El negocio de la seguridad

Clarke Rodgers (00:07):
Chris Betz, Chief Information Security Officer de AWS. Gracias por estar aquí hoy.

Chris Betz (00:11):
Es un placer estar aquí. Gracias. Gracias por la invitación.

Clarke Rodgers (00:13):
Bueno, como CISO de AWS, ¿qué te hizo cambiar Capital One por AWS? Con la amplia experiencia que tenías como ejecutivo, podrías haberte ido a cualquier parte. ¿Qué te trajo a AWS?

Chris Betz (00:25):
Una de las cosas de las que me fui dando cuenta, a lo largo de los años, era de lo mucho que nuestro trabajo dependía de la seguridad de AWS. Como sabes, Capital One se encuentra de manera íntegra en la nube y cerró sus centros de datos. Así que esa transición de Capital One, el trabajo de seguridad que hizo Capital One con AWS, me llevó a apreciar de veras lo increíblemente importante que es la tecnología que aportamos para la confianza y seguridad en tantas empresas.

Y, francamente, tener la oportunidad de dejar de depender y confiar en AWS para poder formar parte de ese sistema en el que tantas empresas y tantas personas de todo el mundo confían para garantizar la seguridad... en fin, es increíblemente emocionante. Agradezco la forma en que formulaste la pregunta, “oye, podrías haberte ido a cualquier parte”. Pero pienso que es justo lo contrario. Este es uno de esos trabajos que representan la cúspide absoluta de una carrera de seguridad: la posibilidad de formar parte del equipo de seguridad de AWS.

Clarke Rodgers (01:31):
Eso es fantástico. Ahora que llevas aquí un tiempo, ¿qué observaciones has hecho que no eran tan obvias desde el lado del cliente? Y ahora que estás dentro y eres responsable de la seguridad en este momento, ¿qué ha cambiado para ti? ¿Qué has aprendido ahora como empleado?

Chris Betz (01:49):
Una cosa es escuchar lo que se dice. Había escuchado varias veces la historia de que la seguridad es la principal prioridad en AWS. Había oído hablar sobre la reunión semanal de seguridad. Una de las historias que más solía contar mi predecesor era la de cómo cada semana el CEO de AWS se reúne con todos los líderes de AWS y hablan sobre algunos de los principales aspectos de seguridad en los que debemos centrarnos, áreas en las que necesitamos mejorar.

Una cosa es oír hablar de eso. Pero otra es vivirlo, tener esas conversaciones, que mis socios empresariales o tecnológicos me desafíen y digan eso de “¿estamos avanzando lo suficientemente rápido? ¿Estamos mejorando lo suficiente? ¿Nos estamos adelantando a las amenazas? ¿Dónde vamos a ver a los atacantes?”. Y que sean líderes en términos de impulsar la seguridad en el mismo grado que mi equipo y yo lo somos. Se trata de una experiencia divertida y, en cierto modo, única.

Clarke Rodgers (02:55):
Eso es fantástico. Y luego, por supuesto, estás absorbiendo la cultura de la seguridad. Hablaste del mecanismo de reunión entre el CEO y el CISO, pero es algo que se extiende por todas partes.

Chris Betz (03:05):
Así es. Me dedico a la seguridad, así que todas las conversaciones que tenga van a tener ese tema hasta cierto punto, pero es increíble estar en reuniones que ni siquiera son sobre seguridad. Como líder sénior, una de las cosas que aprecio de AWS es que involucra la seguridad en reuniones no específicas de seguridad. Quiero decir, puedo ser parte de esas conversaciones y hacer que otras personas mencionen o pregunten sobre la seguridad, que piensen “¿cómo podemos hacer eso mejor?”. Como dijiste, esa cultura que está en todas partes es muy importante.

Clarke Rodgers (03:36):
Exactamente. Bueno, cambiemos un poco de tema para hablar sobre la ejecución de un programa de seguridad. ¿Cuáles son algunos de los indicadores o medidas clave que utilizas para demostrar la eficacia de tu programa de seguridad? Ya sea aquí en AWS o en el pasado.

Chris Betz (03:56):
Esa es una pregunta muy buena. Y, a menudo, cuando me hacen esa pregunta, la gente espera que empiece a hablar sobre métricas o medidas y ese tipo de cosas. Y, sin duda, hay una gran cantidad de métricas y medidas que podemos usar para describir lo que sucede en materia de seguridad. Sin embargo, una de las cosas que creo que funciona como un indicador realmente importante es el grado en que las empresas y las organizaciones de tecnología ven la seguridad como un factor que les permite alcanzar sus objetivos, y el grado en que los programas de seguridad consideran que su trabajo consiste en hacer que el camino seguro sea el camino más fácil para las empresas y los proveedores de tecnología.

Cuando se combinan ambas cosas, los proveedores empresariales y de tecnología consideran que la seguridad es un factor facilitador y una parte esencial, y el equipo de seguridad considera que su función no consiste en eliminar el riesgo o no ser responsable del riesgo, sino en permitir que la empresa logre sus objetivos empresariales de forma segura, la organización cambia considerablemente. Por eso, para mí, ese tipo de química, ese tipo de actitud, esos enfoques son los indicadores más importantes para el éxito de una empresa a la hora de hacer de la seguridad una parte eficaz de su funcionamiento.

Clarke Rodgers (05:21):
Y antes mencionaste que ahora asistes a reuniones en las que tal vez la seguridad no sea el tema central, pero al menos estás expuesto a ella, lo que demuestra que “la seguridad es importante y queremos tener un sitio en la mesa”.

Chris Betz (05:32):
Sí. Y parte del desafío es que, ya sabes, tú y yo crecimos en un mundo en el que la seguridad surgió de la tecnología y, sin embargo, hoy en día pedimos a los líderes de seguridad que sean líderes empresariales, que se sienten junto a la empresa y formen parte de esas conversaciones, que entiendan qué significa el riesgo para la empresa, cuáles son todos los riesgos que le afectan y cómo ayudan a garantizar que las personas estén seguras y, al mismo tiempo, a lidiar con esos otros riesgos sin dejar de gestionar el éxito empresarial. Por lo tanto, creo que eso es algo que es cada vez más importante para muchos líderes de seguridad.

Clarke Rodgers (06:07):
Y eso me lleva a mi siguiente pregunta. Muchos clientes, en mis conversaciones con ellos y me imagino que también contigo, quieren saber cómo informar sobre los riesgos de la manera más eficaz a la junta directiva. ¿Tienes algún consejo u orientación sobre cómo hacerlo o cómo piensas acercar de informar sobre un riesgo cibernético a la junta directiva?

Chris Betz (06:30):
Esa es una gran pregunta y, sinceramente, nunca he visto a dos empresas que lo hagan de la misma manera. Parte de esto se debe a que es importante hablar sobre el riesgo en el contexto de la empresa. Cuando hablas con la junta directiva, es increíblemente importante entender quién forma la junta, qué tipo de líderes son y en qué están especializados.

Cuando hablo con una junta directiva de AWS, estoy rodeado de miembros de la junta que tienen una experiencia increíble en muchos aspectos tecnológicos y otras características de los negocios. Por eso, las conversaciones que mantengo son muy diferentes a las que tengo cuando estoy en una junta directiva en la que hay expertos en un tipo particular de negocio, en el comercio minorista o en otra cosa; esos expertos aportan un enfoque diferente, un conocimiento diferente.

Y una de las cosas más importantes, y esto se remonta a la conversación que acabamos de tener sobre un CISO como líder empresarial, es entender la seguridad en el contexto de la empresa.

Clarke Rodgers (07:32):
E informar del riesgo en consecuencia.

Chris Betz (07:33):
Y hacerlo en términos de cómo afecta a la empresa. Hacemos muchas cosas como líderes de seguridad, pero tiendo a pensar en, quizá, cuatro elementos principales. Nuestro trabajo con la empresa es establecer el estándar de lo que creemos que es “bueno” para nuestra empresa. ¿Cuál es nuestra tolerancia al riesgo? ¿Qué queremos lograr? Es mi trabajo, nuestro trabajo como líderes de seguridad ser una fuente de verdad y transparencia. “Así es como lo estamos haciendo hoy”. Y ahí es donde llegas a esas conversaciones sobre métricas.

Clarke Rodgers (08:08):
Nos ganamos la confianza de los clientes, pero tú necesitas ganarte la confianza de los socios comerciales.

Chris Betz (08:11):
Tenemos que ganarnos la confianza de la empresa. Lo que me lleva al punto tres, que es casi más importante, es que no podemos ser simplemente esa fuente de transparencia. No podemos simplemente señalar un problema. Nosotros, como líderes de seguridad, necesitamos ser un proveedor de soluciones que brinde maneras de que la empresa sea eficaz y eficiente a la hora de reducir ese riesgo de seguridad, por lo que es nuestro trabajo proporcionar esas soluciones y pensar en cómo lo hacemos.

Y luego, el último, el cuarto elemento, es que también es nuestro trabajo ser una fuente de responsabilidad, mantener la seguridad, ser transparentes ante la junta directiva y hacer que la empresa rinda cuentas por la forma en que cumplimos con el estándar que hemos establecido. Así que tenemos muchos roles diferentes, pero en el caso de las empresas que creo que tienen más éxito en este ámbito, los líderes de seguridad no se limitan a decir “este es el objetivo que hay que lograr y esto es lo cerca que estamos de lograrlo”, sino que se centran en permitir que la empresa lo logre de formas muy meditadas.

Clarke Rodgers (09:13):
Chris, gracias por participar y estar presente hoy.

Chris Betz (09:15):
Ha sido genial. Gracias por la invitación.