Creación de una cultura de la seguridad con AWS
Una conversación con Steve Schmidt, VP de ingeniería de seguridad y director de seguridad de la información (CISO), y Jenny Brinkley, gerente sénior de seguridad de AWS.
En este artículo, nos centramos en la seguridad, concretamente en el desarrollo de una cultura de seguridad positiva en la empresa. También desvelaremos nuestro enfoque en AWS para implementar y mantener una cultura de seguridad positiva y cómo se puede hacer, incluso si no se está dentro de la organización de seguridad.
No solo creamos y hacemos funcionar una organización de seguridad que opera a una escala que nadie había visto antes, sino que también creamos y hacemos funcionar una cultura que es muy inusual en el mundo de la seguridad. Y eso es algo de lo que estoy más orgulloso, de crear la cultura adecuada en la organización”.
El rol del establecimiento de objetivos en la creación de una cultura de seguridad positiva
Creemos firmemente en el avance progresivo. En lugar de tratar de seguir un programa de gran impacto que no se finalice hasta pasados muchos años, intentamos que nuestros equipos logren algo significativo en un intervalo muy corto. Nos planteamos objetivos que son progresivos, medibles y, sobre todo, factibles en un periodo relativamente corto, por ejemplo, un par de meses.
La progresividad significa avanzar siempre hacia los objetivos que nuestros equipos de servicio y nuestros clientes desean alcanzar. Esta mentalidad es importante por dos razones. En primer lugar, así es como progresan las empresas y cómo nuestros servicios se presentan a los clientes. En segundo lugar, es una manera de animar a los equipos de servicios a colaborar con nosotros en lugar de vernos como un obstáculo a su capacidad para lanzar servicios o productos.
No se trata de lo que el propio equipo de seguridad quiera hacer, sino de garantizar que siempre estamos ayudando a nuestros equipos de clientes, a nuestros equipos internos, a progresar hacia sus propios objetivos, sus propios logros”.
Para lograr la tranquilidad del cliente, hay que identificar el problema
Comencemos por definir la palabra escalada. La escalada es el proceso que garantiza que las personas adecuadas conozcan el problema en el momento correcto y es fundamental para la eficiencia en AWS. La escalada se refiere a que alguien vea algo que lo haga pensar “¿Está bien eso?”. Y, en lugar de quedarnos sin hacer nada, nos aseguramos de que las personas correspondientes lo sepan.
La escalada engloba uno de nuestros valores corporativos, que es el hecho de que los líderes profundizan y los propietarios se centran en los detalles del funcionamiento de la empresa. Sin todos los detalles, no se pueden tomar buenas decisiones sobre lo que ocurre y cómo dirigir la empresa con eficacia.
Antes, en el mundo de la seguridad, utilizábamos la expresión “culpar al mensajero” cuando se identificaba un problema, lo que disuadía a las personas de dar a conocer los hechos. Mi trabajo como líder es agradecer a las personas que han identificado situaciones y las han presentado para que les prestemos atención. Compensamos al mensajero y luego solucionamos la situación.
¿Qué es la “confianza cero” y cómo puede mejorar la situación?
Para nosotros, la confianza cero significa que ya no se depende de un perímetro de red como punto de defensa principal. Llevar el perímetro de seguridad hasta el componente más pequeño posible, idealmente elementos de datos individuales, si se puede llegar a ese punto. Y a la inversa, abrir el acceso a esos elementos de datos individuales desde cualquier lugar en el que se encuentre el usuario autorizado. Ya no se trata de que me tengo que conectar a una VPN, por ejemplo, sino de una situación en la que quizás en el teléfono haya un agente que pueda informar a nuestro sistema de autenticación y autorización de que mi teléfono está en un estado aprobado para la aplicación de parches.
Y anclar esa confianza en componentes de hardware que tienen una gran capacidad de repetición en su capacidad de discernimiento, ¿es esta la persona correcta? Para nosotros, la confianza cero consiste en crear un conjunto de controles que nos permitan autorizar o denegar el acceso a componentes individuales de los datos de cada persona en función de su trabajo, el lugar en el que se encuentra, lo que utiliza para acceder al dispositivo, la hora del día, el día de la semana y el lugar del mundo en el que se encuentra. Y permite un control mucho más específico de la información cuando se aplica correctamente.
Preguntas para los clientes y el personal para crear una cultura positiva
- ¿Está contento con la interacción que acaba de tener?
- ¿Resolví su problema en un periodo razonable?
- ¿Le di las herramientas para hacer su trabajo de manera más eficaz y fácil?
Estos son los tipos de preguntas que nos hacemos y que hacemos a nuestros clientes para asegurarnos de que sabemos cuál es la percepción que se tiene de nosotros tanto desde dentro como desde fuera.
Recuerde su “motivo” para los clientes y el personal
Lo más importante que nos gustaría que la gente se llevara a casa hoy es que la actividad empresarial debe ser positiva. Debería tratarse de cómo mejorar la vida de la gente. ¿Cómo podemos hacer que trabajen de forma más eficaz y eficiente? Y cómo nos aseguramos de avanzar de forma progresiva hacia nuestros objetivos cada día, en lugar de esperar a que se produzca un gran impacto.
Así que, en el caso de quienes no forman parte de la organización de seguridad, los animamos a programar un café virtual, comprender sus objetivos empresariales y encontrar la manera de comunicarse con mayor eficacia. Puede obtener más información en el blog de seguridad de AWS sobre qué hace la seguridad de AWS. En BP, tratamos de ser los mejores en nuestra clase en todo lo que hacemos. Después de trabajar tanto tiempo en el ámbito del comercio, uno comienza a darse cuenta de que, a medida que las cosas cambian en el mercado y se orientan más hacia los márgenes, la única forma de conseguirlo es aprovechar la tecnología digital, automatizar y ser lo más eficiente, ágil y eficaz posible.
Hay que dar a las personas las herramientas, las reglas y las instrucciones sobre cómo hacerlo bien y facilitar que hagan lo correcto. Como resultado, se sentirá más contento como profesional de la seguridad, y los clientes estarán más contentos de poder hacer su trabajo más fácilmente”.
Compartir esta historia
Lectura recomendada
Dé el siguiente paso
Escuche y aprenda
Escuche a los líderes ejecutivos y a los estrategas empresariales de AWS, todos ellos antiguos miembros de la alta dirección, hablar de sus procesos de transformación digital.
Manténgase al tanto
AWS Executive Connection es un destino digital para líderes de tecnología y negocios, en donde compartimos información.
Vea bajo demanda
Obtenga información de sus homólogos y descubra nuevas formas de impulsar su camino hacia la transformación digital a través de esta exclusiva red internacional.
Inspírese
Escuche cómo los líderes de AWS y de los clientes debaten sobre sus prácticas recomendadas, lecciones y pensamiento transformador.