Bảo mật là cốt lõi của AWS

Clarke Rodgers:
Chào mừng bạn đến với Podcast Executive Insights, được thực hiện bởi AWS. Tôi là Clarke Rodgers, Giám đốc chiến lược doanh nghiệp. Tôi sẽ là người hướng dẫn bạn trong một loạt các cuộc trò chuyện với các nhà lãnh đạo bảo mật.

Hôm nay tôi tham gia cùng Matt Garman, Giám đốc điều hành của HAQM Web Services. Hãy lắng nghe chúng tôi thảo luận thêm về văn hóa bảo mật của HAQM, quan điểm của chúng tôi về đầu tư vào bảo mật và cách khách hàng có thể tận dụng đám mây AWS để bảo mật môi trường của họ. Hãy thưởng thức.

Matt Garman, Giám đốc điều hành của HAQM Web Services. Cảm ơn anh rất nhiều vì đã tham gia ngày hôm nay.

Matt Garman:
Vâng, chắc chắn rồi. Cảm ơn vì đã mời tôi.

Clarke Rodgers:
Anh là giám đốc sản phẩm đầu tiên của AWS. Anh có thể đưa tôi trở lại thời điểm đó và cách bảo mật được củng cố như một phần trong công việc của anh không?

Matt Garman:
Thực ra công việc đầu tiên của tôi là thực tập tại một trường kinh doanh cho AWS trước khi chúng tôi ra mắt vào năm 2005. Ngay từ ngày đầu tiên, Andy Jassy đã nhấn mạnh để chúng tôi ghi nhớ rằng bảo mật là ưu tiên trước hết. Bất kể tình hình thế nào, bảo mật là điều đầu tiên mà chúng tôi phải nghĩ đến. Vì vậy, khi nghĩ về những ngày đầu tiên của AWS, chúng tôi đã liên tục suy nghĩ về ý nghĩa của bảo mật. Chúng tôi nghĩ thế nào về bảo mật? Chúng tôi nghĩ thế nào về sự cô lập? Đặc biệt, vào thời điểm đó, có rất nhiều lo ngại về việc tin tưởng giao dữ liệu của mình cho người khác. Và tôi nghĩ đó là sự thiên vị đúng đắn khi tập trung hết mức vào bảo mật, thiên vị đúng đắn khiến chúng tôi cẩn trọng hơn trong việc cô lập, cô lập khối lượng công việc của khách hàng, nhưng cũng là bảo mật đối với chính chúng tôi và cách nghĩ về hoạt động truy cập dữ liệu khách hàng, cũng như cách nghĩ về việc bảo vệ dữ liệu khách hàng. Đó là một sự tập trung rất lớn đối với chúng tôi từ rất sớm. Đó là một lĩnh vực đầu tư lớn đối với chúng tôi và tất nhiên vẫn như vậy cho đến ngày hôm nay.

Chúng tôi vẫn tiếp tục điều chỉnh quy mô lớn hơn khi các mối đe dọa bảo mật ngày càng lớn. Chúng tôi ngày càng suy nghĩ nhiều hơn về cách vừa bảo vệ bảo mật của đám mây, như bảo mật của riêng chúng tôi và bảo vệ khối lượng công việc của khách hàng theo cách đó, mà còn cung cấp các công cụ cho khách hàng để họ có thể bảo vệ khối lượng công việc của chính mình trong mô hình trách nhiệm chung. Vì vậy, trong tất cả những gì chúng tôi làm, đó là điều đầu tiên mà chúng tôi yêu cầu các nhà phát triển cần suy nghĩ. Đó là điều đầu tiên mà chúng tôi yêu cầu các nhân viên của trung tâm dữ liệu suy nghĩ từ bảo mật vật lý, bảo mật logic, bảo mật phần mềm, bảo trì phần mềm và dịch vụ, cũng như việc vận hành các dịch vụ. Đó là ưu tiên và trung tâm của mọi thứ chúng tôi làm.

Clarke Rodgers:
Khi hành trình của anh tiến triển qua các vị trí tại AWS và đặc biệt ở hiện tại trong vai trò Giám đốc điều hành, anh đã làm như thế nào để giữ cho các nhà lãnh đạo doanh nghiệp trong AWS chịu trách nhiệm về tính bảo mật của hoạt động và lĩnh vực kinh doanh thực tế của họ?

Matt Garman:
Đầu tiên, đòn bẩy lớn nhất, đòn bẩy mà tôi nghĩ chúng ta có đó là sự tập trung vào văn hóa. Chúng tôi tập trung vào việc đảm bảo các nhà lãnh đạo biết rằng bảo mật là trách nhiệm của họ và họ nên suy nghĩ về nó. Vì vậy chúng tôi có một vài cơ chế mà chúng tôi sử dụng để thực thi điều đó và đảm bảo rằng họ đang học hỏi. Tôi nghĩ rằng khi mọi người đến từ các môi trường khác, họ không thực sự có thiên kiến tương tự và ở những nơi khác, bảo mật không nhất thiết phải được đặt lên hàng đầu. Họ thực thi bảo mật sau, hoặc đó là vấn đề của người khác hoặc có thể đội ngũ bảo mật sẽ chịu trách nhiệm về bảo mật. Thực ra bạn đang ở trong đội ngũ bảo mật. Chúng tôi không dựa vào bạn để đảm bảo tính bảo mật. Mọi người đều có trách nhiệm về bảo mật. Bạn là một phần quan trọng trong hành trình giúp chúng tôi xây dựng các phương pháp tốt nhất và tăng cường bảo mật.

Nhưng chúng ta thực sự phải xây dựng điều này như một phần của văn hóa. Vì vậy khi có trưởng bộ phận kỹ thuật và trưởng bộ phận sản phẩm tham gia, họ chắc chắn phải học hỏi điều này. Họ phải nghĩ về trách nhiệm đó như một điều nghiêm túc đối với sản phẩm của mình. Chúng tôi có một số cơ chế để xem xét, cố gắng khuyến khích các nhà lãnh đạo suy nghĩ về cách cải thiện bảo mật cũng như đảm bảo sản phẩm của họ được bảo mật. Đó là lý do tại sao có nhiều lớp bảo vệ và chúng ta có thể tìm cách nào khác để liên tục cải thiện? Bởi vì công việc của chúng tôi và lời hứa mà chúng tôi đưa ra cho khách hàng là: “Chúng tôi sẽ không ngừng cải thiện”, phải không? Bối cảnh bảo mật ngoài kia càng khó khăn hơn, những kẻ xấu càng có kỹ năng tốt hơn, vì vậy chúng ta phải tiếp tục có nhiều lớp bảo vệ hơn. Cần phải tìm những cơ chế mà bạn có thể củng cố điều đó với các nhà lãnh đạo của mình, nơi bạn không trừng phạt, không phải lý do để phạt, mà là hiểu rằng chúng ta sẽ không xuất xưởng sản phẩm nếu nó không đạt tiêu chuẩn bảo mật phù hợp.

Chúng ta thậm chí sẽ không bắt tay vào làm nếu không nghĩ rằng nó có cấu trúc phù hợp cho việc cô lập bảo mật. Lần đầu tiên một sản phẩm không được ra mắt bởi vì chúng tôi nghĩ rằng nó không đáp ứng tiêu chuẩn phù hợp để phân phối hoặc khi chúng tôi đọc một đề xuất sản phẩm mới và cảm thấy: “Tôi không thích cách suy nghĩ về kiến trúc cụ thể này mà không áp dụng được.” Thông điệp đó được củng cố và tôi nghĩ nó thúc đẩy rất nhiều hành vi đúng đắn.

Clarke Rodgers:
Anh đã đề cập đến các cơ chế. Vào mùa trước, tôi đã có cơ hội phỏng vấn CISO của AWS và anh ấy đã mô tả cuộc họp hàng tuần giữa CEO và CISO. Anh có thể nói một chút về những lợi ích mà anh nhận được từ cuộc họp đó không?

Matt Garman:
Được thôi. Chắc chắn rồi, có một vài lợi ích. Thứ nhất, đây là cơ hội tuyệt vời để giúp củng cố mối quan hệ với các nhà lãnh đạo của chúng ta, và một cách thẳng thắn, đây là cơ hội học hỏi tuyệt vời cho bản thân tôi cũng như tất cả chúng ta. Vì vậy hàng tuần chúng tôi có cuộc họp để xem xét. Thông thường... Trên thực tế, hầu như mọi lúc, chúng tôi tìm kiếm các vấn đề bảo mật mà sẽ trở thành vấn đề nếu chúng tôi không phát hiện ra hoặc không có các biện pháp kiểm soát giảm nhẹ khác. Nhưng đó là cơ hội rất tốt để đào sâu và hiểu những điểm nghẽn mà chúng tôi có thể đã bỏ lỡ, tại sao điều này lại lọt qua, nó đang ở đâu. Từ đó chúng tôi xác định được một kiểu quan ngại mới mà chúng tôi muốn giao cho một loạt các đội ngũ khác nhau. Vì vậy, chúng tôi thực hiện việc này mỗi tuần và tìm kiếm cơ hội xung quanh tất cả các đội ngũ trên AWS. Tại đó chúng tôi muốn đào sâu hơn một chút để tìm hiểu xem có thể xây dựng cơ chế này ở đâu trên thực tế.

Tôi nghĩ rằng cơ chế này rất mạnh mẽ, vì thứ nhất, đây là cơ hội tuyệt vời để chỉ dạy những nhà lãnh đạo này cách thực sự suy nghĩ và đào sâu. Trong cuộc gọi hoặc trong phòng họp, có rất nhiều nhà lãnh đạo tham gia sẽ cùng nhau đào sâu những vấn đề này và hiểu rõ tình hình. Và thường chúng tôi sẽ tranh luận qua lại về mặt lợi-hại của việc thực hiện A hoặc B, vì nhiều khi, đây là những vấn đề tinh vi mà khi chúng tôi cố gắng ra quyết định, sẽ không có đáp án rõ ràng như: “Bạn quên đóng một cổng rồi”. Không phải đơn giản như vậy, phải không?

Vấn đề kiểu này không đơn giản như vậy. Mà vấn đề tinh vi hơn như: “Điều này có thể xảy ra hoặc điều kia có thể xảy ra.” Hoặc đó là một trường hợp đặc biệt mà chúng tôi đang xem xét. Sau đó chúng tôi làm theo cơ chế là: “Được rồi, tuyệt vời. Hiện tại chúng ta đã hoàn thành điều này, làm thế nào để nói chuyện với 50, 100 đội ngũ khác có thể gặp vấn đề tương tự và đảm bảo rằng chúng ta truyền đạt được bài học đó?” Và điều đó cũng giúp chúng tôi trong vai trò lãnh đạo, khi đến để lắng nghe hết tuần này đến tuần khác, nơi chúng tôi có thể thực sự bồi đắp kiến thức và hiểu biết của mình, cũng như nghĩ về các lĩnh vực khác mà chúng tôi cần xem xét. Đây thực sự là một lời nhắc nhở rất mạnh mẽ cho tất cả chúng tôi về cách tư duy, cũng như là cơ hội học hỏi lẫn nhau để tiếp tục cải thiện tốt hơn.

Clarke Rodgers:
Và điều đó khiến bảo mật trở thành nhịp điệu của doanh nghiệp.

Matt Garman:
Đúng vậy. Tôi nghĩ phần quan trọng khác của điều đó là... Tôi nghĩ sai lầm là ở chỗ một số người cho rằng cơ chế kiểu đó nghĩa là chúng ta sẽ la mắng người khác khi họ mắc sai lầm. Điều này thực sự rất quan trọng, bạn không muốn biến việc nêu lên một vấn đề trong cuộc họp thành lý do để trừng phạt. Theo một cách nào đó, thật tốt khi bạn đã cảnh báo và phát hiện ra điều đó, và tất cả chúng ta đều học hỏi từ vấn đề này. Vì vậy tôi nghĩ điều đó cũng quan trọng, bởi vì chúng ta không muốn văn hóa doanh nghiệp mà đội ngũ lại muốn che giấu vấn đề và nghĩ rằng: “Tôi không muốn ai phát hiện ra điều này bởi vì tôi không muốn bị la mắng.” Vì vậy bạn thực sự muốn khuyến khích một văn hóa mà mọi người sẵn sàng đưa vấn đề ra ánh sáng để cả tổ chức có thể học hỏi.

Clarke Rodgers: 
Và đảm bảo rằng chúng ta đang tập trung vào vấn đề chứ không phải con người.

Matt Garman:
Đúng vậy. Đúng vậy.

Clarke Rodgers:
Ngoài ra, cuộc họp này còn có hiệu ứng lan truyền xuống dưới. Mọi người biết rằng Giám đốc điều hành đang dành ra ít nhất một giờ mỗi tuần để tìm hiểu mọi thứ về bảo mật. Vì vậy, tôi tin rằng điều đó giúp ích cho văn hóa bảo mật tổng thể của chúng ta trong toàn tổ chức và củng cố tầm quan trọng của nó.

Matt Garman:
Có thể. Tôi nghĩ điều đó có lẽ đúng.

Clarke Rodgers:
Khi nhìn vào tương lai của AWS từ ba đến năm năm tới, kế hoạch của anh về bảo mật và tuân thủ, các vấn đề quy định, v.v. nói chung là gì?

Matt Garman:
Như tôi đã nói, tôi nghĩ rằng không có tín hiệu nào trên thị trường cho thấy bảo mật đang trở nên ít quan trọng hơn, cũng như những kẻ xấu đang bớt tinh vi hơn. Vì vậy, đây phải là khía cạnh mà chúng ta tiếp tục đầu tư và sẽ đầu tư, bởi vì tôi nghĩ đó là một trong những điều phân biệt rất rõ ràng AWS với các doanh nghiệp khác, đặc biệt là ở khả năng. Nhưng thành thật mà nói, ngay cả so với các nhà cung cấp đám mây khác, khả năng của AWS thực sự mang lại khác biệt. Và chúng ta muốn duy trì điều đó.

Tôi nghĩ rằng trong vài năm tới, sẽ có thêm các diện tích bề mặt mà chúng ta phải nghĩ cách để bảo mật. Tôi nghĩ rằng với AI, có một loạt các véc-tơ tấn công khác cần phải nghĩ đến, cũng như véc-tơ thoát và cách thức bảo mật... Tôi lạc quan rằng AI là công cụ, khả năng và công nghệ vô cùng mạnh mẽ mang lại nhiều giá trị cho các doanh nghiệp, và có lẽ AI cũng là công cụ mạnh mẽ cho kẻ xấu, cũng như để giúp tìm ra và giải quyết các vấn đề bảo mật. Vì vậy, tôi nghĩ chúng ta sẽ tận dụng AI để tìm cách tiếp tục cải thiện các dịch vụ và bảo mật cơ bản của mình. Nhưng tôi cũng nghĩ đây là một trong những điều sẽ làm tăng khối lượng diện tích bề mặt mà chúng ta phải bảo vệ.

Vì vậy tôi nghĩ rằng trong lĩnh vực này, chúng ta sẽ phải tăng gấp đôi, gấp ba nỗ lực của mình và chúng ta đã làm như vậy. Tôi nghĩ rằng trong vòng ba đến năm năm tới, đó chắc chắn sẽ là lĩnh vực mà chúng ta cần nghĩ đến. Và một điều quan trọng khác là vì lĩnh vực này đang di chuyển nhanh, đôi khi mọi người sẽ bị cám dỗ rằng: “Đúng rồi, chúng ta có thể lách qua vấn đề này và sẽ thực hiện bảo mật sau.”

Đối với tôi, đó không phải là một sự đánh đổi chấp nhận được đối với chúng ta. Khi chúng ta nghĩ đâu là ranh giới cách ly phù hợp và nghĩ về thời điểm thích hợp để ra mắt sản phẩm hoặc dịch vụ hoặc bất cứ điều gì, đó không phải là một trong những... Đó không phải là một lĩnh vực mà tôi sẵn sàng đưa ra bất kỳ thỏa hiệp nào, nhưng tôi nghĩ có lẽ có một chút cám dỗ. Vì vậy chúng ta phải tiếp tục đào tạo đội ngũ của mình. Và tôi chắc chắn rằng các doanh nghiệp khác trên thị trường sẽ bị cám dỗ bỏ qua bước đó để di chuyển nhanh chóng. Tôi cá rằng đó sẽ là lựa chọn sai trong dài hạn.

Clarke Rodgers:
Đúng vậy. Gắn yếu tố bảo mật vào sau cùng dường như không bao giờ có tác dụng.

Matt Garman:
Hiện tại có một số bằng chứng trên thị trường cho thấy cách đó cực kỳ tốn kém cho nhà cung cấp đám mây cũng như khách hàng cuối.

Clarke Rodgers:
Chắc chắn rồi. Hãy chuyển chủ đề một chút về khách hàng. Anh gặp rất nhiều CEO khách hàng. Họ đang nói gì với anh về vấn đề bảo mật, không chỉ những gì họ nên làm mà còn về cách AWS đang hỗ trợ họ?

Matt Garman:
Đúng vậy. Nhìn chung, có những vấn đề hiển nhiên. Tôi nghĩ rằng mọi người đang lo lắng về các cuộc tấn công chiếm đoạt và những thứ tương tự. Và tôi tin rằng có rất nhiều điều mà chúng ta có thể làm để tiếp tục hỗ trợ khách hàng trong lĩnh vực này. Tuy nhiên, một trong những điều mà ngày càng nhiều khách hàng lo ngại đó là họ nhận ra rằng một trong những tài sản lớn hơn mà họ sở hữu và là phần quan trọng nhất trong tài sản trí tuệ của họ chính là dữ liệu. Vậy hãy nghĩ về việc làm thế nào để họ có các biện pháp bảo vệ dữ liệu theo cách đảm bảo rằng dữ liệu không bị rò rỉ ra ngoài? Đó là bảo mật từ một góc độ khác, nhưng điều này rất quan trọng khi nghĩ đến AI, nghĩ đến phân tích, nghĩ đến tập dữ liệu rộng lớn này. Điều này liên quan đến việc làm thế nào để đảm bảo rằng cả những người bên trong công ty và bên ngoài công ty đều có thể bảo vệ dữ liệu một cách đúng đắn. Và một phần trong số đó là dữ liệu khách hàng của chính bạn. Đó có thể là thông tin nhận dạng cá nhân. Đó cũng có thể chỉ là dữ liệu doanh nghiệp độc quyền mà bạn có, là cốt lõi cho những điều bạn làm.

Và tôi nghĩ rằng ngày càng nhiều người đang lo ngại về lĩnh vực cực kỳ quan trọng này vì nếu dữ liệu đó bị rò rỉ ra ngoài hoặc không còn là tài sản độc quyền đối với họ nữa, thì nhiều khách hàng nhận ra rằng đó là một phần quan trọng trong việc tạo nên giá trị. Do đó, đây là một lĩnh vực thú vị mà tôi nghĩ mọi người sẽ tiếp tục nghĩ đến. Ngoài ra, có một góc nhìn khác mà tôi nghĩ chúng ta đang giúp khách hàng, đó là cách bạn nghĩ về nơi lưu trữ dữ liệu, về chủ quyền dữ liệu và cách bạn nghĩ về mã hóa cũng như ai là người sở hữu khóa mã hóa. Và có rất nhiều... Một số khía cạnh có thể khiến hệ thống của bạn khó vận hành hơn nhiều, nhưng một số khía cạnh lại hoàn toàn hợp lý để thực hiện, ngay cả khi điều đó xảy ra. Vì vậy, tôi nghĩ đó là một cấp độ quyết định khác, không phải là quyết định chỉ có đúng hoặc sai. Đó không phải là một trong những quyết định mà có một câu trả lời rõ ràng đúng hay sai.

Nhưng tôi nghĩ nhiệm vụ của chúng ta là giúp khách hàng hiểu cách họ có thể cân bằng một số khía cạnh đó, đặc biệt là khi bạn có mối lo ngại về chủ quyền dữ liệu trong bối cảnh môi trường quy định ngày càng tăng, khi dữ liệu không thể rời khỏi một quốc gia hoặc không nên rời khỏi một quốc gia. Vậy làm thế nào bạn vận hành một công ty toàn cầu dưới những ràng buộc đó? Và khi suy nghĩ về điều đó, có thể rất gần gũi với bảo mật, nhưng thực ra đó cũng có thể được coi là một biện pháp kiểm soát bảo mật.

Clarke Rodgers:
Chắc chắn rồi. Việc bảo vệ dữ liệu và thực sự đưa dữ liệu vào đám mây có thể giúp dễ dàng bảo vệ dữ liệu ngay từ đầu. Điều này cũng là một trong những yêu cầu cơ bản nhất mà mọi người cần tận dụng để sử dụng các công nghệ như AI tạo sinh. Nếu dữ liệu của bạn không nằm trong đám mây, bạn không thể sử dụng nhiều công cụ AI tạo sinh tuyệt vời này.

Matt Garman:
Đó là một lĩnh vực cực kỳ thú vị mà nếu tôi nhìn lại 18 năm trước, mọi người đều rất lo lắng. Họ tự hỏi: “Làm thế nào tôi có thể tin tưởng đám mây? Làm thế nào tôi có thể... Đám mây có bảo mật không? Tôi đang ở trong một môi trường nhiều khách thuê, điều đó có vẻ đáng sợ.” Tuy nhiên, bây giờ tôi có thể nói rằng phần lớn khách hàng đã thay đổi quan điểm và thực sự nhận ra rằng họ an toàn hơn trên đám mây. Chúng ta có nhiều khả năng hơn. Chúng ta chi hàng tỷ đô la để xây dựng bảo mật trong không gian đó. Họ không làm điều đó trong các trung tâm dữ liệu của họ.

Clarke Rodgers:
Đúng vậy.

Matt Garman:
Và đó là một sự khác biệt lớn. Đó là sự thay đổi lớn. Tôi nghĩ rằng vẫn còn rất nhiều công việc mà nhiều khách hàng cần thực hiện để hoàn thành việc di chuyển và hiện đại hóa, cũng như đạt được những gì họ mong muốn trên đám mây. Trên thực tế, hầu hết khách hàng, nếu dữ liệu của họ là tại chỗ, thì sẽ bảo mật kém hơn, phải không? Họ dễ bị tin tặc tấn công và gặp các cuộc tấn công khác như vậy. Họ không thể tận dụng nhiều công nghệ mới tuyệt vời xung quanh AI tạo sinh, xung quanh dữ liệu và phân tích, xung quanh những khả năng mới từ điện toán và lưu trữ, cũng như những thứ khác mà chúng ta đang triển khai. Họ bị mắc kẹt trong cơ sở hạ tầng và công nghệ lạc hậu.

Clarke Rodgers:
Dưới góc độ đó, anh có nhiều cuộc trò chuyện hơn với khách hàng về di chuyển và hiện đại hóa không?

Matt Garman:
Đúng vậy. Đây là một động lực lớn thúc đẩy sự phát triển của doanh nghiệp. Tôi nghĩ rằng ngày càng có nhiều khách hàng nhận ra điều này và họ chỉ muốn thực hiện nhanh hơn. Đó cũng là lý do tại sao chúng ta đã đầu tư vào những giải pháp như chuyển đổi Q, giúp hiện đại hóa một số kho chứa dữ liệu cũ, những giải pháp như máy tính lớn hay VMware và giúp di chuyển lên đám mây nhanh hơn.

Clarke Rodgers:
Và bảo mật.

Matt Garman:
Tôi nghĩ đó là một điều quan trọng. Việc di chuyển lên đám mây và chuyển sang thế giới đám mây giúp tăng cường bảo mật. Rời khỏi Windows cũng giúp tăng cường bảo mật. Chuyển sang kiến trúc hiện đại hơn cũng giúp tăng cường bảo mật. Những bước chuyển đó là quan trọng và mọi người nhận thức được rủi ro ngày nay nếu không thực hiện. Tôi nghĩ điều này giúp thúc đẩy mọi người di chuyển nhanh hơn.

Clarke Rodgers:
Anh có lời khuyên nào cho các CEO khách hàng mà anh tương tác, rằng họ nên hỏi những loại câu hỏi nào cho nhóm bảo mật của họ?

Matt Garman:
Có rất nhiều điều. Tôi nghĩ, điều đầu tiên, khi bạn chọn nhà cung cấp dịch vụ đám mây, bạn nghĩ như thế nào về lịch sử bảo mật và những thành tích đã đạt được? Làm thế nào bạn biết rằng những thứ bạn đang chuyển vào có đạt yêu cầu không? Đó thực sự là văn hóa đảm bảo rằng mỗi sản phẩm mới, mỗi dịch vụ mới và mọi thứ mới đều bắt đầu từ một nền tảng coi trọng bảo mật của khách hàng. Từ góc độ khách hàng, tôi nghĩ rằng cũng cần xem xét bạn đang xây dựng văn hóa như thế nào trong tổ chức của mình?

Bởi vì đúng là, đây là mô hình chung. Đó là yếu tố cực kỳ quan trọng để có thể làm việc cùng nhau. Chúng ta làm việc với tất cả các khách hàng lớn nhất của mình để đảm bảo rằng họ có kiến trúc phù hợp, thiết lập phù hợp và suy nghĩ về tài khoản gốc so với quyền truy cập của các tài khoản khác. Họ cũng cần xem xét cách quản lý quyền IAM của mình, cách thức mã hóa dữ liệu và bảo vệ các khóa tài khoản của mình, cùng với nhiều vấn đề khác. Khách hàng cũng phải thực hiện phần đó. Vì vậy, tôi khuyên các CEO nên có một quy trình tương tự như vậy, đó là quy trình mà chúng ta đã nói đến, bảo mật hàng tuần, nhằm thúc đẩy phương pháp tốt nhất. Có những phần của bảo mật trong AWS mà bạn hoàn toàn có thể tin tưởng, và đó là trách nhiệm của chúng tôi.

Matt Garman:
Bạn không phải lo lắng về điều đó. Có rất nhiều phần mà bạn không cần phải lo lắng. Bạn không cần phải lo lắng về bảo mật trung tâm dữ liệu. Bạn không cần phải lo lắng về bất kỳ điều gì trong số đó. Bạn không cần phải lo lắng về bảo mật phần mềm giám sát máy ảo, tất cả những phần đó là trách nhiệm của chúng tôi, chúng tôi đảm bảo. Nhưng có một số phần trong không gian ứng dụng mà các công ty cần phải lưu tâm. Và để làm điều đó, việc có một cơ chế tương tự là cực kỳ quan trọng, trong đó Giám đốc bảo mật thông tin (CISO) của họ sẽ xem xét hàng tuần và chỉ ra những lĩnh vực mà họ có thể nâng cao tiêu chuẩn trong bảo mật ứng dụng của mình. Và nhân tiện, chúng ta rất muốn trở thành đối tác trong phần đó.

Clarke Rodgers:
Chắc chắn rồi.

Clarke Rodgers:
Anh sẽ đưa ra lời khuyên nào cho CISO của khách hàng về cách báo cáo rủi ro tới cấp lãnh đạo? Vậy anh muốn rủi ro được trình bày như thế nào từ góc độ bảo mật?

Matt Garman:
Đúng vậy. Tôi nghĩ rằng báo cáo lên cấp trên nhanh chóng và minh bạch là những yếu tố quan trọng hàng đầu. Nếu thực sự có rủi ro trong doanh nghiệp, việc giấu đi tin xấu không bao giờ là lựa chọn đúng đắn. Tôi biết rằng Chris – CISO của chúng tôi, nếu có một sự cố mà tôi cần biết, anh ấy sẽ báo cho tôi ngay lập tức, nếu chậm hai giờ là không tốt. Tôi cần biết càng sớm càng tốt để tập hợp tất cả những người phù hợp. Đây là một trong những điều tôi khuyến nghị bởi vì tốc độ đóng vai trò rất quan trọng, đặc biệt khi có bất kỳ sự cố bảo mật khẩn cấp nào. Vì vậy việc di chuyển nhanh thực sự quan trọng. Khi tập hợp mọi người trong một căn phòng, điều khiển tình huống và chắc chắn rằng chúng ta gạt tất cả công việc sang một bên để kiểm soát tình hình, bất kể là phải truyền thông điệp cho khách hàng, hoặc cần hành động, hoặc những việc khác, điều đó vô cùng quan trọng. Do đó tốc độ trong việc xử lý vấn đề đó là vô cùng quan trọng.

Vấn đề còn lại là... Đối với những vấn đề ít khẩn cấp hơn, nghĩa là quan trọng nhưng không nhất thiết là khẩn cấp, tôi nghĩ rằng chúng ta cần xây dựng văn hóa không chỉ trích và không đổ lỗi cho cá nhân, mà thực sự tập trung vào vấn đề đó và dồn hết lực...

Clarke Rodgers:
Quay lại vấn đề đó.

Matt Garman:
Tôi nghĩ rằng đây là sự khác biệt tinh tế, nhưng nó thực sự thay đổi mức độ minh bạch của đội ngũ và mức độ mà họ né tránh hay nêu lên vấn đề. Doanh nghiệp và công việc kinh doanh sẽ không cải thiện nếu chúng ta không thể minh bạch và học hỏi từ những điều không suôn sẻ. Bảo mật là vấn đề rất khó. Hơn nữa, mỗi ngày mọi người đều phát hiện ra những vấn đề mới. Vì vậy đây là một lĩnh vực khó khăn. Đây là lĩnh vực di chuyển nhanh. Chúng ta phải học hỏi và sẵn sàng học hỏi, có nghĩa là mọi thứ sẽ không hoàn hảo, và chúng ta chỉ cần tập trung học hỏi và cải thiện, cũng như cố gắng tìm cách giảm thiểu và làm thế nào để đội ngũ của mình trở nên tốt hơn. Nhưng chúng ta sẽ không đạt được điều đó nếu không khuyến khích sự minh bạch. Vì vậy, đây là một vài điều mà tôi khuyến khích mọi người suy ngẫm.

Clarke Rodgers:
Lời khuyên tuyệt vời. Matt, cảm ơn anh rất nhiều vì đã tham gia.

Matt Garman:
Vâng, chắc chắn rồi. Cảm ơn vì đã mời tôi.

Nghe ngay

Nghe ngay

Nghe ngay