Überarbeitung der Sicherheit und der Compliance bei AWS

Clarke: (00:05)
Chad, vielen Dank, dass Sie heute bei mir sind.

Chad: (00:07)
Es ist toll, hier zu sein.

Clarke (00:09):
Könnten Sie bitte ein wenig über Ihren Hintergrund erzählen und wie Sie zu AWS gekommen sind?

Chad: (00:13)
Ja. Ich bin seit etwa 11 Jahren bei AWS und beschäftige mich mit Sicherheit und Compliance, seit ich 2010 angefangen habe. Ich kam von EY, wo wir eine Menge Sicherheitsberatung und Beratung zur Geschäftskontinuität gemacht haben. Dieser Hintergrund hat mir bei meiner heutigen Tätigkeit, der Einhaltung von Sicherheitsvorschriften für AWS, sehr geholfen.

Clarke (00:43):
Was sind einige Ihrer Hauptaufgaben als Head of Security Assurance bei AWS?

Chad: (00:50)
Unser primäres Ziel und unsere Mission ist es, unseren Kunden dabei zu helfen, regulierte und wirklich sensible Daten in die Cloud zu verlagern, und das bringt eine Menge Dinge mit sich. Man muss intern nachweisen können, dass man eine sichere Umgebung hat. Außerdem müssen Sie AWS prüfen und sicherstellen, dass Ihr Anbieter, AWS, sicher ist. Und hier kommen wir ins Spiel, indem wir durch Prüfungen und Zertifizierungen und andere direkte Prüfungen nachweisen, dass die Dinge, die wir im Hintergrund tun, die Dinge, die die Kunden nicht sehen können, sicher sind und mit all den verschiedenen Arten von Vorschriften und Zertifizierungsstandards übereinstimmen, an die wir uns halten.

Clarke (01:34):
Sie haben also interne Teams, interne Compliance-Teams, die dafür sorgen, dass die AWS-Services einen bestimmten Standard erfüllen. Ich nehme an, Sie arbeiten auch mit externen Prüfern und Aufsichtsbehörden zusammen?

Chad: (01:47)
Ja. Ja. Der Großteil unserer Arbeit bezieht sich also auf die externe Zusammenarbeit mit externen Prüfern von Aufsichtsbehörden und Kunden, die ebenfalls Prüfungen bei AWS durchführen und ihre eigene Due-Diligence-Prüfung bei uns durchführen.

Clarke: (02:03)
In der Welt der Sicherheit, also im weitesten Sinn, ist es sehr schwierig gute Leute zu finden, sie einzustellen, zu trainieren und dann auch zu halten. Ich nehme an, dass dasselbe für Experten im Bereich Sicherheit und Compliance gilt.

Chad: (02:18)
Da liegen Sie richtig. Ja.

Clarke (02:20):
Können Sie ein bisschen mehr erzählen, wie Sie jemanden einarbeiten, also einen neuen Mitarbeiter, und wie Sie die Person dann halten und dafür sorgen, dass die Mitarbeiter gerne in der Sicherheitsabteilung arbeiten?

Chad: (02:33)
Ja. Zunächst einmal kann ich sagen, dass die Schwierigkeit bei der Einstellung richtig guter technischer Sicherheitsmitarbeitet heute darin besteht, dass wir mit einigen ziemlich beeindruckenden externen Anbietern konkurrieren. Und alle versuchen dieselben Leute zu finden, also Entwickler und Systemdesigner und so weiter. Wir müssen wettbewerbsfähig sein.

Chad: (03:00)
Und oftmals, in unserer Branche, wenn jemand einen richtig guten Job gemacht hat, passiert nichts, oder? Es gibt also keine Verstöße, keine Eskalation, es passiert einfach nichts. Aber wenn jemand etwas richtig Gutes im Service macht, passiert wohl etwas. Sie bringen ein Produkt auf den Markt, jemand ist begeistert, es gibt Umsätze, die Kunden engagieren sich ... Und somit befinden wir uns in einer Art Wettbewerb, aber was wir haben, was Sicherheitsexperten haben, ist der Anspruch richtig gut zu sein, wie Unternehmen ... Keine Unternehmensbürger ... Es ist, als ob man wirklich einen guten Beitrag zum übergeordneten Ziel der Sicherheit in der ganzen Branche leisten würde.

Chad: (03:49)
Ein Aspekt hierbei ist, dass wir interne Prozesse entwickeln, die wir auslagern, und interne Dienste, die wir auslagern, um allen unseren Kunden dabei zu helfen, Sicherheit und Compliance besser umzusetzen. Das ist auch ein Aspekt unserer Arbeit. Und solche Leute, die das wirklich wertschätzen, fühlen sich in unserem Team sehr wohl und arbeiten gerne in der Compliance. Ja. Niemand studiert und denkt sich, ich will Prüfer werden. Ich will Compliance-Ingenieur werden. Niemand sagt das wirklich, aber wenn sie in unser Team kommen und wirklich verstehen, was wir tun und wie wir Kunden helfen, ist das ein sehr, sehr breites Wertversprechen für unseren gesamten Kundenstamm und nicht nur diejenigen, die bestimmte Services nutzen. Das ist es also, und das ist etwas, das wir haben, woran wir arbeiten.

Chad: (04:40)
Also, wenn wir Leute einstellen, sind das oft nicht solche mit einem traditionellen Compliance Hintergrund, vielleicht weil sie normalerweise eine Abneigung gegen den Service Teams und Entwicklerteams haben. Das wollen wir nicht. Davon wollen wir wegkommen. Also, es gibt nicht viele Leute ... Es gibt einige, und einige davon sind sehr engagiert, wenn es darum geht, es richtig zu machen und voranzubringen, aber in der Regel sind sie nicht so technikaffin. Und deshalb passen sie nicht gut in unsere Organisation.

Chad: (05:21)
Aber wenn wir die gefunden haben, die ... Sie sollten sozusagen zwei Amazon-Führungsgrundsätze erfüllen, um erfolgreich zu sein. Erstens: Lernen und neugierig sein. Sie sollten neugierig sein und und sich in die Workflows der Entwickler hineinversetzen können, um zu verstehen, welche Tools sie verwenden. Wie ich schon sagte, sollten Sie verstehen, wie sie ihre Arbeit machen. Und das erfordert eine Menge technischer Neugier, um das gründlich zu machen zu können.

Chad: (05:54)
Der zweite Führungsgrundsatz, den sie beachten sollten, ist, zu erfinden und zu vereinfachen, weil wir Dinge machen und Wege erfinden, um Compliance auszuführen, die noch niemand zuvor gemacht hat. Und ich weiß das, denn wenn wir Kollegen oder andere Foren und Konferenzen und so weiter befragen, gibt es niemanden, sich mit solchen Größenordnungen befassen muss wie wir es tun müssen. Und daher müssen wir unsere eigenen Dinge erfinden, unsere eigenen Tools und unsere eigenen Services für Entwickler. Daher würde ich sagen, dass das die zwei Arten von leitenden Prinzipien sind, die wir wirklich brauchen.

Chad: (06:29)
Und wenn wir Leute einstellen, dann kommen die von überall her. Einer meiner besten Leute war ein Elektroingenieur. Und er ging zur Schule und machte sein Diplom als Elektroingenieur und machte etwas anderes im Bereich Elektroingenieurwesen und dann kam er zu uns, weil er sehr, sehr neugierig war, was wir machen und er sah den Wert des Angebots. Und er war wirklich einer meiner besten Leute. Und das ist genau das, was uns gefällt.

Chad: (06:57)
Wir lieben etwas Diversität im Ausbildungs- und Unternehmenshintergrund. Was ich meine, wir haben in dieser Hinsicht ein sehr, sehr vielfältiges Team, der Hintergrund und die Gedanken und woher sie kommen, die Standorte und all das sind sehr, sehr unterschiedlich. Und all das kommt der Organisation zugute, weil wir unkonventionell denken können. Wir können über Möglichkeiten zur Skalierung nachdenken. Je mehr ich mein Team einbeziehe, desto mehr engagieren sie sich in diesem Aspekt, wo sie branchenführende Dinge tun und mit beispielloser Geschwindigkeit für verschiedene Aktivitäten und verschiedene Prozesse skalieren, sie werden davon begeistert. Das begeistert uns alle. Ich bin begeistert, weil wir den Weg ebenen und wirklich eine Vordenkerrolle in diesem Bereich ausüben.

Chad: (07:45)
Und die andere aufregende Sache daran ist, dass dies auch auf viele unserer Kunden zutrifft. Ich denke, dass noch mehr von dem, was wir tun, den Kunden zugutekommen könnte, als den meisten bewusst ist. Und wir arbeiten wirklich daran, sozusagen, nicht nur diese Prozesse zu entwickeln und diese Tools und Fähigkeiten zu entwickeln, sondern wir versuchen auch, sie nach draußen zu bringen mithilfe unserer Services, um unseren Kunden zu helfen mit den Lektionen, die wir gelernt haben, weiter zu kommen.

Clarke (08:14):
Also Chad, die letzten 18, 24 Monate waren für jeden sehr schwierig mit der Pandemie, und dass die Leute virtuell und von zu Hause aus und in Kaffeeläden und so weiter arbeiten mussten. Wie hat sich diese Remote-Arbeit auf Ihr Team und seine Fähigkeit ausgewirkt, seinen Alltag zu erledigen und dann die Funktionen und Services hinzuzufügen, die Ihr Team zur Unterstützung der verschiedenen Entwicklungsteams da draußen bereitstellt?

Chad: (08:35)
Es gibt verschiedene Aspekte bei traditionellen Prüfungen, die irgendwie keinen Sinn machen, wie der Besuch von Rechenzentren. Meistens wollen die Prüfer ein Rechenzentrum nur besuchen, sodass sie das abhaken können. Oder sie wollen jemanden persönlich treffen, weil sie abhaken müssen, dass sie das getan haben, während sie die Informationen, die sie brauchen, auch auf anderem Weg bekommen können. Wie bei einem Rundgang durch ein Rechenzentrum, unsere Rechenzentren sind so instrumentiert, dass wir alle Beweise, die Sie benötigen, einschließlich Kameraüberwachung, aus der Ferne sammeln können. Warum sollte man zu einem Rechenzentrum gehen? Im Grunde genommen hilft ein Besuch in einem Rechenzentrum gar nicht.

Chad: (09:12)
Und so hatten wir vor der Pandemie all diese Arten von Aufgaben, bei denen es eigentlich nicht notwendig war und viel Zeit in Anspruch nahm, insbesondere solche Reisen zu Rechenzentren auf der ganzen Welt. Wenn wir also den Besuch eines Rechenzentrums in Singapur koordinieren müssen, dann kostet das eine gesamte Gruppe, die Prüfer und uns eine ganze Woche Zeit.

Chad: (09:40)
Und dann schlägt die Pandemie zu und wir können nichts dergleichen tun. Am Anfang war es wirklich schwer für die Prüfer, zu sagen: okay, ich komme nicht zu den Rechenzentren. Aber was wir gemacht haben, war, wir haben mit ihnen gearbeitet und gesagt, wissen Sie, wie wir ihnen gesagt haben, wie ausgerüstet wir sind? Ja. Lassen Sie mich Ihnen zeigen, wie Sie all Ihre Verfahren, die Sie normalerweise persönlich erledigt hätten, aus der Ferne und durch einen virtuellen Lesesaal, das Überprüfen von Dokumenten und Videokonferenzen für Interviews durchführen können. Und zum Sampeln, müssen Sie nicht vor Ort anwesend sein, damit wir die Systemtabelle herunterladen können, die alles beschreibt, was Sie sich anschauen wollen. Wir können sie Ihnen auf sicherem Weg zur Verfügung stellen und Ihnen die Überwachungskette zeigen oder wie wir das heruntergeladen haben, und alles.

Chad: (10:31)
Weil wir alle gezwungen waren, es so zu machen, sind unsere Prüfungen viel effizienter geworden. Wir waren in der Lage, die Prüfungen zu beschleunigen. Wir haben es geschafft, sie nicht nur schneller, effektiver zu absolvieren, sondern wir konnten auch viele verschiedene Dinge gleichzeitig machen, während wir sie normalerweise hintereinander tun mussten wegen der ganzen Reiserei. Es gibt also viele Vorteile für die Prüfungen allein.

Chad: (10:56)
Plus, wir waren in der Lage, darüber nachzudenken, was wirklich nötig ist, um die Kontrollanweisungen oder die Kontrollprozesse verifiziert zu bekommen. Die Pandemie hat uns in vielerlei Hinsicht ermöglicht, einen Schritt zurückzugehen, und hat uns vielleicht gezwungen, einen Schritt zurückzugehen, und sie hat die Prüfer gezwungen, einen Schritt zurückzugehen und zu überdenken, wie sie in unserem Umfeld wirklich Sicherheit erlangen.

Chad: (11:26)
Wir haben die Zeit benutzt, um mehr Tools zu entwickeln. Wir haben verschiedene Methoden, um, wie ich schon sagte, einen Gang durchs Rechenzentrum aufzuzeigen. Es gibt jetzt einen virtuellen Gang durchs Rechenzentrum. Es gibt, ich erwähnte bereits das Digital Audit Symposium, das, anstatt dass man alle in einem Raum zusammenbringt und unterrichtet, die Möglichkeit bietet, dies in einem virtuellen Raum zu tun, mit Videos und dergleichen, sodass jeder es on-demand in der eigenen Zeitzone machen kann, und wir nicht alle Teamleiter im Service und die Geschäftsleiter zusammentrommeln müssen, um immer wieder die gleichen Kundenpräsentationen zu geben. Es gibt jetzt diese Art von anderen Prüfungen und anderen Vereinbarungen und Fortbildungsveranstaltungen, die viel effektiver sind.

Clarke (12:17):
Das klingt beinah wie Prüfungen als ein Service.

Chad: (12:21)
Prüfungen als ein Service oder einfach Fokus auf das, was zählt. Und vielleicht, dass wir uns fragen, ob die traditionellen Sachen, die wir 20 Jahre lang gemacht haben, wirklich nötig sind. Einige waren es nicht. Und so sind wir in der Lage die richtigen Dinge zu tun und die richtigen Prozesse zu bekommen und die richtigen Kontrollen zu beurteilen.

Clarke (12:44):
Das ist großartig. Wir haben uns ein bisschen mehr in die Perspektive der Kunden begeben. Also, ich bin ein Kunde und ich will ein Sicherheitsgarantieprogramm starten. Natürlich beginne ich nicht am ersten Tag mit einem Programm auf dem Niveau und im Umfang von AWS, aber wie würde ein Kunde vorgehen, um Unterstützung für sein eigenes internes Sicherheitsgarantieprogramm zu bekommen? Sie wissen, Sie sprachen darüber Entwicklerteams zu haben. Das ist kein „Standardverfahren“, das ich bei irgendeinem unserer Kunden sehe. Einige der größeren fangen an, so zu denken. Aber wie kann ein Kunde die Basis legen und der oberen Führungsebene sagen, dies ist wichtig und diese Art von Investitionen sollten wir machen.

Chad: (13:24)
Ja, das ist eine gute Frage und die ist für jeden Kunden individuell zu beantworten. Die meisten haben eine außergewöhnliche Situation in ihrem Geschäft, wodurch der Wert von Sicherheit und Compliance unterschiedlich ist.

Chad: (13:38)
Und im Allgemeinen, offensichtlich ist Sicherheit wichtig und Compliance in vielen Hinsichten absolut essentiell. Also muss man ein Programm bauen. Jeder braucht ein Sicherheitsprogramm. Jeder braucht ein Compliance-Programm, ob es nun Sicherheits-Compliance ist oder rechtliche Compliance, oder was auch immer, man muss die Gesetze einhalten, wenn man ein Geschäft betreiben will, oder?

Chad: (14:05)
Ich würde sagen, Nummer eins ist vielleicht ... Also als erstes ist da die Aktivität, das Faktum des Wertes eines Sicherheits- und Compliance-Programms an die Führungsebene zu verkaufen und ich denke, dass ist eine Geschäftsentscheidung, oder? Es ist nicht unbedingt die Verpflichtung oder der Job einer Person, hinzugehen und zu versuchen, ein ganzes Führungsteam davon zu überzeugen, dass es wichtig ist, Sicherheit zu haben. Es sollte eine Entscheidung auf dem Niveau des Geschäftsführers sein, Sicherheit ernst zu nehmen.

Chad: (14:46)
Wenn das also einmal entschieden ist, und man den Wert versteht und man will darin investieren, wie packt man das an? Ich würde sagen, wir haben ja schon etwas über das Verständnis der echten Prozesse gesprochen, in unserem Fall, die der Entwickler. Das ist wahrscheinlich das erste, worauf man sich fokussieren sollte. Die meisten Leute beginnen mit, okay, welche Kontrollrahmen haben wir? Und an welche Kontrollen müssen wir uns halten, und lass uns die erst dokumentieren und dann gehen wir zu den Firmen und erzählen denen, dass sie diese Dinge machen müssen und jene Ziele erreichen.

Chad: (15:25)
Aber wenn man sich stattdessen richtig vertieft mit der Funktionsweise seines Unternehmens beschäftigt, was auch immer für ein Geschäft das ist. In unserem Fall ist es eine Entwicklerteam, oder? Wie die arbeiten, wie die ihren Job machen, welche Tools sie benutzen, all die Dinge, die super wichtig sind, weil wir sie genau verstehen müssen, bevor wir etwas Neues einführen können. Und oft müssen wir nichts Neues einführen wegen der Art, wie die Arbeit gemacht wird. Oder wir passen die Kontrollrahmen an die Art, wie sie ihre Arbeit machen, an. Und daher ist diese Aktivität, egal in welchem Geschäft, das Anpassen von dem, was wirklich gemacht wird und wie es gemacht wird, an das, was nötig ist, und welche Art der Interpretation für Ihre Organisation nötig wäre, die Aktivität ist am wichtigsten.

Chad: (16:24)
Und wahrscheinlich ist das das erste, was man machen muss, um echte Zusammenarbeit zwischen dem Compliance-Team, dem Sicherheitsteam und dem Geschäft zu erreichen. Oft läuft es umgekehrt. Und ich glaube, das das der Schlüssel zu unserem Erfolg war, nicht nur am Anfang, sondern auch weiterhin. Der einzige Grund warum wir so erfolgreich bleiben, ist, dass wir sehr genau wissen auf welche Weise AWS-Entwickler Software entwerfen, entwickeln, anwenden und unterhalten, und alles andere dreht sich nur darum.

Clarke (16:59):
Chad, vielen Dank, dass Sie heute bei mir sind.

Chad: (17:01)
Es ist toll, hier zu sein. Danke, Clarke.