Clarke Rodgers（00:08）：
非常感谢你今天能够光临。

Aman Sirohi（00:10）：
非常荣幸，谢谢邀请。今天是美好的一天。

Clarke Rodgers（00:11）：
能否请你介绍一下你的背景以及你在 People.ai 的工作？

Aman Sirohi（00:16）：
当然可以！我们是一家收入情报公司。我们的工作是帮助销售主管使用数据更快地做出决策。因此，安全是我们所有人的头等大事，因为我们会摄取你的数据并为你提供数据，以便制定这些分析决策。

Clarke Rodgers（00:30）：
我在与许多首席信息安全官交流时，会谈论首席信息安全官角色随着时间的推移而发生的演变。 很长一段时间以来，首席信息安全官的角色被视为“技术安全专家”，只有在组织内部发生问题时才会被召来“灭火”。但是今天，我们看到的大多数成功的首席信息安全官首先是业务领导者，其次可能是安全从业人员。能否谈谈你对这一角色演变的看法？如果可以的话，说说你自己的经历好吗？

Aman Sirohi（01:05）：
当然可以。如果回顾过去五年或十年，首席信息安全官这个称号是准确的。我们的工作就是保护公司。我们是安全专家，我们身处幕后，如果从现在和未来来看，安全在每个人心中都是至关重要的，而且每个行业都是如此。安全实际上需要摆在第一位，对吧？ 因此，我在公司里经常会说这句话：“让安全打头阵。不要打防守牌。告诉客户你的安全状况。告诉客户安全对公司有多重要。” 因为这样，客户看着你就会想：“哦，你知道你在说什么。” 他们光是和你交谈就会感到更安全，因为你积极主动，对吧？

Clarke Rodgers（01:43）：
赢得信任。

Aman Sirohi（01:43）：
是的，所以你需要建立这种信任，我想说，信任是基于多个层面建立的。当你进入执行委员会时，他们总是会谈论自己听到的内容。你永远会记得，这些董事会成员，高管，他们是朋友，他们会说，“你听说过那次黑客攻击吗？ 你听说过这个吗？”

所以，我所做的实际上是谈论总体安全性。我们所处的空间发生了什么？ 无论我们是否受到影响，在这些会议上首先提出这些问题总是很好的，因为在他们的脑海里，就像：“哦，我的朋友告诉我这次黑客攻击，我们所在的环境中发生了这样的事情，但这就是我们没有受到影响的原因。”

这么做主要是为了讲故事、提供指导、保持更亲密的关系以及交流彼此的想法，在这个过程中，安全性变得更加强大。

Clarke Rodgers（02:29）：
非常有趣。那么，当你进行董事会层面的对话并讲述这些故事时，你是会说“我们有 X 个漏洞，我们能够在这段时间内修补它们”，还是会谈论企业损益方面的风险？

Aman Sirohi（02:45）：
如果你看一下不同的董事会 — 我有幸加入过几家不同的公司，每个董事会都各有不同。有些董事会更倾向于：“嘿，教育我们。” 还有一些董事会非常聪明、非常精明，他们可能不是安全从业人员，但对这个领域非常了解。所以，我的做法是开门见山地说明：“我们在行业内是做什么的？ 我们的行业是做什么的？ 安全对他们来说意味着什么？” 然后，我将深入探讨与我们的利润息息相关的商业价值或能力。

我要告诉你，你始终需要获得数据来支持自己的安全立场。这些数据可能会激增，比如说，上个月的网络钓鱼尝试已经增长了 10 倍。你不能在董事会会议上说：“我们的网络钓鱼活动情况如何？”“我晚些再回复你。” 这是错误的回答。

你必须做好准备，你必须有数据。你可以说，“第 54 张幻灯片实际上是我们当前与之前...的对比”，归根结底，如果董事会成员提出问题，让他们能轻松获得答案。

Clarke Rodgers（03:42）：
当然！

Aman Sirohi（03:42）：
让他们轻松获得答案。让他们轻松消化信息。这样你的工作就会变得更容易，然后每个人都能步调一致。

Clarke Rodgers（03:49）：
所以，让董事会变得轻松是一回事，但是如果我们把目光转向公司内部，你还想让产品和开发团队能够轻松地以正确、安全的方式行事。能否稍微谈谈你为实现这一目标而设立的一些机制？

Aman Sirohi（04:07）：
要说些什么的话，可能太简单了 — 那就是进行对话。真正的对话就是沟通，与首席技术官、总工程师或首席架构师坐下来，然后谈论，很多人都在谈论“左移”。 我去过一些组织，在那里，你会说：“我需要解决这个漏洞，我需要你改变冲刺方式。” 大多数产品开发人员会说：“我需要推出这个功能。” 功能可以让他们获利，所以他们是由功能推动的，对吧？

所以，如果你真的进行对话，然后说：“看，我们需要放慢速度。也许不是这次冲刺，也许是下一次冲刺，我们需要设置这些安全门来确保推出安全代码。” 因此，在现有的 NIST SSDF 模式下，我说：“如果你找到任何客户，对他们说，‘客户 X，我能否再多花一周的时间，开发一款安全的软件？’ 他们一定会说：‘可以。’”没有客户会不这样做，对吧？ 所以，我总是回到开放、沟通的基本原则。

我们总是被称为“老大哥在看着”，像警察一样。我们不是。其实我们不是。如果你走不同的道路，就会是这样，“看，好吧，不会是这次冲刺，而是下一次冲刺。听起来不错。” 他们可能需要首席产品官的签字才能确保他们对此感到满意，但至少现在你正在建立一个社区，你在找出我们这样做的理由，而不是比如：“哦，安全部门迫使我们做点什么。”

Clarke Rodgers（05:23）：
太棒了。作为首席信息安全官，你负责保护组织并实施所有不同的安全计划和机制，以使其尽可能安全地开展业务。但你还负责推动公司创新，对吗？ 如何平衡这两者？

Aman Sirohi（05:43）：
这非常微妙。作为一家初创公司，速度决定一切，可扩展性决定一切。客户的需求也决定一切……你有产品，你有能力，客户 X 想要这个，客户 Y 想要那个，对吧？ 因此，它可以追溯到产品路线图。因此，作为首席信息安全官或任何类型的安全身份，你确实必须在讨论产品路线图时获得发言权。

当你让高管坐在那里谈论下个季度、明年的情况，并参与这些对话时。我认为这就是你真正获得创新的地方，如果我再退一步，作为一名首席信息安全官，你可能会学到一些需要在安全方面做出改变的东西，因为一些产品创新即将推出，你需要让它对他们来说更容易，对吗？ 所以，当然有人会说，“哦，MFA。” 我想，“不。这没有商量的余地。” 每个人都必须拥有它。这是大势所趋，对吧？ 但作为安全从业人员，我们可以通过一些方法来简化开发人员的工作，这样他们实际上就不必费尽周折来完成他们的工作。

Clarke Rodgers（06:48）：
这非常酷。许多首席信息安全官，我不会说他们都面临挑战，但是他们在组织内的安全人员有限，他们一直在努力寻找方法来提高安全团队的工作表现以及对组织非安全部门的影响力。开发人员、服务团队，也许是会计，也许是财务、人力资源，诸如此类的。你如何看待这个问题，以及如何在组织中定位安全文化，以真正确保安全问题，人人有责？

Aman Sirohi（07:27）：
这很难。这并不容易，因为营销部门有不同的需求。财务部门有不同的需求。销售人员会去不同的国家/地区，不同的州出差，他们希望业务更加轻松。

尤其是在像当前这样的经济时期下，我们的员工少了，资金少了，钱少了，但我们的责任没有改变。因此，如果责任没有改变，我们就必须找到创造性的方法来实现这一目标。所以，我认为在我以前的公司和这家公司，一种真正有意义的方式是，当你的团队成员与一个或多个同行就安全问题开会时，要重新进行教育和沟通时，我不参加。其实，我不参加是因为我不希望别人会觉得，“哦，CSO 在这里”，或者

Clarke Rodgers（08:16）：
有意思。

Aman Sirohi（08:16）：
“领导层在这里，我们必须听取领导层的意见。” 我让我们的团队成员去沟通，去建立和促进这些关系，对吧？ 因为那时他们是在和同行说话，在和同事说话。因此，当你真正开始在整个公司内部署这套方案时，它实际上变得更加顺畅了，因为你实际上已经做了功课，做了尽职调查。

Clarke Rodgers（08:37）：
你已经建立了一些盟友。

Aman Sirohi（08:38）：
你已经建立了一些盟友，但是在不在场的情况下建立的。因为作为安全领导者，或者如果领导者在场，那么语气就会完全不同，整个过程，对话都会完全不同。“哦，我的上司在这里，所以我们得谈谈这个问题。我得听你说。” 但我认为，你必须让其他人做同样的事情。这确实很难，但我认为你必须建立这样的生态系统，让你的个人团队成员能够接过那根接力棒，让每个人都成为安全从业人员。

Clarke Rodgers（09:08）：
太好了。那么，在你的安全团队中，你在为安全团队招聘人员时，会寻找什么样的技能、特质或背景？

Aman Sirohi（09:20）：
首要的特质是具有好奇心；好奇心是教不来的。

Clarke Rodgers（09:25）：
很有意思。

Aman Sirohi（09:25）：
我可以教你安全性。我可以让你训练 X、Y、Z。我可以给你开大学的课程，但我不能教你保持好奇心。我们都同意一点，安全性每天都有变化。从今天到第二天，再往后，它一直在变化。因此，当你有好奇心时，你就能根据不同的反应进行调整。你在某天遇到了一个漏洞，表现为 X，明天同样的漏洞不会表现为 X，而是表现为 Y。如果你足够好奇，就会想：“好吧，让我来深入研究一下，并点击这个按钮”，你可以这么做，对我来说，这是最重要的原因。

因此，我在招聘员工时，会使用一个非常有趣的测试。我给他们三个词：奋进、谦虚和聪明，我请他们给自己排名，是最奋进、最谦虚还是最聪明。而且，我总是想了解你会给团队带来什么样的动力。因为如果我有一支全部由聪明人组成的团队，我们都在那里，所有聪明人都在一个房间里，那么什么也做不了，因为每个人都认为自己比另一个人聪明，对吗？ 而且，如果我们只有谦虚的人，那么就不会有冒犯，但是安全问题就会被掩盖，因为我们会想，“哦，好吧。今天不行？ 我们明天再做。明天不行？ 我们以后再做。” 如果有奋进的人，如果每个人的头号特征都是“我最奋进”，但你不可能每次都提拔所有人。

因此，当我们面试时，我们会坐下，我的第一件事是：“好的，各位，让我看看你是奋进、谦虚，还是聪明。你觉得他们是什么样子？” 因此，你需要建立合适的团队人员配比。你要确保团队保持良好的平衡，并根据你的生态系统，无论你是在金融、零售还是 SaaS 行业，如果你在加密货币行业，那么可能需要某些特质多一些。相比之下，在某些行业，你可能需要某些特质少一些。这就是我对在安全组织内组建团队或雇用团队的看法。

Clarke Rodgers（11:18）：
听起来团队的多样性是关键要素对吗？

Aman Sirohi（11:23）：
完全正确。我有一个团队成员在加拿大。我有一个团队成员在东海岸。我有一名国际团队成员。我希望他们都在湾区或者都在同一个办公室吗？ 是的，但你知道，这是不可行的。我认为新冠疫情教会了我们这一切，而且我认为只有当你找到不同想法的人时，多样性、体验和好奇心才会出现。

Clarke Rodgers（11:45）：
真是醍醐灌顶。最近，生成式人工智能工具已成为新闻焦点。越来越多的人，我想是公司，正在利用其中一些工具，从安全的角度来看，你对此有何看法？

Aman Sirohi（12:04）：
我认为这会是一项创新，我们还没有做好准备。随着工具的发布和更新速度日益加快，我们将需要应对大量的创新和安全性问题。

我们正在努力实现大规模的发展，使用开源工具等等。然而，我认为我们很快就会面临人工智能方面的风险。对于你的公司和客户来说，这些风险是什么呢？

据我所知，许多合同规定第三方数据不能离开你所在的环境并进入第三方来源。但现在，无论你想使用哪种 AI 模型，这些数据都会离开你所在的环境，进入第三方来源，然后返回并给出一些答案。因此，我认为法律界对这一问题的看法，以及客户和公司承担风险的方式将会有很大的变化。我认为这个领域将会有很多创新。

Clarke Rodgers（13:08）：
是围绕这些服务的“黑匣子”的风险值得关注，还是具体风险更值得我们注意？

Aman Sirohi（13:17）：
我觉得两者都值得关注。我的意思是，我认为这是一个“黑匣子”，因为我们不知道哪些事是我们不知道的，对吗？

Clarke Rodgers（13:22）：
当然！

Aman Sirohi（13:23）：
你和我可能都会同意的一个有趣的点是，一旦你教了它一些东西，你就不能只是简单地撤销并说“删除”，对吧？ 从模型中删除这些数据并返回的成本非常高。因此，这是一个你必须处理的问题，因为你会收到错误的信息，它会破坏你的模型，你必须处理这个问题。

我认为，风险在于公司会担心他们需要向这个 AI 工具提供的数据方面。这个 AI 工具是公开的吗？ 我们都需要在家里安装 AI 吗？ 我认为这些都需要理清楚。

而且我认为这一切将以我们始料未及的速度发展。从公司的角度来看，随之而来的风险是什么？ 我认为就监管而言，我毫无头绪。这将是……我甚至不知道法规将如何解决它，因为你必须找到一种方法来设置一些防护机制。否则，它将对所有人免费开放。

Clarke Rodgers（14:27）：
那么基本上，领导层必须了解如果他们同意使用这些工具作为业务的一部分，他们将要承担的风险。

Aman Sirohi（14:35）：
是的，那么如何控制其他部门的人员下载其中一个工具并开始向其提供信息？ 这些信息去哪里了？ 今天有没有哪个工具可以提醒你或者我，说某某向该 AI 模型提供了违反政策的信息？

Clarke Rodgers（14:55）：
嗯，也许这里有安全机会？

Aman Sirohi（14:58）：
是的，其实，我认为将会出现许多不同的安全机会。我确实认为这对环境也有好处。

Clarke Rodgers（15:05）：
按照同样的思路，如果我们五年后进行这次对话，我们会谈论什么？

Aman Sirohi（15:13）：
我想我们会讨论这些工具如何为我们完成所有繁重、平凡的工作。我最近读到一篇文章，其中有人使用其中一个工具并说：“我正在计划去葡萄酒之乡旅行。它需要适合儿童，还要符合预算，以及 X、Y 和 Z。” 这个工具完成了所有任务，找到了一个可以玩地掷球的地方，发送了一封电子邮件，进行了预订，并将日程添加到日历上。

以前，有人会打电话给不同的酒庄，或者在谷歌上搜索不同的酒庄，或者使用某种搜索引擎来找出答案，但这一切都将由工具完成。因此，我认为五年后我们关注的重点将会非常有趣。我认为将由人类来解释这些数据，因此它不仅是自动化的，而且对所有人免费开放。我认为我们必须在每个关键步骤中进行一些人际互动，以确保它不会走上错误的道路。

Clarke Rodgers（16:19）：
你将如何与董事会进行对话？ 你认为那会是什么样子？

Aman Sirohi（16:24）：
我们已经开始进行内部对话。我们有政策。我们有原则。这并不容易。这需要一些时间。我对此没有一个好的答案，要非常透明，但我认为我们应该在这方面进行更多的对话。我们应该从首席信息安全官的角度考虑问题，他们会想……“你会如何解决这个问题？ 你打算如何对此进行监管？” 因为我认为我们谈论得越多，就越便于互相保护并阻止对手，因为对手也会利用这一点。

Clarke Rodgers（16:57）：
这对每个人来说都是一个机会。

Aman Sirohi（16:58）：
完全正确。

Clarke Rodgers（17:00）：
那么，最后，你对首席信息安全官同事有什么建议吗？

Aman Sirohi（17:03）：
哦，我很乐意接收他们的建议。我想说的是，我从同行身上学到的一件事是，更贴近业务。你必须与首席财务官、首席风险官、首席产品官、首席战略官进行对话。你需要与他们保持更紧密的联系，因为这样可以更好地理解是什么在影响公司的利润和保护公司。

然后，如果你能参与对话并利用你的能力协助他们实现目标，就可以获得更多客户。当你申请资金支持时，他们能够理解你的需求和动机。因此，我的建议是更加贴近这群人，深入了解他们的业务和驱动因素。这将为首席信息安全官开辟一条更轻松的道路。

Clarke Rodgers（17:55）：
我觉得这是个好建议。

Aman Sirohi（17:57）：
我一直在尝试。我不知道。有时候成功，有时候不成功，所以，我们拭目以待。

Clarke Rodgers（18:03）：
太棒了！好的，Aman，非常感谢你今天抽出时间。

Aman Sirohi（18:05）：
非常荣幸。非常感谢。