Atraer clientes con nuevas experiencias digitales

Desarrollar y medir una organización moderna de operaciones de seguridad

El trabajo de Hart Rossman consiste en ayudar a los clientes a adquirir la confianza y la capacidad técnica para operar sus cargas de trabajo más sensibles con AWS en la nube. Su equipo dedica su tiempo a reflexionar constantemente sobre cómo aumentar los estándares en cuanto a la experiencia de los clientes al abordar las necesidades urgentes en materia de seguridad, riesgo y cumplimiento.

El estratega empresarial de AWS, Clarke Rodgers, habló con Hart sobre cómo las organizaciones pueden encontrar y desarrollar el talento necesario para alcanzar sus objetivos en materia de seguridad, lo que incluye modernizar y medir las operaciones de seguridad de una manera relevante para los clientes.

Experiencias digitales que generan confianza en los clientes

Conversación detallada

Clarke (00:04):
Hart, gracias por participar y estar presente hoy.

Hart (00:06):
Gracias por la invitación, Clarke.

Clarke (00:08):
¿Podría contarme brevemente sobre su trayectoria, cómo llegó a AWS y en qué consiste su función actual?

Hart (00:14):
Por supuesto. Antes de AWS, trabajaba en el sector de la inteligencia de los contratistas de defensa, ocupándome de muchos trabajos de integración de sistemas, y me gustaba mucho; me encantaba la misión, me apasionaba apoyar al gobierno de los Estados Unidos y a los gobiernos de todo el mundo y sus actividades, así como a algunos sectores regulados. Pero siempre tenía en mente a las principales empresas de seguridad. Y, al comienzo de mi carrera, estas se centraban en gran medida en los consumidores, es decir, antivirus, cortafuegos personales en el escritorio, cosas así. Sin embargo, con el tiempo, se convirtieron en empresas que proporcionan la infraestructura que hace que el mundo funcione. Me refiero a empresas como Amazon y otros grandes proveedores de infraestructuras. Me encontraba en un punto de mi carrera en el que buscaba dar ese siguiente paso, y quería ir a un lugar donde realmente innovaran en materia de seguridad, donde marcaran la diferencia, no solo para unos pocos clientes muy importantes, sino para el mundo. Y se me presentó la oportunidad de trabajar para AWS y la acepté.

Clarke (01:12):
¿Y en qué consiste su función actual en AWS?

Hart (01:14):
Actualmente, me desempeño como director de la práctica de especialidad global de seguridad e infraestructura y de servicios profesionales, lo cual suena un poco confuso. Lo que realmente significa es que me dedico a ayudar a los clientes a desarrollar la confianza y la capacidad técnica para operar sus cargas de trabajo más sensibles con nosotros en la nube.

Mi trabajo consiste en ayudar a los clientes a adquirir la confianza y la capacidad técnica para operar sus cargas de trabajo más sensibles con AWS en la nube.


Clarke (01:33):
Gracias, Hart…ahora hablaremos sobre la perspectiva de los clientes. Los directores de seguridad de la información de nuestros clientes siempre buscan contratar talento para el área de seguridad, pero puede ser muy difícil encontrar personal idóneo. Ante una escasez de talento en seguridad, ¿qué consejo le daría a un director de seguridad de la información o a alguien a cargo de contratación de personal en una organización de un cliente con respecto a la manera de encontrar la persona adecuada, incluso si esta carece de las habilidades profundas en seguridad que se precisan?

Hart (02:02):
Sí, creo que la cultura corporativa desempeña un papel muy relevante. Con frecuencia, sostenemos dos tipos de conversaciones diferentes. La primera es traer recursos de ingeniería profundamente técnicos y luego desarrollar un programa para que se sientan cómodos con cualquiera que sea la nueva tecnología, Lambda, Containers, cualquiera que sea, KS. O el componente de seguridad. Es decir, incorporar recursos de ingeniería altamente técnicos y ayudarles a comprender cómo crear de forma segura y a siempre considerar la seguridad. Por ejemplo, mostrarles cómo se inicia cada periodo sprint con un modelo de amenazas para generar las narrativas del usuario que se van a abordar mediante el marco ágil, en lugar de limitarse a los requisitos funcionales impartidos por el gerente del producto.  A ese tipo de habilidades me refiero. Por otra parte, hay una gran cantidad de personas dedicadas a la seguridad con mucho talento en otros sectores del ámbito de la seguridad. Muchas trabajan en las áreas de auditoría y conformidad, así como en otras áreas. Existe la oportunidad de incorporarlas en un sector diferente de la comunidad de seguridad y permitirles, si les interesa, adquirir mayores capacidades técnicas, de modo que desarrollen habilidades de ingeniería, para así tener competencias en el desarrollo y la gestión de productos. Esto resulta bastante útil. Aquello que con frecuencia pongo sobre la mesa, que además es algo que siempre tenemos en cuenta para nuestro equipo de trabajo, es que las personas más creativas tienden a ser las más exitosas. Aquellos con pensamiento lateral, los artistas, los poetas. Suelen ser muy buenos para hacer esa adaptación con el tiempo. No es mi intención generalizar, pero ese tipo de flexibilidad, agilidad y mentalidad a menudo les permite avanzar rápidamente.

Clarke (03:38): 
Los clientes parecen orientarse cada vez más hacia la ingeniería de seguridad; buscan integrar la seguridad en las aplicaciones e infraestructura que administran. Existe otro componente de la seguridad, que es la seguridad operativa, que consiste en asegurarse de que todo funciona según lo previsto y en tener la capacidad de recibir alertas y reaccionar ante ellas. ¿Cuál es el equilibrio adecuado entre una mentalidad de ingeniería y una mentalidad operativa?

Hart (04:04):
Sí, se trata de una pregunta muy importante. Es un tema que abordo con frecuencia con ejecutivos sénior porque en las fases tempranas de sus procesos de transformación digital, que no solo implica el traspaso a la nube, sino también la modernización de aplicaciones, muchos, independientemente de su nivel de interacción con AWS, se centran a menudo en el componente de desarrollo de DevOps. Por lo tanto, realmente piensan sobre cómo crear e implementar las cargas de trabajo de una mejor manera. No necesariamente han reflexionado cuidadosamente sobre el componente operativo. Por lo que al incorporar el asunto de las operaciones de seguridad, surge una matiz muy particular que realmente se debe abordar. Algo que me ha parecido bastante útil es que, al comenzar a hablar sobre las operaciones, deja de ser conveniente hablar más sobre programas e iniciativas. En muchas ocasiones, durante una migración o la compilación de una nueva carga de trabajo, el trabajo se lleva a cabo más que todo mediante programación. Se cuenta con un gerente de producto y con una persona que está a cargo de la migración; sin embargo, cuando se trata de operaciones de seguridad, es indispensable disponer de fiabilidad, seguridad, buen juicio y respuesta de manera ininterrumpida, que se consiguen con una mentalidad convencional de centro de operaciones. Ahora bien, no es necesario estar limitado por las cuatro paredes de un centro de operaciones real. Existen sistemas en la nube que nos permiten lograr el mismo objetivo. Pero, sí es necesario cambiar esa mentalidad ejecutiva. Con frecuencia, es tan sencillo como preguntar qué métricas son relevantes para las operaciones. Hemos abordado la migración y el desarrollo. Ya sabemos cuáles son las prioridades y objetivos de éxito, ¿pero de qué manera concibe las operaciones de seguridad desde un punto de vista basado en métricas? Una vez se aborda ese tema, con frecuencia se puede orientar fácilmente hacia cómo se va a materializar y así comenzar a armonizar realmente el componente de desarrollo con el componente de operaciones de forma conjunta y significativa desde el punto de vista de la seguridad.

Se trata de establecer las expectativas de seguridad que tiene la organización y que impulsarán la transformación a lo largo de los años, no de simplemente alcanzar una cifra este año.

Clarke (05:50):
Formularé entonces la pregunta del millón, ¿cuáles son algunas de las métricas clave que los clientes usualmente contemplan desde el punto de vista operativo?

Hart (05:57):
Sí. Depende de las metas y los objetivos. Uno de los aspectos que se tienen en cuenta es el tiempo de permanencia. Uno de los beneficios de utilizar una infraestructura inmutable es que se pueden obtener tasas de rehidratación muy bajas para todo el centro de datos en la nube. En lugar de tardar meses, o a veces años, en volver a crear y alojar una aplicación, muchos de nuestros clientes lo consiguen en cuestión de horas y algunos minutos en el caso de cargas de trabajo más pequeñas. Por lo tanto, si es posible volver a crear todo el centro de datos en una hora, se puede comenzar a plantear cómo cambiar la conversación sobre el tiempo de permanencia de un adversario. ¿Cómo se puede cambiar la conversación en torno a la gestión de las vulnerabilidades y la larga cola de revisiones? Y así podemos comenzar a analizar realmente esas métricas que contribuyen a impulsar la agilidad, la escalabilidad y la fiabilidad, lo que, en última instancia, redunda en la seguridad.

Clarke (06:55):
Gran parte de nuestra conversación de hoy ha girado en torno a la ingeniería de las operaciones de seguridad, es decir, a los aspectos tradicionales relacionados con la gestión de una organización de seguridad. En muchas de las conversaciones que sostengo con los directores de seguridad de la información, muchos expresan preocupaciones sobre cómo informar acerca de la seguridad en el contexto empresarial apropiado y cómo enmarcar el riesgo cibernético en términos empresariales para que tanto la junta directiva como los directores principales puedan entenderlo. Al respecto, ¿Cuenta con alguna oferta disponible en la que se aborde la seguridad desde la perspectiva de un líder empresarial, en lugar de solo abordar las operaciones de seguridad bajo las métricas tradicionales?

Hart (07:31):
Sí. De hecho, es otro gran ejemplo de trabajo con el cliente como punto de partida. En la fase inicial, cuando comenzamos a crear el componente de seguridad del área de riesgos y conformidad de seguridad, los clientes empezaron a formular este tipo de preguntas. En esa época, tanto yo como mi equipo de trabajo teníamos experiencia en consultorías sobre seguridad, pero ninguno de nosotros había tenido la responsabilidad personal que tiene un director de seguridad de la información frente a la protección de toda la organización. Tras recibir esa solicitud un par de veces, decidimos buscar a un director de seguridad de la información para que se uniera a nuestro equipo de trabajo. Y así lo hicimos. Creamos un área de asesoría de seguridad ejecutiva compuesta por directores de seguridad de la información, jefes de gestión de riesgo y líderes de auditoría que ya habían pasado por un proceso de traspaso a la nube con AWS y ahora trabajarían dentro de nuestro equipo. Tienen la capacidad de realizar esa labor de asesoramiento a nivel de pares, con el respaldo del robusto personal de ingeniería y operaciones encargado de realmente ayudar a implementar esa estrategia ejecutiva. Esto ha funcionado muy bien. Somos capaces de mantener conversaciones en torno a las métricas. No me refiero a las métricas operativas de las que hablamos antes. Me refiero a indicadores clave de rendimiento. Se trata de establecer las expectativas de seguridad que tiene la organización y que impulsarán la transformación a lo largo de los años, no de simplemente alcanzar una cifra este año. 

Clarke (08:53):
Entiendo. ¿Ha notado en los directores de seguridad de la información con los cuales trabaja, si existe una tendencia en el tipo de informes empresariales que envían a las juntas directivas? Al dialogar con los directores de seguridad de la información de los clientes, sí, aún es necesario incluir todas las métricas de las máquinas que revisamos, así como los virus y ataques que detuvimos y cosas similares. ¿Pero cuál es su consejo para comunicar eso en términos empresariales a personas que quizá carezcan de experticia profunda en materia de seguridad pero que posiblemente controlan el presupuesto y otras operaciones?

Hart (09:29):
Sí. Creo que hay varios puntos de vista. Uno se basa en la perspectiva de transformación que mencioné anteriormente. Si se establecen las metas y las expectativas adecuadas, surge un efecto de tracción muy eficaz. Un ejemplo es el caso del director de seguridad de la información que estableció el objetivo de poder rehidratar todo el centro de datos en la nube, en unos pocos días, supongamos que cada 48 o 72 horas. Al trabajar con ese objetivo como punto de partida, se impacta de forma sustancial la manera en que se llevan a cabo las actividades de BCPDR. Cómo se crea, implementa y opera, y de qué manera se realizan pruebas. Obliga a todos a automatizar y a acelerar, lo que, en última instancia, reduce el tiempo de obtención de valor para cada una de las actividades de infraestructura subyacentes. Esto se traduce en menores costos, mayor rapidez de comercialización y mayor tiempo de respuesta para los clientes. De este modo, es posible obtener grandes resultados en toda la empresa al tener expectativas de seguridad adecuadas que, por cierto, son probablemente una transformación anual. Por lo tanto, es posible que la meta consista en realizar una rehidratación cada 45 días este año, y cada 15 días el año que viene, y cada 48 horas el año siguiente. En consecuencia, año tras año, se va a utilizar ese objetivo de seguridad específico para impulsar todos los demás resultados empresariales.

Clarke (10:52):
Y a eso le realiza un seguimiento con la junta a medida que presenta informes.

Hart (10:54):
Exactamente.

Clarke (10:55):
Genial. Hart, gracias por participar y estar presente hoy.

Hart (10:57):
Genial. Gracias por la invitación.

Acerca de los líderes

Hart Rossman, director del área de Seguridad e infraestructura global de AWS

Hart Rossman
Director de la práctica global de seguridad e infraestructura de AWS

Hart Rossman es el director de seguridad de los servicios globales de AWS. En este cargo es responsable de cocrear con los clientes, de cocrear con los equipos de servicios de AWS, de la habilitación de los socios, de las estrategias de crecimiento, de la seguridad de las contrataciones y de las operaciones de las contrataciones. Como cliente o socio, es posible que haya experimentado alguno de nuestros trabajos innovadores en su beneficio, como la Perspectiva de seguridad del marco de adopción de la nube de AWS, la Arquitectura de referencia de seguridad de AWS, el servicio y los eventos de Jam, las Epopeyas de seguridad o la Fábrica de cuentas de la Control Tower para Terraform.

Clarke Rodgers
Estratega empresarial de AWS

Como estratega de seguridad empresarial de AWS, a Clarke le apasiona ayudar a los ejecutivos a explorar la forma en que la nube puede transformar la seguridad, además de trabajar con ellos para encontrar las soluciones empresariales adecuadas. Clarke se incorporó a AWS en 2016, pero su experiencia con las ventajas de seguridad de AWS comenzó mucho antes de formar parte del equipo. En su papel de director de seguridad informática de un proveedor multinacional de reaseguros de vida, supervisó la migración total de una división estratégica a AWS.

Fecha de publicación
  • Fecha de publicación
  • Orden alfabético (A-Z)
  • Orden alfabético (Z-A)
 No pudimos encontrar ningún resultado que coincida con su búsqueda. Intente realizar una búsqueda diferente.

Dé el siguiente paso

PÓDCAST

Escuche y aprenda

Escuche a los líderes ejecutivos y a los estrategas empresariales de AWS, todos ellos antiguos miembros de la alta dirección, hablar de sus procesos de transformación digital.

LinkedIn

Manténgase conectado

AWS Executive Connection es un destino digital para líderes de tecnología y negocios, en donde compartimos información.

EVENTOS EJECUTIVOS

Vea bajo demanda

Obtenga información de sus homólogos y descubra nuevas formas de impulsar su camino hacia la transformación digital a través de esta exclusiva red internacional.

Conversaciones con la alta dirección

Inspírese

Escuche cómo los líderes de AWS y de los clientes debaten sobre sus prácticas recomendadas, lecciones y pensamiento transformador.