Creare una cultura della sicurezza con AWS
Una conversazione con Steve Schmidt, VP della divisione Security Engineering e Chief Information Security Officer (CISO), e Jenny Brinkley Senior Manager della divisione sicurezza presso AWS.
Questo spotlight è dedicato alla sicurezza, nello specifico allo sviluppo di una cultura della sicurezza positiva all'interno dell'azienda. Entreremo anche dietro le quinte per osservare l'approccio di AWS all'implementazione e alla preservazione di una cultura della sicurezza positiva e come imitare l'esempio, anche se non si è all'interno dell'organizzazione di sicurezza.
Non solo stiamo costruendo e gestendo un'organizzazione di sicurezza che opera a una scala mai vista prima, ma si sta costruendo e gestendo una cultura che è molto insolita nel mondo della sicurezza. È questo che mi dà maggiore orgoglio, creare la cultura giusta nell'organizzazione".
Il ruolo della definizione degli obiettivi nella creazione di una cultura della sicurezza positiva
Siamo fermai sostenitori della crescita incrementale. Anziché seguire un programma radicale che non sarà terminato prima di parecchi anni, per noi è importante che i team realizzino qualcosa di significativo in tempi molto brevi. Puntiamo a risultati incrementali che siano progressivi, misurabili e, soprattutto, conseguibili in un periodo di tempo relativamente breve, per esempio un paio di mesi.
La progressività significa sempre avanzare verso gli obiettivi che i team dei servizi e i clienti vogliono raggiungere. Questa mentalità è importante per due aspetti. In primo luogo, è così che le aziende progrediscono e i nostri servizi vengono presentati ai clienti. In secondo luogo, è un modo per incoraggiare i team dei servizi a dialogare con noi, anziché vederci come ostacoli alla loro capacità di lanciare servizi o prodotti.
Il punto non è ciò che il team della sicurezza desidera realizzare, bensì assicurarci di sostenere sempre i team dei clienti, i nostri team interni, affinché avanzino verso i loro obiettivi, i loro risultati personali".
La chiave per conquistare un cliente è individuare il problema
Cominciamo con il definire la parola "escalation". L'escalation è il processo di garantire che le persone giuste siano a conoscenza del problema al momento giusto ed è fondamentale per l'efficienza di AWS. L'escalation è il concetto di qualcuno che vede una cosa che lo spinge a chiedersi: "È proprio così?". E poi, anziché stare a guardare, ci assicuriamo che le persone giuste ne vengano a conoscenza.
L'escalation abbraccia uno dei nostri valori aziendali, cioè il fatto che leader e responsabili approfondiscano i dettagli del modus operandi aziendale. Senza disporre di tutti i dettagli, non è possibile prendere decisioni valide in merito alla situazione e a come gestire l'azienda in maniera efficace.
Nel vecchio mondo della sicurezza, quando veniva individuato un problema, si diceva "spara al messaggero", un modo di dire che scoraggia le persone dal farsi avanti. Il mio lavoro in qualità di leader è ringraziare chi ha identificato un problema e lo ha portato alla nostra attenzione. Offriamo una ricompensa al messaggero e poi sistemiamo la questione.
Che cosa significa "fiducia zero" e qual è il suo vantaggio?
Per noi, "fiducia zero" significa non affidarsi più a un perimetro di rete come punto di difesa principale. Ridurre il perimetro di sicurezza al componente più piccolo possibile, idealmente singoli elementi di dati. Poi, al contrario, aprire l'accesso a quei singoli elementi di dati da qualsiasi punto in cui l'utente autorizzato si trovi. Non si tratta più di essere all'interno di una VPN, per esempio, ma invece si ha una situazione in cui al telefono c'è un agente che può comunicare al nostro sistema di autenticazione e autorizzazione che il mio telefono è approvato per l'applicazione di patch.
Inoltre si ripone quella fiducia in componenti hardware che presentano un alto tasso di ripetibilità nella capacità di valutare se una persona è adatta allo scopo. Per noi, quindi, fiducia zero consiste nel costruire una serie di controlli che insieme ci permettano di concedere o negare l'accesso a singoli componenti di dati per singole persone in base al loro lavoro, a dove si trovino, a cosa usino per accedere al dispositivo, all'ora, al giorno della settimana, alla loro ubicazione nel mondo. Se applicato correttamente, ciò permette un controllo granulare e di gran lunga migliore sulle informazioni.
Domande da porre ai clienti e al personale per creare una cultura positiva
- Sei soddisfatto dell'interazione che hai appena avuto?
- Ho risolto il problema in tempi ragionevoli?
- Ti ho fornito gli strumenti per svolgere il tuo lavoro in modo più semplice ed efficace?
Questo è il tipo di domande che poniamo a noi stessi e ai clienti per capire qual è la nostra percezione dall'interno e dall'esterno.
Ricorda il tuo "perché?" a clienti e personale
L'insegnamento più importante che vogliamo trasmettere oggi è che l'azienda dovrebbe avere un atteggiamento positivo. Il punto dovrebbe essere capire come migliorare la vita delle persone, come renderle più efficaci ed efficienti sul lavoro e come garantire di avanzare in maniera incrementale verso i nostri obiettivi ogni giorno, anziché stare ad aspettare un grande cambiamento.
Per chi non lavora nell'organizzazione di sicurezza, vi invitiamo a fissare un appuntamento virtuale, comprendere i loro obiettivi aziendali e trovare un modo per comunicare in maniera più efficace. Ulteriori informazioni sulla sicurezza di AWS sono disponibili nel blog di AWS sulla sicurezza. Noi di BP cerchiamo di essere i migliori del settore in ogni situazione. Una lunga esperienza in ambito commerciale permette di capire subito i cambiamenti nel mercato e quali elementi sono orientati ai margini, tanto da rendersi conto che l'unico modo per poter continuare a operare è sfruttare le tecnologie digitali, automatizzare ed essere il più efficienti, snelli e validi possibile.
È importante dare alle persone gli strumenti, le regole e le istruzioni per svolgere il lavoro al meglio e aiutarle a fare la cosa giusta. Di conseguenza, sarai più felice come professionista della sicurezza e i tuoi clienti più contenti per il fatto che potranno portare a termine il loro lavoro più facilmente".
Condividi questa storia
Letture consigliate
Fai il passo successivo
Ascolta e impara
Ascolta leader esecutivi ed Enterprise Strategist di AWS, tutti con precedenti incarichi dirigenziali, discutere dei loro percorsi verso la trasformazione digitale.
Rimani connesso
AWS Executive Connection è una destinazione digitale per leader aziendali e tecnologici dove vengono condivise informazioni.
Guarda on demand
Ottieni informazioni dai colleghi e scopri nuovi modi per potenziare il tuo viaggio di trasformazione digitale attraverso questa esclusiva rete internazionale.
Lasciati ispirare
Ascolta come AWS e i leader dei clienti discutono di best practice, lezioni e pensiero trasformativo.