如何成为更优秀的首席信息安全官

Clarke Rodgers（00:07）：
成功的首席信息安全官应具备哪些素质？ 今天的嘉宾作为 AWS 的首席信息安全官，将对这个问题发表独到的见解。我是 AWS 企业战略总监 Clarke Rodgers，也是在“Executive Insights”上与 AWS 安全领导者进行的一系列对话的主持人。

我们很荣幸欢迎 AWS 的首席信息安全官 Chris Betz 来到节目现场。从建立安全文化，到多元化招聘，再到培养下一代优秀的安全领导者，Chris 将分享他对各个方面的思考，加入进来，一起聆听吧。敬请期待。

Clarke Rodgers（00:38）：
虽然我对你已经很熟悉了，但我希望你向观众稍微详细地介绍一下你的背景信息。

Chris Betz（00:44）：
你说的没错，我们认识有一段时间了。安全社区的圈子如此之小，我喜欢这一点。某种意义上，你总会与你在世界上某个地方见过的人打交道。就我而言，我的背景要从空军说起。我曾在空军服役多年，后来进入了联邦政府，在那里从事了多年的网络安全工作。

我曾有机会在 CBS 这样的媒体公司从事安全工作，也在 Apple、Microsoft、Lumen、CenturyLink 等公司工作过很长时间，我的上一家公司是 Capital One。 能够结识各种不同的岗位，还有就像你所说的，一次次地看到同样的面孔，感觉真有趣。

Clarke Rodgers（01:23）：
作为 AWS 的首席信息安全官，如今，当你要与客户会面并回答他们的安全问题时，情况与过去相比发生了哪些变化？ 你是否能够说：“嘿，不久前我也站在你的立场，我当时的想法就是如此。而现在我在这个位置，这就是你们问题的答案。”诸如此类。

Chris Betz（01:45）：
过去十年，我一直在 AWS 的重要客户公司担任安全职务。没错，在我们的安全旅程和技术旅程中，我始终与 AWS 并肩前行。最近，作为客户的经历让我能够以一种非常不同的方式进行对话，因为我觉得我能理解这些对话，以及客户面临的问题和挑战。

这些对话最让我感到高兴的一点就是，它们让我能够脚踏实地，关注客户的所见所闻，以及他们对全球事件和趋势的想法，并真正地来回交流意见。“嘿，这就是我所了解的。我是这样解决那个问题的。”“哦，这是你所了解的？ 原来你是那样解决那个问题的。” 我们能够在 AWS 内部，甚至在客户内部共同持续提高标准，这种能力非常强大。

Clarke Rodgers（02:51）：
而且在这个位置上，你可以说：“我在以前的岗位上就是这样解决那个问题的。”，这将为你赢得更多信任，真是太棒了。

Chris Betz（02:58）：
我会从失败中吸取经验。

Clarke Rodgers（02:59）：
完全正确。作为首席信息安全官，你必须具备深厚的安全专业知识和业务专业知识，并将这一切融会贯通，但你手下还有庞大的团队，他们必须在实际工作中为业务和客户等提供安全保障。从这个角度来看，你认为当今的安全领导者面临着哪些挑战？  

Chris Betz（03:21）：
很多问题都可以归结为人才问题。正如你所指出的，在安全领域，我们要解决的问题包含太多个层面，所以要想在安全领域取得成功，身边拥有合适的人员是绝对必要的。对我来说，我喜欢身边围绕着能够带来教导、激励和挑战的人，实际上，在我工作过的所有业绩出色的公司中，人们都有这种想法。

因为在这样的环境中，我们可以不断学习。因此，我们需要能够不断提高标准的人才。 拥有这种类型的人才将给你带来巨大的启发。他们找到了你以前从未想过的问题解决方法，使业务更富有成效，并让我们思考如何使确保安全性成为人们的自然习惯。这至关重要。当建立了理想的文化环境时，这些人也乐于向你发起挑战。“你对这个问题的思考方式正确吗？” 这种挑战将帮助包括你在内的所有人得到成长，帮助组织取得发展，并有助于你朝着正确的方向前进。

如果人们的背景完全相同、处理问题的方式也完全相同，将无法给你带来教导、挑战和激励。因此我认为，在安全领域，我们持续面临的一大挑战是，如何才能获得广泛的视角、文化和经验，以及多样的方法和思维方式，从而帮助我们真正成为我们理想中的优秀组织？ 因此，我花了很多时间，帮助确保我们拥有合适的人才和人才组合，因为没有他们，我们就无法解决剩余的问题。

Clarke Rodgers（05:10）：
也许，来自非传统背景的人并不会被视作“安全人员”。 这种观点可能会在安全领域的某个方面对我们有所帮助，因为我们的对手必然千差万别。

Chris Betz（05:23）：
完全正确。我想说，必须认识到 AWS 是一家全球性公司。对手遍布全球。我们需要挖掘全球人才。我们需要挖掘具有各种不同背景的人，并让他们加入进来。我认识一些在安全领域极具见识的人，他们有着各种各样的背景。他们长年累月地在安全领域磨练技艺。但是，如何将具有不同思维方式的人们组合到一起也非常重要。

Clarke Rodgers（05:51）：
从安全的角度看，回顾过去几年，展望未来，最让你感到激动的是什么？ 可以是一个计划、一种流程、一项技术，或其他任何事物，你会据此将工作重心放在哪里？

Chris Betz（06:08）：
回顾零信任的发展历程，它最开始是一些被宣传为“零信任解决方案”的产品，随后发展到一套标准，再到现在，这种概念真正融入到了一系列技术中。我见证了过去几年用户体验的变化，Amazon.com 和其他许多公司最近甚至引入了 Passkey 技术，这从根本上改变了我们对无缝用户体验的看法，也改变了我们获取技术并以全面的方式加以利用的能力，并且……

Clarke Rodgers（06:50）：
简化了通往安全的道路，对吧？

Chris Betz（06:52）：
简化了通往安全的道路。从复杂的 VPN 转向对当前事件的无缝、深入分析，一路走来，我认为我们在这个领域取得了非常巨大的进步。

关于生成式人工智能的讨论实在太多了。人工智能并不是什么新领域。我们研究人工智能已经有几十年了，但在过去的一两年里，机器学习和人工智能领域的变化速度实在惊人。这带来了许多非常实用的功能，让我可以思考如何利用它们实现安全性。在与人们交谈时，我喜欢举的一个例子是，过去当你试图分析一份数据，以了解其中是否存在安全风险时，如果创建大型电子表格并进行搜索，然后按照我们过去的方式手动处理数据可能会更省时省力，因为编写代码所花费的时间……

Clarke Rodgers（07:53）：
要长得多，没错。

Chris Betz（07:54）：
……是以小时为单位计算的，而你可以在一小时内完成手动分析或类似的工作。现在，我们有了 CodeWhisperer 等技术，这些新事物彻底改变了那种模式。你可以描述一个很好理解的问题，“我想分析这些数据，找到这些内容”，将任务交给系统，在几秒钟内得到答案，然后实施、测试和运行，所花的时间远远少于手动处理电子表格。而且这个过程是可重复、可测试、可验证的。你能减少人为错误。这样做有很多巨大的好处。因此，我认为这甚至会改变安全运营的工作方式，不仅仅是在 AWS，而是在整个行业。所以我认为这其中潜藏着一些巨大的机遇。

另一方面，人们都在研究生成式人工智能可以做什么、如何确保它的安全、如何对其提出检验，我也为此花了大量时间。我们花了大量的时间和精力，确保我们在 AWS 中建立了适当的基础，并且正在构建必要的功能。在我们构建基于生成式人工智能的解决方案时，首先，我们要对它们进行详尽的测试……

Clarke Rodgers（09:14）：
大规模的详尽测试。

Chris Betz（09:15）：
是的，以行业领先的方式大规模地测试。我们还要吸取每一次经验教训，将它们转化为可以提供给客户的功能，因为我们遇到的问题也是客户在使用生成式人工智能时会遇到的问题。所以，我们正处在一个极其快速的学习周期中，我们每天都在学习新东西，很有趣。同时也具有一定挑战性，因为攻击者每天也在学习新事物。

Clarke Rodgers（09:41）：
是的，他们确实如此。

Chris Betz（09:42）：
我们还需要继续停留在这个节奏紧张的周期中，以便在这个领域快速取得发展，但这也是我喜欢在 AWS 工作的原因。我们的发展速度很快。一点也不懈怠。因此，我认为 AWS 的这种强大优势完全符合我们在这个领域的发展方向。

Clarke Rodgers（10:01）：
这个回答很好。以往，无论是为了满足安全要求，还是解决业务问题，客户通常找到我们都是为了提出技术需求。客户可能不太清楚的一点是，很明显，虽然我们是一家技术公司，我们为客户提供软件和服务，但我们也花了很多时间帮助他们构建安全计划并提高效率。众所周知，AWS 首席信息安全官圈子是我们最受欢迎的计划之一。能否谈谈它们，这些圈子是如何组织的，客户可以从中获取哪些益处？

Chris Betz（10:38）：
我们之前的对话谈到的重要一点是，安全社区是个小圈子，人们相互学习。

根据查塔姆研究所规则，这些对话不归属于任何个体。这使人们能够真正畅所欲言。我们能够相互学习、相互挑战、相互提问。“嘿，你是怎么解决这个问题的？”“嘿，我发现有些攻击者开始这样做了。你也发现这个问题了吗？” 创新、思考，并向最优秀的人学习。我认为这就是我们在首席信息安全官圈子里创造的环境。

因此，将具有共同点的人们聚集在一起（来自世界各地，但在业务和技术上有共同点，或遇到了相似问题），让他们与 AWS 内外我所认识的一些顶尖人才对话，能带来巨大的成效。我认为这是首席信息安全官圈子的真正优势所在。说实话，我很喜欢我加入的这些圈子，我期待明年能够加入更多圈子。

Clarke Rodgers（12:08）：
当然。我记得，当我还是客户时，我从其他行业的首席信息安全官那里学到了很多东西。尽管在保险行业，我们有一定的风险承受能力，并且采取了一些特定的措施，但我却从媒体、零售和银行业那里学到了很多，这真令人感到惊讶。真是太棒了。

Chris Betz（12:16）：
我也遇到过同样的情况，所以我很喜欢将人们聚在一起，进行对话。

Clarke Rodgers（12:32）：
Chris，非常感谢你今天能够参与讨论。

Chris Betz（12:34）：
很棒的讨论。谢谢你邀请我。