Wie man ein besserer CISO wird

Clarke Rodgers (00:07):
Welche Eigenschaften machen einen erfolgreichen CISO aus? Als CISO von AWS hat mein heutiger Gast eine großartige Sicht auf diese Frage. Ich bin Clarke Rodgers, Director of Enterprise Strategy bei AWS, und führe Sie durch eine Reihe von Gesprächen mit AWS-Sicherheitsverantwortlichen hier auf Executive Insights.

Wir freuen uns, Chris Betz, CISO von AWS, heute begrüßen zu dürfen. Begleiten Sie uns, wenn er seine Gedanken zu allen Themen teilt, von der Etablierung einer Sicherheitskultur über die Einstellung von Mitarbeitern mit vielfältigen Hintergründen bis hin zur Förderung der nächsten Generation großartiger Sicherheitsverantwortlicher. Viel Spaß beim Zuhören.

Clarke Rodgers (00:38):
Also, ich kenne dich ziemlich gut, würde aber gerne ein bisschen mehr über deinen Hintergrund hören, für unser Publikum.

Chris Betz (00:44):
Wie du schon sagtest, wir kennen uns schon eine Weile. Das ist eines der Dinge, die ich an der Sicherheits-Community liebe, ist, wie klein sie ist. Ab einem bestimmten Punkt interagierst du mit Menschen, die du auf der ganzen Welt gesehen hast. In meinem Fall begann mein Hintergrund in der Air Force. Ich war mehrere Jahre in der Air Force. Dann ging ich zu den Bundesbehörden und dort habe ich mehrere Jahre im Bereich Cybersicherheit gearbeitet.

Ich hatte die Gelegenheit, Sicherheitsaufgaben bei Unternehmen wie CBS, einem Medienunternehmen, zu erledigen. Ich verbrachte eine Menge Zeit bei Unternehmen wie Apple, Microsoft und Lumen, damals noch als CenturyLink bekannt, und zuletzt bei Capital One. Also, es war einfach interessant, die Vielfalt der Rollen zu sehen und wieder, wie du sagst, dieselben Gesichter immer und immer wieder zu sehen.

Clarke Rodgers (01:23):
Wenn du dich jetzt als CISO von AWS mit Kunden triffst und ihre Sicherheitsfragen beantwortest, wie hat das die Dinge verändert? Die Fähigkeit zu sagen: „Hey, ich war vor nicht allzu langer Zeit in deiner Position, und so habe ich darüber nachgedacht. Und jetzt, wo ich hier bin, ist das die Antwort auf deine Frage.“ So etwas in der Art.

Chris Betz (01:45):
In den letzten zehn Jahren habe ich in Sicherheitsfunktionen in Unternehmen gearbeitet, die bedeutende Kunden von AWS sind. Und ja, ich habe mit AWS auf unserem Weg in Sachen Sicherheit und Technologie gearbeitet. In letzter Zeit kann ich dieses Gespräch mit Kunden auf eine ganz andere Art führen, weil ich das Gefühl habe, dass ich diese Gespräche und die Fragen und Herausforderungen, die sie haben, verstehe.

Eines der Dinge, die ich an diesen Gesprächen am meisten schätze, ist die Möglichkeit, immer auf dem Laufenden zu bleiben, was unsere Kunden sehen, wie sie sich fühlen, was in der Welt vor sich geht, und wirklich die Möglichkeit, Ideen von allen Seiten zu betrachten. „Hey, hier ist, was ich sehe. So löse ich das Problem.“ „Oh, das ist es, was du siehst? So löst man das Problem.“ Diese Fähigkeit für uns, gemeinsam die Messlatte innerhalb von AWS, aber auch bei unseren Kunden höher zu legen, ist unglaublich mächtig.

Clarke Rodgers (02:51):
Und ich bin in der Position, dass ich mehr Vertrauen gewinnen kann, indem ich sage: „So habe ich das Problem in meiner vorherigen Rolle gelöst“, was großartig ist.

Chris Betz (02:58):
Alles schon mal erlebt und dabei gewesen.

Clarke Rodgers (02:59):
Ganz genau. Als CISO musst du über fundierte Sicherheitskenntnisse und Geschäftskenntnisse verfügen und all das zusammenbringen, aber du leitest auch große Teams, die dem Unternehmen, unseren Kunden usw. Sicherheit bieten müssen. Was sind also die Herausforderungen, mit denen sich Sicherheitsverantwortliche heute konfrontiert sehen?  

Chris Betz (03:21):
Vieles davon lässt sich auf Fachkenntnisse zurückführen. Die Probleme, die wir im Sicherheitsumfeld lösen, sind so vielschichtig, wie du sagst, dass es für den Erfolg absolut wichtig ist, die richtigen Leute um sich zu haben. Ich persönlich liebe es, von Menschen umgeben zu sein, die ihre Fachkenntnisse teilen und andere Menschen inspirieren und herausfordern. Das gilt für alle Spitzenunternehmen, in denen ich je gearbeitet habe.

Weil dies ein Bereich ist, in dem wir ständig lernen müssen. Wir brauchen also Mitarbeiter, die diese Messlatte ständig höher legen. Wenn man diese Leute hat, ist das unglaublich inspirierend. Sie haben Wege gefunden, Probleme auf eine Art und Weise zu lösen, die du dir vorher nicht vorstellen konntest, um das Geschäft effektiver zu machen, um darüber nachzudenken, wie man Sicherheit zu einer natürlichen Überlegung für die Menschen machen kann. Es ist unglaublich wichtig. Und genau diese Menschen sind bereit, dich herauszufordern, wenn du die richtige Kultur hast. „Denkst du richtig darüber nach?“ Und diese Herausforderung hilft allen, zu wachsen, hilft dir zu wachsen, hilft dem Unternehmen zu wachsen, hilft dir, die richtige Richtung einzuschlagen.

Menschen, die genau den gleichen Hintergrund haben, die Probleme auf die gleiche Weise angehen, sind nicht die Menschen, die dir etwas Neues beibringen, die dich herausfordern und inspirieren. Deshalb denke ich, dass eine der großen Herausforderungen, die wir im Sicherheitsbereich weiterhin haben, darin besteht, wie wir diese Breite an Perspektiven, diese Breite an Kultur, diese Breite an Erfahrung, diese Vielfalt an Ansätzen und diese Vielfalt in der Denkweise erreichen, die uns hilft, wirklich das unglaubliche Unternehmen zu sein, das wir sein sollten. Deshalb verbringe ich einen Großteil meiner Zeit damit, sicherzustellen, dass wir die richtigen Leute haben, die richtige Mischung, denn ohne das können wir den Rest des Problems nicht lösen.

Clarke Rodgers (05:10):
Und vielleicht mit einem ungewöhnlichen Hintergrund, Menschen, denen nicht das Etikett „Ah, ein typischer Sicherheitstechniker“ anhaftet. Nun, diese Sichtweise könnte uns bei einem bestimmten Aspekt der Sicherheit helfen, denn der Hintergrund unserer Gegenspieler ist ganz sicher vielfältig.

Chris Betz (05:23):
Ganz genau. Und ich meine, es ist wichtig anzuerkennen, dass AWS ein global tätiges Unternehmen ist. Denn die Gegenspieler sind das auch. Wir müssen sämtliches Sicherheitswissen weltweit nutzen. Wir müssen Menschen mit unterschiedlichem Hintergrund ansprechen und sie einbeziehen. Einige der klügsten Leute, die ich im Sicherheitsbereich kenne, haben erstaunlich unterschiedliche Hintergründe. Sie haben jahrelang ihr Sicherheitshandwerk verfeinert. Aber wie man die richtige Mischung von Sichtweisen einbringt, ist wirklich, wirklich wichtig.

Clarke Rodgers (05:51):
Wenn du auf die letzten Jahre zurückblickst und dir auch die Zukunft vorstellst, worauf freust du dich aus der Sicherheitsperspektive am meisten? Und das kann ein Programm, ein Prozess, eine Technologie oder was auch immer sein. Davon ausgehend, worauf konzentrierst du dich bei deinen Bemühungen?

Chris Betz (06:08):
Wenn ich mir den Weg ansehe, den Zero Trust hinter sich hat – von einer Reihe von Produkten, die als Zero-Trust-Lösungen beworben wurden, über eine Reihe von Standards bis hin zu einer Reihe von Technologien, die wirklich integriert sind. Wenn ich mir ansehe, wie sich das Benutzererlebnis in den letzten Jahren verändert hat, die Passkeys-Technologien, die Amazon.com und eine Reihe anderer Unternehmen in jüngster Zeit eingeführt haben, dann ändert das grundlegend die Art und Weise, wie wir über ein nahtloses Benutzererlebnis nachdenken, über die Möglichkeit, auf Technologie zuzugreifen und das auf eine wirklich durchdachte Art und Weise.

Clarke Rodgers (06:50):
Und Sicherheit zu einem einfachen Weg zu machen, oder?

Chris Betz (06:52):
Wir machen Sicherheit zu einem einfachen Weg. Deshalb denke ich, dass die Fortschritte, die wir in dieser Welt gemacht haben, weg von komplizierten VPNs, hin zu einer nahtlosen, eingehenden Analyse dessen, was vor sich geht, unglaublich mächtig sind.

Generative KI ist einfach in aller Munde. Das KI-Feld ist nicht neu. Wir beackern es schon seit Jahrzehnten, aber die Geschwindigkeit, mit der sich die Bereiche Machine Learning/KI in den letzten Jahren verändert haben, ist einfach unglaublich. Es verleiht meiner Meinung nach der Sicherheit eine Reihe wirklich nützlicher Funktionen. Eines der Beispiele, die ich gerne anführe, wenn ich mit Leuten spreche, ist, dass es in der alten Welt zeitsparend war, eine große Tabelle zu erstellen und sie nach einem Sicherheitsrisiko zu durchsuchen. Mit den Daten zu arbeiten, wie wir es früher getan haben, wenn man versucht hat, einen Teil der Daten zu analysieren. Denn die Zeit, die man brauchte, um Code zu schreiben ...

Clarke Rodgers (07:53):
War so viel länger, ja.

Chris Betz (07:54):
Der Aufwand dabei wurde in Stunden gemessen und du konntest die manuelle Analyse in einer Stunde oder so erledigen. Mit Dingen wie CodeWhisperer und anderen Technologien ist dieses Modell jetzt auf den Kopf gestellt. Wenn du ein gut verstandenes Problem beschreibst und sagst: „Hey, ich möchte diese Daten analysieren, um diese Dinge herauszufinden“, kannst du ein System darum bitten, innerhalb von Sekunden eine Antwort erhalten, sie implementieren, testen und umsetzen – und das in viel kürzerer Zeit, als du es jemals manuell mit einer Tabelle geschafft hättest. Und es ist wiederholbar, es ist testbar, es ist überprüfbar. Du senkst dadurch das Risiko menschlicher Fehler. Es gibt eine Reihe von großen Vorteilen, dies auf diese Weise zu tun. Und ich denke, das wird sogar die Art und Weise verändern, wie Sicherheitsabläufe funktionieren, nicht nur hier bei AWS, sondern in der gesamten Branche. Deshalb denke ich, dass es hier eine große Chance gibt.

Die andere Seite davon ist – womit ich auch eine Menge Zeit verbringe –, dass wir alle lernen, was generative KI leisten kann und wie wir sie sichern und wie wir sie nutzbringend einsetzen können. Wir investieren bei AWS viel Zeit und Energie, um sicherzustellen, dass wir die richtige Grundlage haben und die richtigen Fähigkeiten aufbauen. Wenn wir auf generativer KI basierende Lösungen entwickeln, können wir sie erstens auf Herz und Nieren testen.

Clarke Rodgers (09:14):
Im großen Maßstab.

Chris Betz (09:15):
Ja, auf branchenführende Art und Weise im großen Maßstab. Und wir können auch all diese Erkenntnisse in Funktionen umwandeln, die wir unseren Kunden anbieten können, denn die gleichen Probleme, die wir haben, sind die Probleme, die sie haben, wenn sie generative KI einsetzen. Und so gibt es diesen unglaubliche Schnelllernkurve, mit der wir jeden Tag neue Dinge lernen, und das macht Spaß. Es ist eine Herausforderung, weil die Angreifer auch jeden Tag neue Dinge lernen.

Clarke Rodgers (09:41):
So ist es!

Chris Betz (09:42):
Und wir müssen diese sehr, sehr schnelle Kurve beibehalten, um in diesem Bereich schnell voranzukommen, aber das ist auch der Grund, warum ich gerne hier bei AWS bin. Wir bewegen uns nicht langsam. Ganz und gar nicht. Ich denke also, dass diese Superkraft von AWS genau dorthin passt, wo wir in diesem Bereich hin müssen.

Clarke Rodgers (10:01):
Das ist eine großartige Antwort Und die Kunden kommen normalerweise mit ihren technologischen Bedürfnissen zu uns, egal ob es um Sicherheit oder die Lösung von Geschäftsproblemen geht. Was für die Kunden vielleicht nicht so offensichtlich ist, ist, dass wir als Technologieunternehmen, das Software und Services anbietet, auch viel Zeit damit verbringen, ihnen zu helfen, ihre Sicherheitsprogramme aufzubauen und effektiver zu gestalten. Eines der beliebtesten Programme, die wir haben, sind, wie du weißt, die AWS CISO Circles. Würdest du ein bisschen über sie sprechen, wie sie organisiert sind und welche Kunden von ihnen profitieren können?

Chris Betz (10:38):
Die Gespräche, über die wir zuvor gesprochen haben, in denen es darum geht, dass die Sicherheits-Community klein ist und dass man voneinander lernen muss, sind so wichtig.

Chatham-House-Regel: Mach freien Gebrauch von den Informationen, die du erhältst, gib aber nie die Identität anderer Teilnehmer preis. Das ermöglicht es den Leuten, echte Gespräche zu führen. Die Fähigkeit für uns, voneinander zu lernen, uns gegenseitig herauszufordern, Fragen zu stellen. „Hey, wie löst ihr dieses Problem?“ „Hey, ich sehe langsam, dass Angreifer das tun. Siehst du das Problem auch?“ Sei innovativ, denke nach und lerne von den Besten. Das ist das Umfeld, in das wir uns meiner Meinung nach in den CISO Circles begeben.

Menschen mit Gemeinsamkeiten, seien es Regionen der Welt, Gemeinsamkeiten in Bezug auf Geschäft und Technologie, ähnliche Problemstellungen, mit einigen der klügsten Menschen, die ich innerhalb und außerhalb von AWS kenne, zusammenzubringen, um diese Gespräche zu führen, ist unglaublich, unglaublich wirkungsvoll. Und das ist es, was wir meiner Meinung nach mit CISO Circles wirklich nutzen können. Und ehrlich gesagt haben mir die, denen ich beigetreten bin, Spaß gemacht, und ich freue mich darauf, mich im nächsten Jahr noch in einer Menge weiterer zu engagieren.

Clarke Rodgers (12:08):
Auf jeden Fall. Ich erinnere mich, dass ich als Kunde viel mehr von CISOs aus anderen Branchen gelernt habe. Überraschenderweise hat man in der Versicherungsbranche eine gewisse Risikotoleranz und tut bestimmte Dinge, und ich habe so viel von den Medien, dem Einzelhandel und dem Bankwesen gelernt. Es war hervorragend.

Chris Betz (12:16):
Ich habe genau das Gleiche erlebt, und deshalb genieße ich diese Mischung, Leute zusammenzubringen, um diese Gespräche zu führen.

Clarke Rodgers (12:32):
Chris, vielen Dank, dass du heute bei mir warst.

Chris Betz (12:34):
Gern geschehen. Danke, dass ich dabei sein dufte.