No existe una trayectoria profesional típica para muchos CISO. El viaje de Amy Herzog no es diferente. Herzog es uno de los CISO de Amazon y es responsable de dos grandes partes del negocio de la empresa: proteger los dispositivos de hardware y publicitar sus productos y servicios.
Se unió a Amazon en 2023 después de ocupar puestos de gestión de TI en Travelers Insurance y Pivotal, que fue adquirida por VMware. Tiene una sólida experiencia en ingeniería de seguridad y trabajó como ingeniera en MITRE Corporation durante más de 15 años al principio de su carrera. Allí fue coautora de dos patentes relacionadas con la ciberseguridad.
Cómo Amazon aborda los desafíos comunes que enfrentan los CISO
Uno de los mayores desafíos que enfrentan muchos CISO y CSO es crear un entorno de trabajo colaborativo con otros departamentos para que la seguridad no se convierta en una ocurrencia tardía o en un área en la que digan no a los planes o funciones del proyecto. Esto es más que una simple jerga corporativa vacía. Amazon ha tenido cierto éxito en esta área y Herzog explica cómo lo logró.
En primer lugar, “adoptamos un enfoque inverso al desarrollo de productos, lo que significa que primero entendemos las necesidades de nuestros clientes y luego construimos nuestros productos en torno a ellas. Desde la etapa de diseño, nuestros equipos de seguridad y productos trabajamos juntos para garantizar que nuestros productos cumplan con las expectativas de nuestros clientes”. expectativas de seguridad”.
El siguiente paso es sentarse con los científicos para intercambiar ideas sobre prioridades y decidir quién será responsable de qué partes de la conservación. “Uno de nuestros mantras es incorporar expertos en seguridad al principio de este proceso para que puedan ser socios colaborativos como parte de los equipos de diseño y producto, y abordar la seguridad más adelante en el proceso de desarrollo”, dijo Herzog a CSO.
Lamentablemente, este último punto es demasiado típico para muchas otras empresas. Esto se debe a que la seguridad y el desarrollo de productos entran en conflicto. “Por lo tanto, una revisión de seguridad implica escanear el código para encontrar y solucionar problemas en el último momento”, afirma. “En cambio, escaneamos todo el ciclo de vida de la codificación, lo cual es difícil de hacer, pero proporciona un ciclo de retroalimentación positiva, produce resultados mejores y más rápidos y también tiene el beneficio de hacer que el equipo se sienta parte del proceso de desarrollo. un solo constructor, en lugar de un punto de control que podría establecer una posición adversaria”. “Nuestro objetivo es interactuar con los equipos de productos de manera temprana y frecuente”. Llame a esto gestión de seguridad al estilo de votación de Chicago.
“Además, si haces esto bien, cuando hagas una revisión previa al lanzamiento, no tomará tanto tiempo porque todos han hecho su trabajo durante todo el ciclo de vida del desarrollo, habrá menos cosas que hacer”.
Ella dice: “Esta colaboración tiene muchos otros beneficios, tanto en términos de una mejor experiencia del cliente como de una mejor experiencia operativa”. Esta colaboración también cambiará la forma en que construimos productos. “Porque la gente de seguridad tiende a pensar en los productos de una manera diferente a los desarrolladores de productos. Pero parte del papel del CISO es construir una base sólida. Sabemos los pasos correctos a seguir. Necesitamos conocer y construir los sistemas y controles apropiados en consecuencia. .”
A lo largo de su carrera, Herzog ha sido testigo de la evolución de la computación en la nube y los cambios que la acompañan en la seguridad nativa de la nube. “Hay algunas cosas en las que hemos sido buenos como defensores, como establecer y hacer cumplir límites de confianza entre diferentes organizaciones. La seguridad a través de estos límites requiere gran cuidado y consideración y pensamiento matizados. Pero afortunadamente, las herramientas se han vuelto más sofisticadas”. una cosa buena. Esto es especialmente cierto a medida que los atacantes se vuelven más sofisticados y desarrollan malware que se oculta de los defensores.
Amy Herzog habla sobre la seguridad del Internet de las cosas y la IA generativa
Ser responsable de la seguridad de los dispositivos significa lidiar con el IoT, que es conocido por sus diversas debilidades de seguridad. Pero ella ofrece una perspectiva diferente. “Asegurar el IoT no es tan diferente de proteger situaciones altamente conectadas e interactivas. Todos estos tienen controles para proteger sus datos”, dijo Herzog, hay ejemplos de escaneo automatizado y procedimientos de verificación continuos para garantizar que las actualizaciones de software sean genuinas y se apliquen correctamente. Ejército de reserva.
Una encuesta de CoderPad a más de 13.000 desarrolladores encontró que el 59% usa IA para asistencia con el código, más de la mitad la usa para aprendizaje y tutoriales, y alrededor del 45% la usa para la generación de código.
Amazon está profundamente involucrado en el desarrollo de nuevos modelos de IA y su uso para garantizar la seguridad de sus productos y servicios. “Contamos con un equipo dedicado de expertos en seguridad e inteligencia artificial que desarrollan pruebas y controles de seguridad para nuestros modelos y servicios de inteligencia artificial. Por ejemplo, Amazon utiliza indicaciones adversas y ejercicios de equipo rojo manuales y automatizados para probar modelos e identificar vulnerabilidades desde el principio. el ciclo de vida del desarrollo del producto. “Esto tiende a exponer respuestas inesperadas y afinar el modelo para suprimir respuestas no confiables”. Amazon dice que realiza pruebas exhaustivas con los clientes en casos de uso publicados y también utilizamos pruebas de seguridad manuales y automatizadas para identificar vulnerabilidades.
Fuente: https://www.csoonline.com/article/2138825/how-amazon-ciso-amy-herzog-responds-to-cybersecurity-challenges.html/amp/
