La leadership incentrata sulla sicurezza

Clarke Rodgers (00:10):
Durante le riunioni private con i CEO dei nostri clienti, che di fatto sono tuoi colleghi, quali sono le domande che ti vengono poste più spesso? Quali sono le tematiche relative alla sicurezza, alla privacy, alla conformità e al quadro normativo che più frequentemente vengono toccate? Potresti fornirci qualche dettaglio in merito?

Adam Selipsky (00:28):
Sono conversazioni di enorme rilevanza, a cui numerosi amministratori delegati attribuiscono grande importanza, e le tematiche affrontate trovano eco in molti di loro, come è giusto che sia. Direi che ci sono alcuni temi particolarmente caldi, uno dei quali, naturalmente, è l'IA generativa, che occupa i pensieri di tutti. Riceviamo numerose domande su come affrontare la sicurezza nel contesto dell'IA generativa, sulla rapidità dei cambiamenti in atto, sui tipi di applicazioni o tecnologie da adottare e su come garantire la loro sicurezza, nonché sul modo di assicurare la sicurezza all'interno di un'azienda. E la prima parte della risposta è:

Si è verificata una sorta di scissione: da un lato si discuteva di sicurezza aziendale per ogni sorta di servizio, e poi, quasi all'improvviso, l'attenzione si è spostata sull'IA generativa. Mi ha colpito particolarmente il fatto che alcuni dei primi chatbot e assistenti virtuali basati sull'IA generativa e destinati al consumo di massa venissero rilasciati senza adeguati modelli di sicurezza incorporati. I dati si sono diffusi su Internet e ogni miglioramento apportato ai modelli è stato immediatamente condiviso da tutti coloro che li utilizzavano. Ecco perché così tanti CIO, CISO e CEO hanno letteralmente bandito alcuni di questi assistenti dalla propria azienda per un lungo periodo di tempo.

È sorprendente perché se mi rivolgessi a CEO, CIO o CISO attenti alla sicurezza dicendo: "Ehi, ho un nuovo servizio di database che è davvero incredibile. Non ha eguali. Ti piacerà moltissimo. Penso davvero che dovresti adottarlo. A proposito, non è dotato di un modello di sicurezza integrato, ma non ti preoccupare, perché con l'introduzione della versione 2 diventerà sicuro”. Mi prenderebbero per uno scellerato!

Clarke Rodgers (02:20):
Certo.

Adam Selipsky (02:21)
Almeno lo spero, perché me lo meriterei. Quindi, penso che in questo ambito, per motivi a me ignoti, alcune aziende stiano adottando un approccio diverso alla sicurezza e in qualche modo la considerino meno importante. Al contrario, la nostra coerenza qui è palpabile. I nostri servizi di IA generativa, come Amazon Bedrock, un servizio gestito per lavorare con i modelli di fondazione, mantengono lo stesso livello di sicurezza di qualsiasi altro servizio offerto da AWS, né più né meno.

Dunque, questa è la prima riflessione sull'IA generativa. Poi si affrontano altri aspetti; una domanda frequente ad esempio è: "Come posso instaurare una cultura della sicurezza all'interno della mia azienda?" E qui ritengo che si debba tornare al discorso della cultura aziendale. Bisogna riprendere alcuni dei concetti che abbiamo esplorato oggi riguardo la leadership top-down e l'importanza dei segnali inviati dai vertici aziendali in merito alla loro rilevanza. Gli standard sono fissati a livelli straordinariamente elevati. Spesso raccomando ai miei colleghi di mantenere fermamente gli standard di sicurezza più alti possibili, poiché è fondamentale che le persone si rendano conto di quanto sono elevati e la nostra totale intolleranza verso tutto ciò che non li rispetti.

Clarke Rodgers (03:30):
Che consiglio daresti ai tuoi colleghi CEO, che magari non sono così attenti ai rischi di sicurezza e ai problemi di conformità all'interno della loro organizzazione, per renderli più prudenti?

Adam Selipsky (03:43)
Credo che il primo passo sia comprendere quanto sia fondamentale la sicurezza per la propria azienda e in che modo essa rivesta importanza all'interno dell'organizzazione. Penso sia semplice affermare: "La sicurezza è fondamentale, dovrebbe essere la priorità per tutti". E, come ho già detto in precedenza, per AWS lo è davvero; questa affermazione riflette chi siamo, il nostro tipo di business e il livello di fiducia che i nostri clienti ripongono in noi per i loro carichi di lavoro critici. Tuttavia, ogni ramo di attività di ciascuna azienda presenta una serie di sfide e opportunità specifiche in termini di sicurezza.

Pertanto, il mio consiglio è stabilire attentamente quali sono le aree del business per le quali la sicurezza ha l'importanza maggiore. Questo facilita la decisione su dove investire. Partire dall'idea che sia necessario destinare un'enorme quantità di risorse alla sicurezza, a prescindere dal fatto che un'azienda produca macchinari agricoli, gestisca un grande sito di social media o sia una startup nel campo dei dati, può risultare abbastanza scoraggiante.

Clarke Rodgers (04:44):
Capisco.

Adam Selipsky (04:45)
Inoltre, penso che le priorità in termini di sicurezza saranno diverse. Ognuna di queste aziende avrà le proprie necessità specifiche in termini di sicurezza, ma in ogni caso la sicurezza rivestirà un ruolo importante. Ma incoraggio davvero le persone a capire più a fondo quali siano le vere priorità. Questo approccio solitamente facilita l'investimento, perché si parte dicendo: "Bene, comincerò destinando maggiori risorse in quest'area e successivamente stabiliremo su quali altri aspetti concentrarci per i prossimi investimenti". Quindi, questo è probabilmente il primo consiglio che do alle persone.

Clarke Rodgers (05:14):
Quindi, quali suggerimenti offriresti ai CISO che intendono comunicare l'importanza della sicurezza e della conformità in maniera efficace al CEO e al consiglio di amministrazione, tra gli altri?

Adam Selipsky (05:26)
Ti dirò i consigli che solitamente do al mio CISO e le richieste che ricevo a mia volta;
probabilmente, è molto simile a ciò che funziona anche per gli altri CISO, vale a dire mettere il cliente al primo posto, renderlo il protagonista del proprio lavoro, della propria attività e della consulenza che si sta fornendo. Il compito del CISO è consentire all'azienda di compiere tutti gli sforzi necessari e desiderati per soddisfare i clienti e fornire loro valore in modo sicuro.

Ritengo che questo contribuisca a ottenere una credibilità notevole perché fa percepire il CISO come un partner commerciale affidabile, che stimola e favorisce lo sviluppo dell'attività, anziché essere visto come la persona dalla quale ottenere semplicemente un timbro di approvazione.

Al contempo, penso che cambi totalmente il rapporto e aiuti anche a dare priorità alle risorse. Mettendosi nei panni del cliente, ritengo che sia possibile capire davvero a quali rischi lo esponiamo se compiamo una determinata azione. Oppure, compiendo un'altra azione, quale opportunità e soluzione di sicurezza stiamo realmente offrendo. Credo sia l'approccio migliore.

Inoltre, ritengo che il CISO conquisti un'enorme credibilità quando afferma: "Devo segnalare un problema, tirare la cosiddetta corda di Andon. Non possiamo lasciare le cose così. Dobbiamo apportare qualche aggiustamento prima di andare avanti". E se è un'occasione rara, e sei intelligente, la prenderai molto, molto sul serio.

Clarke Rodgers (07:06)
È un consiglio fantastico. Adam, ti ringrazio infinitamente per esserti ritagliato parte del tuo prezioso tempo per il nostro incontro odierno.

Adam Selipsky (07:10)
È stato un piacere. Grazie!