Un liderazgo que prioriza la seguridad

Clarke Rodgers (00:10):
En este tipo de reuniones privadas con clientes con el cargo de CEO y, en definitiva, con compañeros, ¿qué preguntas le hacen? ¿Qué le cuentan sobre seguridad, privacidad, cumplimiento de normativa y sobre el tipo de régimen regulador actual? ¿Puede hablarnos un poco de esas conversaciones?

Adam Selipsky (00:28):
Son conversaciones muy importantes que preocupan a numerosos CEO y, como es normal, estos temas surgen en muchas de ellas. Supongo que señalaría algunas cosas, una de las cuales es que, bueno, la IA generativa está, sin duda, en la mente de todos. Y nos hacen muchas preguntas, como "¿Qué opino de la seguridad en la era de la IA generativa?", "Las cosas avanzan tan rápido", "¿Qué tipos de aplicaciones o tecnologías debo usar?", "¿Cómo sé que son seguras?" y "¿Qué opino de la seguridad también dentro de mi empresa?". Y la primera parte de la respuesta es:

Se ha producido una especie de cisma en el que la gente habla de la seguridad empresarial de cualquier servicio y luego dice: “Bueno, ahora hablemos de la IA generativa”. Y, de hecho, me sorprendió bastante que algunos de los primeros chatbots o asistentes para consumidores con IA generativa se publicaran sin un modelo de seguridad. Los datos se difundieron por Internet, y las mejoras del modelo podían ser compartidas por cualquiera que utilizara los modelos. Por eso, muchos directores de información (CIO), directores de seguridad de la información (CISO) y CEO prohibieron estos asistentes en su empresa durante un buen tiempo.

Pero me sorprende un poco porque imagínese que voy a ver a un CEO, un CIO o un CISO preocupado por la seguridad y le digo: “Mire mi nuevo servicio de base de datos. Es increíble. No hay nada igual. Le va a encantar. Debería utilizarlo. Por cierto, no tiene ningún modelo de seguridad, pero no se preocupe porque voy a traer la v2 y ahí será seguro”. ¡Yo creo que sabe a dónde me mandarían!

Clarke Rodgers (02:20):
Sí.

Adam Selipsky (02:21):
O al menos deberían, lo tendría merecido. Creo que otras empresas de este ámbito, por alguna razón, no sé explicarles por qué, están adoptando un enfoque diferente de la seguridad y, de alguna manera, la consideran menos importante. Y aquí somos muy predecibles. Nuestros servicios de IA generativa, como Amazon Bedrock, que es un servicio administrado para operar modelos básicos, no son ni más ni menos seguros que el resto de servicios de AWS.

Esa suele ser la primera conversación sobre IA generativa. También sacamos otros temas, como el de “¿Cómo puedo inculcar una mentalidad de seguridad en mi empresa?” Y creo que esta pregunta nos lleva de nuevo al tema de la cultura. Nos hace recordar algunas de las cosas de las que hemos hablado hoy, como el liderazgo descendente y el mensaje que los líderes sénior tienen que transmitir sobre la importancia de este tema. Y el listón… las normas son muy estrictas. A menudo, aconsejo a mis compañeros que exijan normas más estrictas. La gente tiene que ver que las normas de seguridad son muy estrictas y que no se tolerará su incumplimiento.

Clarke Rodgers (03:30):
¿Qué consejo les daría a los CEO que muestran poco interés por los riesgos de seguridad y los problemas de cumplimiento dentro de su empresa para que empiecen a implicarse más en este tema?

Adam Selipsky (03:43)
Creo que lo primero sería entender hasta qué punto y de qué manera es importante la seguridad para su empresa. Es muy fácil decir: “La seguridad es la seguridad, ha de ser siempre el principal motivo de preocupación”. Y ya he dicho que para AWS lo es. Es lo que nos define a nosotros y al tipo de empresa que desarrollamos, y por lo que nuestros clientes depositan su confianza en nosotros para ejecutar sus cargas de trabajo más fundamentales. Sin embargo, hay otras empresas para las que los diferentes aspectos de su negocio probablemente tengan un conjunto de riesgos y oportunidades de seguridad diferente.

Por lo tanto, debemos responder a la pregunta “¿Qué importancia tiene realmente la seguridad en mi empresa?” Y la respuesta nos ayudará a decidir dónde invertir. Porque creo que puede resultar bastante desalentador pensar: “Bueno, tengo que invertir muchísimo dinero en seguridad en todas partes, independientemente de si fabrico maquinaria agrícola, si tengo una gran web de redes sociales o una startup del sector de los datos”.

Clarke Rodgers (04:44):
Entiendo.

Adam Selipsky (04:45):
Y creo que las prioridades de seguridad serán diferentes. Todas estas empresas tendrán necesidades de seguridad, y la seguridad será importante de una forma u otra. Pero quiero animar a la gente a que profundice más y descubra cuáles son sus verdaderas prioridades. Por lo general, eso hace que sea mucho más fácil invertir, porque uno dice: “Bueno, voy a empezar por invertir más allí y luego ya decidiremos dónde seguiremos invirtiendo”. Así que ese sería seguramente mi primer consejo.

Clarke Rodgers (05:14):
Entonces, ¿qué consejo daría a los CISO que intentan informar de manera efectiva sobre la importancia de la seguridad y el cumplimiento al CEO, a la junta directiva, etc.?

Adam Selipsky (05:26):
Voy a contarle los consejos que suelo dar a mi CISO y las peticiones que él me hace, porque creo que
seguramente la situación del resto de CISO es parecida. Deben ponerse en la piel del cliente; mirar su trabajo, los consejos y el asesoramiento que ofrece desde el punto de vista del cliente. El trabajo del CISO es permitir que la empresa haga lo que tiene que hacer y lo que quiere hacer para deleitar a los clientes y proporcionarles valor de forma segura.

Y creo que así el CISO puede hacer que confíen más en él porque, de esta forma, pasa a ser visto como un socio comercial valioso, que impulsa y fomenta el negocio, en lugar de ser simplemente alguien que acepta o rechaza los proyectos.

Cambia totalmente la relación y también ayuda mucho a priorizar los recursos. Al ponernos en la piel del cliente, nos damos cuenta de dónde estamos creando realmente el riesgo para los clientes si hacemos X, o dónde estamos creando una gran oportunidad y seguridad para los clientes si hacemos Y. Si lo pensamos así.

Y, de hecho, creo que la credibilidad del CISO también aumenta significativamente cuando dice: “Esta vez, tengo que decir que no. No podemos, no deberíamos hacer esto. Tenemos que arreglar tal cosa antes de hacerlo”. Y, si es una ocasión excepcional, si es listo, se lo tomará muy, muy en serio.

Clarke Rodgers (07:06):
Me parece un consejo fantástico. Adam, muchas gracias por sacar un rato de su día para charlar conmigo hoy.

Adam Selipsky(07:10):
Ha sido un placer. Gracias.