Come diventare un CISO migliore

Clarke Rodgers (00:07):
Quali sono le qualità che determinano un CISO di successo? In qualità di CISO di AWS, il mio ospite, oggi, ha un'ottima esperienza in materia. Sono Clarke Rodgers, Direttore di Enterprise Strategy di AWS, e vi accompagnerò in una serie di conversazioni con i leader AWS che si occupano di sicurezza qui su Executive Insights.

Siamo lieti di dare il benvenuto a Chris Betz, CISO di AWS, al programma. Unisciti a noi, mentre lui condivide le sue opinioni su tutto: dalla creazione di una cultura della sicurezza, alle assunzioni effettuate in base al principio della diversità, al tutoraggio della futura generazione di grandi leader nel settore della sicurezza. Buon divertimento!

Clarke Rodgers (00:38):
Ti conosco abbastanza bene, ma vorrei svelare al pubblico ulteriori dettagli sulla tua esperienza.

Chris Betz (00:44):
Come hai detto, ci conosciamo da un po'. Questa è una delle cose che mi piace della community della sicurezza: la sua dimensione ridotta. Alla fine ti ritrovi a interagire con le stesse persone in tutto il mondo. Nel mio caso, ho mosso i primi passi nell'Air Force. Ci sono rimasto per diversi anni, poi sono entrato nel governo federale, dove ho trascorso tanti anni a lavorare nella cybersecurity.

Ho avuto la possibilità di occuparmi di sicurezza presso aziende come CBS, una società di comunicazione, un sacco di tempo in compagnie come Apple, Microsoft e Lumen, all'epoca CenturyLink e, più recentemente, Capital One. È stato proprio interessante sperimentare una certa varietà di ruoli e, come hai detto tu, vedere continuamente gli stessi volti.

Clarke Rodgers (01:23):
Quindi, in qualità di CISO di AWS, quando devi incontrare i clienti e rispondere alle loro domande sulla sicurezza, come sono cambiate le cose? La competenza per affermare: “È vero, ero nei tuoi panni non molto tempo fa, e la la pensavo così, ma, ora che sono qui, questa è la risposta alla tua domanda,” o una cosa del genere.

Chris Betz (01:45):
Negli ultimi dieci anni, ho ricoperto ruoli di sicurezza in aziende che sono clienti importanti di AWS. Quindi sì! Sono stato al fianco di AWS durante il nostro percorso verso la sicurezza, ed anche durante quello verso la tecnologia. Il fatto di essere stato recentemente un cliente mi permette di affrontare questa conversazione in modo molto diverso, perché sento di capire queste situazioni, le domande che sollevano e le sfide che pongono.

Una delle cose che apprezzo di più di queste conversazioni è la capacità di rimanere ben concentrati su ciò che vedono i nostri clienti, su come si sentono, cosa sta succedendo nel mondo e davvero la capacità di scambiare idee vicendevolmente. “Ecco cosa vedo. Ecco come sto risolvendo il problema.” “Oh, è quello che vedi? Ecco come stai risolvendo quel problema.” Questa nostra capacità di continuare ad adottare standard più severi all'interno di AWS, ma anche nei confronti dei nostri clienti, è incredibilmente importante.

Clarke Rodgers (02:51):
E sei nella posizione di guadagnare più fiducia dicendo: “È così che ho risolto il problema nel ruolo precedente,” il che è fantastico.

Chris Betz (02:58):
Ci sono già passato.

Clarke Rodgers (02:59):
Esatto. In qualità di CISO, devi avere una profonda esperienza in materia di sicurezza, devi avere competenze aziendali e mettere tutto insieme, ma hai dei grandi team alle tue dipendenze, che devono effettivamente fornire sicurezza all'azienda, ai nostri clienti, eccetera. Quindi, con questo obiettivo, quali sono alcune delle sfide che vedi stanno affrontando oggi i leader della sicurezza?  

Chris Betz (03:21):
Gran parte di ciò è riconducibile al talento. I problemi che stiamo risolvendo in materia di sicurezza sono così multidimensionali, come sottolinei, che avere le persone giuste a disposizione è assolutamente essenziale per avere successo nella sicurezza. Per quanto mi riguarda, mi piace esserne circondato: infatti per tutte le aziende con le migliori prestazioni in cui sia mai stato, ci siamo circondati di persone che ci insegnano, ispirano e sfidano.

Perché questo è un campo in cui si impara sempre. Quindi abbiamo bisogno di persone che adottino standard più severi. Quando trovi questo tipo di persone, è così incredibilmente stimolante. Hanno trovato soluzioni per risolvere i problemi in modi inimmaginabili, per rendere l’attività più efficiente, per pensare a come rendere la sicurezza un’esigenza naturale per le persone. È incredibilmente importante. E quelle stesse persone, quando hai la giusta cultura, sono disposte a sfidarti. “Ci stai pensando nel modo giusto?” E questa sfida aiuta tutti a crescere, aiuta te a crescere, aiuta l'organizzazione a crescere, aiuta sempre te ad andare nella giusta direzione.

Gli individui che hanno esattamente la tua stessa formazione, che affrontano i problemi allo stesso modo, non sono le persone che ti insegneranno, ti sfideranno e ti ispireranno. Quindi, penso che una delle grandi sfide che continuiamo ad avere nel campo della sicurezza sia come ottenere quell'ampiezza di prospettive, di cultura, di esperienza, quella diversità negli approcci e di mentalità che ci aiutano davvero a essere quell'incredibile organizzazione che dovremmo essere? Per questo motivo trascorro molto tempo ad assicurarmi di avere le persone giuste, la giusta combinazione, perché senza tutto questo non possiamo risolvere il resto del problema.

Clarke Rodgers (05:10):
Forse, per chi proviene da percorsi professionali non tradizionali, non ha senso affermare: “Quello è un addetto alla sicurezza”. Bene, questo punto di vista potrebbe aiutarci con un certo aspetto della sicurezza, perché i nostri antagonisti sono sicuramente diversi.

Chris Betz (05:23):
Esatto. E intendo dire che è importante riconoscere che AWS è un'azienda globale. Gli antagonisti sono globali. Dobbiamo attingere a quel talento globale. Dobbiamo attingere a persone con formazioni diverse e coinvolgerle. Alcune delle persone più intelligenti che conosco nel campo della sicurezza hanno formazioni incredibilmente diverse. Hanno affinato la loro abilità in materia di sicurezza per anni e anni. Ma il modo in cui si riesce ad apportare la giusta combinazione di prospettive è davvero, davvero importante.

Clarke Rodgers (05:51):
Guardando agli ultimi due anni e facendo una proiezione, cosa ti entusiasma di più dal punto di vista della sicurezza? Potrebbe essere un programma, un processo, una tecnologia, qualunque sia. Quindi, su cosa stai concentrando i tuoi sforzi sulla base di ciò?

Chris Betz (06:08):
Se osservo il percorso intrapreso da Zero Trust: da una serie di prodotti pubblicizzati come soluzioni Zero Trust, a una serie di standard, a una serie di tecnologie davvero integrate; se osservo il modo in cui parte dell'esperienza utente è cambiata anche negli ultimi anni, le tecnologie passkey che, anche nel recente passato, Amazon.com e un sacco di altre società hanno introdotto, questo cambia radicalmente il modo in cui pensiamo a quell'esperienza utente senza soluzione di continuità, quella capacità di accedere alla tecnologia e farlo in un modo davvero, davvero ponderato e così...

Clarke Rodgers (06:50):
E rendere la sicurezza un percorso facile, giusto?

Chris Betz (06:52):
Rendere la sicurezza un percorso facile. Quindi, penso che i progressi che abbiamo fatto in quel mondo, allontanandoci dalle reti virtuali private (VPN) complicate, passando a un'analisi continua e approfondita di ciò che sta succedendo, siano incredibilmente importanti.

C'è così tanto fermento attorno all'IA generativa. Il campo dell'IA non è nuovo. Lo facciamo da decenni, ma la velocità del cambiamento nei campi del Machine Learning/dell’IA nell'ultimo anno, negli ultimi due anni, è semplicemente incredibile. Ciò offre un sacco di funzionalità davvero interessanti su come credo si debba fare sicurezza. Uno degli esempi che mi piace fare quando parlo con le persone è che in passato, quando si cercava di analizzare un dato per valutare se c’era un rischio per la sicurezza, era preferibile creare un foglio di calcolo di grandi dimensioni, cercarlo e lavorare con i dati nel modo in cui eravamo soliti fare, dato il tempo necessario per scrivere il codice per farlo...

Clarke Rodgers (07:53):
Ci voleva molto più tempo, sì.

Chris Betz (07:54):
- Si calcolava in ore e si potrebbe leggere la mano in un'ora o qualcosa del genere. Ora, con cose come CodeWhisperer e altre tecnologie, quel modello è capovolto. La capacità di descrivere un problema ben noto, “È vero, voglio analizzare questi dati per trovare queste cose”, diventa qualcosa che si può chiedere a un sistema di fare, ottenere una risposta in pochi secondi, implementarla, testarla e usarla in molto meno tempo di quanto si farebbe mai con un foglio di calcolo manuale. Ed è ripetibile, è testabile, è verificabile. Si riduce l'errore umano. Ci sono un sacco di vantaggi nel farlo in questo modo. Quindi, penso che cambierà anche il modo in cui funzionano le operazioni di sicurezza, non solo qui in AWS, ma in tutta l’industria. Penso pertanto che si tratti di una grande opportunità.

L'altro aspetto è che trascorro anche un sacco di tempo a imparare cosa può fare l'IA generativa, come proteggerla e come sfidarla. Stiamo spendendo un sacco di tempo e di energia per assicurarci di avere le basi giuste all'interno di AWS, di creare le giuste funzionalità. Mentre costruiamo soluzioni basate sull'IA generativa, per prima cosa, possiamo testarle a fondo...

Clarke Rodgers (09:14):
Su larga scala.

Chris Betz (09:15):
Sì, su larga scala in un modo all’avanguardia nel settore. E si possono anche prendere questi insegnamenti singolarmente e trasformarli in funzionalità da offrire ai nostri clienti, perché, usando l'IA generativa, abbiamo gli stessi problemi che hanno i clienti. E così, c'è questo incredibile ciclo di apprendimento rapido in cui si imparano cose nuove ogni giorno ed è divertente. È una sfida, perché anche chi ne è critico impara nuove cose ogni giorno.

Clarke Rodgers (09:41):
In effetti, lo fanno.

Chris Betz (09:42):
E si deve continuare a seguire questo ciclo davvero serrato per muoversi velocemente in questo spazio, ma è anche per questo che mi piace essere qui in AWS. Non ci si muove lentamente. Non ci si muove affatto lentamente. Quindi, penso che la grande forza di AWS si adatti perfettamente alla direzione che si deve prendere in questo campo.

Clarke Rodgers (10:01):
È un’ottima risposta. E i clienti si rivolgono tradizionalmente a noi per le loro esigenze tecnologiche, che si tratti di sicurezza o di risoluzione di problemi aziendali. Una cosa che potrebbe non essere così ovvia per i clienti è che, ovviamente, siamo un'azienda tecnologica, offriamo loro software e servizi, dedichiamo anche molto tempo a cercare di creare i loro programmi di sicurezza ed essere più efficaci. Uno dei programmi più popolari che abbiamo è AWS CISO Circles, come ben sai. Puoi parlarci un po' di loro, di come sono organizzati e quali vantaggi possono trarne i clienti?

Chris Betz (10:38):
Le conversazioni che sono state fatte in precedenza, sulle dimensioni ridotte della community della sicurezza e sull'imparare gli uni dagli altri, sono così importanti.

Secondo le regole di Chatham House, non si attribuisce la conversazione a nessuno. Ciò consente alle persone di avere conversazioni reali. La nostra capacità di imparare gli uni dagli altri, di sfidarci, di porre domande. “Ehi, come stai risolvendo questo problema?”, “Ehi, comincio a notare che gli aggressori fanno così... Anche tu noti questo problema?” Innova, pensa, impara dai migliori. Questo è l'ambiente a cui, penso, ci si interessi dei CISO Circles.

Quindi, riunire persone con punti in comune (regioni del mondo, punti in comune in termini di business e tecnologia, serie di problemi simili) riunirli con alcune delle persone più intelligenti che conosco all'interno e all’esterno di AWS, per avere quelle conversazioni è incredibilmente, incredibilmente importante. E questo è ciò che penso che si è davvero in grado di sfruttare con CISO Circles. E francamente, mi sono piaciuti quelli a cui ho aderito e non vedo l'ora di fare molto di più nel corso del prossimo anno.

Clarke Rodgers (12:08):
Sì, certo. Quando ero cliente, ricordo di aver imparato molto di più dai CISO di altri settori. Abbastanza sorprendentemente, nel settore assicurativo, c’è una certa propensione al rischio e si stanno facendo determinate cose; ho imparato così tanto dal settore dei media, dalla vendita al dettaglio e da quello bancario. È stato fantastico.

Chris Betz (12:16):
Ho notato esattamente la stessa cosa, ed è per questo che apprezzo la possibilità di riunire persone disparate per affrontare questi discorsi.

Clarke Rodgers (12:32):
Chris, grazie mille per essere stato qui con me oggi.

Chris Betz (12:34):
È stato fantastico. Grazie a voi per avermi invitato.