The Business of Security

Clarke Rodgers（00:07）：
AWS Chief Information Security Officer Chris Betz。感谢您今天能够接收采访。

Chris Betz（00:11）：
很高兴来到这里。谢谢。感谢您的邀请。

Clarke Rodgers (00:13)：
作为 AWS CISO，是什么让您在离开 Capital One 之后加入 AWS？ 凭借您作为高管的丰富经验，您本可以去任何公司。是什么让您来到 AWS？

Chris Betz（00:25）：
我在之前的公司工作了很多年，在这期间我意识到一件事，我们的工作在很大程度上依赖于 AWS 的安全性。如您所知，Capital One 全部部署在云端，并且关闭了他们的数据中心。因此，在 Capital One 的旅程中，Capital One 与 AWS 合作开展的安全工作，确实使我意识到我们信任的这种技术对许多企业的安全是多么重要。

坦率地说，如果有机会从对 AWS 的依赖和信任，成为世界上许多公司、许多人信任的系统的一部分，这真是令人兴奋。我很欣赏您对这个问题的措辞：“嘿，我本可以去任何公司。” 我反过来想。能够成为 AWS 安全团队的一员，这是安全职业中绝对巅峰的工作之一。

Clarke Rodgers（01:31）：
太好了。既然您来这里已经有一段时间了，您还观察到哪些情况是以前作为客户时不了解的？ 现在，既然您已经来到新的公司而且需要对安全负责，对您来说发生了什么变化？ 作为一名员工，您现在学到了什么？

Chris Betz（01:49）：
听别人说是一回事。我曾多次听说安全性是 AWS 的头等大事、重中之重。我听过关于每周安全会议的对话。这是我的前任最常讲述的故事之一，讲述的是 AWS CEO 每周如何与 AWS 的所有领导者坐下来，讨论一些我们需要重点关注的主要安全问题，以及我们需要改进的领域。

听说是一回事。亲自体验，真正进行这样的对话，接受我的业务伙伴、我的技术合作伙伴的质疑“我们的行动速度够快吗？ 我们的标准够高了吗？ 我们在威胁面前能够保持领先地位吗？ 我们会在哪里看到攻击者？” 并且在推动安全向前发展方面，让他们像我和我的团队一样成为领导者。这又是另一回事。这是一种有趣的体验，有些独特。

Clarke Rodgers（02:55）：
太好了。当然，您正在接纳安全文化。您谈到了 CEO/CISO 会议的机制，它无处不在。

Chris Betz（03:05）：
确实如此。我从事安全工作，所以我的每次谈话都会在某种程度上涉及到安全问题，但参加与安全话题无关的会议也非常奇妙。作为一名高级领导，我对 AWS 非常欣赏的一点是，他们会在非安全会议中涉及安全问题。我的意思是，我会参与这样的对话，让其他人提问，询问安全问题，想一想：“我们如何做得更好？” 就像您说的那样，无处不在的文化确实很重要。

Clarke Rodgers（03:36）：
完全正确。因此，让我们稍微改变一下开展安全计划的方式。您使用哪些关键指标或衡量标准来证明安全计划的有效性？ 这可能涉及到您在 AWS 或之前公司的经验。

Chris Betz（03:56）：
这是一个非常好的问题。当人们问我这个问题时，他们通常期望我谈论指标或测量标准方面的内容。当然，我们可以使用一系列指标和衡量标准来帮助描述安全方面的情况。但我认为，真正具有主导作用的指标之一是，企业和技术组织在多大程度上将安全视为他们实现计划的推动力，以及安全计划在多大程度上让企业和技术提供商认为安全的方式就是简便的方式。

当把这两者结合在一起时，企业和技术提供商觉得安全是推动因素和重要组成部分，而安全团队认为他们的角色不是消除风险或规避风险责任，而是让企业能够以安全的方式实现其业务目标，这在很大程度上改变了组织。因此，对我来说，这种化学反应、这种态度、这些方法是企业成功地将安全作为其运营方式的有效组成部分的最重要指标。

► 收听播客：CISO 还是 CSO？ 哪个角色最能定义当今的安全领导者？

Clarke Rodgers（05:21）：
前面您提到过，您现在参加的会议可能并不关注安全问题，但您至少接触到了安全问题，这证明了一点，“安全很重要，我们希望在会议中占有一席之地。”

Chris Betz（05:32）：
是的。这是挑战的一部分，您和我是在一个安全源于技术的世界中长大的，但如今，我们要求安全领导者成为企业领导者，与企业并肩作战，参与这些对话，了解风险对企业意味着什么，企业面临的所有风险是什么，以及如何帮助确保人们的安全，管理其他风险，同时帮助企业取得成功。因此，我认为这对许多安全领导者来说越来越重要。

Clarke Rodgers（06:07）：
这是我下一个问题的一个很好的延伸。很多客户，在我与他们的对话中，我想您也经常听到这样的对话，他们都想知道如何最有效地向董事会报告风险。在向董事会报告网络风险时，您对如何做或如何思考有什么建议或指导吗？

Chris Betz（06:30）：
这是一个很好的问题，说实话，我从未见过两家公司以同样的方式做这件事。部分原因是在业务背景下谈论风险很重要。当您与董事会交谈时，了解董事会成员是谁，他们是什么样的领导者，他们的专长是什么，这一点非常重要。

当我在 AWS 与董事会交谈时，我周围的董事会成员对技术的许多方面以及业务的其他方面都有着非常深入的了解。因此，我所进行的对话与我在董事会时非常不同，在董事会中，我有特定类型业务、零售或其他方面的专家，这些专家带来了不同的方法和不同的知识。

最重要的事情之一就是了解业务背景下的安全性，这可以追溯到我们刚才关于 CISO 作为企业领导者的对话。

Clarke Rodgers（07:32）：
以这种方式报告。

Chris Betz（07:33）：
以这种方式报告安全性对业务的影响。作为安全领导者，我们做了很多事情，但我倾向于从四个主要方面来考虑。我们的工作是为我们的企业制定我们认为“优秀”的标准。我们的风险承受能力有多高？ 我们想要实现什么？ 成为真相和透明度的来源是我的工作，也是我们作为安全领导者的工作。“这就是我们今天的工作。” 这就是您切入指标对话的地方。

Clarke Rodgers（08:08）：
我们赢得客户的信任，但您需要赢得业务合作伙伴的信任。

Chris Betz（08:11）：
我们需要赢得企业的信任。这使我想到了几乎更为重要的第三点，那就是我们不能只成为透明度的来源。我们不能只针对一个问题。作为安全领导者，我们需要成为解决方案提供者，为企业提供有效和高效地降低安全风险的方法，因此，我们的工作是提供这些解决方案，考虑我们如何做到这一点。

“我们不能只针对一个问题。作为安全领导者，我们需要成为解决方案提供商，为企业提供有效和高效地降低安全风险的方法。”

最后一个，即第四个方面，也是我们的工作，那就是成为问责来源，保证自己的安全，对董事会透明，让企业对如何达到自己设定的标准负责。因此，我们有许多不同的角色，但我认为，在这一领域最成功的企业，即安全领导者，不仅仅停留在“这是要实现的目标，我们离目标有多近”，而是专注于让企业以非常、非常深思熟虑的方式实现目标。

Clarke Rodgers（09:13）：
Chris，非常感谢您今天参与讨论。

Chris Betz（09:15）：
很棒的讨论。谢谢你邀请我。