Führung, bei der Sicherheit an erster Stelle steht

Clarke Rodgers (00:10):
Wenn du diese privaten Treffen mit den CEOs deiner Kunden und deinen Kollegen hast, was fragen sie dich dann? Worüber sprechen sie mit dir, wenn es um Sicherheit, Datenschutz und die Einhaltung von Vorschriften geht, die wir da draußen sehen? Kannst du uns einen kleinen Einblick in diese Gespräche geben?

Adam Selipsky (00:28):
Das sind wirklich wichtige Gespräche, die viele CEOs sehr ernst nehmen. Diese Themen finden bei vielen von ihnen Anklang, und so sollte es auch sein. Ich denke, ich würde auf ein paar Dinge hinweisen. Eines davon ist, dass generative KI natürlich in aller Munde ist. Und wir bekommen viele Fragen zu den Themen „Wie denke ich über Sicherheit in einer generativen KI-Welt nach?“ und „Die Dinge entwickeln sich so schnell“ und „Welche Arten von Anwendungen oder Technologien sollte ich nutzen?“ und „Woher weiß ich, dass sie sicher sind, und wie denke ich darüber nach, auch innerhalb meines Unternehmens sicher zu sein?“ Und der erste Teil der Antwort lautet:

Irgendwie gibt es diese Spaltung, bei der die Leute hier über Unternehmenssicherheit für all diese Dienste reden und dann: „Oh, jetzt lass uns über generative KI reden.“ Und es war für mich tatsächlich ziemlich erstaunlich, wie einige der ersten generativen KI-Chatbots oder Assistenten für Verbraucher wirklich ohne Sicherheitsmodell herauskamen. Und die Daten gingen buchstäblich über das Internet und alle Verbesserungen des Modells wurden buchstäblich von allen geteilt, die die Modelle nutzten. Aus diesem Grund haben so viele CIOs, CISOs und CEOs einige dieser Assistenten buchstäblich für eine lange Zeit aus ihrem Unternehmen verbannt.

Aber es erstaunt mich irgendwie, weil ich mir vorstelle, dass ich zu einem sicherheitsbewussten CEO oder CIO oder CISO gehe und sage: „Hey, ich habe diesen tollen neuen Datenbankdienst. Es gibt nichts Vergleichbares. Du wirst es lieben. Ich denke wirklich, du solltest es adoptieren. Er hat übrigens kein Sicherheitsmodell, aber mach dir keine Sorgen, denn ich werde bald die Version 2 entwickeln und dann wird er sicher sein.“ Ich meine, die würden mir in meinen Du-weißt-schon-was treten!

Clarke Rodgers (02:20):
Definitiv.

Adam Selipsky (02:21)
Zumindest hoffe ich das, ich hätte es verdient. Ich glaube, dass andere Unternehmen in diesem Bereich aus irgendeinem Grund – ich kann dir nicht sagen, warum – einen anderen Ansatz für die Sicherheit wählen und sie irgendwie als weniger wichtig erachten. Und wir sind hier sehr berechenbar. Unsere generativen KI-Services wie Amazon Bedrock, ein verwalteter Service für den Betrieb von Basismodellen, sind nicht weniger sicher als jeder andere AWS-Service.

Das ist also das erste Gespräch über generative KI. Und dann gibt es noch einige andere Themen und das Thema „Wie bringe ich eine Sicherheitsmentalität in mein Unternehmen?“ Und ich denke, das geht zurück zur Kultur. Das führt zurück zu einigen der Dinge, die wir heute besprochen haben, nämlich die Führung von oben nach unten und die Signale der Führungskräfte, dass dies wichtig ist. Und die Messlatte, die Standards sind unglaublich hoch. Und ich rate meinen Kollegen oft, dass es darum geht, auf den höchsten Standards zu bestehen, und dass die Leute sehen müssen, wie hoch die Standards in der Sicherheit sind und wie wenig du alles tolerierst, was nicht diesen höchsten Standards entspricht.

Clarke Rodgers (03:30):
Welchen Rat würdest du anderen CEOs geben, die sich vielleicht nicht so sehr mit Sicherheitsrisiken und Compliance-Fragen in ihrem Unternehmen beschäftigen, damit sie sich mehr engagieren?

Adam Selipsky (03:43)
Ich denke, das Wichtigste ist, zu verstehen, wie wichtig Sicherheit für dein Unternehmen ist und auf welche Weise sie für dein Unternehmen wichtig ist. Ich denke, es ist einfach zu sagen: „Oh, Sicherheit ist Sicherheit, das muss immer das Wichtigste sein, worüber man sich Sorgen macht.“ Und ich habe bereits gesagt, dass es für AWS so ist. Das ist die Aussage über uns und die Art von Geschäft, das wir betreiben, und das Vertrauen, das unsere Kunden in uns setzen, um ihre geschäftskritischen Arbeitslasten auszuführen. Aber es gibt auch andere Unternehmen, für die verschiedene Aspekte ihres Geschäfts wahrscheinlich andere Sicherheitsrisiken und -chancen mit sich bringen.

Also die Entscheidung: „Wo ist Sicherheit in meinem Unternehmen wirklich wichtig?“ Und das wird mir bei der Entscheidung helfen, wo ich investieren soll. Denn ich denke, es kann ziemlich entmutigend sein, wenn das Konzept lautet: „Nun, ich muss überall eine große Menge Geld in die Sicherheit investieren, unabhängig davon, ob ich landwirtschaftliche Geräte herstelle oder ob ich eine große Social-Media-Website habe oder ob ich ein Startup im Datenbereich bin.“

Clarke Rodgers (04:44):
Ich vestehe.

Adam Selipsky (04:45)
Und ich denke, die Sicherheitsprioritäten werden anders sein. All diese Arten von Unternehmen werden Sicherheitsanforderungen haben, und die Sicherheit wird auf die eine oder andere Weise wichtig sein. Aber ich ermutige die Leute wirklich, tiefer in die Materie einzutauchen und herauszufinden, was die wahren Prioritäten sind. Und das macht es normalerweise viel einfacher zu investieren, weil du sagst: „Hey, ich werde damit beginnen, dort mehr zu investieren und dann entscheiden wir, in welche Orte wir als Nächstes investieren.“ Das ist wahrscheinlich das Erste, was ich den Leuten rate.

Clarke Rodgers (05:14):
Welchen Rat würden Sie also CISOs geben, die versuchen, dem CEO oder dem Vorstand auf aussagekräftige Weise über Sicherheit und Compliance zu berichten?

Adam Selipsky (05:26)
Ich werde dir den Rat geben, den ich meinem CISO gebe und den ich von meinem CISO verlange, und ich denke,
das ist sehr ähnlich zu dem, was auch für andere CISOs sinnvoll ist: Setze eine Kundenbrille, einen Kundenfilter auf deine Arbeit, deinen Job und den Rat, den du gibst. Die Aufgabe des CISO besteht darin, das Unternehmen in die Lage zu versetzen, das zu tun, was es tun muss und will, um Kunden zu begeistern und den Kunden einen Mehrwert zu bieten, und zwar auf sichere Weise.

Und ich denke, das schafft große Glaubwürdigkeit, denn dann wird der CISO als wertvoller Geschäftspartner angesehen, der das Geschäft vorantreibt und unterstützt, und nicht als jemand, der einem aufgezwungen wird.

Und ich glaube, das verändert die Beziehung total und hilft auch bei der Priorisierung der Ressourcen. Du kannst also wirklich erkennen, wenn du es durch die Kundenbrille betrachtest: „Wo entsteht wirklich ein Kundenrisiko, wenn wir X tun?“ Oder: „Wo schaffen wir wirklich eine große Kundenchance und Sicherheit, wenn wir Y tun?“ Denk mal so darüber nach.

Und dann, übrigens, denke ich, gewinnt auch der CISO enorm an Glaubwürdigkeit, wenn er oder sie sagt: „Ich muss die Reißleine ziehen. Das können und sollten wir nicht tun. Wir müssen etwas in Ordnung bringen, bevor wir weitermachen.“ Und wenn das eine seltene Gelegenheit ist, dann wirst du, wenn du klug bist, das sehr, sehr ernst nehmen.

Clarke Rodgers (07:06)
Das ist ein fantastischer Rat. Adam, vielen Dank, dass du dir die Zeit genommen hast, um dich heute mit mir zu treffen.

Adam Selipsky (07:10)
Es war mir ein Vergnügen. Vielen Dank.