Ripensare le operazioni di sicurezza e conformità in AWS

Clarke (00:05):
Chad, grazie mille per essere qui con me oggi.

Chad: (00:07)
Sono contento di essere qui.

Clarke: (00:09)
Ti va di condividere con noi un po' del tuo background e parlarci di cosa ti ha portato ad AWS?

Chad: (00:13)
Certamente. Lavoro con AWS da circa 11 anni, mi occupo di sicurezza e conformità da quando ho iniziato nel 2010. Vengo da EY, dove abbiamo svolto numerose consulenze sulla sicurezza e sulla continuità aziendale. Quel background è stato davvero utile per il mio lavoro attuale, ovvero sicurezza e conformità per AWS.

Clarke: (00:43)
Quindi, in qualità di responsabile della sicurezza di AWS, quali sono le tue responsabilità principali?

Chad: (00:50)
Beh, il nostro obiettivo e la nostra missione principali sono aiutare i nostri clienti a trasferire dati regolamentati e molto sensibili nel cloud e da questo derivano molte altre cose. Devi essere in grado di dimostrare internamente che il tuo ambiente è sicuro. Devi anche controllare AWS, assicurarti che il tuo fornitore, AWS, sia sicuro. Ed è qui che entriamo in gioco, dimostrando attraverso verifiche, certificazioni e altri metodi di controllo diretti che le cose che facciamo in background, tutto quello che i clienti non vedono, sono sicure e conformi a tutti i diversi tipi di regolamenti e standard di certificazione a cui aderiamo.

Clarke: (01:34)
Quindi avete team interni, team di conformità interni che si assicurano che i servizi AWS soddisfino un determinato livello. Immagino che lavoriate anche con auditor esterni e regolatori di terze parti, vero?

Chad: (01:47)
Certamente. Certamente. La maggior parte del nostro lavoro si basa sul coinvolgimento di auditor esterni, autorità di regolamentazione, esaminatori di normative e clienti che eseguono a loro volta verifiche su AWS, svolgendo la propria due diligence su di noi.

Clarke (02:03):
Nel mondo della sicurezza, da una prospettiva più ampia, è molto difficile trovare persone di talento, assumerle, formarle e poi tenerle. Immagino sia lo stesso nel caso dei professionisti della garanzia qualità e conformità.

Chad: (02:18)
È proprio così. Sì.

Clarke: (02:20)
Ci puoi parlare un po' di come avviene l'inserimento di un nuovo assunto, e poi di come fai in modo che il team resti coinvolto e di come rendi la garanzia della qualità un settore in cui le persone vogliono lavorare?

Chad: (02:33)
Certamente. Faccio un attimo un piccolo passo indietro per dire che la parte difficile di assumere tecnici della sicurezza davvero bravi è che siamo in competizione con alcuni servizi che si affacciano esternamente davvero di altissimo livello. E tutti quanti cerchiamo di assumere le stesse persone, ad esempio sviluppatori e progettisti di sistema o simili. Dobbiamo competere.

Chad: (03:00)
E molte volte, nel nostro mondo, quando hai fatto davvero un buon lavoro, non succede niente, giusto? Ad esempio non ci sono violazioni, nessuna escalation... semplicemente non succede niente. Ma quando fai qualcosa di veramente buono nei tuoi servizi, qualcosa succede. Viene rilasciato un prodotto, sono tutti entusiasti, ci sono guadagni, i clienti sono coinvolti... In un certo senso, siamo in competizione con tutto questo, ma quello che abbiamo, quello che i professionisti della sicurezza hanno, è un aspetto che li rende davvero bravi, come le aziende... Non cittadini d'impresa... È come contribuire in maniera positiva al benessere generale della sicurezza dell'intero settore.

Chad: (03:49)
Perciò c'è un aspetto di ciò che facciamo qui, stiamo sviluppando processi interni che esternalizziamo, servizi interni che esternalizziamo, aiutando tutta la nostra base clienti ad affrontare meglio sicurezza e conformità. Perciò c’è questo aspetto. E le persone che prendono davvero a cuore tutto questo lavorano molto bene nel nostro team e adorano lavorare nel settore della conformità. Certamente. Nessuno, all'università, pensa “voglio fare l’auditor”. “Voglio essere un ingegnere della conformità”. Nessuno dice cose del genere, ma quando arrivano nel nostro team e capiscono meglio cosa stiamo facendo e in che modo aiutiamo i clienti, vedono che si tratta di un'offerta di valore per tutta la nostra base di clienti, e non solo per quelli che usano dei servizi particolari. Quindi c'è questo aspetto, che rappresenta qualcosa che cerchiamo di sviluppare.

Chad: (04:40)
Perciò, quando assumiamo qualcuno, spesso non assumiamo persone con background nella conformità tradizionali, forse per via di quella tradizionale avversione che hanno con i team di servizio o con gli sviluppatori. È una cosa che non vogliamo. Vogliamo starne alla lontana. Quindi, non c'è poi così tanta gente... C'è qualcuno, tra cui gente molto motivata a fare le cose per bene e crescere, ma tradizionalmente il loro background non è molto tecnico. Per questo non sono proprio i più adatti alla nostra organizzazione.

Chad: (05:21)
Ma quando troviamo le persone che hanno questo profilo... Per fare le cose bene, hanno solo bisogno dei due principi della leadership di Amazon. Il primo è impara e sii curioso. Devono avere delle caratteristiche: essere curiosi e sapersi inserire nel flusso di lavoro degli sviluppatori, per capire quali strumenti stanno usando. Come ho già detto, capire come fanno il loro lavoro. E ciò richiede molta curiosità tecnica per poterlo fare al meglio.

Chad: (05:54)
Il secondo principio della leadership di cui hanno bisogno è inventare e semplificare, perché stiamo facendo cose e inventando maniere per occuparci della conformità a cui nessuno ha mai pensato prima. E lo so, perché lo chiediamo ai nostri colleghi, ai forum, alle conferenze e così via, che nessuno sta affrontando questi aspetti nelle dimensioni in cui li stiamo affrontando noi. Quindi dobbiamo inventare le nostre soluzioni, i nostri strumenti e servizi per gli sviluppatori. Direi che questi sono i due principi della leadership di cui abbiamo davvero bisogno.

Chad: (06:29)
Quando assumiamo nuove persone, le cerchiamo dovunque. Uno dei miei migliori collaboratori è un ingegnere elettrico. Ha una laurea in ingegneria elettrica e ha svolto vari lavori in quel settore. Si è unito a noi perché era molto, molto curioso di quello che stavamo facendo e ne riusciva a vedere la proposta di valore. Ed è stato davvero uno dei nostri uomini migliori. Questo è proprio il tipo di cose che ci piacciono.

Chad: (06:57)
Ci piace avere un po' di varietà nel background accademico e aziendale. Voglio dire, da questo punto di vista abbiamo un team molto, molto variegato, i loro background, il loro modo di pensare, da dove provengono, è tutto molto, molto diversificato. E ciò rappresenta un vantaggio per l'organizzazione, perché ci permette di pensare fuori dagli schemi. Possiamo pensare a modi per crescere. Più coinvolgo il mio team, più loro si sentono parte anche di questo aspetto, in cui si stanno occupando di aspetti essenziali per il settore e scalando a ritmi senza precedenti varie attività o processi... è una cosa emozionante. Ci emozioniamo tutti. Io mi emoziono perché ciò che stiamo facendo è spianare la strada, esercitando una vera e propria leadership di pensiero in questo campo.

Chad: (07:45)
E l'altro aspetto entusiasmante è che tutto ciò vale anche per molti nostri clienti. Quello che stiamo facendo può offrire più vantaggi ai clienti di quanto spesso si pensi. E stiamo davvero cercando non solo di sviluppare questi processi, strumenti e abilitatori, ma stiamo anche provando a esternalizzarli attraverso i nostri altri servizi, in modo da aiutare i nostri clienti a sfruttare le lezioni che abbiamo imparato.

Clarke: (08:14)
Allora, Chad, gli ultimi 18, 24 mesi sono stati difficili per tutti per via della pandemia, con le persone che dovevano lavorare a distanza dalle loro case o dai bar, eccetera. In che modo il lavoro da remoto ha influenzato il tuo team e la sua abilità di svolgere le proprie mansioni quotidiane, in aggiunta alle funzionalità e i servizi che il tuo team offre per aiutare i vari team di sviluppo?

Chad: (08:35)
Ci sono alcuni aspetti degli audit, tradizionalmente, che non hanno molto senso, come ad esempio visitare un data center. Per molti versi, gli auditor vogliono visitare un data center principalmente perché così possono spuntare la casella che indica che l'hanno fatto. Oppure, vogliono un incontro di persona per spuntare la casella, quando in effetti possono ottenere le informazioni di cui hanno bisogno in altri modi. Per le ispezioni ai nostri data center, questi sono talmente attrezzati che possiamo raccogliere qualsiasi dato di cui si abbia bisogno, incluse le riprese delle telecamere, a distanza. Per quale motivo è necessario andare in un data center? Infatti, andare in un data center non aiuta a svolgere il proprio compito.

Chad: (09:12)
E quindi prima della pandemia, avevamo tutta questa serie di interazioni che non erano veramente necessarie e ci toglievano molto tempo, specialmente per viaggiare, dato che i data center sono sparsi in tutto il mondo. Come quando dobbiamo coordinare una ispezione al data center di Singapore. Beh, si tratta di una cosa che porta via tutta una settimana per l'intero gruppo, sia per gli auditor che per noi.

Chad: (09:40)
Poi è arrivata la pandemia, e non abbiamo potuto fare più niente di tutto questo. All'inizio, era davvero difficile per gli auditor dire, “ok, non verrò al data center”. Ma quello che abbiamo fatto è stato davvero lavorare con loro e dire “sapete quando vi abbiamo detto che eravamo molto attrezzati?” Sì. Beh, lasciate che vi mostri come potete portare a termine tutte le procedure che normalmente fareste di persona via remoto mediante una sala di lettura virtuale, potendo consultare documenti e fare videoconferenze per i colloqui. Lo stesso vale per il campionamento: non c'è bisogno della vostra presenza perché noi scarichiamo la tabella del sistema che descrive qualcosa che volete revisionare. Possiamo fornirvela noi in questo modo sicuro, mostrando la catena di custodia, come l'abbiamo scaricata e così via.

Chad: (10:31)
Siccome siamo stati tutti forzati a lavorare così, tutti i nostri audit sono diventati molto più efficienti. Siamo stati in grado di velocizzare gli audit. Siamo stati in grado non solo di portarli a termine più alla svelta e in modo più efficiente, ma siamo anche riusciti a fare molte altre cose in parallelo quando solitamente le avremmo dovute fare “a puntate” perché dovevamo viaggiare in continuazione. Ci sono molti vantaggi per gli audit.

Chad: (10:56)
Inoltre, siamo stati in grado davvero di ripensare a cosa è necessario per fare in modo che le dichiarazioni di controllo o i processi di controllo vengano convalidati. In molti modi, la pandemia ci ha consentito di, forse costretto a, fare un passo indietro, e ha costretto anche gli auditor a fare un passo indietro e a ripensare al modo in cui ottenere garanzie nel nostro ambiente.

Chad (11:26):
Ci siamo presi del tempo per costruire altri strumenti. Come ho detto, abbiamo diversi modi per condurre un'ispezione del data center. Adesso abbiamo una visita di ispezione del data center virtuale. E poi, ho già citato il Simposio dell'Audit Digitale, che invece di riunire tutti quanti in una stanza per le comunicazioni, ora ci dà un luogo virtuale per fare tutto tramite video e cose simili, il che permette agli auditor di richiedere informazioni quando occorre e in base al loro fuso orario, senza il bisogno da parte nostra di coinvolgere i leader dei team di servizio e i GM per presentare ai clienti sempre, in pratica, le stesse informazioni ogni volta. Tutto ciò ha reso gli audit, le altre interazioni e i nostri eventi di formazione molto più efficienti.

Clarke: (12:17)
Sembra quasi che stia parlando di un auditing come servizio?

Chad: (12:21)
Auditing come servizio, oppure semplicemente potersi concentrare su ciò che conta davvero. E, forse, i modi tradizionali che abbiamo usato per 20 anni, sono davvero necessari? Alcuni di loro no. Perciò, siamo in grado di fare la cosa giusta e svolgere le procedure corrette e valutare i controlli più appropriati.

Clarke: (12:44)
Grandioso. Ora concentriamoci un secondo sulla prospettiva del cliente. Mettiamo che io sia un cliente che deve iniziare un programma di garanzia della sicurezza. Ovviamente il primo giorno non comincerò allo stesso livello e scala di AWS, ma come fa un cliente a ottenere supporto per i propri programmi interni di garanzia della sicurezza? Sai, hai parlato di avere team di sviluppo. Questa non è una “operazione standard” riscontrabile con nessuno dei nostri clienti. Alcuni dei nostri maggiori clienti stanno iniziando a pensare in questo modo. Ma come può un cliente gettare le basi con la propria leadership senior e dire “questo è un aspetto importante e questi sono gli investimenti che dovremmo fare”?

Chad: (13:24)
Ottima domanda, e io credo che sia diverso per i vari clienti. La maggior parte dei clienti ha delle situazioni uniche, che rendono la proposta di valore nel campo della sicurezza e della conformità differente.

Chad: (13:38)
E, in generale, ovviamente la sicurezza è importante e la conformità è assolutamente essenziale sotto molti punti di vista. Perciò, hai bisogno di costruire un programma. Tutti hanno bisogno di un programma di sicurezza. Tutti hanno bisogno di un programma di conformità, che si tratti di conformità relativa alla sicurezza, legale e così via, devi conformarti alle leggi se vuoi continuare a restare in attività, giusto?

Chad: (14:05)
Ma direi che forse l'aspetto numero uno... Per prima cosa, c’è da vendere alla leadership il valore di un programma di sicurezza e conformità, e credo che questa dovrebbe essere una decisione a livello aziendale, no? Non è necessariamente, ad esempio, il dovere di una singola persona, né il suo lavoro dovrebbe essere quello di provare a convincere un'intera leadership dell'importanza di avere sicurezza. Prendere la sicurezza sul serio dovrebbe essere una decisione presa a livello di CEO.

Chad: (14:46)
Quindi, una volta presa questa decisione, e una volta capito il valore di ciò in cui si vuole investire, come si fa nel concreto? Credo che si tratti, come dicevamo prima, di capire i veri processi, nel nostro caso, degli sviluppatori. Si tratta probabilmente della cosa su cui davvero doversi concentrare. Molta gente inizia dicendo “ok, quali quadri di controllo abbiamo?” “Quali sono i controlli a cui dobbiamo conformarci? Documentiamo questi controlli per primi, e poi andiamo dall'azienda e gli diciamo che deve fare queste cose o raggiungere questi obiettivi”.

Chad: (15:25)
Se invece ci si addentra in profondità nei meccanismi di funzionamento delle aziende, a prescindere dal settore... Nel nostro caso, si tratta di un gruppo di sviluppatori, giusto? Come lavorano, come svolgono le loro attività, quali strumenti usano, tutte queste cose sono estremamente importanti perché dobbiamo capirle in maniera intima prima di poter introdurre qualcosa di nuovo. Molte volte non c'è bisogno di introdurre nulla di nuovo al modo in cui viene svolto un lavoro. Oppure, facciamo qualcosa interpretando i quadri di controllo per farli funzionare. Perciò, a prescindere dal settore, l’attività più importante consiste nell'unione di ciò che si fa nel concreto e del modo in cui si fa con ciò che viene richiesto, e che tipo di interpretazione è necessaria per la propria organizzazione.

Chad: (16:24)
Forse è la prima cosa da fare per cominciare una grande partnership tra team di conformità, team di sicurezza e impresa. Molte volte, ciò succede al contrario. E credo che questa sia stata la chiave del nostro successo, non solo all'inizio, ma anche più avanti nel nostro percorso. L'unica ragione per cui continuiamo ad avere successo è che abbiamo una conoscenza molto intima del modo in cui gli sviluppatori di AWS progettano, sviluppano, implementano e mantengono i software, e tutto il resto è basato su questo aspetto.

Clarke: (16:59)
Chad, grazie mille per essere qui con me oggi.

Chad: (17:01)
È stato molto bello essere qui. Grazie, Clarke.