Il business della sicurezza

Clarke Rodgers (00:07):
Chris Betz, Chief Information Security Officer di AWS. Grazie per aver accettato il mio invito.

Chris Betz (00:11):
Sono contento di essere qui. Grazie. Ti ringrazio per l’invito.

Clarke Rodgers (00:13):
Dunque, in qualità di CISO di AWS, quali sono i fattori che hanno portato a passare da Capital One ad AWS? Grazie alla consolidata esperienza acquisita in qualità di dirigente, saresti potuto arrivare ovunque. Cosa ti ha portato ad AWS?

Chris Betz (00:25):
Nel corso dei diversi anni all’interno della Capital One, mi rendevo sempre più conto di quanto il nostro lavoro si basasse sulla sicurezza di AWS. Come sapete, Capital One ha puntato tutto sul cloud e ha chiuso tutti i data center. Quindi quel viaggio all’interno della Capital One, il lavoro nell’ambito della sicurezza per la Capital One con AWS, mi ha portato ad apprezzare realmente quanto la tecnologia da noi introdotta sia estremamente importante per quella fiducia, per sicurezza di così tante aziende.

E francamente, data l'opportunità di passare dal riporre la nostra fiducia in AWS al fatto di poter diventare parte integrante di quel sistema a cui così tante aziende e così tante persone in tutto il mondo si affidano per garantire la sicurezza...ragazzi, è davvero così entusiasmante. Apprezzo il modo in cui hai formulato la domanda affermando che sarei potuto arrivare ovunque. Non la penso esattamente così. Parliamo di uno di quei lavori che rappresenta l'apice assoluto della carriera nel settore della sicurezza, la possibilità di far parte del team di sicurezza di AWS.

Clarke Rodgers (01:31):
Fantastico. Quindi, ora che sei qui da un po', quali osservazioni faresti in merito a qualcosa che non era così chiaro quando eri solo un cliente? E ora che sei dall’altra parte e sei responsabile della sicurezza a questi livelli, cosa è cambiato per te? Da dipendente, cosa hai imparato adesso?

Chris Betz (01:49):
Un conto è ascoltare le conversazioni. Ho ascoltato più volte la storia di come la sicurezza sia al primo posto, la priorità massima in AWS. Ho sentito parlare della riunione settimanale sulla sicurezza. È una delle storie che il mio predecessore racconta più spesso: ogni settimana il CEO di AWS incontra tutti i leader di AWS e parla di alcuni dei principali aspetti della sicurezza su cui dobbiamo concentrarci, settori che dobbiamo migliorare.

Un conto è sentirne parlare. Un altro è viverlo, parlare realmente, accogliere le sfide poste dai partner commerciali, dai partner digitali che potrebbero essere riassunte dalle domande: “stiamo avanzando abbastanza velocemente? Stiamo alzando abbastanza l'asticella? Stiamo anticipando le minacce? Dove andremo a rilevare gli aggressori?” E che siano leader in termini di promozione della sicurezza nella stessa misura in cui lo siamo io e il mio team. E questa è solo un'esperienza divertente e in qualche modo unica.

Clarke Rodgers (02:55):
Fantastico. E poi ovviamente stai assimilando la cultura sulla sicurezza. Hai parlato del meccanismo della riunione tra CEO e CISO, ma si tratta di una realtà che abbraccia tutte le aree.

Chris Betz (03:05):
Proprio così. Mi occupo di sicurezza, quindi questo riguarda in qualche modo ogni conversazione in cui sono coinvolto, ma posso affermare quanto sia sorprendente partecipare a riunioni che non riguardano nemmeno argomenti sulla sicurezza. In qualità di leader senior, una delle cose che apprezzo di AWS è che la sicurezza è sempre presente in tutti i dibattiti, anche nelle riunioni non specifiche sul tema. Quello che voglio dire è che ho la possibilità di partecipare a quelle conversazioni, lasciare la parola ad altri e far sì che chiedano informazioni sulla sicurezza e pensino anch’essi ai modi per migliorarla. Proprio come hai detto tu, quella cultura è pervasiva ed è questo quello che conta davvero.

Clarke Rodgers (03:36):
Esatto. Quindi, cambiamo discorso indirizzandoci verso l'esecuzione di un programma di sicurezza. Quali sono alcuni indicatori o misure chiave che utilizzate per dimostrare l'efficacia del vostro programma di sicurezza? E la risposta potrebbe riguardare la tua esperienza qui in AWS o altre acquisite in precedenza.

Chris Betz (03:56):
È davvero un'ottima domanda. E spesso quando mi viene posta, le persone si aspettano che passi ad illustrare metriche o misurazioni o cose del genere. Ci sono sicuramente una serie di metriche e misurazioni che possiamo usare per descrivere cosa accade attualmente nel campo della sicurezza. Uno degli aspetti che considero davvero indicativi è il grado in cui le aziende e le organizzazioni nel settore tecnologico vedono la sicurezza come un elemento abilitante per la realizzazione dei loro progetti, e fino a che punto i programmi di sicurezza tengono conto del loro ruolo nel rendere la sicurezza la via più semplice sia per le aziende che per i provider del settore della tecnologia.

Quando questi due elementi si fondono, i provider aziendali e tecnologici ritengono che la sicurezza sia un fattore di grande supporto nonché una componente essenziale. Il team addetto alla sicurezza è portato a considerare il proprio ruolo non in un’ottica di eliminazione dei rischi o di non assunzione della responsabilità di questi, ma abbraccia una visione che consenta all'azienda di raggiungere i propri obiettivi aziendali in modo sicuro, ed è questo che fa la differenza all’interno dell’organizzazione. Quindi per me, quel tipo di chimica, quel tipo di atteggiamento, questi approcci sono gli indicatori più importanti per il successo di un'azienda per far sì che la sicurezza sia un fattore efficace e fondamentale del modo in cui opera.

Clarke Rodgers (05:21):
Prima hai citato il fatto che ora partecipi a riunioni in cui forse la sicurezza non è il focus, ma sei perlomeno sempre esposto a tali discussioni, il che è una dimostrazione di quanto sia importante la sicurezza e la volontà di avere un posto riservato al tavolo del dibattito.

Chris Betz (05:32):
Sì. E questo fa parte della sfida: sai, io e te siamo cresciuti in un mondo in cui la sicurezza è nata dalla tecnologia. Eppure in questi giorni chiediamo ai responsabili della sicurezza di essere leader aziendali, di sedere al fianco dell'azienda e di partecipare a quelle conversazioni. Gli chiediamo inoltre, di capire il significato del rischio per l'azienda, quali sono tutte le tipologie alle quali è esposta e in che modo le aziende contribuiscono a garantire la sicurezza delle persone, gestendo anche gli altri rischi e al contempo il successo aziendale. Quindi, penso che rappresenti qualcosa che è sempre più importante per tanti leader operanti nell’ambito della sicurezza.

Clarke Rodgers (06:07):
E questo è un ottimo punto di partenza per la mia prossima domanda. Quando parlo con molti dei miei clienti - e credo che la stessa domanda sia posta spesso anche a te - mi chiedono come procedere a una segnalazione dei rischi al consiglio di amministrazione nel modo più efficace. Hai suggerimenti o indicazioni su come farlo o sulle considerazioni da fare al momento della segnalazione del rischio informatico al consiglio?

Chris Betz (06:30):
Questa è un'ottima domanda e, onestamente, non ho mai visto due aziende procedere nello stesso modo. Ciò è dovuto in parte al fatto che è importante parlare del rischio nel contesto aziendale. Quando si parla con il consiglio, è estremamente importante capire chi si ha di fronte, con che tipo di leader si ha a che fare, in quali aree si concentrano le loro competenze.

Quando parlo con un consiglio di amministrazione di AWS, sono circondato da membri del consiglio che sono eccezionali esperti in molti campi della tecnologia e in altri campi del business. Quindi, le conversazioni in cui sono impegnato sono molto variegate rispetto a quelle che posso avere un consiglio di amministrazione in cui trovo esperti in un particolare tipo di attività, nella vendita al dettaglio o in qualcos'altro: quegli esperti hanno un approccio diverso, una conoscenza diversa.

E una delle cose più importanti, e questo risale a quella conversazione che abbiamo appena avuto sulle qualità che un CISO deve possedere in quanto leader aziendale. Si tratta di comprendere la sicurezza nel contesto aziendale.

Clarke Rodgers (07:32):
E segnalandolo in questo modo.

Chris Betz (07:33):
E di riferire in questo modo in termini di impatto sull’azienda. Come leader della sicurezza facciamo molte cose, ma tendo personalmente a catalogarle in quattro grandi categorie. È nostro compito, insieme all'azienda, stabilire l'asticella di ciò che riteniamo buono per la nostra attività. Qual è la nostra tolleranza al rischio? Cosa vogliamo ottenere? È il mio lavoro, il nostro lavoro di leader della sicurezza, essere fonte di verità e trasparenza. “Ecco come ci comportiamo oggi.” Ed è qui che arriviamo a quelle conversazioni sulle metriche.

Clarke Rodgers (08:08):
Noi guadagniamo la fiducia dei clienti, ma tu devi guadagnarti la fiducia dei tuoi partner commerciali.

Chris Betz (08:11):
Dobbiamo guadagnarci la fiducia dell'azienda. Il che mi porta al terzo punto, che è quasi più importante, e riguarda il fatto che non possiamo essere solo quella fonte di trasparenza. Non possiamo semplicemente stare ad indicare un problema. In qualità di leader della sicurezza, dobbiamo essere fornitori di soluzioni per consentire all'azienda di essere efficace ed efficiente nel ridurre tali rischi per la sicurezza, quindi è nostro compito offrire soluzioni, pensare al modo in cui farlo.

E poi l'ultima, la quarta categoria: è anche compito nostro essere fonte di responsabilità, garantire la sicurezza, essere trasparenti nei confronti del consiglio di amministrazione, ritenere l'azienda responsabile del modo in cui stiamo rispettando le asticelle che abbiamo fissato. Quindi, abbiamo così tanti ruoli diversi, ma le aziende che ritengo abbiano più successo in questo spazio, i leader della sicurezza, non si limitano a dire: “Ecco l'obiettivo da raggiungere ed ecco quanto ci stiamo avvicinando”, ma si concentrano sul consentire all'azienda di raggiungerlo in modi molto molto ponderati.

Clarke Rodgers (09:13):
Chris, grazie mille per essere stato qui con me oggi.

Chris Betz (09:15):
È stato fantastico. Grazie a voi per avermi invitato.