De qué manera AWS ayuda a los clientes a cumplir sus objetivos de seguridad, riesgo y cumplimiento

Clarke (00:58):
Háblenos acerca de su trayectoria, cómo llegó a AWS y en qué consiste su función actual.

Hart (01:05):
Por supuesto. Antes de AWS, trabajaba en el sector de la inteligencia de los contratistas de defensa, ocupándome de muchos trabajos de integración de sistemas, y me gustaba mucho; me encantaba la misión, me apasionaba apoyar al gobierno de los Estados Unidos y a los gobiernos de todo el mundo y sus actividades, así como a algunos sectores regulados. Pero siempre tenía en mente a las principales empresas de seguridad. Y, al comienzo de mi carrera, estas se centraban en gran medida en los consumidores, es decir, antivirus, cortafuegos personales en el escritorio, cosas así. Sin embargo, con el tiempo, se convirtieron en empresas que proporcionan la infraestructura que hace que el mundo funcione. Me refiero a empresas como Amazon y otros grandes proveedores de infraestructuras. Me encontraba en un punto de mi carrera en el que buscaba dar ese siguiente paso, y quería ir a un lugar donde realmente innovaran en materia de seguridad, donde marcaran la diferencia, no solo para unos pocos clientes muy importantes, sino para el mundo. Y se me presentó la oportunidad de trabajar para AWS y la acepté.

Clarke (02:02):
¿Y en qué consiste su función actual en AWS?

Hart (02:39):
Actualmente, me desempeño como director de la práctica de especialidad global de seguridad e infraestructura y de servicios profesionales, lo cual suena un poco confuso. Lo que realmente significa es que me dedico a ayudar a los clientes a desarrollar la confianza y la capacidad técnica para operar sus cargas de trabajo más sensibles con nosotros en la nube.

Clarke (02:58):
Entiendo. Entonces, al examinar las diferentes ofertas de servicios profesionales que su grupo ofrece a los clientes o pone a su disposición, ¿hay algún mecanismo particular que siga para asegurarse de que lo que ofrece es de hecho lo que los clientes quieren o necesitan?

Hart (03:14):
Le daré un ejemplo muy concreto. Hace unos años tuvimos un par de clientes que se plantearon migrar los sistemas de tarjetas de pago a la nube. Y lo que realmente necesitaban era un equipo que tuviera tanto experticia en la nube como en el funcionamiento moderno de los sistemas de tarjetas de pago, a la vez que también comprendiera la norma PCI. Así pues, la primera vez que ocurrió, pensamos en involucrar a un socio que tuviera conocimiento en materia de PCI. Y eso funcionó realmente bien. Con frecuencia, los clientes obtienen mejores resultados cuando trabajan con AWS y con un socio.

También escuchamos que desean asegurarse de que la experticia y la orientación que se recibe por parte de AWS es legítima, y que los socios —como en el caso de PCI— están calificados. Y así, lo que finalmente hicimos fue escribir una exposición de seis páginas, en la que trabajamos hacia atrás y desarrollamos un equipo que finalmente se convirtió en una subsidiaria de propiedad total, AWS Security Assurance services, que es una empresa asesora de seguridad cualificada de PCI y ahora es una empresa asesora de alta confianza.

Clarke (05:17):
Eso es fantástico. Entonces, ¿no hay un proceso interno mediante el cual se ofrezca el servicio X, si no hay una petición por parte de los clientes?

Hart (05:27):
No lo hay. Y, de hecho, en las conversaciones en las que he participado, ahora que llevo algo más de nueve años en la AWS, eso se desaconseja con frecuencia. Suele suceder que uno comente algo en una reunión y una persona dice, por ejemplo: “Ese comentario es muy significativo, Hart, apreciamos ese punto de vista”, pero ¿qué dicen sus clientes? Y eso no implica que descarten mi experticia, sino que reconocen, al igual que yo, que obtendremos la solución adecuada para los clientes si los escuchamos activamente, si los ayudamos a pensar en su solución a través de un intercambio de ideas. Y luego filtramos todo eso a través del lente de la experticia e identificamos una solución única de Amazon, que luego podremos presentar al cliente.

Clarke (06:09):
Entonces, imagino que constantemente debe contratar nuevos consultores para satisfacer las necesidades que los clientes demandan. ¿Cuáles son algunas de las características que busca en ese próximo gran consultor de seguridad de AWS que va a contratar? ¿Quizá una profunda y amplia experticia en seguridad? ¿O se trata de una mentalidad de creador que solo desea arreglar problemas? ¿Qué tipo de experiencia y talento buscan realmente al contratar para Proserve?

Hart (06:39):
Existen dos factores; en esencia, buscamos la aptitud técnica y la adaptabilidad cultural. La adaptabilidad cultural se refiere a la alineación con nuestros principios de liderazgo y a la capacidad de reflexionar e interiorizarlos y de ayudarnos a aprender más sobre el principio de liderazgo a medida que avanzamos. Luego también nos fijamos en la aptitud técnica, ¿qué son capaces de hacer de forma asombrosa? Lo que realmente busco en este aspecto es la experticia en un dominio particular y la capacidad demostrada de trabajar también en dominios complementarios.
 
Por tanto, suponga que es un experto en identidad, ¿ha demostrado también que puede aplicar eso en la criptografía? ¿O es capaz de aplicar ese conocimiento en la medicina forense o en otras áreas naturales? Porque se trata de incorporar a personas que sean absolutamente expertas en su campo. Poseen una enorme cantidad de conocimientos profundos, pero esa profundidad les empuja a la amplitud. Porque todos quieren que esa experticia sirva para solucionar un problema, lo cual resulta un poco diferente de lo que usted hace día a día. Por ello, buscamos agilidad, flexibilidad, la capacidad de prever, la habilidad de aplicar sus habilidades de forma no convencional.

Por supuesto, buscamos creadores. E insistimos en que todo el mundo, desde el asistente ejecutivo hasta los asesores de entrega, así como los directivos, adquieran conocimientos técnicos sobre la plataforma. Por eso estamos aquí, para ayudar a los clientes. Si nunca ha cargado una imagen CAT en S3, o si nunca ha lanzado una instancia de EC2 o implementado algún código en Lambda, no podrá hablar con credibilidad con un cliente sobre la forma en que resolverá sus problemas o creará su próximo negocio en esos mismos servicios. Por lo tanto, la capacidad de prepararse para trabajar con la tecnología y crear soluciones creíbles es realmente importante para nosotros.

Clarke (11:55):
Usted se reúne con muchos ejecutivos superiores de los clientes y cuenta con consultores repartidos por todo el mundo que resuelven los problemas de los clientes y les ayudan a crear diferentes capacidades. Ahora bien, en cuanto a las ofertas de seguridad que se reservan a través de AWS ProServe y con las que, en la actualidad, los clientes necesitan ayuda, ¿hay algunas tendencias en particular que esté identificando?

Hart (12:16):
Si nos remontamos a los inicios del negocio, podemos afirmar que los clientes no quieren comprar una infraestructura insegura. Y, por supuesto, en AWS ofrecemos un conjunto de servicios muy seguros. Los clientes desean saber cuál es la mejor manera de aplicarlos para satisfacer sus necesidades empresariales concretas. Por ejemplo, actualmente los contenedores están de moda. Todo el mundo crea o implementa nuevos contenedores, o los utiliza para acelerar y facilitar la migración. Los altos ejecutivos demuestran un enorme interés por saber cómo se logra un modelo adecuado de seguridad de los contenedores. Cómo aciertan a la hora de gestionar la seguridad operativa de los contenedores mediante, por ejemplo, la administración de vulnerabilidades y los análisis. Otra área es la respuesta a los incidentes. Lamentablemente, vemos en las noticias un gran número de casos relacionados con el ransomware y otros tipos de ataques.

Repito, desean comprender cuáles son las características que pueden utilizar en AWS para protegerse mejor contra ese tipo de actividades insidiosas, así como comprender cuál es la mejor manera de capacitar a los encargados de la respuesta para ser eficaces en la nube, puesto que puede ser algo nuevo para ellos. Quizá sean excelentes en las instalaciones locales, pero ahora se encuentran en entornos diferentes en los que trabajar. Así que notamos un gran interés sobre este tema de la respuesta. Y el otro ámbito es el de la ingeniería de seguridad. Muchos clientes acuden a nosotros y nos dicen: “Queremos crear como lo hace Amazon”. “Nos sentimos cómodos con sus servicios”. “Creemos que han hecho un muy buen trabajo y nos gusta la forma en que exponen las API, por lo que queremos reforzar nuestras API de la misma manera que ustedes”. “Deseamos tener el mismo ciclo de vida de desarrollo de software de tipo DevOps que ustedes”. Es por ello que, recientemente, hemos desarrollado una capacidad de ingeniería de clientes que hace muchísimo hincapié en la seguridad. Y trabajamos con los clientes en eso también.

Clarke (17:19):
Cuando los clientes recién comienzan, es posible que utilicen Proserve, que recurran a un socio para que les ayude a identificar cuál es su zona de aterrizaje inicial. Y, por supuesto, actualmente contamos con Control Tower y otras formas de hacerlo. ¿Qué tipos de servicios o, incluso, de documentación ofrecen? Y esta será una pregunta de dos partes. Primero, como cliente: ¿cómo sé que estoy configurando de la manera correcta y conforme a las prácticas recomendadas de AWS?. Segundo: incluso si hago todo de la forma correcta, podría pasar por alto algo y se podría presentar un problema, ya sea un evento de ransomware o algo por el estilo; en ese caso, ¿existe la posibilidad de que Proserve ayude?

Hart (18:04):
Me alegro de que haya hecho esa pregunta, Clarke. Hay un par de factores relacionados con las dos partes de su pregunta. En cuanto a la primera parte de la pregunta, siempre me gusta asegurarme de que los clientes estén muy familiarizados con algunas de nuestras herramientas de primera línea, diría que de inspección, tienen que sentirse cómodos con Well-Architected. Hay un buen conjunto de orientaciones disponibles; hay que sentirse cómodo con Trusted Advisor, así como con Security Hub y Guard Duty. Estos son los tipos de servicios que ayudan a comprender en qué punto se encuentra, y si ha implementado esos aspectos fundamentales y estos funcionan de la manera que se prevé que lo hagan. Luego, desde el punto de vista más amplio de la educación y la planificación, podemos considerar servicios como APG y Recomendaciones de AWS. Se trata de un tesoro realmente fenomenal de prácticas recomendadas y lecciones aprendidas de Amazon y de nuestros socios acerca de cómo realizamos nuestras actividades.
 
Además, recientemente lanzamos una arquitectura de referencia de seguridad, que es una guía muy prescriptiva, tanto en palabras como en código. Hay un texto en el que abordamos una variedad de casos de uso y principios de arquitectura. Lo importante para mí cuando desarrollamos esa arquitectura de referencia de seguridad, fue que no era teórica. Se trata de verdaderos planos de arquitectura que muestran cómo funcionan los servicios de AWS en la cuenta desde el punto de vista de la seguridad. Por lo tanto, no se trata de una simple y vaga lluvia de ideas o de conceptos sin argumentos, sino que se trata de la física de la seguridad plasmada sobre el papel y de su aplicación real. Por ello, cada caso de uso en la orientación de la arquitectura de referencia de seguridad incluye un código fuente que indica cómo se implementa en una verdadera implementación de referencia. Y eso es algo que iremos creando con el tiempo.

Agregaremos diferentes puntos de vista. Ya hemos recibido comentarios fenomenales por parte de los clientes, a quienes no solo les encanta usarlo, sino que además dicen: “¿Y este caso de uso? ¿Qué pasa con este caso de uso que tengo?” Por tanto, buscamos también iterar con base en esto. Preguntó también por la respuesta a los incidentes. Recientemente, en Reinforced hablamos de la capacidad de nuestro equipo de respuesta a incidentes de los clientes. Eso se encuentra en Proserve. Y eso realmente supone una oportunidad para que hagamos dos cosas. En primer lugar, lo más importante es ayudar a los clientes a prever y planificar con antelación. De este modo, podemos evitar que se produzcan incidentes. Sin embargo, si algo ocurre, buscamos que pase de un susto a una situación en la que todo se encuentre bajo control. Así es. Además, existe una oportunidad a través de nuestro sistema de soporte, en el que si se presenta un evento de seguridad y se necesita alguna ayuda elevada o escalada dentro de AWS, contamos con un equipo de respuesta a incidentes de clientes dentro de mi organización.

Ellos viven, realmente, para ayudar a los clientes a salir de los apuros. Así, proporcionan un gran apoyo práctico y mucha orientación en la resolución de incidentes. Además, en la mayoría de los casos, los clientes están bien acostumbrados a responder a los incidentes y a la administración de incidentes. Creo que para ellos suele ser algo nuevo, quizá no lo hayan hecho antes en la nube, o probablemente sea la novedad del ataque. Por lo tanto, lo que realmente buscan son algunos expertos fuera de su organización para que aporten otro punto de vista, para poder conferir la razón y mantener una conversación en torno a ello.