Il ruolo del CEO nella leadership in materia di sicurezza

Clarke Rodgers (00:05):
La leadership in materia di sicurezza deve partire dai vertici aziendali. Quando la dirigenza si riunisce per discutere della strategia aziendale, la sicurezza non deve solo essere un argomento di discussione, ma la priorità principale di ciascuno.

Sono Clarke Rodgers, Direttore di Enterprise Strategy di AWS, e vi guiderò in una serie di conversazioni con i leader AWS che si occupano di sicurezza qui su Executive Insights.

Il mio ospite di oggi non ha bisogno di presentazioni: Adam Selipsky, CEO di AWS. Segui la nostra conversazione sulla cultura della sicurezza, su come è stata introdotta per la prima volta in AWS, sul tipo di comunicazione tra CEO e CISO e su come Adam sostiene le iniziative per la sicurezza partendo dall'alto. Grazie per essere qui con noi.

Clarke Rodgers (00:46):
Adam Selipsky, CEO di Amazon Web Services. Grazie mille per essere qui con me oggi.

Adam Selipsky (00:50):
È un piacere.

Clarke Rodgers(00:51):
Iniziamo facendo un passo indietro nella storia. È il 2005. Hai avuto l’approvazione di Jeff Bezos per proseguire questo piccolo esperimento chiamato “AWS”. Come hai affrontato le primissime questioni sulla sicurezza con i clienti di allora? Immagino ci siano stati molti clienti che si domandavano: “Cos'è il cloud?” “Che cos'è l’elaborazione distribuita?” Forse non lo sapevano nemmeno, ma quali erano, se c'erano, le questioni sulla sicurezza in quel momento?

Adam Selipsky (01:22)
È stato un concetto davvero innovativo e, ammettiamolo, per molte persone trasferire i propri carichi di lavoro e farli eseguire “da qualche parte là fuori” non era un concetto così intuitivo. È proprio per questo che si chiama cloud, perché è da qualche parte là fuori. Quindi, è comprensibile che sia stato necessario istruire i clienti, ma una volta spiegati alcuni dei principi fondamentali, il più importante dei quali era che Amazon aveva dovuto ottenere buoni risultati perché non esisteva nulla come AWS, il concetto ha iniziato ad avere più senso.

Clarke Rodgers (01:49):
Sì, certo.

Adam Selipsky (01:50):
Quindi, Amazon doveva dimostrarsi davvero in grado di gestire un'infrastruttura altamente scalabile, disponibile, conveniente e ovviamente funzionale e sicura dal punto di vista operativo. Abbiamo quindi costruito AWS sulle competenze esistenti all'interno di Amazon, che già allora operava a livelli che, francamente, non molte aziende riuscivano a raggiungere. Una delle principali premesse era l’eliminazione di un'enorme quantità di attività generiche onerose. A volte le chiamavamo la “sporcizia” dell'infrastruttura. E la maggior parte delle aziende non sapeva come occuparsi di quell'infrastruttura.

Chi vende automobili, trasmette film in streaming, sviluppa nuovi farmaci, perché dovrebbe sapere come gestire infrastrutture enormi, mantenerle disponibili, sicure e a basso costo, svilupparle e renderle innovative? Era proprio questo il compito di AWS.

Clarke Rodgers (02:50):
Esattamente.

Adam Selipsky (02:51):
Per questo motivo dovevamo essere davvero bravi a fare tutto questo. Uno degli elementi principali di questo lavoro era spiegare il nostro approccio alla sicurezza: in AWS, la sicurezza ha la priorità assoluta.

Sono sempre molto chiaro al riguardo perché per noi la sicurezza è più importante di qualsiasi altra cosa. In effetti, siamo stati molto chiari sin dall'inizio. Ritenevamo ci fossero pochissimi potenziali motivi di insuccesso per AWS, ma un'errata gestione della sicurezza era uno di quei pochi fattori che potevano causare l'insuccesso dell'azienda, soprattutto nei primi giorni. Pertanto abbiamo trattato la questione sicurezza con estrema serietà.

Clarke Rodgers (03:44):
Ciò ha determinato comportamenti specifici da parte dei team di prodotto durante lo sviluppo di nuovi servizi come SQS, S3 ed EC2?

Adam Selipsky (03:54):
Il modo in cui ci siamo effettivamente assicurati di avere la massima sicurezza possibile è attraverso un modello di responsabilità molto ben definito. Immagino che si possa definire una matrice. Abbiamo un team che si occupa di sicurezza su vasta scala, altamente qualificato, competente e composto da eccellenze. Migliaia di persone che si occupano solo di sicurezza. Per molte aziende, un tale impegno non sarebbe sensato sotto il profilo economico.

Il nostro team di sicurezza, il team centralizzato di AWS Security, sviluppa diverse capacità tecniche e dispone di molti esperti che aiutano a controllare, consigliare e orientare la strategia. Allo stesso tempo, i nostri team di servizi, EC2, S3, DynamoDB, Connect, Amazon Bedrock, e ogni altro team, sono tutti proprietari al 100% della loro sicurezza. Non viene esternalizzata al team di sicurezza.

Quindi, se c'è un problema con uno dei nostri servizi, il GM di quel servizio è pienamente coinvolto, si sente responsabile a pieno titolo e, naturalmente, ha la completa collaborazione del nostro team di sicurezza. E penso che integrare questo concetto di sicurezza nella cultura del nostro team di servizi garantisca che venga poi trasferita effettivamente nei nostri servizi. È di fondamentale importanza. Integriamo la sicurezza nei nostri servizi sin dal primo giorno, non interveniamo a posteriori. Naturalmente, miglioriamo costantemente la sicurezza, garantendo una sicurezza di livello aziendale e concreta in tutto ciò che facciamo, in ogni servizio, sin dalle prime fasi dello sviluppo.

Clarke Rodgers (05:43):
È estremamente sensato, perché il proprietario del servizio conosce da vicino il servizio che sta sviluppando. Quindi sa quali rischi bisogna affrontare con quel particolare.

Adam Selipsky (05:52):
Eventuali problemi di sicurezza non vengono presentati da un team di sicurezza centrale. Verrebbero introdotti involontariamente dal tuo stesso team. Quindi è meglio che sia il tuo team a individuarli e risolverli per primo. Abbiamo così adottato un approccio improntato alla massima cautela, grazie a una serie di competenze molto valide da parte del nostro team di sicurezza.

Clarke Rodgers (06:09):
Certamente. Sono passati 17 anni e mezzo dal lancio iniziale. In che modo la sicurezza - e quando dico sicurezza intendo anche parlare di rischi e conformità - si è evoluta nelle vostre interazioni con i clienti?

Adam Selipsky (06:26):
Penso che i discorsi sulla sicurezza siano iniziati con la domanda “Può essere davvero sicuro?” E ovviamente ne abbiamo discusso. L'abbiamo superato in fretta e credo che ci sia stato un momento determinante quando Netflix, che tra l'altro ha dimostrato notevoli capacità, è in grado di sviluppare queste funzionalità, ma ha scelto di non farlo. Ha annunciato che avrebbe abbandonato il business dei data center e avrebbe affidato tutta la propria infrastruttura ad AWS, il che implicava tutti gli aspetti legati alla sicurezza e alla disponibilità. Penso che in molti ne abbiano preso atto. E questo ha cambiato il tenore delle conversazioni.

Diverse agenzie governative, tra cui membri di spicco dei servizi di intelligence del governo degli Stati Uniti, hanno dichiarato pubblicamente che AWS offriva una sicurezza migliore rispetto ai propri data center. E ancora una volta, in molti ne hanno tenuto conto, comprese grandi imprese, banche, aziende farmaceutiche e altri. Quindi, con clienti così importanti che dichiaravano: “Questo è un ottimo modello di sicurezza, affideremo ad AWS queste funzioni”, molte altre aziende ci hanno notato.

Clarke Rodgers (07:35):
L'anno scorso, nella seconda stagione della serie, ho avuto il privilegio di intervistare il CISO di AWS e stavamo parlando di meccanismi di sicurezza, di cosa funziona nelle grandi organizzazioni e cosa non funziona tanto bene. Uno dei meccanismi più efficaci a cui ha fatto riferimento è stato l'incontro settimanale tra CEO e CISO presso AWS, affermando che definisce l'orientamento dell'intera organizzazione. Tiene al corrente il CEO su ciò che accade a livello della sicurezza e informa il CISO su ciò che è importante per il CEO.

Quindi, vorrei chiederti adesso qual è il tuo punto di vista su quell'incontro. Non come professionista della sicurezza, ma il tuo punto di vista come leader aziendale. Quale funzione ha quell'incontro per te?

Adam Selipsky (08:20):
In questo caso particolare, uno dei numerosi meccanismi di sicurezza che abbiamo è questo incontro settimanale, che io e il mio Chief Information Security Officer, Chris Betz, gestiamo insieme. E come hai già detto, invia un segnale culturale. È un incontro settimanale, non scherzo, a cui diamo priorità. Il suo contenuto è estremamente semplice. Esaminiamo i tre principali problemi di sicurezza emersi nell'ultima settimana.

Ne emergono sempre due o tre, per questo teniamo sempre la riunione. Alcuni incontri possono essere più interessanti di altri, ma non ne manchiamo nessuno. Guardiamo sempre i problemi più rilevanti e li analizziamo molto a fondo. Non c'è una presentazione. È molto in stile Amazon, c'è un documento scritto, un riepilogo del problema di sicurezza, che viene attentamente valutato prima della riunione. È dettagliato e contiene informazioni precise sulla situazione e sui passaggi successivi per affrontare quel problema di sicurezza. I membri del team di servizi interessato e, naturalmente, del team di sicurezza, chiunque sia direttamente coinvolto, partecipano tutti a questa riunione.

È un momento davvero educativo, anche se a volte può creare disagio perché prendiamo tutto questo molto seriamente e se individuiamo problemi che vanno risolti, comportamenti da modificare, qualsiasi cosa che debba essere fatta diversamente dal punto di vista tecnico per garantire i risultati che ci aspettiamo, allora siamo pronti a discuterne apertamente durante la riunione. Io credo che ciò mandi anche un segnale culturale che esprime la nostra massima serietà in materia di sicurezza. E ci aiuta a migliorare a livello tecnico. E penso che sia importante anche dal punto di vista culturale per riaffermare che per Amazon la sicurezza è la priorità assoluta.

Clarke Rodgers (10:13):
Una parentesi veloce: i tuoi dirigenti aziendali. Come li ritieni responsabili della sicurezza del loro specifico servizio o di altre attività che gestiscono all'interno di AWS?

Adam Selipsky (10:24):
In generale, si ritengono responsabili. È questa la cultura che abbiamo creato riguardo alla sicurezza, e credo sia la risposta migliore rispetto ad attribuire responsabilità. Penso che la cultura che abbiamo costruito riguardo alla sicurezza, il modello di responsabilità che abbiamo stabilito, grazie al quale la sicurezza fa parte del lavoro quotidiano, non sia un elemento aggiuntivo, e meccanismi come la riunione settimanale sulla sicurezza, a cui i dirigenti partecipano se il problema di sicurezza interessa il loro team, rappresentino forze diverse che contribuiscono a rafforzare il senso di responsabilità. In questo modo è davvero molto più facile e più semplice.

È importante disporre di un team di sicurezza centralizzato. Sono i veri esperti di qualsiasi cosa che riguardi la sicurezza. Valutano le best practice di tutti i nostri team e si interfacciano con i dirigenti, sia tecnici che aziendali, dei team che riteniamo debbano agire diversamente per garantire la sicurezza. Ritengo che sia la combinazione di questi molteplici meccanismi a conferire la responsabilità a quel team.

Nelle rare occasioni in cui si verifica un problema con il team, è subito evidente che ci aspettiamo che il team comprenda il problema e lo risolva. Naturalmente dispongono dell'aiuto di chiunque abbiano bisogno, ma questo lo sanno bene.

Diverse agenzie governative, tra cui membri di spicco dei servizi di intelligence del governo degli Stati Uniti, hanno dichiarato pubblicamente che AWS offriva una sicurezza migliore rispetto ai propri data center. E ancora una volta, in molti ne hanno tenuto conto, comprese grandi imprese, banche, aziende farmaceutiche e altri. Quindi, con clienti così importanti che dichiaravano: “Questo è un ottimo modello di sicurezza, affideremo ad AWS queste funzioni”, molte altre aziende ci hanno notato.

Clarke Rodgers (11:53):
Credo che questo sia un punto molto importante da sottolineare: avere un dirigente aziendale che si occupi della sicurezza, oltre che della funzionalità del prodotto che sta sviluppando e del conto economico, giusto? Molti dei nostri clienti separano queste responsabilità, e a volte sorgono dei problemi, ma trovo grandioso racchiudere tutto in un'unica responsabilità.

Adam, ti ringrazio infinitamente per aver dedicato parte del tuo prezioso tempo al nostro incontro di oggi.

Adam Selipsky (12:16):
È stato un piacere. Grazie!