Entwicklung und Messung einer modernen Organisation für Sicherheitsabläufe

Clarke (00:04):
Hart, vielen Dank, dass Sie heute bei uns sind.

Hart (00:06):
Danke, dass ich dabei sein darf, Clarke.

Clarke (00:08):
Wenn Sie sich ein wenig Zeit nehmen könnten, uns etwas über Ihren Hintergrund zu erzählen, wie Sie zu AWS gekommen sind und was Ihre derzeitige Aufgabe ist?

Hart (00:14):
Gerne. Bevor ich zu AWS kam, arbeitete ich in der Verteidigungsbranche, wo ich viel mit Systemintegration zu tun hatte. Das gefiel mir sehr, ich liebte die Aufgabe, die US-Regierung und Regierungen auf der ganzen Welt und auch einige regulierte Branchen zu unterstützen. Aber ich hatte immer eine Art Liste der Top-Sicherheitsunternehmen im Hinterkopf. Und zu Beginn meiner Karriere waren diese weitgehend auf den Verbraucher ausgerichtet. Also Antivirus, persönliche Firewalls auf Ihrem Desktop und dergleichen mehr. Aber im Laufe der Zeit enthielt diese Liste Unternehmen, die die Infrastruktur bereitstellen, die die Welt am Laufen hält. Und damit Unternehmen wie Amazon und andere große Infrastrukturanbieter. Ich war also wirklich an einem Punkt in meiner Karriere, an dem ich nach dem nächsten Schritt suchte. Und ich wollte an einen Ort gehen, an dem man in Sachen Sicherheit wirklich innovativ ist. Das würde einen Unterschied machen, nicht nur für einige wenige Kunden, die sehr wichtig waren, sondern wirklich für die ganze Welt. Und so bot sich mir die Gelegenheit, zu AWS zu kommen, und habe sie genutzt.

Clarke (01:12):
Und was ist heute Ihre Rolle bei AWS?

Hart (01:14):
Heutzutage bin ich der Direktor der globalen Spezialpraxis für Sicherheit und Infrastruktur und der professionellen Services, was ein bisschen kompliziert klingt. Aber was es wirklich bedeutet, ist, dass meine Aufgabe darin besteht, Kunden dabei zu helfen, das Vertrauen und die technischen Fähigkeiten aufzubauen, um ihre sensibelsten Workloads mit uns in der Cloud zu betreiben.

Clarke (01:33):
Vielen Dank dafür, Hart. ... schalten wir einen Gang höher, um die Kundenperspektive einzunehmen. Unsere Kunden, die Chief Information Security Officers (CISOs), sind immer auf der Suche nach neuen Sicherheitstalenten, und es kann sehr schwierig sein, diese Art von Mitarbeitern zu finden. Was würden Sie einem CISO oder einem anderen Personalverantwortlichen eines Kundenunternehmens raten, wenn es an Sicherheitstalenten mangelt, um die richtige Person zu finden, auch wenn sie nicht die tiefgreifenden Sicherheitskenntnisse hat, die Sie suchen?

Hart (02:02):
Ja, ich glaube, es liegt zum großen Teil an der Unternehmenskultur. Und wir führen dann oft zwei verschiedene Gespräche. Das erste besteht darin, tiefgreifende technische Ressourcen einzubringen und dann ein Programm zu entwickeln, um sie mit der neuen Technologie vertraut zu machen, sei es Lambda, Container, was auch immer, KS. Oder dem Sicherheitsaspekt davon. Wir bringen also diese technisch versierten Ingenieure ins Boot und helfen ihnen zu verstehen, wie man sicher baut, wie man sicher denkt, wie man zum Beispiel jeden Sprint mit einem Bedrohungsmodell beginnt, um die User-Stories zu generieren, gegen die man dann sprintet, anstatt nur die funktionalen Anforderungen des Produktmanagers.  Diese Art von Fähigkeiten. Und am anderen Ende des Spektrums gibt es natürlich eine Menge wirklich talentierter Sicherheitsleute in anderen Bereichen der Sicherheitsgemeinschaft. Sie könnten also in der Auditierung, in der Einhaltung von Vorschriften oder in anderen Bereichen tätig sein, und es ist eine Gelegenheit, sie in einen anderen Teil der Sicherheitsgemeinschaft zu bringen und ihnen die Möglichkeit zu geben, wenn sie daran interessiert sind, sich technisch weiterzuentwickeln, diese technischen Fähigkeiten zu entwickeln, diese Produktentwicklungs- und Produktmanagementfähigkeiten zu entwickeln. Auch das ist sehr hilfreich. Eine Sache, die ich oft anbiete, und auch hier geht es wieder um etwas, das wir in unserem Team suchen, ist, dass die kreativen Typen in der Regel am erfolgreichsten sind. Die Querdenker, die Künstler, die Dichter. Sie sind in der Regel sehr gut darin, sich mit der Zeit anzupassen. Und ich will niemanden stereotypisieren, aber diese Art von Flexibilität und Agilität und Denkweise ermöglicht es ihnen oft, recht schnell voranzukommen.

Clarke (03:38): 
Die Kunden scheinen sich wirklich der Sicherheitstechnik zuzuwenden und Sicherheit in die Anwendungen und Infrastrukturen einzubauen, die sie verwalten. Wie Sie wissen, gibt es noch einen anderen Aspekt der Sicherheit, nämlich die operative Sicherheit und die Sicherstellung, dass alles so funktioniert, wie es sollte, und dass ich hier eine rote Flagge sehe und darauf reagieren kann. Was ist das richtige Gleichgewicht zwischen der technischen und der betrieblichen Denkweise?

Hart (04:04):
Ja, das ist eine sehr wichtige Frage. Ich habe viel Zeit damit verbracht, mit leitenden Angestellten darüber zu sprechen, denn wenn sie am Anfang ihrer Reise stehen, nicht nur mit der Cloud, sondern auch mit der Anwendungsmodernisierung, die viele von ihnen durchführen, unabhängig von ihrer Beteiligung an AWS. Die Betonung liegt oft auf dem Dev-Teil von Dev Ops. Sie denken also darüber nach, wie sie ihre Workloads besser aufbauen und einsetzen können. Sie haben nicht unbedingt den gesamten operativen Teil durchdacht. Und wenn man dann noch die Sicherheitsoperationen hinzunimmt, gibt es eine ganz besondere Nuance, die unbedingt berücksichtigt werden muss. Ich habe festgestellt, dass es hilfreich ist, wenn wir anfangen, über Operationen zu sprechen und nicht mehr über Programme und Initiativen. Bei einer Migration oder bei der Erstellung eines neuen Workloads geht es oft sehr programmatisch zu. Sie haben einen Produktmanager, Sie haben einen Migrationsleiter, aber wenn wir über Sicherheitsoperationen sprechen, müssen Sie diese 24 Stunden am Tag, 7 Tage die Woche, 365 Tage im Jahr, Zuverlässigkeit, Sicherheit und Sensibilität und Reaktion haben, eine Aktivität, die mit einer konventionellen Operations-Center-Mentalität einhergeht. Nun müssen wir uns nicht mehr auf die vier Wände eines tatsächlichen Operations-Centers beschränken. Denn wir haben Systeme in der Cloud, die uns dabei helfen, das Gleiche zu tun. Aber wir müssen die Denkweise der Führungskräfte ändern. Und oft ist es so einfach, wie zu sagen: Welche Kennzahlen sind für Sie im Betrieb wichtig? Wir haben über die Migration gesprochen, wir haben über die Entwicklung gesprochen. Wir wissen, was für Sie wichtig ist und wie Erfolg aussieht, aber wie sieht der Sicherheitsbetrieb aus Sicht der Kennzahlen für Sie aus? Und wenn wir dieses Gespräch geführt haben, können wir uns oft sehr leicht daran orientieren, wie das aussieht, und nun damit beginnen, Entwicklung und Betrieb unter Sicherheitsaspekten wirklich sinnvoll zusammenzubringen.

Clarke (05:50):
Ich stelle also die Millionen-Dollar-Frage: Was sind die wichtigsten Kennzahlen, nach denen die Kunden in der Regel aus betrieblicher Sicht suchen?

Hart (05:57):
Ja. Das hängt wiederum von ihren Zielen ab. Wir werden uns unter anderem mit Dingen wie der Verweildauer beschäftigen. Das Tolle an einer unveränderlichen Infrastruktur ist, dass man sehr niedrige Rehydrierungsraten für sein gesamtes Rechenzentrum in der Cloud haben kann. Anstatt Monate oder manchmal Jahre für den Neuaufbau und die Wiederherstellung einer Anwendung zu benötigen, können viele unserer Kunden dies in wenigen Stunden und bei kleineren Workloads sogar in wenigen Minuten erledigen. Wenn man also sein gesamtes Rechenzentrum in einer Stunde neu aufbauen kann, kann man sich Gedanken darüber machen, wie man die Verweildauer eines Konkurrenten verändern kann. Wie können wir die Diskussion über das Schwachstellenmanagement und den langen Schwanz des Patchings verändern? Und wir können damit beginnen, uns mit den Metriken zu befassen, die uns dabei helfen, Flexibilität, Skalierbarkeit und Zuverlässigkeit zu fördern, was letztendlich zur Sicherheit beiträgt.

Clarke (06:55):
Ein Großteil unseres heutigen Gesprächs drehte sich also um die Entwicklung von Sicherheitsabläufen, also um die traditionellen Grundlagen der Leitung einer Sicherheitsorganisation. In vielen Gesprächen, die ich mit CISOs führe, geht es ihnen um die Frage, wie ich Sicherheit in einem angemessenen geschäftlichen Kontext darstelle und wie ich Cyber-Risiken in geschäftliche Begriffe fasse, die mein Vorstand oder meine leitenden Angestellten verstehen. Haben Sie irgendwelche Angebote in diesem Bereich, in dem es um die Sicherheit als Unternehmensführer geht, im Gegensatz zu den Sicherheitsoperationen in den traditionellen Metriken, an die wir denken?

Hart (07:31):
Ja, haben wir. Und das ist ein weiteres gutes Beispiel dafür, dass man vom Kunden aus rückwärts arbeitet. Schon früh, in den Tagen des Aufbaus des Sicherheitsteils der Sicherheitsrisiko- und Compliance-Praxis, bekamen wir diese Art von Fragen von Kunden. Und ich hatte Erfahrung und viele der damaligen Mitarbeiter meines Teams hatten Erfahrung in der Sicherheitsberatung, aber keiner von uns hatte die persönliche Verantwortung, die ein CISO für den Schutz des Unternehmens hat. Nachdem wir diese Anfrage ein paar Mal erhalten hatten, dachten wir, wir müssen ein paar CISOs finden, die mit uns zusammenarbeiten. Und genau das haben wir getan. Wir haben eine Sicherheitsberatungspraxis für Führungskräfte aufgebaut, in der wir Chief Information Security Officers, Risiko- und Audit-Leiter haben. Sie haben sich selbst auf die Reise in die Cloud mit AWS begeben und sind jetzt in unserem Team. Und sie können diese Beratungsarbeit auf Augenhöhe leisten, unterstützt von starken technischen und operativen Mitarbeitern, die bei der Umsetzung der Unternehmensstrategie helfen. Und es war wirklich sehr, sehr gut. Wir sind in der Lage, Gespräche über Metriken zu führen. Damit meine ich nicht Metriken wie die operativen Metriken, über die wir vorhin gesprochen haben. Wir sprechen hier von wichtigen Leistungsindikatoren. Es geht darum, Sicherheitserwartungen für das Unternehmen festzulegen, die eine jährliche Veränderung bewirken, und nicht nur darum, in diesem Jahr eine bestimmte Zahl zu erreichen. 

Clarke (08:53):
Ok. Sehen Sie bei den Kunden-CISOs, mit denen Sie zusammenarbeiten, irgendwelche Trends bei der Berichterstattung auf Unternehmensebene an ihre Vorstände? Wenn ich mit Kunden-CISOs spreche, dann müssen Sie immer noch alle Metriken zu den von uns gepatchten Rechnern, den gestoppten Viren, den gestoppten Angriffen und so weiter haben. Aber was raten Sie Leuten, die vielleicht nicht über das nötige Fachwissen im Bereich Sicherheit verfügen, aber die Geldgeber für Ihr Budget und andere Operationen sind, um dies in geschäftlicher Hinsicht zu vermitteln?

Hart (09:29):
Ja. Ich denke, es gibt einige unterschiedliche Standpunkte. Einer davon ist der bereits erwähnte Aspekt der Transformation. Wenn man das richtige Ziel und die richtige Erwartung setzt, gibt es einen enormen Durchzugseffekt. Als Beispiel möchte ich anführen, dass der CISO sich zum Ziel gesetzt hat, Ihr gesamtes Rechenzentrum in der Cloud innerhalb weniger Tage, sagen wir alle 48 bis 72 Stunden, zu rehydrieren. Wenn man davon ausgeht, hat das einen massiven Effekt auf die Art und Weise, wie man BCPDR durchführt. Wie Sie Tests durchführen, erstellen, bereitstellen und betreiben. Es zwingt alle zur Automatisierung und zur Beschleunigung, was letztlich die Zeit bis zur Wertschöpfung für alle Infrastrukturaktivitäten unter dem Dach verkürzt. Das bedeutet: geringere Kosten, schnellere Markteinführung, kürzere Reaktionszeiten für Ihre Kunden. Die richtige Sicherheitserwartung, die im Übrigen eine jährliche Umstellung darstellt, führt also zu großartigen Ergebnissen im gesamten Unternehmen. Es könnte also sein, dass wir in diesem Jahr auf eine Rehydrierung alle 45 Tage herunterkommen wollen, im nächsten Jahr auf 15 Tage und im darauf folgenden Jahr auf 48 Stunden. Sie werden also Jahr für Jahr dieses eine Sicherheitsziel nutzen, um all diese anderen Geschäftsergebnisse voranzutreiben.

Clarke (10:52):
Und dann verfolgen Sie das mit dem Vorstand, wenn Sie Bericht erstatten.

Hart (10:54):
Genau.

Clarke (10:55):
Das ist großartig. Hart, vielen Dank, dass Sie heute bei uns waren.

Hart (10:57):
Cool. Danke, dass ich dabei sein darf.