Chris Betts, director de seguridad de la información de AWS
Clark Rogers (00:07):
¿Qué cualidades necesita un CISO exitoso? Como CISO en AWS, el invitado de hoy tiene una gran perspectiva sobre esta pregunta. Soy Clarke Rodgers, directora de estrategia empresarial de AWS, y dirijo esta serie de conversaciones con líderes de seguridad de AWS sobre Executive Insights.
Nos complace darle la bienvenida a la feria a Chris Betz, CISO de AWS. Comparte sus pensamientos sobre todo, desde establecer una cultura de seguridad hasta reclutar para la diversidad y desarrollar la próxima generación de grandes líderes de seguridad. Por favor disfrutalo.
Clark Rogers (00:38):
Te conozco bastante bien, pero me gustaría escuchar un poco más sobre tus antecedentes para la audiencia.
Chris Betts (00:44):
Como dijiste, nos conocemos desde hace mucho tiempo. Una de mis cosas favoritas de la comunidad de seguridad es lo pequeña que es. En algún momento, interactuarás con personas que has conocido en todo el mundo. En mi caso, mi carrera empezó en la Fuerza Aérea. Serví en la Fuerza Aérea durante varios años y luego me uní al gobierno federal, donde trabajé en seguridad cibernética durante muchos años.
Tuve la oportunidad de liderar la seguridad en empresas como la empresa de medios CBS y trabajé en seguridad en empresas como Apple, Microsoft, Lumen, luego CenturyLink y, más recientemente, Capital One. Por eso es interesante ver diferentes roles y, como dijiste, ver las mismas caras una y otra vez.
Clark Rogers (01:23):
Entonces, como CISO de AWS, ¿cómo ha cambiado la situación cuando se reúne con los clientes y responde preguntas de seguridad hoy? “Estaba en la misma situación no hace mucho y en ese momento estaba pensando: ahora estoy aquí y Puedo decir: “Aquí está la respuesta a tu pregunta”.
Chris Betts (01:45):
Durante los últimos 10 años, he trabajado en funciones relacionadas con la seguridad en empresas que son clientes importantes de AWS. He estado en AWS durante todo su recorrido en materia de seguridad y su recorrido tecnológico. Ahora que soy cliente, puedo tener conversaciones de una manera completamente diferente. Porque siento que entiendo esas conversaciones y las preguntas y desafíos que tienen.
Una de las cosas que más aprecio de estas conversaciones es comprender realmente lo que ven nuestros clientes, cómo se sienten acerca de lo que sucede en el mundo y compartir ideas con ellos. Eso es lo que se puede hacer. “Esto es lo que veo. Así es como resuelvo el problema.” “Oh, eso es lo que ves. Así es como resuelves el problema”. Nuestra capacidad para continuar elevándonos mutuamente, no solo dentro de AWS sino también entre nuestros clientes, es muy poderosa.
Clark Rogers (02:51):
Y al decir: “Así es como resolví ese problema en mi último trabajo”, estás en condiciones de ganar aún más credibilidad. Esto es genial.
Chris Betts (02:58):
Queda tejido cicatricial.
Clark Rogers (02:59):
Eso es exactamente correcto. Un CISO necesita tener una profunda experiencia en seguridad y experiencia empresarial, y tiene que reunirlos todos, pero debajo de eso está la escala masiva que tiene para brindar seguridad a la empresa, a los clientes, etc. Tenemos un equipo. Desde esa perspectiva, ¿cuáles cree que son algunos de los desafíos que enfrentan los líderes de seguridad en la actualidad?
Llevando diversidad de talentos a su organización de seguridad
Chris Betts (03:21):
Al fin y al cabo, lo que importa es la gente. Como señaló, los problemas que intenta resolver en el campo de la seguridad son tan multifacéticos que contar con las personas adecuadas a su alrededor es absolutamente esencial para tener éxito en el campo de la seguridad. Me encanta estar rodeada de gente. De hecho, a las principales empresas para las que he trabajado les gusta rodearse de personas que nos enseñan, inspiran y desafían.
Esta es un área de constante aprendizaje. Por lo tanto, necesitamos personas que eleven constantemente los estándares. Es increíblemente inspirador tener gente así. Encuentran formas de resolver problemas de maneras antes inimaginables para hacer que las empresas sean más eficientes y piensan en cómo hacer de la seguridad un movimiento natural para las personas. Esto es muy importante. Y con la cultura adecuada, esas mismas personas te desafiarán. “¿Estás pensando en esto de la manera correcta?” Y ese desafío ayuda a que todos crezcan, tú mismo creces, tu organización crece y estableces un camino en la dirección correcta.
Las personas que provienen exactamente de los mismos antecedentes y abordan los problemas de la misma manera no son las personas que le enseñarán, le desafiarán y le inspirarán. Entonces, uno de los grandes desafíos que seguimos teniendo en el campo de la seguridad es que tenemos la amplitud de perspectivas, la amplitud de culturas, la amplitud de experiencia, la diversidad de enfoques, la diversidad de pensamiento que nos ayudará a convertirnos en los grandes organización que estamos destinados a ser. Creo que es una cuestión de cómo obtenerlo. Por eso dedico mucho tiempo a intentar conseguir la gente adecuada y la combinación adecuada. Porque sin ello los problemas restantes no se pueden resolver.
Clark Rogers (05:10):
Y tal vez desde un entorno no tradicional, la opinión de que “esa es una persona de seguridad” no se sostiene. Bueno, esa perspectiva puede ser útil en ciertos aspectos de la seguridad porque nuestros adversarios son ciertamente diversos.
Chris Betts (05:23):
Eso es exactamente correcto. Es importante reconocer que AWS es una empresa global. Los enemigos están por todo el mundo. Necesitamos aprovechar ese talento global. Necesitamos encontrar e incorporar talentos de diversos orígenes. Algunas de las mejores personas que conozco en seguridad provienen de orígenes increíblemente diversos. Han pasado años perfeccionando sus habilidades de seguridad. Pero lo que realmente importa es cómo combinar las perspectivas correctas.
Haga de la seguridad el camino de menor resistencia con Zero Trust
Clark Rogers (05:51):
Al mirar hacia atrás en los últimos años y mirar hacia el futuro, ¿qué es lo que más le entusiasma desde una perspectiva de seguridad? Podrían ser los programas, los procesos, la tecnología, etc., pero en base a eso, ¿dónde está centrando sus esfuerzos? ¿Lo tienes?
Chris Betts (06:08):
Si analizamos la historia de Zero Trust, veremos que ha evolucionado desde un conjunto de productos que se anunciaban como soluciones Zero Trust a un conjunto de estándares y luego a un conjunto de tecnologías que realmente están integradas. Si observa cómo ha cambiado la experiencia del usuario en los últimos años, la tecnología de clave de acceso que Amazon.com y otras empresas han introducido recientemente es una experiencia de usuario perfecta que le permite acceder a la tecnología y utilizarla de una manera muy reflexiva. Cambió fundamentalmente la forma en que pensamos sobre nuestra capacidad de desempeño.
Clark Rogers (06:50):
Y la seguridad se puede lograr fácilmente, ¿verdad?
Chris Betts (06:52):
Logre seguridad fácilmente. Creo que el progreso que hemos logrado en el mundo de la seguridad al alejarnos de las VPN complejas y adoptar análisis fluidos y detallados es muy poderoso.
Cómo AWS aprovecha la base Gen AI para crear nuevas capacidades para los clientes
Se habla mucho sobre la IA generativa. El campo de la IA no es nuevo. Hemos estado trabajando en este espacio durante décadas, pero la velocidad del cambio en el espacio del aprendizaje automático/IA durante el último año o dos es increíble. Esto aporta muchas características excelentes para pensar en cómo abordar la seguridad. Uno de los ejemplos que doy a menudo cuando hablo con la gente es que en el viejo mundo, si quisieras analizar datos para ver: “¿Existe un riesgo de seguridad aquí?”, crearías una hoja de cálculo grande y la buscarías. manipular los datos de la manera tradicional puede haber sido más eficiente en términos de tiempo. Porque tomó mucho tiempo escribir el código.
Clark Rogers (07:53):
Sí, fue mucho tiempo.
Chris Betts (07:54):
– El análisis manual ahora tarda aproximadamente una hora, en comparación con las horas anteriores. Ahora, con tecnologías como CodeWhisperer, este modelo se está invirtiendo. La capacidad de plantear un problema bien entendido, “Quiero analizar estos datos y encontrar esto”, pedirle al sistema que lo haga, obtener una respuesta en segundos, implementar, probar y eliminar hojas de cálculo manuales. Esto llevará mucho menos tiempo. de lo que se necesitaría para hacerlo. También es repetible, comprobable y verificable. Reducir el error humano. Este método tiene muchos grandes beneficios. Así que creo que va a cambiar incluso la forma en que funcionan las operaciones de seguridad, no sólo en AWS, sino en toda la industria. Así que creo que aquí hay una gran oportunidad.
Mientras tanto, paso innumerables horas ayudándonos a todos a aprender qué puede hacer la IA generativa, cómo protegerla y cómo desafiarla. Dedicamos una enorme cantidad de tiempo y energía a asegurarnos de tener la base adecuada y de desarrollar las capacidades adecuadas dentro de AWS. Al crear una solución generativa basada en IA, primero debe probarla exhaustivamente.
Clark Rogers (09:14):
A gran escala.
Chris Betts (09:15):
Sí, lo hacemos a una escala líder en la industria. Y podemos tomar cada uno de esos aprendizajes y convertirlos en características que podemos ofrecer a nuestros clientes. Porque los problemas que tenemos son los mismos que tienen nuestros clientes cuando utilizan la IA generativa. Por lo tanto, hay un ciclo de aprendizaje increíblemente rápido y cada día aprendemos cosas nuevas. Esto es divertido. Es gratificante porque los atacantes también aprenden cosas nuevas todos los días.
Clark Rogers (09:41):
Ciertamente es así.
Chris Betts (09:42):
Para avanzar rápidamente en este espacio, debemos continuar con este ciclo tan cerrado, razón por la cual también me gusta trabajar en AWS. No nos movemos lentamente. No se mueve nada lento. Así que creo que los superpoderes de AWS encajan perfectamente con el lugar al que queremos llegar en este espacio.
Clark Rogers (10:01):
Esa es una gran respuesta. Nuestros clientes tradicionalmente han acudido a nosotros por sus necesidades tecnológicas, ya sea seguridad o resolución de problemas comerciales. Puede que no sea obvio para nuestros clientes, pero somos una empresa de tecnología y, si bien brindamos software y servicios a nuestros clientes, también dedicamos gran parte de nuestro tiempo a ayudarlos a crear y optimizar sus programas de seguridad. Como sabe, uno de nuestros programas más populares es AWS CISO Circles. ¿Puede contarnos un poco sobre este programa, cómo está estructurado y qué beneficios obtendrán nuestros clientes?
Chris Betts (10:38):
Las conversaciones que mencioné anteriormente sobre que la comunidad de seguridad es pequeña y aprenden unos de otros son realmente importantes.
Una de las cosas que más aprecio del mundo de la seguridad es que nuestros enemigos no son entre nosotros. Nuestro enemigo es el malo externo que ataca a nuestros clientes. Necesitamos asegurarnos de que nuestros clientes se sientan cómodos usando la tecnología. Entonces, el CISO Circle es la manera perfecta de hacerlo. ”
Las reglas de Chatham House no atribuyen la conversación a nadie. Esto permite que las personas tengan conversaciones reales. Podemos aprender unos de otros, desafiarnos unos a otros y hacer preguntas. “¿Cómo estamos resolviendo este problema?” “Estamos empezando a ver que los atacantes están haciendo esto. ¿Tú también lo estás viendo?”. Innovar, pensar y aprender de los mejores. Creo que este es el entorno que tenemos en los círculos de CISO.
Así que estoy reuniendo a personas con puntos en común (regiones del mundo, puntos en común en negocios y tecnología, personas con problemas similares) y reuniendo a algunas de las personas más brillantes que conozco dentro y fuera de AWS para tener una conversación. increíblemente poderoso. Y creo que eso es algo que realmente podemos aprovechar en los círculos de CISO. Y, francamente, he disfrutado los círculos de los que he formado parte y espero hacer más el próximo año.
Clark Rogers (12:08):
Ciertamente es así. Recuerdo haber aprendido mucho de los CISO de otras industrias cuando era cliente. Sorprendentemente, la industria de seguros tiene cierta tolerancia al riesgo y hace ciertas cosas, pero aprendimos mucho de los medios de comunicación, el comercio minorista y la banca. Fue una gran experiencia.
Chris Betts (12:16):
He visto exactamente lo mismo. Por eso disfruto la combinación de personas que se reúnen y conversan.
Clark Rogers (12:32):
Chris, muchas gracias por acompañarnos hoy.
Chris Betts (12:34):
Fue muy divertido. Gracias por invitarme.
Fuente: https://aws.amazon.com/executive-insights/content/how-to-be-a-better-ciso/