Right-Sizing Security Across Amazon Businesses

Clarke Rodgers:
Mike, muchas gracias por estar hoy aquí.

Steve Schmidt:
Es un placer estar aquí. Gracias.

Clarke Rodgers:
Ha pasado un tiempo desde la última vez que hablamos. De hecho, anoche estaba haciendo los cálculos. Fue hace unos cuatro años.

Steve Schmidt:
Impresionante.

Clarke Rodgers:
Entonces, cuando pensamos en lo que estaba sucediendo hace cuatro años, la pandemia continuaba. Tú y yo estuvimos en una entrevista remota y tú desempeñabas un papel diferente, ¿verdad? Eras el director de seguridad de la información de AWS. Poco después de esa entrevista, Andy asumió el puesto de director ejecutivo de Amazon y una de las primeras cosas que hizo fue incorporarte como director de seguridad. ¿Puedes contarme un poco por qué lo hizo?

Steve Schmidt:
Claro. Una de las cosas que Andy realmente valora es entender cómo protegemos la información de nuestros clientes. Y eso surgió por necesidad en AWS, donde es fundamental para la propia empresa. No puedes tener una empresa como AWS a menos que te dediques a la seguridad real.

Y cuando asumió su nuevo puesto, quería adoptar esa misma mentalidad y aplicarla a todos nuestros clientes de la increíble diversidad de negocios que Amazon opera actualmente. Y también quiere saber que hay alguien cuyo trabajo diario es estar atento a ese tipo de cosas. Así que me pidió que diera un paso adelante y me hiciera cargo de eso.

Clarke Rodgers:
Así que, como jefe de seguridad, falta una palabra, información, ¿verdad? Así que eres un CSO. Hemos tenido un par de entrevistas con clientes en las que también dejaron, por así decirlo, la I. ¿Puedes explicarme un poco por qué es importante ser el director de seguridad, y no mencionar la información específicamente?

Steve Schmidt:
Claro. Por lo tanto, si nos fijamos en la protección de la información, que es la moneda de cambio en nuestro ámbito, es algo que sin duda tiene el componente lógico al que las personas están acostumbradas cuando se trata de un trabajo CISO. Sin embargo, nuestros adversarios utilizan cada vez más a los humanos para buscar información que es más difícil de obtener desde una perspectiva lógica.

Así que ha habido una especie de oscilación de péndulo en la industria, y hace mucho tiempo, si lo piensas bien, la gente tenía espías, espías físicos que entraban y tomaban copias de documentos o cosas así. Cuando nos conectamos a Internet con sistemas informáticos, diablos, había una nueva oportunidad. Vamos a analizar esas cosas de forma remota, etcétera. A medida que las empresas mejoran la protección de esa información, ya sea en las instalaciones o en otro lugar, resulta que las personas vuelven a ser espías.

Por lo tanto, tenemos que integrar la protección de nuestros activos físicos y de nuestros activos de información, nuestros activos lógicos, para tener una visión completa de lo que hacemos con los datos de nuestros clientes y cómo los protegemos, así como con nuestros datos empresariales. Porque ahora, con bastante frecuencia, nuestros adversarios de los estados nacionales se centran no solo en tener acceso a los datos de los que disponen nuestros clientes, sino también en la información sobre el futuro hacia dónde nos dirigimos con nuestro negocio.

¿Cómo estamos creando el próximo conjunto de productos o servicios muy interesantes, ya sea un satélite o un vehículo robótico? Tienen un valor increíble para los países de todo el mundo, pero también para las empresas a las que apoyan. Por eso, como profesionales de la seguridad, tenemos que analizar esa imagen completa de quiénes son nuestros adversarios y cómo nos vamos a proteger de ellos.

Clarke Rodgers:
Seguro que sí. Así que asumiste el cargo de CSO y ahora tienes a cargo la seguridad física, me imagino que el idioma que hablan los profesionales de la seguridad de la información y la seguridad física, y el idioma que hablan las personas de seguridad física, podrían considerarse en dos planos diferentes. ¿Cómo se logra integrar a esos dos para que hablen el mismo idioma y puedan trabajar juntos de manera efectiva?

Steve Schmidt:
Claro. Por lo tanto, se trata menos de la elección de palabras que tienen porque tienen sus propios idiomas. Tienes toda la razón. Lo más importante es entender cuál es su objetivo final, cómo vas a medir tu progreso hacia ese objetivo e identificar, lo que es más importante, los puntos de transferencia o las brechas entre el mundo físico y el mundo lógico.

Piénsalo de esta manera, si estoy en el mundo físico, evito que la gente entre en los edificios, donde evito que la empresa contrate a nuestros adversarios. Pero si un adversario entra en un edificio, ¿implica algo desde el punto de vista de la seguridad de la información? Si están parados en un vestíbulo, eso es una cosa. Si están en un armario que tiene un montón de conmutadores de red, eso es algo completamente diferente. Así que tenemos que vincular esos dos aspectos para tener una idea adecuada de lo que está sucediendo.

Clarke Rodgers:
¿Tuviste que construir alguna herramienta para cruzar estos puentes?

Steve Schmidt:
Sí, es a la vez una combinación de herramientas y procesos que hemos creado. Por lo tanto, las herramientas son una evolución constante. En teoría, siempre estamos mejorando a la hora de encontrar formas de recopilar, analizar y utilizar los datos. Lo que se hace más interesante y más difícil, de hecho, es averiguar cómo se reparte eso entre las diferentes partes de la empresa y cómo se asegura de que tengan acceso a las cosas que necesitan para... hacer su trabajo, pero sin abrumarlos con datos para que puedan encontrar las piezas importantes entre los enormes montones de información que recopilamos.

Y ahí es donde entra en juego el componente del proceso. A menudo se trata de hacer brotar cosas que podrían ser delicadas, que son delicadas, etcétera, y de encontrar formas de garantizar que pasen de una parte de la organización a otra. Y eso realmente requiere personas altamente calibradas. Se necesitan humanos que sepan que, claro, esto puede parecer inocuo por propia esencia, pero cuando se combina con esta otra cosa que vimos, es realmente interesante. Y, lamentablemente, todavía no existe ningún sistema que pueda hacerlo. Tal vez con un poco de entrenamiento en IA en el futuro, podamos lograrlo, pero simplemente no existe en este momento.

Clarke Rodgers:
Es muy, muy interesante. Comenzaste el programa de seguridad en AWS, por lo que conoces AWS de principio a fin, cómo protegerlo, las amenazas que se le presentan, el apetito por el riesgo, etcétera. A medida que pasaste al puesto de CSO, ahora puedes obtener información sobre amazon.com o lo que llamamos tiendas internas, Whole Foods, Prime Video, MGM, Twitch y todas estas organizaciones diferentes.

En primer lugar, ¿cómo te pusiste al día con el perfil de seguridad de cada una de esas empresas y el apetito por el riesgo? Y, luego, ¿cómo lograste combinar todo? Así que el término común, la visión única y unificada con la que te sentías seguro de que el perfil de riesgo de Whole Foods era apropiado, el de AWS también era apropiado para AWS, ¿cómo resolviste todo eso?

Steve Schmidt:
Bueno, en primer lugar, una de las cosas que me encantan de mi trabajo es la diversidad de las empresas. La gente suele decir llevas 16 años en tu puesto. Eso es muy inusual para alguien en la industria de la seguridad. ¿A qué se debe? Se debe a la diversidad de trabajos que tiene esta empresa. Es una oportunidad para seguir aprendiendo, y es que me encanta.

No soy tan joven. La gente dice: ¿cuánto tiempo vas a seguir trabajando? ¿Te vas a jubilar, como sea? Y digo: bueno, me estoy divirtiendo. No, no quiero hacerlo. Realmente me divierto mucho. Y esto se debe a que se pasa de crear el proveedor de nube más grande del mundo a colocar satélites en el espacio y administrar tiendas de comestibles, y esa diversidad es simplemente un desafío increíble desde el punto de vista empresarial, pero también es una oportunidad interesante para aprovechar la escala de la empresa y sea menos costoso operar todo.

Si nos fijamos en las organizaciones de seguridad operativas, no son baratas. Pero cuando puedes escalarlo en una empresa tan grande como la de Amazon, significa que el costo unitario puede reducirse.

Clarke Rodgers:
Seguro que sí.

Steve Schmidt:
Por lo tanto, cada empresa se beneficia de la escala de las demás empresas. Por lo tanto, encontrar formas en que una tienda de comestibles pueda aprovechar la misma seguridad que una empresa satelital, cosa que pueden hacer en muchas áreas, por ejemplo, la gestión de vulnerabilidades, ya sea que se utilice un parche en un sistema informático, realmente no hay diferencias entre construir satélites y gestionar una tienda de comestibles.

Y eso nos permite hacer las cosas a un nivel que una empresa independiente realmente no podría permitirse y sube el vara para todos. Y parte de mi trabajo aquí consiste en garantizar que tengamos una vara estandarizada en toda la empresa, ya sea para la gestión de vulnerabilidades o la respuesta a incidentes o para cualquiera de los demás componentes que forman parte de una organización de seguridad típica.

Luego, averiguar cuáles son los componentes personalizados que deben implementarse para empresas particulares debido a sus situaciones únicas. De esa forma, no intentamos aplicar una talla única para todos, porque eso solo elevaría los costos por las nubes. Si nos fijamos en un negocio de comestibles, por ejemplo, la pérdida de una unidad allí tiene un valor relativamente reducido al mínimo, mientras que la pérdida de un satélite es todo lo contrario.

Clarke Rodgers:
Seguro que sí.

Steve Schmidt:
Por lo tanto, tenemos que adaptar la situación de seguridad a los componentes individuales.

Clarke Rodgers:
¿Cómo los responsabilizas...? Voy a aclarar un poco. Hay directores de seguridad de la información que dirigen los programas de seguridad de cada una de estas empresas. ¿Cómo los responsabilizas por la gestión del negocio de seguridad de ellas?

Steve Schmidt:
Bueno, una de las cosas en las que Amazon se centra mucho en toda la empresa es la idea de un propietario por un único subproceso. Alguien cuyo trabajo es centrarse en un componente de algo. Y en materia de seguridad, por eso tenemos un CISO para cada empresa individual por dos motivos.

Una es que quiero a alguien que todos los días se centre en eso, ya sea Amy Herzog, que se dedica a los dispositivos y el espacio Kuiper, o si es Chris Betz quien se ocupa de AWS. Pero al mismo tiempo utilizo medidas comunes en todas esos aspectos. Por ejemplo, observo una revisión empresarial mensual sobre la gestión de vulnerabilidades, que abarca a toda la empresa y utiliza los mismos números, las mismas metodologías, los mismos métodos de presentación, etcétera.

Por lo tanto, tenemos una visión común que es uniforme en cada una de esas empresas. Y nos permite hacer dos cosas. Una es asegurarnos de que cumplimos con los requisitos que exigimos y la segunda es garantizar que aplicamos la visibilidad que queremos en todos los rincones de la empresa. Porque muy a menudo cuando la gente tiene problemas es cuando piensa: oh, esto no es algo importante, se trata de una pequeña parte, etcétera.

Y ahí es donde entra el malo y nos golpea a todos. Entonces, con esta visión a 10000 pies de altura nos aseguramos de hacer las cosas que necesitamos hacer en cada parte de la empresa.

Clarke Rodgers:
Además, tiene sistemas centralizados bajo el paraguas de seguridad de Amazon o AMSEC que todos pueden aprovechar.

Steve Schmidt:
Por lo tanto, hay muchas cosas que son básicamente las mismas en todas nuestras empresas. La forma en que recopilas ciertos tipos de datos, la forma en que los analizas o elaboras informes al respecto y, en lugar de hacer que cada empresa individual haga lo mismo una y otra vez, decidimos trasladarlos a un solo lugar. Esto nos permite ahorrar en cosas como el tiempo de los desarrolladores.

Por lo tanto, si piensas en operar a gran escala, volveremos a la gestión de vulnerabilidades, un motor de recopilación para eso, debe contar con ingenieros de guardia. Si alguna vez has dirigido una organización de guardia, que tienes, piensas tener una persona de guardia, pero debes tener aproximadamente otras siete personas para hacerlo de manera efectiva y poder acomodar licencias, vacaciones y todo lo demás.

Clarke Rodgers:
Queremos que la gente se tome vacaciones.

Steve Schmidt:
Es cierto. Por lo tanto, al distribuirlo entre un montón de empresas diferentes desde un solo lugar, significa que lo hacemos de manera más eficaz porque obtenemos mejores herramientas de forma centralizada y a un costo menor.

Clarke Rodgers:
¿Qué prácticas has desarrollado o seguido para informar al consejo de administración de Amazon sobre el estado de la seguridad en todas estas empresas tan dispares?

Steve Schmidt:
El consejo de Amazon, en primer lugar, es realmente interesante. Hay muy pocas juntas directivas que tengan la perspicacia técnica entre su población como la junta directiva de Amazon, pero Amazon también decidió hace varios años crear un subcomité de seguridad. Así que, a diferencia de muchos lugares en los que la seguridad puede rendir cuentas al comité de auditoría, por ejemplo, hay un grupo dedicado de personas cuyo trabajo consiste simplemente en analizar la seguridad en el consejo de administración de Amazon.

Eso es fantástico y también significa que hay mucho escrutinio sobre nosotros en el proceso. Así que hemos tenido que crear un mecanismo de presentación de informes que evolucione con el tiempo por dos motivos. Una es porque mejoramos en nuestro trabajo de presentación de informes. Y la segunda es que la junta directiva se informa aún mejor con el tiempo. Hacen preguntas más puntuales y quieren saber detalles más específicos sobre los nichos del negocio. Por lo general, creemos que es importante informarles sobre los componentes específicos de la empresa cada vez que hablamos. ¿Llegamos a cumplir la exigencia de seguridad en ciertas áreas?

Además, tienen cosas que les interesan mucho, cuéntanos sobre esta parte en particular del negocio o sobre algo en lo que nos estamos metiendo y creemos que implica muchos riesgos, así que haznos un resumen de bla, bla, bla. Y eso nos permite tener un componente consistente, un componente variable que se basa en sus intereses.

Y luego decidimos incluir algo llamado eventos actuales al final, en el que tomamos todo lo que has visto en las noticias, lo resumimos en cosas que creemos que tienen lecciones o puntos particulares para nosotros y, al final, lo presentamos a la junta como un componente informativo. Esto es algo que ocurrió en el sector, esta es la razón por la que no nos afectó.

Esta es la inversión que hizo que no nos viéramos afectados. Y creo que eso tiene un enorme valor para la junta. En primer lugar, entienden que estamos en una buena posición, pero en segundo lugar, ayuda a tomar decisiones de inversión informadas en el futuro. Así que cuando podemos decir que invertimos en la autenticación multifactor hace ocho o diez años y que gracias a ello ese actor de amenazas en particular que se incorporó a esta otra gran empresa no nos pudo afectar, dicen: bien, genial. ¿Cuáles son las otras inversiones que deberíamos planificar ahora que nos ayudarán dentro de 10 años a seguir evitando problemas?

Clarke Rodgers:
Muchos de nuestros clientes de CISO se centran mucho en la junta directiva. Algunos de ellos no reciben tanto FaceTime como otros. Y ya has dicho que nuestra junta es única debido a su conocimiento de la seguridad. ¿Qué recomendaciones les darías a tus colegas de CISO o a tus colegas de CSO que rinden cuentas a sus juntas directivas para que realmente les ayuden a entender sus puntos de vista, a hablar el idioma de la junta directiva, etcétera?

Steve Schmidt:
Bien, lo primero que me han dicho los miembros de la junta sobre por qué les gusta la forma en que hacemos las cosas es que tenemos mucho cuidado de evitar la jerga. Muchas personas en las funciones de CISO son técnicas y quieren informar sobre las cosas de manera que-

Clarke Rodgers:
Los bits y los bytes.

Steve Schmidt:
Exactamente, reflejan la forma en que piensan al respecto. Pero tenemos que recordar que la junta es el cliente aquí. Por eso, cuando les hacemos una presentación, tenemos que hablar su idioma y encontrar formas de explicar las cosas en un contexto que tenga sentido para esa junta en particular.

Por lo tanto, lo primero es encontrar un mecanismo de presentación de informes coherente en lugar de modificarlo una y otra vez, ya que básicamente eso dificulta que alguien lo entienda por completo. La segunda es averiguar cuáles son las dos o tres métricas realmente importantes que quieres transmitir allí en cada ocasión.

No ahogues a las personas con las métricas. Por ejemplo, siempre, siempre informamos sobre la gestión de vulnerabilidades. Es el control de seguridad fundamental más importante que operamos y creo que cualquiera lo opera y luego descubre cuáles son las cosas que terminan siendo complementos interesantes al final, que te ayudan a desarrollar en qué debemos invertir, así que haz una separación intencional entre los componentes del proceso de presentación de informes.

Clarke Rodgers:
¿Y si invertimos aquí, reducimos el riesgo aquí?

Steve Schmidt:
Sí, es una combinación de la reducción del riesgo actual y la reducción a futuro, y la visión a futuro es probablemente la parte más difícil de nuestro trabajo como profesionales de la seguridad, porque no tenemos una prueba de existencia para utilizarla. Y mucha gente lo mira y dice: ¿es realmente necesario?

¿Tenemos que hacerlo ahora mismo? ¿Tenemos que hacerlo a lo grande? ¿Podemos avanzar con más precaución? Esos son los argumentos que todos debemos tener y necesitamos poder construir ese tipo de base de conocimientos en la junta con el tiempo y decir: estos son los ejemplos de la explotación en el mundo real de cosas que tienen este aspecto y creemos que nos van a tocar en este período de tiempo, por lo que tenemos que actuar ahora o dentro de dos o tres años o lo que sea.

Clarke Rodgers:
Te entiendo. Por eso, en Amazon somos conocidos por nuestra innovación, por trabajar hacia atrás, escuchar a nuestros clientes, etcétera. Como líder de seguridad, tienes muchas opciones, y esto puede deberse a los CISO que tienes a cargo. Tiene muchas opciones sobre las herramientas que compras y las que necesita desarrollar. A menudo, eso se reduce a la escala.

Por lo tanto, el software comercial disponible puede o no escalar a la escala de Amazon y necesitas crear algo por tu cuenta. Durante el último año hemos hablado públicamente sobre herramientas como Madpot, Mithra y Sonaris. Como CSO, ¿cómo logras el argumento para obtener el dinero necesario para invertir los recursos de ingeniería en herramientas como esa, e imagino muchas otras herramientas de las que no hemos hablado? ¿Cómo se logra el argumento para decir que vale la pena tu inversión y que este es el valor que vamos a obtener de ellas?

Steve Schmidt:
Claro. Así que primero diferenciemos entre una herramienta comprada y algo que desarrollamos. Creo que es un punto de partida importante. Compraremos herramientas cuando sean un artículo básico. Así, por ejemplo, la respuesta de detección de puntos de enlace, la compramos en lugar de desarrollarla nosotros mismos. ¿Por qué? Porque las computadoras portátiles Mac, las computadoras portátiles Windows y las computadoras portátiles Linux que usamos son las mismas que usan muchas otras personas.

Es posible que tengamos un software un poco diferente, pero eso no diferencia realmente a nuestro negocio. Mientras que nosotros somos los únicos que podemos desarrollar un sistema a gran escala, como Madpot, por ejemplo. El sitio donde podemos desarrollar y donde nadie más puede hacerlo allí es donde tendemos a invertir.

La forma en que llevamos a cabo ese proceso de inversión es igual que muchas otras cosas que hacemos. Haces un prototipo, lo pruebas, ves qué funciona. Garantizas que no lo vas a hacer bien la primera vez. Así que tienes que ir y rediseñar algo, cambiarlo un poco, etcétera. Ahora Madpot ha tenido un éxito increíble, pero no apareció de la noche a la mañana. Es una inversión de muchos, muchos años que comenzó con un solo ingeniero que dijo: «Eh, me gusta mucho esta idea». Vamos a ver si puede llevar a algo interesante.

Y luego se convierte en este motor que nos permite adquirir datos de inteligencia sobre amenazas muy, muy oportunos que podemos extraer, procesar e incorporar a las herramientas de seguridad a las que tienen acceso todos nuestros clientes. Y creo que esa es la parte más importante. Así, por ejemplo, muchos de nuestros clientes dicen: «Oh, quiero un feed de inteligencia de amenazas sin procesar».

Y bueno, en realidad no, no es lo que quieres. Lo que realmente quieres son las cosas que son relevantes para ti en el contexto en el que estás operando ahora mismo. El resto es solo ruido y su volumen ahora es tan alto que no tiene sentido tratar de asimilarlo todo a menos que tengas un negocio como el nuestro.

Por eso, muchos de nuestros clientes han descubierto que realmente les gusta tomar cosas como la inteligencia sobre amenazas y consumirla como parte de un servicio gestionado. Y eso les permite no tener que dedicar tiempo a almacenar grandes cantidades de datos o a perder contexto, ya que no se ha aplicado a varios clientes.

Y lo del contexto es importante. Ahí es donde la visibilidad centralizada de que solo nosotros tenemos que volver a la parte original sobre la mercantilización frente a las creaciones personalizadas, realmente aporta ventajas.

Clarke Rodgers:
“¡Y luego supongo que el argumento interno, a falta de una palabra mejor, es que esto nos ayuda a proteger a AWS, supera a Amazon y añade beneficios a nuestros clientes. Quiero decir que es una victoria.

Steve Schmidt:
Y en el lenguaje típico de Amazon, empezamos primero con los clientes y decimos que esto ayuda a todos nuestros clientes a protegerse mejor. Y, al mismo tiempo, nos ayuda con nuestro negocio porque, de todos modos, la mayoría de nuestras empresas son clientes de Amazon AWS. Por lo tanto, es beneficioso en todos los ámbitos.

Clarke Rodgers:
Es genial. Cambiemos un poco de tema. Este último año ha sido el año de la IA generativa. La mayoría de nuestros clientes con los que hablo se han centrado en proteger la IA generativa como una herramienta que el negocio, entre comillas, está usando. Entonces, tal vez sea una herramienta de terceros, tal vez estén usando Amazon Bedrock, sea cual sea el caso. Pero protejamos la herramienta. ¿Qué ves o qué es lo que estamos haciendo en Amazon usando la IA generativa como herramienta de seguridad o como parte de tu cadena de herramientas de seguridad?

Steve Schmidt:
Bueno, el uso más eficaz de la IA generativa que hemos visto hasta ahora ha sido en el propio proceso de seguridad de las aplicaciones. Entonces, como ya conoce AWS, todas las aplicaciones con funciones, etcétera, que salen por la puerta se someten a una revisión de seguridad antes de lanzarse. Otras empresas no han podido darse ese lujo en el pasado porque es increíblemente caro hacerlo, especialmente si se tiene en cuenta que significa literalmente poner a miles de ingenieros de seguridad centrados en eso.

La mayoría de las empresas no tienen la cantidad total de ingenieros en seguridad que tenemos nosotros y solo trabajan en AppSec para Amazon. Por lo tanto, la IA generativa nos brinda una enorme ventaja en ese ámbito. Debo decir que todavía está en la etapa científica, pero es muy prometedor.

Creemos que, con el tiempo, es probable que veamos una reducción de las cargas de trabajo humanas en el ámbito de la seguridad de las aplicaciones entre un 60 y un 70 %, lo que significa que podemos hacer las cosas más rápido para reducir los costos y lograr una mayor consistencia en lugares como AWS, que siempre ha invertido en la evaluación de todo, y en áreas donde ahora existe la oportunidad de analizar tantas cosas como nunca antes se han evaluado, significa que podemos obtener una mayor cobertura. Así que es una especie de doble victoria.

Clarke Rodgers:
Por lo tanto, dedicará esas horas humanas que ahorra con la IA generativa a otros desafíos de ciberseguridad.

Steve Schmidt:
De hecho, se tratará de analizar más a fondo los servicios que tenemos y de examinar más aplicaciones en general. La otra pieza es que la IA generativa no va a ser la solución completa para gran parte de esto. Lo que hará es sacar muchos frutos fáciles de alcanzar, por así decirlo, y permitirá a nuestros ingenieros centrarse en los problemas de interés real que solo un humano puede abordar.

La gente piensa que, oh, la IA generativa puede resolver todos los problemas, todavía no. Y creo que cualquiera que diga que sí en el ámbito de la seguridad probablemente no esté entendiendo realmente lo que está pasando. Siempre es necesario que haya supervisión humana en ese espacio, al menos ahora mismo. Y lo que es más importante, tiene que haber un juicio humano sobre si la IA generativa ha tomado la decisión correcta o no.

Clarke Rodgers:
Hablar o quedarse con humanos. ¿Qué hace que un empleado de seguridad sea excelente en Amazon o AWS?

Steve Schmidt:
Yo diría que lo primero que buscamos en nuestras contrataciones de seguridad y la mayoría de la gente piensa es este tipo particular de perspicacia técnica, no, curiosidad.

Clarke Rodgers:
Cuéntame más.

Steve Schmidt:
Lo que quiero decir es alguien que no solo ve un problema y dice: Oh, está bien, ya está. Más bien dice: bueno, ¿por qué pasó esto? Bueno, ¿por qué llegó hasta aquí en primer lugar? ¿Por qué no lo detectamos antes? ¿Por qué en primer lugar pudo el creador iniciar el proceso con ese error? Ese es el tipo de persona que sigue indagando y que nos interesa mucho.

Y estás muy familiarizado con el proceso de corrección de errores que utilizamos, COE, ¿y qué sucede al final? Cinco porqués. Y pasa lo mismo cuando llegas a la raíz del problema en lugar de simplemente abordar un síntoma del problema superficialmente.

Clarke Rodgers:
Así que la curiosidad es la reina.

Steve Schmidt:
La curiosidad es la reina. Sí.

Clarke Rodgers:
Si te doy una bola de cristal...

Steve Schmidt:
Ups.

Clarke Rodgers:
Lo siento. Esa es la pregunta. Si nos fijamos en esa bola de cristal, ¿en qué se van a centrar los OSC y los CISO durante el próximo año o algo así?

Steve Schmidt:
Bueno, creo que la mayoría de las personas van a tener que centrarse en la IA generativa porque sus empresas consumen esos servicios a un ritmo increíble y van a tener que hacer dos cosas. La número uno es simplemente entender dónde utilizar la IA generativa. Y creo que estamos en un buen lugar en Amazon y tenemos una visibilidad centralizada que nos permite ver dónde utilizan la IA generativa todos nuestros desarrolladores.

La mayoría de las empresas no trabajan así y tienen que averiguarlo. La segunda parte es que tendrás que averiguar qué es la IA generativa, cómo realizas la RAG y si estás aplicando la autorización y la autenticación de forma adecuada durante todo ese proceso. Esto no es un asunto menor. Es algo que el mundo del software aún no tiene completamente definido.

Y es algo que es increíblemente importante para poder utilizar la IA generativa de manera que solo presente los datos como resultado de la petición a la que esa persona del otro lado está autorizada a acceder en ese momento desde el lugar en el que se encuentra actualmente en el equipo que está utilizando actualmente. La mayoría de las personas ni siquiera han pensado en ese problema todavía.

Pero en realidad, si nos fijamos en nuestros sistemas internos de Amazon ahora mismo, cuando utilizas tu portátil, medimos muchas cosas sobre ti cuando utilizas nuestros sistemas internos. Literalmente, ¿está tu portátil en el estado en el que esperamos que esté? ¿Lo has parcheado, etcétera?

Todos hemos recibido pequeños avisos que dicen que te van a poner en cuarentena si no pones un parche. ¿Y en qué parte del mundo estás? ¿Cuál es tu trabajo? Y cosas que la mayoría de la gente ni siquiera se da cuenta que estamos viendo, como: ¿qué día de la semana es? ¿Y es esta una hora a la que accedes normalmente o vienes de un lugar inusual? Y ese tipo de cosas.

Clarke Rodgers:
¿Es normal para Clarke?

Steve Schmidt:
Es cierto. ¿Es normal para Clarke y es normal para una persona en el trabajo de Clarke? Y esos controles simplemente no existen en la mayoría de los lugares. Por eso es tan importante la implementación de barreras de protección. No me importa qué sistema utilices para hacerlo, solo tienes que tener barreras de protección colocadas.

Y esas barreras de protección tienen que evolucionar constantemente a medida que el panorama de amenazas evoluciona a tu alrededor, a medida que cambia la ciencia de la IA generativa y a medida que tu empresa determina cada vez más cuál es el uso aceptable de los datos que están introduciendo en un sistema de IA generativa.

Clarke Rodgers:
Es un consejo fantástico y estupendo. Veremos si tus predicciones se cumplen. Steve, eres el director de seguridad de todo Amazon. Es un trabajo muy estresante por así decirlo. ¿Qué haces no solo para mantenerte cuerdo y desahogarte, sino también para mantenerte al día con el mundo, sintonizar, desconectarte y, luego, cómo te aseguras también de que tus líderes hacen lo mismo y se cuidan a sí mismos?

Steve Schmidt:
Bien, lo primero en lo que me concentro con todos nuestros líderes, ya sean nuevos o con experiencia en la empresa, es en qué están haciendo para separarse del trabajo. Nuestros trabajos son increíblemente estresantes. Hay algo que, en efecto, nunca está bien.

Así que tener una forma de transferir la responsabilidad entre las personas de manera formal y decir: está bien, Clark, durante los próximos seis días estarás de vacaciones. ¡No quiero saber de usted! No quiero que estés en línea. Y nuestra gente es increíblemente dedicada. Ha habido lugares en los que, literalmente, he tenido que amenazar con apagar las computadoras de la gente porque se supone que estás de vacaciones, deja de enviarme correos electrónicos.

Agradezco tu dedicación, pero el problema es que te vas a agotar. Y estas son maratones. No son sprints. Por eso, construir ese mecanismo es muy importante. La segunda cosa es tener algo que te permita hacer algo que valoras individualmente. Algunas personas son músicos, otras escalan montañas, otras van a pescar. Personalmente soy bombero y paramédico voluntario.

Clarke Rodgers:
Oh, impresionante.

Steve Schmidt:
Es algo que para mí es exactamente lo contrario de mi trabajo diario. Así que somos seres humanos. Nos gusta interactuar con la gente. Te estoy hablando aquí cara a cara. Sí, no en vídeo. Eso es impresionante. Pero mi trabajo diario son dos cosas que son muy diferentes de eso.

Una es que la mayor parte de lo que hago en mi trabajo diario solo tendrá efecto dentro de tres, cinco o diez años. Por lo tanto, no es una recompensa inmediata. La segunda es que todo son ordenadores con algunas personas y otras a las que ni siquiera puedo ver ni tocar. Así que con la parte divertida de mi vida, el aspecto de bombero y paramédico, si hago bien mi trabajo individual, puedo ayudar a una persona a la que pueda contactar y tocar a tener un día mejor. Y eso me da esa retroalimentación inmediata que anhelo como ser humano. Y segundo, es muy físico en lugar de algo puramente lógico.

Clarke Rodgers:
Un tipo diferente de estrés, pero quizás uno más saludable.

Steve Schmidt:
Lo es. Y la ironía es que allí se han realizado muchos estudios que muestran que a las personas que llevan mucho tiempo en el servicio de bomberos se les baja el pulso cuando las sirenas están encendidas porque es su lugar feliz y lo están disfrutando. Y seamos sinceros, ¿a quién no le gusta ir por una carretera con sirenas y luces en un camión? Es muy divertido.

Clarke Rodgers:
Eso es impresionante. Y me imagino, y me encantaría escuchar más, como CSO, que todos los días te enfrentas a decisiones y decisiones muy críticas. ¿Eres un paramédico o bombero de mayor o menor rango, lo que significa que alguien más está tomando las decisiones difíciles y tú solo te concentras en tu día?

Steve Schmidt:
Irónicamente, en realidad soy subjefa de la organización, pero eso tiene más que ver con las habilidades de liderazgo que con la perspicacia técnica en otros espacios. Pero lo hago desde hace 38 años.

Clarke Rodgers:
Vaya, eso es fantástico.

Steve Schmidt:
Así que he acumulado un poco de experiencia.

Clarke Rodgers:
Estupendo. Mike, muchas gracias por estar hoy aquí.

Steve Schmidt:
Gracias. Ha sido fantástico estar aquí.

Escuche el pódcast ahora

Escuche el pódcast ahora

Escuche el pódcast ahora