งค่าที่ถูกต้อง พวกเขาคิดว่าคุณคิดอย่างไรเกี่ยวกับบัญชีรูทเทียบกับสิทธิ์อนุญาตบัญชีของพวกเขา และพวกเขาคิดอย่างไรเกี่ยวกับสิทธิ์ IAM ของพวกเขา และพวกเขาคิดอย่างไรเกี่ยวกับการเข้ารหัสข้อมูลและปกป้องคีย์บัญชีของพวกเขาและสิ่งต่าง ๆ อะไรพวกนั้น และลูกค้าก็ต้องทำส่วนนั้นด้วยเช่นกัน และผมขอแนะนำ CEO ทั้งหลายว่าพวกเขาควรมีกระบวนการที่คล้ายกับกระบวนการที่เราพูดถึงนี้ ซึ่งเป็นกระบวนการรักษาความปลอดภัยรายสัปดาห์ที่ขับเคลื่อนด้วยแนวปฏิบัติที่ดีที่สุด มีระบบรักษาความปลอดภัยบางส่วนใน AWS ที่คุณสามารถไว้วางใจได้อย่างแน่นอน และนั่นคือความรับผิดชอบของเรา

Matt Garman:
และคุณไม่ต้องกังวลเกี่ยวกับเรื่องนั้น มีหลายส่วนที่คุณไม่ต้องกังวล คุณไม่ต้องกังวลเกี่ยวกับการรักษาความปลอดภัยของศูนย์ข้อมูล คุณไม่ต้องกังวลเกี่ยวกับสิ่งเหล่านั้น คุณไม่ต้องกังวลการรักษาความปลอดภัย Hypervisor ส่วนต่าง ๆ พวกนี้ทั้งหมดทเป็นส่วนที่เราเป็นฝ่ายดูแล แต่มีบางส่วนอยู่ในส่วนของแอปพลิเคชันที่บริษัทต่าง ๆ ต้องกังวล และเพื่อจุดประสงค์นั้น จึงถือเป็นสิ่งสำคัญอย่างยิ่งที่จะต้องมีกลไกประเภทเดียวกัน โดยที่ CISO ของพวกเขาจะตรวจสอบทุกสัปดาห์ และเน้นย้ำถึงจุดที่พวกเขาคิดว่าสามารถยกระดับมาตรฐานด้านการรักษาความปลอดภัยของแอปพลิเคชันของตนได้ และอย่างไรก็ตาม เราอยากเป็นพาร์ทเนอร์ที่เป็นส่วนหนึ่งของส่วนต่าง ๆ เหล่านั้น

Clarke Rodgers:
แน่นอน

Clarke Rodgers:
คุณจะให้คำแนะนำอะไรกับ CISO ของลูกค้าเกี่ยวกับวิธีการรายงานความเสี่ยงต่อผู้นำ แล้วคุณอยากให้มีการกำหนดกรอบความเสี่ยงจากมุมมองด้านความปลอดภัยอย่างไร

Matt Garman:
ใช่ ผมคิดว่า สิ่งที่สำคัญอันดับหนึ่งและสำคัญที่สุดคือการยกระดับอย่างรวดเร็วและมีความโปร่งใส หากมีความเสี่ยงที่แท้จริงในองค์กร การปกปิดข่าวร้ายไม่เคยเป็นคำตอบที่ถูกต้อง ดังนั้นผมจึงอยากรู้จัก Chris CISO ของเรา หากมีปัญหาที่ผมจำเป็นต้องรู้ เขาจะแจ้งให้ผมทราบทันที และอีกสองชั่วโมงต่อมาก็ไม่ดี ผมจำเป็นต้องทราบเรื่องนี้โดยเร็วที่สุดเท่าที่จะเป็นไปได้และเพื่อที่เราจะสามารถดึงบุคลากรที่เหมาะสมทั้งหมดเข้ามาได้ และผมอยากจะแนะนำว่าสิ่งหนึ่งที่ผมอยากแนะนำก็คือ ความเร็วเป็นสิ่งสำคัญมาก โดยเฉพาะอย่างยิ่งเมื่อมีปัญหาเรื่องความปลอดภัยที่เร่งด่วนใด ๆ ดังนั้นการเคลื่อนไหวอย่างรวดเร็วจึงมีความสำคัญจริง ๆ การดึงผู้คนเข้ามาในห้องและดึงปลายสายไว้และทำให้แน่ใจว่าคุณทิ้งทุกสิ่งทุกอย่างและทำสิ่งนั้นให้สำเร็จ และไม่ว่าจะเป็นการส่งข้อความถึงลูกค้าที่คุณต้องทำ ไม่ว่าจะเป็นการกระทำที่คุณต้องทำ ไม่ว่าจะมีสิ่งอื่นหรือไม่ ซึ่งมีความสำคัญอย่างเหลือเชื่อ และความเร็วในการเคลื่อนที่ก็มีความสำคัญอย่างเหลือเชื่อในแนวหน้านั้น

อีกอย่างแค่... นอกจากนี้ สำหรับปัญหาที่ไม่เร่งด่วนมากนัก ซึ่งเป็นเรื่องที่สำคัญแต่ไม่จำเป็นต้องเร่งด่วนนั้น ฉันคิดว่าคุณควรสร้างวัฒนธรรมแห่งการไม่ทอดทิ้งผู้อื่นและไม่กล่าวโทษใคร แต่ให้มุ่งเน้นไปที่ปัญหานั้นจริง ๆ และแก้ไข...

Clarke Rodgers:
กลับไปที่ประเด็นนั้น

Matt Garman:
ผมคิดว่ามันเป็นความแตกต่างที่ละเอียดอ่อน แต่สิ่งนี้เปลี่ยนแปลงความโปร่งใสของทีมของคุณอย่างแท้จริง รวมถึงการที่พวกเขาฝังปัญหาไว้แทนที่จะหยิบยกขึ้นมาพูดถึง และบริษัทและธุรกิจจะไม่ดีขึ้นเลยหากคุณไม่สามารถโปร่งใสและเรียนรู้จากสิ่งที่ไม่เป็นไปด้วยดี และการรักษาความปลอดภัยก็เป็นเรื่องยาก และอย่างไรก็ตาม ทุกคนกำลังค้นหาสิ่งใหม่ ๆ ทุกวัน ดังนั้นมันจึงเป็นหัวข้อที่ยากลำบาก มันเป็นหัวข้อที่เคลื่อนไหวอย่างรวดเร็ว คุณต้องเรียนรู้และคุณต้องเต็มใจที่จะเรียนรู้ ซึ่งหมายถึงทุกอย่างจะไม่สมบูรณ์แบบ และคุณต้องเรียนรู้จากมัน และพัฒนามันให้ดีขึ้น และพยายามคิดหาวิธีบรรเทาผลกระทบ และทีมทั้งหมดของคุณจะสามารถพัฒนาตัวเองได้ดีขึ้นอย่างไร แต่คุณจะไม่ได้รับสิ่งนั้นหากคุณไม่สนับสนุนความโปร่งใสนั้น ผมคิดว่าสิ่งเหล่านี้เป็นบางสิ่งที่ผมอยากแนะนำให้ทุกคนลองคิดถึง

Clarke Rodgers:
เป็นคำแนะนำที่ยอดเยี่ยมมาก Matt ขอบคุณมากครับที่มาร่วมพูดคุยกับในวันนี้

Matt Garman:
ครับ ขอบคุณที่เชิญผมมาในวันนี้

ฟังเลย

ฟังเลย

ฟังเลย