Atraer clientes con nuevas experiencias digitales

Escalar la conformidad y la garantía de seguridad en AWS

Escuche a Chad Woolf, vicepresidente de Seguridad de AWS, hablar sobre cómo AWS trabaja conjuntamente con los clientes para ofrecer soluciones verdaderamente escalables y únicas que cumplan los requisitos regulatorios en prácticamente todos los sectores, zonas geográficas y modelos de negocio.

El estratega empresarial de AWS, Clarke Rodgers, habló con Chad sobre cómo la conformidad en la nube ha pasado de ser inexistente a avanzada en pocos años, y cómo su equipo de trabajo en AWS ha crecido y evolucionado para liderar el camino.

Experiencias digitales que generan confianza en los clientes

Conversación detallada

Clarke (00:05):
Chad, gracias por participar y estar presente hoy.

Chad: (00:07)
Me encanta estar aquí.

Clarke: (00:09)
¿Podría contarnos algo de su trayectoria y cómo llegó a AWS?

Chad: (00:14)
Sí. He trabajado en AWS desde hace aproximadamente 11 años y, desde que inicié en el 2010, he estado en el área de seguridad y conformidad. Previamente, trabajé en EY, donde me enfoqué ampliamente en consultorías sobre seguridad, así como en consultorías sobre continuidad del negocio. Esa experiencia ha probado ser realmente útil para las funciones que desempeño hoy, es decir, la conformidad en materia de seguridad para AWS.

Clarke: (00:43)
Como jefe de garantía de seguridad de AWS, ¿cuáles son sus responsabilidades principales?

Chad: (00:49)
Nuestra principal misión es ayudar a los clientes a trasladar datos sujetos a regulaciones y altamente confidenciales a la nube, lo que implica varias tareas adicionales. Se debe tener la capacidad de evidenciar internamente que el entorno es seguro. También se requiere auditar a AWS; garantizar que el proveedor, AWS, es seguro. Y esa es precisamente nuestra labor, probar a través de auditorías y certificaciones, así como mediante otras contrataciones de auditoría directa, que aquello que hacemos en segundo plano, lo que los clientes no pueden ver, es seguro y conforme a todos los diferentes tipos de regulaciones y estándares de certificación a los que nos adherimos.

Clarke: (01:35)
Contamos con equipos de trabajo internos dedicados a la conformidad que se aseguran de que los servicios de AWS se ajustan a determinados estándares. ¿También trabaja con auditores externos y reguladores?

Chad: (01:46)
Sí. Sí. De hecho, la mayor parte de nuestro trabajo está relacionado con proyectos externos con auditores externos, reguladores, inspectores de reguladores y clientes que también realizan auditorías para evaluar a AWS, al ser nosotros objeto de su diligencia debida.

Nuestra principal misión es ayudar a los clientes a trasladar datos sujetos a regulaciones y altamente confidenciales a la nube, lo que implica varias tareas adicionales. 


Clarke: (02:03)
Entiendo. AWS es reconocida por ser la empresa emergente más grande que existe. Y la realidad es que nos movemos a un ritmo bastante acelerado, por lo que lanzamos productos y características para los clientes tan pronto como los solicitan o en un periodo muy breve. Me visualizo en su mundo, contempla todos los diferentes controles y todo debe encajar perfectamente. ¿Cómo logra AWS, específicamente su equipo de trabajo, satisfacer esa necesidad de avanzar con agilidad, sin perder de vista la importancia de alcanzar las metas de conformidad y garantía de seguridad?

Chad: (02:35)
Es una pregunta estupenda y se refiere a uno de los retos a los que nos enfrentamos con mayor frecuencia. Definitivamente deseamos mantener una cultura de trabajo rápido e iteración veloz que permita lanzar productos geniales para los clientes.

Chad: (02:53)
Sin embargo, eso a veces dificulta nuestra misión, que consiste en garantizar que tanto los procesos como los controles sean documentados, y que contamos con todos los controles que se requieren para grandes marcos de conformidad integrales, como FedRamp, ISO u otros; casos en los que se requiere un marco de control integral y procesos que se ajusten a las expectativas del sector con respecto a esas prácticas recomendadas. Por lo tanto, esto representa un desafío algunas veces en las que aquello que hacemos no se ajusta a lo que quizá tradicionalmente otras empresas hacen.

Chad: (03:31)
Pero, lo maravilloso de trabajar acá y de formar parte de este equipo de trabajo es que la seguridad tiene un rol subyacente. La realidad es que, si se garantiza la seguridad de forma adecuada, se puede invertir en esta y todos están alineados, el resto de las labores de conformidad se pueden llevar a cabo de forma fluida. Iba a utilizar el adjetivo “sencillo”, pero me refiero a que es un proceso bastante fluido; es decir, podemos documentar, seguir la pista de lo que todos hacen y formalizar la documentación, documentar los procesos en el mismo lenguaje que utilizan los auditores y los reguladores.

Chad: (04:10) 
Ocasionalmente surgen asuntos que tenemos que abordar y mejorar. Con el paso del tiempo, a medida que los auditores evalúan nuestro trabajo con mayor exhaustividad, también ayudamos a que todo mejore. Pero esto se debe principalmente a que la seguridad se encuentra integrada en nuestro ADN interno, tanto desde el punto de vista estratégico como desde la perspectiva del apoyo que proporciona la alta dirección en este ámbito, lo que hace que nuestro trabajo sea bastante fluido.

Chad: (04:37)
Nuestro equipo también se esfuerza bastante para ayudar a que los procesos de conformidad y las auditorías se realicen correctamente y no se conviertan en una carga para nuestros equipos de trabajo de servicio. Hacemos todo lo que podemos. Y a medida que lo logramos, cada vez más eficazmente, adquirimos una mayor capacidad para escalar, por lo que podemos prestar más servicios relacionados con este tipo de auditorías para más clientes y obtener más aprobaciones.

Clarke: (05:00)
Me alegra que haya mencionado ese proceso. Muchos clientes atraviesan dificultades. Me refiero a que tienen aplicaciones que ponen a disposición de los clientes y que deben auditar en ciertas ocasiones, lo que a veces implica escribir la aplicación y ponerla a funcionar en fase de producción, para que luego el equipo de auditoría la examine y se asegure de que cumple con el estándar correspondiente. Supongo que, dada la escala y la velocidad con las que operamos, existen algunos artefactos automatizados derivados del propio proceso de desarrollo dentro de AWS que resultan útiles para todos.

Chad: (05:33)
Sí. Esto plantea otra serie de desafíos que debemos abordar a medida que escalamos, y es con respecto a qué tanta evidencia podemos recopilar frente a bajo en que circunstancias se necesita algún tipo de colaboración con los equipos de desarrollo para expresar que no podemos obtener la evidencia nosotros mismos. Necesitamos que ustedes proporcionen la evidencia o que hablen con los auditores.

Chad: (05:58)
De modo que nuestra capacidad de prestar servicios, esos que suministramos a nuestros clientes, los desarrolladores internos, incluida la documentación, la recopilación de evidencias, dar sentido o contextualizar lo que hacen de una forma que resulte adecuada para los auditores, se relaciona con nuestra capacidad de escalar, para poder ampliar aún más nuestros marcos de conformidad a diferentes clases de certificaciones, llegar a otros tipos de clientes y zonas geográficas.

Lo maravilloso de trabajar acá y de formar parte de este equipo de trabajo es que la seguridad tiene un rol fundamental. La realidad es que, si se garantiza la seguridad de forma adecuada, se puede invertir en esta y todos están alineados, el resto de las labores de conformidad se pueden llevar a cabo de forma fluida. 

Clarke: (06:33)
¿Cuenta con talento interno capaz de escribir código para ayudar a recopilar evidencia? ¿Desarrolla programas propios para hacerlo?

Chad: (06:40)
Sí, es una buena pregunta. De hecho, es una pregunta que con frecuencia formulan los clientes, que se interesan por la forma en la que está estructurado nuestro equipo de trabajo para este fin y qué tantas competencias técnicas tenemos?

Chad: (06:50)
Contamos con un equipo de trabajo. Hay un equipo de ingeniería que se encarga de esto. Actúa como un equipo de automatización del control y como un equipo de flujo de trabajo que se encarga de funciones como la habilitación para la recopilación de evidencias y otras responsabilidades similares. Es muy importante contar con este equipo. Resulta esencial, puesto que en la organización trabajamos con muchos desarrolladores y tenemos que tener la capacidad de comunicarnos efectivamente con ellos. No solo debemos comunicarnos efectivamente, sino que además tenemos que familiarizarnos con las herramientas que utilizan. Tenemos que comprender la manera en que desarrollan, implementan y protegen el código, así como todo aquello que deben hacer para llevar a cabo el lanzamiento, poner en funcionamiento los servicios, realizar actualizaciones, proporcionar nuevos servicios, etc. Nuestra comprensión debe ser tan profunda que nos permita posteriormente crear herramientas que se integren en el modo en que ellos trabajan.

Chad: (07:45)
Creo que este es un factor clave. Con frecuencia, hay equipos o programas de conformidad que no han adquirido este tipo de comprensión, lo que deriva en una falta de coordinación a la hora de exigir el cumplimiento de los requisitos de conformidad, pues estos únicamente se transmiten y se demandan bajo la amenaza de que, si no se cumplen, habrá problemas. Y eso realmente no es propicio para poder escalar efectivamente. No es un método que se pueda escalar. Se puede hacer de esa forma, pero no es escalable. La única manera de poder realmente escalar es cuando nuestro trabajo se integra en el de ellos, de modo que puedan continuar de forma habitual con sus labores sin interferencias, sin obstrucciones específicas de conformidad. Si se logra trabajar con éxito de esa manera, se obtiene un programa de conformidad bastante escalable.

Clarke: (08:39)
Parece un enfoque mucho más colaborativo que los casos en los que la gente evita de plano al personal que se encarga de las tareas de conformidad. Supongo que así la gente no lo evita en la cafetería ni nada por el estilo.

Chad: (08:49)
Ese es un buen punto. En muchas ocasiones, los líderes tecnológicos me buscan para comprender mejor lo que se necesita y cómo pueden ayudarme a mí y a mi equipo, porque entienden que esta parte del negocio, el aspecto de la conformidad, para nosotros en AWS, es absolutamente esencial si queremos que nuestros clientes usen nuestros servicios para esas cargas de trabajo sujetas a regulaciones. De otro modo, los clientes con estas necesidades no podrían recurrir a nosotros, con lo que seríamos incapaces de servir a un alto porcentaje de nuestra base de clientes, de no contar con esta capacidad. Por lo tanto, los líderes tecnológicos comprenden y me buscan varias veces para facilitar una mejor coordinación en una línea de negocios y conseguir los recursos para obtener el apoyo que habilite mejores resultados empresariales.

Clarke: (09:34)
Chad, usted se reúne con varios clientes, reguladores y auditores. ¿Qué tendencias percibe a partir de esos grupos con respecto a la manera en que examinan a los proveedores de servicios en la nube y la forma en que los auditan?

Chad: (09:45)
Hace cinco años, pensaba que para el 2020 ya sería habitual que los auditores compartieran las pruebas y no tuviéramos que pedirlas una y otra vez. Sin embargo, eso no ha ocurrido en lo absoluto. De hecho, parece que retroceden en esa materia y el mensaje que transmiten es: la evidencia nos pertenece; necesitamos examinar su entorno de forma subjetiva y objetiva. Necesitamos tener la capacidad de sacar nuestras propias conclusiones. Y si ha recopilado evidencias por alguien más, no lo aceptaremos. Tenemos que hacer nuestras propias pruebas y nuestro propio muestreo. Desafortunadamente, esa es la situación actualmente. Por lo tanto, tenemos que adquirir excelentes habilidades en materia de generación de evidencias. Nuestras capacidades de generación de evidencias han aumentado para ajustarse a las necesidades. Sin embargo, todavía… Me refiero a que siempre se puede mejorar porque es un asunto que supone dificultades.

Chad: (10:35)
Ahora bien, en términos generales, diría que las personas son cada vez más inteligentes. Formulan las preguntas adecuadas. Realizan preguntas más profundas. Y cada vez podemos responder mejor a esas preguntas, tras adquirir más experiencias al trabajar conjuntamente con los auditores de los clientes, así como con auditores regulatorios y externos.

Clarke: (10:53) Me imagino que, tal y como ha dicho, a medida que la gente… La nube ya no es una novedad, ¿verdad? Se utiliza en todas partes y por todo el mundo, por lo que la gente cada vez adquiere más experiencia con esta herramienta y así sabe qué preguntas debe hacer. Soy consciente de que tenemos algunas herramientas orientadas al cliente, como AWS Artifact, que permiten a los usuarios observar los avales expedidos por terceros. ¿Hay algo más que se suministra a los reguladores? Independientemente de si son clientes o no, ¿para satisfacerlos?

Chad: (11:23)
Sí.

Clarke: (11:24)
¿En términos de controles?

Chad: (11:26)
En primer lugar, en el caso de los clientes que utilizan AWS y se encuentran en el proceso de validar sus cadenas de suministro, se trata de auditorías muy diferentes puesto que el uso que hacen de AWS se debe enmarcar dentro de un contexto relacionado con lo que nosotros hacemos en segundo plano y que ellos no pueden observar. Así que les ayudamos con eso. Y se trata de una conversación más directa de la que se sostiene con un regulador que no es un usuario de AWS. Vienen y sencillamente comienzan a formular preguntas en función de cómo creen que nosotros debemos gestionar los riesgos y aspectos similares. Supone más desafíos porque carecemos de un contexto sobre el uso que ellos hacen, ¿correcto?

Chad: (12:10)
Por lo tanto, cuando los clientes nos preguntan, realmente es una colaboración genial. Nos explican el modo en que utilizan AWS. Básicamente nos exponen cómo tienen que comunicar su uso y la cadena de suministro del uso a los reguladores. Y de esta manera podemos ayudar y orientar por el camino correcto. Surge entonces una colaboración extremadamente buena y positiva.

Chad: (12:35)
En el caso de los reguladores, es simplemente más amplio y se formulan preguntas que carecen de ese contexto. Por lo tanto, es un desafío diferente. Aún así, nosotros… Creo que uno de los aprendizajes que hemos adquirido en los últimos años es que debemos tratar a los auditores y a los reguladores, así como a los auditores de nuestros clientes, como verdaderos socios. Como lo dijo anteriormente durante esta entrevista, muchos clientes y, en general, muchas personas, simplemente no quieren lidiar con temas de conformidad. ¡Llegaron los reguladores! ¡No! ¡Cierren las puertas! ¡Cállense todos, que nadie diga nada! ¿sabe? Y eso realmente crea ciertas barreras entre ambas organizaciones. Creo que esas barreras existen en todas partes, especialmente entre los bancos grandes o empresas de salud y sus reguladores.

Chad: (13:26)
En ciertas ocasiones…el nivel de colaboración varía; pero, hemos notado, con base en nuestra experiencia personal y en la de nuestros clientes que realmente colaboran con los inspectores y los auditores, que se genera un ambiente propicio para la colaboración mutua porque los auditores y los inspectores también son clientes, de verdad, incluso si no utilizan AWS, son clientes; necesitan comprender cosas y tienen logros por alcanzar. Entre más proactivos seamos en ayudarles a alcanzar esos logros, todo es más ágil y la experiencia mejora. Así que hemos aprendido la lección de que ser un verdadero socio e interactuar con ellos de manera positiva es la mejor manera de proceder y, probablemente, la única manera de escalar esta actividad de cara al futuro.

Clarke: (14:12) 
En este sentido, ¿qué tipo de mecanismos o materiales de formación y educativos proporcionan a los reguladores y a los auditores externos para que comprendan mejor la nube y puedan así efectuar una mejor auditoría?

Chad: (14:28)
Creo que ya no se presenta el caso en el que llegan y no saben nada acerca de la nube. Creo que en 2012, el director general de S3 estaba en una reunión de auditoría y los auditores preguntaron ¿qué es S3? Posteriormente, me llamó a un lado y me preguntó: ¿por qué me hacen estas preguntas tan básicas? Ese ya no es el caso.

Chad: (14:54)
Existe una gran cantidad de material disponible. No solo contamos con la academia de la nube, sino con materiales que hemos desarrollado, como formaciones que se aplican a cualquier entorno de nube, así como entrenamientos específicos para AWS. Hay una gran cantidad de formación, conocimientos y comprensión sobre la nube. Así que ya no estamos en el punto de partida. Ya estamos en la segunda casilla, o tal vez en la tercera, para cuando llegue alguien.

Chad: (15:21) 
Consideramos que era nuestra función ayudar a los inspectores y auditores a aumentar sus habilidades y contamos con materiales internos. Disponemos de algo que se denomina el Simposio de auditoría digital, en el que se pueden encontrar varias de las descripciones e información sobre los controles y asuntos relacionados, así como presentaciones por parte de los propietarios de los controles y espacios en los que los directores generales comparten sobre el modo en que operan los servicios y cómo se integran los controles en el funcionamiento. El material disponible es abundante, pero no es omnipotente porque, como lo dije, quien esté encargado de realizar la auditoría hará sus propias preguntas y análisis profundo, y nuestra función es responder sobre la marcha, en un formato que es similar al de una entrevista. Y ese es simplemente una clase de estándar que se aplica en el sector. No obstante, mejoramos a medida que redactamos cada vez más descripciones, porque cada vez que nos formulan alguna pregunta acerca de algo bastante específico y profundo, afirmamos que redactaremos una descripción al respecto. De ese modo, ya habrá una descripción lista para la siguiente persona que pregunte, quien podrá leerla y comprenderla más fácilmente.

Clarke: (16:25)
Chad, gracias por participar y estar presente hoy.

Chad: (16:27) 
Es un placer estar acá. Gracias, Clarke.

Acerca de los líderes

Eric Brandwine, vicepresidente e ingeniero distinguido de AWS

Chad Woolf
Vicepresidente de Seguridad de AWS 

Chad comenzó a trabajar en Amazon en 2010 y creó las funciones de conformidad de AWS desde el principio, que incluyen las auditorías y certificaciones, la privacidad, la conformidad de los contratos, la ingeniería de automatización del control y la supervisión de los procesos de seguridad. El trabajo de Chad también incluye facilitar la adopción de la nube de AWS por parte del sector público y los sectores regulados, a la vez que lidera el equipo de conformidad de productos y comercio de AWS.

Clarke Rodgers
Estratega empresarial de AWS

Como estratega de seguridad empresarial de AWS, a Clarke le apasiona ayudar a los ejecutivos a explorar la forma en que la nube puede transformar la seguridad, además de trabajar con ellos para encontrar las soluciones empresariales adecuadas. Clarke se incorporó a AWS en 2016, pero su experiencia con las ventajas de seguridad de AWS comenzó mucho antes de formar parte del equipo. En su papel de director de seguridad informática de un proveedor multinacional de reaseguros de vida, supervisó la migración total de una división estratégica a AWS.

Fecha de publicación
  • Fecha de publicación
  • Orden alfabético (A-Z)
  • Orden alfabético (Z-A)
 No pudimos encontrar ningún resultado que coincida con su búsqueda. Intente realizar una búsqueda diferente.

Comuníquese con nosotros

Boletín
Boletín de Executive Insights
Obtenga lo último en información y perspectivas de los ejecutivos de dentro y fuera de AWS en su bandeja de entrada
Suscríbase al boletín 
Blog
Blog de estrategia empresarial
Aprenda de los líderes ejecutivos que guiaron personalmente la transformación basada en la nube
Leer el blog 
Social
Conexión ejecutiva de AWS
Perspectivas sobre cómo permitir la innovación y la transformación a través de la cultura, el talento y el liderazgo
Síganos en LinkedIn