Cómo ser un mejor CISO

Clarke Rodgers (00:07):
¿Qué cualidades hacen que un CISO tenga éxito? Como CISO de AWS, mi invitado de hoy tiene una excelente perspectiva sobre esta cuestión. Soy Clarke Rodgers, Director of AWS Enterprise Strategy, y su guía para una serie de conversaciones con líderes de seguridad de AWS aquí en Executive Insights.

Nos complace dar la bienvenida a nuestro programa a Chris Betz, CISO de AWS. Únase a nosotros para descubrir lo que opina sobre varios temas, como la consolidación de una cultura de seguridad, la contratación orientada a fomentar la diversidad o el asesoramiento de la próxima generación de grandes líderes de seguridad. Espero que lo disfruten.

Clarke Rodgers (00:38):
La verdad es que yo te conozco bastante bien, pero me encantaría que le explicases brevemente tu trayectoria a la audiencia.

Chris Betz (00:44):
Como dices, nos conocemos desde hace bastante tiempo. Una de las cosas que me encanta de la comunidad de seguridad es lo pequeña que es. En cierto punto, terminas interactuando con personas con las que has coincidido por todo el mundo. En mi caso, mi formación comenzó en la Fuerza Aérea. Estuve en la Fuerza Aérea durante varios años, pasé al Gobierno federal y trabajé más años allí en ciberseguridad.

He tenido la oportunidad de dedicarme a la seguridad en empresas como CBS, una empresa de medios de comunicación. Además he trabajado mucho tiempo en lugares como Apple, Microsoft y Lumen, CenturyLink en su momento y, más recientemente, en Capital One. Así que ha sido interesante pasar por todos esos puestos y, como dices, ver las mismas caras una y otra vez.

Clarke Rodgers (01:23):
Por lo tanto, como CISO de AWS, cuando ahora te reúnes con los clientes y respondes a sus preguntas sobre seguridad, ¿cómo ha cambiado eso las cosas? La capacidad de decir: “Oye, estuve en tu lugar no hace mucho, y así es cómo pensaba sobre eso. Y ahora que estoy aquí, esta es la respuesta a tu pregunta”, ese tipo de cosas.

Chris Betz (01:45):
Durante la última década, he trabajado en puestos de seguridad en empresas que son clientes importantes de AWS. Así que he estado junto a AWS en nuestro camino hacia la seguridad y la tecnología. El hecho de haber sido cliente recientemente me permitió tener esa conversación de una manera muy diferente porque siento que entiendo esas conversaciones y las preguntas y los desafíos que contienen.

Una de las cosas que más valoro de esas conversaciones es la capacidad de conocer el punto de vista de nuestros clientes, saber cómo se sienten respecto a lo que sucede en el mundo y, especialmente, poder intercambiar ideas entre ambas partes. “Oye, esto es lo que estoy viendo. Así es como soluciono ese problema”. “Vaya, ¿eso es lo que estás viendo? Así es como resuelves ese problema”. Esa capacidad de seguir elevando el listón entre nosotros dentro de AWS, pero también entre nuestros clientes, es increíblemente poderosa.

Clarke Rodgers (02:51):
Y estás en una posición en la que puedes ganar más confianza al decir “así es como resolví ese problema en mi puesto anterior”, lo cual es genial.

Chris Betz (02:58):
Me he enfrentado a esos desafíos.

Clarke Rodgers (02:59):
Exactamente. Como CISO, debes tener conocimientos y experiencia tanto en seguridad como en el mundo empresarial; tú tienes todo eso, pero además cuentas con grandes equipos a tu cargo que, realmente, tienen que brindar seguridad a la empresa, a nuestros clientes, etcétera. Entonces, desde esa perspectiva, ¿cuáles son los desafíos a los que se enfrentan los líderes de seguridad en la actualidad?  

Chris Betz (03:21):
Gran parte tiene que ver con el talento. Los problemas que estamos resolviendo en materia de seguridad son tan multidimensionales, como tú señalas, que tener a las personas adecuadas a tu alrededor es absolutamente esencial para tener éxito en materia de seguridad. A mí me encanta tener gente cerca. De hecho, en las compañías con mejor rendimiento en las que he estado, nos encantaba estar rodeados de personas que nos enseñaban, inspiraban y desafiaban.

Porque este es un campo en el que estamos aprendiendo constantemente. Así que necesitamos personas que suban constantemente ese listón. Es increíblemente inspirador tener personas así. Han encontrado formas de resolver los problemas de maneras que nunca imaginarías, para hacer que la empresa sea más eficaz, para pensar en cómo hacer de la seguridad un mecanismo natural para las personas. Es increíblemente importante. Y esas mismas personas, cuando tienes la cultura adecuada, están dispuestas a desafiarte. “¿Estás enfocando esto de la manera correcta?”. Y ese desafío ayuda a todo el mundo a crecer, te ayuda a ti a crecer, ayuda a la organización a crecer, te ayuda a ir en la dirección correcta.

Las personas que tienen exactamente la misma trayectoria, que abordan los problemas de la misma manera, no son las personas que te enseñarán, desafiarán e inspirarán. Por lo tanto, creo que uno de los grandes desafíos que seguimos teniendo en el campo de la seguridad es cómo podemos obtener esa amplitud de perspectivas, culturas y experiencias, esa diversidad de enfoques y esa variedad de mentalidades que nos ayuden a ser verdaderamente esa organización increíble que deberíamos ser. Y eso es a lo que dedico gran parte de mi tiempo, a ayudar a garantizar que tenemos a las personas adecuadas, la combinación adecuada; porque, sin eso, no podemos resolver el resto del problema.

Clarke Rodgers (05:10):
Y tal vez provenientes de trayectorias no tradicionales, no vale eso de “esa es una persona de seguridad”. Bueno, ese punto de vista podría ayudarnos con cierto aspecto de la seguridad, porque nuestros adversarios son ciertamente diversos.

Chris Betz (05:23):
Exactamente. Y quiero decir que es importante reconocer que AWS es una empresa global. Los adversarios son globales. Tenemos que aprovechar ese talento global. Debemos recurrir a personas con todo tipo de trayectorias e incorporarlas. Algunas de las personas más inteligentes que conozco en seguridad tienen trayectorias increíblemente diversas. Perfeccionaron su dominio de la seguridad durante años y años. Pero la manera en que incorporas esa combinación correcta de perspectivas es muy, muy importante.

Clarke Rodgers (05:51):
Al analizar los últimos dos años y mirar hacia el futuro, ¿qué es lo que más te entusiasma desde el punto de vista de la seguridad? Puede ser un programa, un proceso, una tecnología, lo que sea. Y, teniendo eso en cuenta, ¿dónde estás enfocando tus esfuerzos en función de eso?

Chris Betz (06:08):
Al analizar el camino que ha recorrido Zero Trust, desde un conjunto de productos que se anunciaban como soluciones de Zero Trust hasta un conjunto de estándares y, en realidad, un conjunto de tecnologías integradas. Al observar la forma en que parte de la experiencia del usuario ha cambiado, aun durante los últimos años, las tecnologías de claves de acceso que, incluso en el pasado reciente, Amazon.com y muchas otras empresas han estado introduciendo, todo eso cambia radicalmente nuestra forma de pensar sobre la experiencia de usuario perfecta, esa capacidad de acceder a la tecnología y hacerlo de una manera muy, muy reflexiva, y de ese modo...

Clarke Rodgers (06:50):
Y hacer de la seguridad un camino fácil, ¿verdad?

Chris Betz (06:52):
Hacer de la seguridad un camino fácil. Por eso, creo que los avances que hemos logrado en ese mundo, al alejarnos de las intrincadas VPN y pasar a un análisis profundo y fluido de lo que está sucediendo, son increíblemente poderosos.

Hay mucho revuelo en torno a la IA generativa. El campo de la IA no es algo nuevo. Llevamos décadas haciéndolo, pero la velocidad del cambio en los campos del machine learning y la inteligencia artificial durante el último año, dos años, es simplemente increíble. Eso aporta una serie de capacidades realmente interesantes a mi forma de pensar sobre la seguridad. Uno de los ejemplos que me gusta dar cuando hablo con la gente es que, en el viejo mundo, podía considerarse eficiente en cuanto a tiempo que al analizar datos para comprobar riesgos de seguridad creases una hoja de cálculo grande, buscases en ella y trabajases con los datos de la misma manera que solíamos hacerlo manualmente, dado que el tiempo que se tardaba en escribir código para que eso sucediera...

Clarke Rodgers (07:53):
Era mucho más, sí.

Chris Betz (07:54):
Se medía en horas, y se tardaba en hacer el análisis manual en una hora o algo así. Ahora, con cosas como CodeWhisperer y otras tecnologías, ese modelo ha cambiado. La capacidad de describir un problema que se comprende bien (“oye, quiero analizar estos datos para encontrar esto”) se convierte en algo que puedes pedirle a un sistema que haga, obtener una respuesta en segundos, implementarlo, probarlo y ejecutarlo en mucho menos tiempo que con una hoja de cálculo manual. Y es repetible, comprobable y verificable. Reduces el error humano. Hacerlo de esta manera trae un conjunto de grandes beneficios. Por lo tanto, creo que eso va a cambiar incluso la forma en que funcionan las operaciones de seguridad, no solo aquí en AWS, sino en todo el sector. Así que me parece que hay una gran oportunidad aquí.

La otra parte de eso es que también dedico mucho tiempo a aprender lo que puede hacer la IA generativa, cómo asegurarme de que sea segura y cómo desafiarla. Estamos dedicando mucho tiempo y energía a asegurarnos de que tenemos la base adecuada en AWS y de que estamos creando las capacidades adecuadas. A medida que creamos soluciones generativas basadas en la IA, primero, tenemos que probarlas exhaustivamente:

Clarke Rodgers (09:14):
A escala.

Chris Betz (09:15):
Sí, a escala de una manera líder en la industria. También podemos aprovechar cada uno de esos aprendizajes y convertirlos en capacidades que podemos ofrecer a nuestros clientes, porque los mismos problemas que tenemos nosotros son los problemas que tienen ellos cuando utilizan la IA generativa. Por eso, existe este increíble ciclo de aprendizaje rápido en el que aprendemos cosas nuevas todos los días, y eso es divertido. Es un desafío porque los atacantes también aprenden cosas nuevas todos los días.

Clarke Rodgers (09:41):
De hecho, es así.

Chris Betz (09:42):
Y necesitamos seguir manteniendo este ciclo realmente muy ajustado para avanzar con rapidez en este ámbito, pero también por eso me gusta estar aquí en AWS. No nos movemos despacio. No nos movemos despacio en absoluto. Por lo tanto, creo que ese superpoder de AWS se ajusta perfectamente a la dirección en la que tenemos que ir en este campo.

Clarke Rodgers (10:01):
Esa es una respuesta muy buena. Y, tradicionalmente, los clientes acuden a nosotros por sus necesidades tecnológicas, ya sea en materia de seguridad o para resolver problemas empresariales. Una cosa que quizás no sea tan obvia para los clientes es que, si bien evidentemente somos una empresa de tecnología y les ofrecemos software y servicios, también dedicamos mucho tiempo a ayudarlos a crear sus programas de seguridad y a ser más eficaces. Como bien sabes, uno de los programas más populares que tenemos son los círculos de CISO de AWS. ¿Podrías hablar un poco sobre ellos, cómo están organizados y qué clientes pueden beneficiarse de ellos?

Chris Betz (10:38):
Esas conversaciones de las que hablamos antes sobre el hecho de que la comunidad de seguridad es pequeña y sobre cómo aprender unos de otros, son muy importantes.

Según la Regla de Chatham House, no atribuimos lo que se dice a ningún participante. Eso permite que las personas mantengan conversaciones auténticas. La capacidad de aprender los unos de los otros, de desafiarnos entre nosotros, de hacer preguntas. “Oye, ¿cómo estás resolviendo este problema?”. “Mira, estoy viendo que los atacantes hacen esto. ¿Tú también te fijaste en ese problema?”. Innovar, pensar y aprender de los mejores. Creo que ese es el ambiente que reina en los círculos de CISO.

Por eso, atraer a personas que tienen puntos en común (regiones del mundo, puntos en común en términos de negocios y tecnología, conjuntos de problemas similares) y reunirlos con algunas de las personas más inteligentes que conozco dentro y fuera de AWS para mantener esas conversaciones es increíblemente poderoso. Y creo que ese es el auténtico beneficio de los círculos de CISO. Y, francamente, he disfrutado de las sesiones a las que me he unido y espero poder participar de muchas más durante el próximo año.

Clarke Rodgers (12:08):
Seguro que sí. Cuando era cliente, recuerdo que aprendí mucho más de los CISO de otras industrias. Sorprendentemente, en el sector de los seguros uno tiene cierta tolerancia al riesgo y hace ciertas cosas, y aprendí mucho de los medios de comunicación, el comercio minorista y la banca. Fue fantástico.

Chris Betz (12:16):
He tenido la misma experiencia, y por eso disfruto de esa mezcla que brinda reunir a la gente para tener esas conversaciones.

Clarke Rodgers (12:32):
Chris, gracias por participar y estar presente hoy.

Chris Betz (12:34):
Ha sido genial. Gracias por la invitación.