Reformulación de las operaciones de seguridad y conformidad en AWS

Clarke (00:05):
Chad, gracias por participar y estar presente hoy.

Chad: (00:07)
Es un placer estar aquí.

Clarke: (00:09)
¿Podría contarnos algo de su trayectoria y cómo llegó a AWS?

Chad: (00:13)
Sí. He trabajado en AWS desde hace aproximadamente 11 años y, desde que empecé en 2010, he estado en el área de seguridad y conformidad. Previamente, trabajé en EY, donde me enfoqué ampliamente en consultorías sobre seguridad, así como en consultorías sobre continuidad del negocio. Esa experiencia ha probado ser realmente útil para las funciones que desempeño hoy, es decir, la conformidad en materia de seguridad para AWS.

Clarke: (00:43)
Como jefe de garantía de seguridad de AWS, ¿cuáles son sus responsabilidades principales?

Chad: (00:50)
Nuestra principal misión es ayudar a los clientes a trasladar datos sujetos a regulaciones y altamente confidenciales a la nube, lo que implica varias tareas adicionales. Se debe tener la capacidad de evidenciar internamente que el entorno es seguro. También se requiere auditar a AWS; garantizar que el proveedor, AWS, sea seguro. Y esa es precisamente nuestra labor, probar a través de auditorías y certificaciones, así como mediante otras contrataciones de auditoría directa, que aquello que hacemos en segundo plano, lo que los clientes no pueden ver, es seguro y conforme a todos los diferentes tipos de regulaciones y estándares de certificación a los que nos adherimos.

Clarke: (01:34)
Contamos con equipos de trabajo internos dedicados a la conformidad que se aseguran de que los servicios de AWS se ajustan a determinados estándares. ¿También trabaja con auditores externos y reguladores?

Chad: (01:47)
Sí. Claro. De hecho, la mayor parte de nuestro trabajo está relacionado con proyectos externos y auditores externos, reguladores, inspectores de reguladores y clientes que también realizan auditorías para evaluar a AWS, al ser nosotros objeto de su diligencia debida.

Clarke: (02:03)
En el mundo de la seguridad, desde una perspectiva amplia, es muy difícil encontrar personal de seguridad con talento, contratarlos, formarlos y conservarlos. Imagino que ocurre lo mismo con los profesionales de garantía de seguridad y conformidad.

Chad: (02:18)
Es así. Sí.

Clarke: (02:20)
¿Podría hablar un poco más acerca de cómo contrata a alguien y hace que se implique y consigue que la garantía de seguridad sea algo en lo que la gente quiera trabajar?

Chad: (02:33)
Sí. Voy a retroceder un poco para mencionar que la dificultad de contratar personal de seguridad técnica realmente bueno en la actualidad se debe a que competimos con servicios externos increíblemente buenos. Y todos estamos intentando contratar el mismo tipo de personal, como desarrolladores y diseñadores de sistemas y roles similares. Tenemos que competir.

Chad: (03:00)
Y con frecuencia, en nuestro sector, cuando se ha hecho un trabajo muy bueno, no ocurre nada, ¿verdad? No hay brechas, no hay escaladas; simplemente, no ocurre nada. Sin embargo, cuando hacemos algo realmente bueno en servicios, pasan cosas. Se lanza un producto, todo el mundo está emocionado, hay ingresos, los clientes participan… Y, en cierto modo, competimos contra eso, pero lo que nosotros tenemos, lo que tienen los profesionales de la seguridad, es que pueden definirse como buenos ciudadanos corporativos… No ciudadanos corporativos… Es como ser un buen colaborador para la seguridad en general de toda la industria.

Chad: (03:49)
Y también hay un aspecto de lo que estamos haciendo aquí, estamos desarrollando procesos internos que externalizamos, servicios internos que externalizamos, y, de esa manera, ayudamos a toda nuestra base de clientes a mejorar la seguridad y la conformidad. Y ahí está ese aspecto. Y ese tipo de personas que realmente valoran lo que hacemos bien en nuestro equipo y les apasiona trabajar en cumplimiento. Sí. Nadie piensa en la universidad: “quiero ser auditor”. “Quiero ser ingeniero de conformidad”. Nadie dice eso, pero, cuando llegan a nuestro equipo, ven lo que hacemos en realidad y de qué manera ayudamos a los clientes. Se trata de una proposición de un valor muy amplio para toda nuestra base de clientes, no solo para aquellos que usan servicios particulares. Eso está ahí, y es algo que desarrollamos aquí.

Chad: (04:40)
A menudo, cuando contratamos personal, no seleccionamos aquellas personas con una experiencia en conformidad tradicional, quizá por esa animosidad habitual que tienen hacia los equipos de servicio o los desarrolladores. Eso no es lo que queremos. Queremos alejarnos de eso. Así que no queda mucha gente… Hay algunas personas totalmente entusiasmadas por hacer esto bien y escalar, pero, por lo general, no suelen ser tan técnicas. Y, por tanto, no encajan bien en nuestra organización.

Chad: (05:21)
Sin embargo, cuando damos con aquellos que sí… Necesitan los dos principios de liderazgo de Amazon para hacerlo bien. El número uno es aprender y ser curioso. Es necesario que sean curiosos para introducirse en el flujo de trabajo de los desarrolladores, y así entender qué herramientas están utilizando. Como dije, comprender cómo hacen su trabajo. Y para hacerlo bien es necesario mucha curiosidad técnica.

Chad: (05:54)
Y el segundo principio de liderazgo necesario es inventar y simplificar, porque estamos haciendo cosas y creando maneras de llevar a cabo la conformidad como nadie ha hecho antes. Y sé que es así porque, cuando pregunto a colegas y en otros foros, conferencias y eventos similares, nadie tiene que enfrentarse a la escala a la que nos enfrentamos nosotros. De modo que tenemos que inventar nuestros propios recursos, herramientas y servicios para los desarrolladores. Así que diría que esos son los dos tipos de principios de liderazgo que realmente necesitamos.

Chad: (06:29)
Y, a medida que incorporamos gente, vamos contratando personal de todas partes. Uno de mis mejores empleados era un ingeniero eléctrico. Estudió y consiguió su grado en Ingeniería Eléctrica, hizo algo más en ese campo y vino porque sentía mucha curiosidad por lo que hacíamos y vio la proposición de valor. Desde luego, era uno de nuestros mejores empleados. Representa lo que nos gusta.

Chad: (06:57)
Nos gusta que haya un poco de diversidad en la experiencia educativa y empresarial. Quiero decir, tenemos un equipo muy diverso en ese sentido, en sus trayectorias, pensamientos y sus orígenes, vienen de sitios muy diferentes. Y todo eso beneficia de verdad a la organización porque podemos pensar de manera original. Podemos pensar en maneras de escalar. Cuánto más implico a mi equipo, más se implican en ese aspecto; están haciendo cosas en la vanguardia del sector y escalando a ritmos sin precedentes para diferentes actividades y procesos, y eso les entusiasma. Al igual que a todos nosotros. También es mi caso porque estamos allanando el camino y ejerciendo un liderazgo real en este ámbito.

Chad: (07:45)
Otro aspecto emocionante es que esto también se aplica a muchos de nuestros clientes. Creo que la gente no sabe hasta qué punto los clientes podrían beneficiarse de mucho de lo que hacemos. Y verdaderamente estamos trabajando, no solo en el desarrollo de esos procesos y esas herramientas y recursos, sino también para externalizarlos mediante otros de nuestros servicios para ayudar a nuestros clientes a beneficiarse de las lecciones que hemos aprendido.

Clarke: (08:14)
Chad, los últimos 18, 24 meses, han sido difíciles para todos, con la pandemia y gente que ha tenido que trabajar de manera virtual desde casa, cafeterías, etc. ¿Cómo ha afectado este trabajo remoto a su equipo y a su día a día, y a agregar las características y servicios que su equipo utiliza para brindar soporte a los diferentes equipos de desarrollo que existen?

Chad: (08:35)
Hay ciertos aspectos de las auditorías tradicionales que no tienen mucho sentido, como visitar un centro de datos. Muchas veces, los auditores quieren visitar un centro de datos, sobre todo porque así pueden marcar esa casilla. O bien, quieren un encuentro en persona porque también quieren marcar esa casilla, cuando lo cierto es que pueden obtener la información que necesitan de otra forma. Al igual que cuando haces una visita, nuestros centros de datos están tan instrumentalizados que puedes obtener cualquier evidencia que necesites, incluida la cobertura de las cámaras, de manera remota. ¿Por qué necesitas ir a un centro de datos? La verdad es que ir a un centro de datos no te ayuda a conseguir eso.

Chad: (09:12)
Antes de la pandemia, teníamos todo ese tipo de interacciones que realmente no eran necesarias y llevaban mucho tiempo, sobre todo a la hora de viajar a centros de datos de todo el mundo. A veces, era necesario coordinar una visita a un centro de datos en Singapur. Eso puede llevarle una semana entera a un grupo, es mucho tiempo para nosotros y para los auditores.

Chad: (09:40)
Así que llegó la pandemia y ya no podíamos hacer nada de eso. Al principio, era muy difícil para los auditores decir “bueno, no voy a ir al centro de datos”. Pero trabajábamos a conciencia con ellos y les decíamos: “¿ven lo instrumentalizados que estamos?”. Claro. “Dejen que les mostremos cómo pueden hacer todos los procedimientos que harían normalmente en persona de manera remota, y mediante una sala de lectura virtual leer documentos y realizar videoconferencias para hacer entrevistas”. Lo mismo con el muestreo. No es necesario que estemos allí para que descarguen la tabla de sistema que describe lo que quieren revisar. Podemos brindársela de esta forma segura y mostrarles la cadena de custodia que muestra cómo lo hemos descargado y todo eso.

Chad: (10:31)
Como todo el mundo se vio obligado a hacerlo, nuestras auditorías se volvieron más eficientes. Hemos sido capaces de acelerarlas. No solo hemos conseguido hacerlas más rápido y más eficientes, sino que también hemos sido capaces de hacer un montón de cosas diferentes en paralelo, cuando antes habríamos tenido que hacerlas en serie porque teníamos que hacer el viaje. Así que hay muchos beneficios para las propias auditorías.

Chad: (10:56)
Además, también hemos podido pensar de otra manera en lo realmente necesario para que se validen las declaraciones de control o los procesos de control. La pandemia nos ha permitido dar un paso hacia atrás de muchas formas y, en cierto modo, obligarnos a nosotros y a los auditores a pensar de otro modo en la manera en la que se consigue que nuestro ambiente sea seguro.

Chad: (11:26)
Nos hemos tomado tiempo para crear más herramientas. Como dije antes, tenemos diferentes formas de mostrar una visita a un centro de datos. Ahora contamos con un recorrido virtual por nuestro centro de datos. Mencioné antes el simposio de auditoría digital, así que ahora, en lugar de que todo el mundo acceda a una sala para asistir a una conferencia, tenemos una especie de lugar virtual para ello con videos y cosas así, que funciona de manera que pueda accederse a dicha sala bajo demanda en cualquier zona horaria. Así no es necesario que los líderes de equipos de servicios y los directores generales vengan una y otra vez para presentar a los clientes la misma información. Esto ha hecho que ese otro tipo de auditorías y otras interacciones y eventos educativos que realizamos sean mucho más eficientes.

Clarke: (12:17)
Suena casi a auditoría como servicio, ¿no?

Chad: (12:21)
Auditoría como servicio o simplemente centrarse en las cosas que importan. ¿Todas las cosas que hemos hecho tradicionalmente durante 20 años eran realmente necesarias? Algunas de ellas no lo eran. Así que somos capaces de hacer lo que está bien, utilizar los procedimientos correctos y evaluar los controles correctos.

Clarke: (12:44)
Eso es impresionante. Si cambiamos un poco a la perspectiva del cliente. Es decir, si yo fuera un cliente y fuera a iniciar un programa de garantía de la seguridad. Está claro que no voy a empezar el día uno con el nivel y la escala de AWS, pero ¿cómo haría un cliente para conseguir soporte para sus propios programas de garantía de la seguridad? Antes hablaste sobre contar con equipos de desarrollo. No es la “situación estándar” que se da con cualquiera de nuestros clientes. Algunos de los clientes más grandes están empezando a pensar de esa manera. Pero, ¿cómo hace un cliente para sentar esas bases con sus directivos sénior y decir “esto es importante y este el tipo de inversiones que deberíamos realizar”?

Chad: (13:24)
Sí, esa es una buena pregunta y creo que es diferente para muchos clientes. La mayoría de los clientes tienen una situación única en su empresa que hace que la proposición de valor para la seguridad y la conformidad sea diferente.

Chad: (13:38)
Y en general, es obvio que la seguridad es importante y que la conformidad es totalmente esencial en muchos aspectos. Así que necesitas crear el programa. Todo el mundo necesita un programa de seguridad. Todo el mundo necesita un programa de conformidad, da igual que sea conformidad para seguridad o conformidad jurídica o lo que sea, necesitas cumplir con la legislación si quieres seguir haciendo negocios, ¿verdad?

Chad: (14:05)
Aunque diría que lo primero… Bueno, en primer lugar, tenemos el hecho de tener que vender el valor de un programa de seguridad y conformidad a los directivos, y creo que esa debe ser una decisión empresarial, ¿verdad? No necesariamente debe ser la obligación de una persona o su trabajo ir e intentar convencer a todo un equipo de dirección de que es importante contar con seguridad. Debería ser una decisión a nivel de director ejecutivo el tomarse ese asunto en serio.

Chad: (14:46)
Así que, una vez que has decidido eso, y que entiendes el valor y quieres invertir en ello, ¿cómo lo haces? Estábamos hablando un poco acerca de entender los procesos reales de, en nuestro caso, los desarrolladores. Eso quizás sea lo primero en lo que hay que centrarse. La mayoría de la gente empieza diciendo: “vale, ¿qué marcos de control tenemos?”. Y luego “qué controles tenemos que cumplir, vamos a documentar esos controles primero y luego vamos a la empresa y decirles que necesitamos esto o lograr estos objetivos”.

Chad: (15:25)
En lugar de eso, tienes que ver en profundidad la manera en que tu empresa funciona, sin importar el sector. En nuestro caso, se trata de un grupo de desarrolladores, ¿no? Cómo trabajan, cómo llevan a cabo sus tareas o qué herramientas usan. Todo eso es muy importante porque tenemos que entenderlo muy bien antes de introducir algo nuevo. Muchas veces, no necesitamos incorporar nada nuevo por la forma en la que se realiza el trabajo. O haremos el trabajo de interpretar los marcos de control respecto a cómo están haciendo su trabajo. Y esa actividad, da igual el sector, la combinación de lo que están haciendo realmente y cómo lo hacen es lo que se necesita, y el tipo de interpretación que puede ser necesario para aplicarlo a su organización, esa actividad es lo más importante.

Chad: (16:24)
Y, probablemente, es lo primero que necesitas hacer para que haya una gran alianza entre el equipo de conformidad, el equipo de seguridad y la empresa. Muchas veces, hacemos eso al revés. Y creo que eso ha sido realmente la clave de nuestro éxito, no solo al principio, sino también a lo largo del tiempo. La única razón por la que avanzamos con éxito es porque sabemos muy bien la manera en la que los desarrolladores de AWS diseñan, desarrollan, implementan y mantienen el software, y todo lo demás gira en torno a eso.

Clarke: (16:59)
Chad, gracias por participar y estar presente hoy.

Chad: (17:01)
Es un placer estar aquí. Gracias, Clark.