Desenvolver e medir um departamento de operações de segurança moderno

Clarke (00:04):
Hart, obrigado por conversar conosco.

Hart (00:06):
O prazer é meu, Clarke, obrigado por me receber.

Clarke (00:08):
Conte-nos um pouco sobre a sua experiência, como você veio para a AWS e qual o seu cargo atual?

Hart (00:14):
Claro. Antes da AWS, eu trabalhava em um espaço de inteligência para fornecedores de defesa, fazendo vários trabalhos de integração de sistemas. Eu gostava muito desse trabalho, adorava a missão de apoiar o governo americano e outros governos em todo o mundo e o que eles faziam, além de outras indústrias regulamentadas também. Mas eu sempre tive curiosidade e mantinha em minha cabeça uma lista das principais empresas de segurança. No início da minha carreira, essas empresas eram voltadas principalmente aos consumidores. Estou falando de antivírus, firewalls pessoais em seu desktop, coisas desse tipo. Mas, com o passar do tempo, essa lista migrou para empresas que fornecem a infraestrutura que faz o mundo rodar. Empresas como a Amazon e outras grandes provedoras de infraestrutura. Eu estava em um ponto na minha carreira no qual eu precisava achar meu próximo passo. Eu queria fazer parte de uma empresa que estivesse realmente inovando a segurança. Isso faria uma diferença, não só para alguns clientes importantes, mas para todo o mundo. Assim, eu tive a oportunidade de entrar para a AWS, eu não hesitei.

Clarke (01:12):
E qual é a sua função atual na AWS hoje?

Hart (01:14):
No momento eu sou diretor de serviços profissionais e práticas especializadas globais de infraestrutura e segurança, o que é um cargo com um nome bem longo. Mas na verdade, meu trabalho é ajudar os clientes a consolidar a confiança e a capacidade técnica para operar suas workloads mais sigilosas conosco na nuvem.

Clarke (01:33):
Obrigada, Hart. Vamos falar um pouco sobre a perspectiva do cliente. Alguns CISOs que são nossos clientes estão sempre buscando recrutar talentos na área de segurança, e não é fácil encontrar esses profissionais. Quando existe uma carência desses profissionais de segurança, que tipo de recomendação você daria a um CISO ou outro gerente de recrutamento em uma empresa cliente, para procurar os candidatos certos, mesmo que eles não tenham a experiência relevante que você estiver procurando?

Hart (02:02):
Acredito que isso depende muito da cultura corporativa. Normalmente temos duas opções diferentes. A primeira é contratar engenheiros altamente técnicos e desenvolver um programa para treiná-los nas novas tecnologias como Lambda, contêineres, KS ou qualquer tecnologia que seja. Ou no aspecto da segurança delas. Assim, trazendo para equipe engenheiros altamente técnicos e ajudando-os a entender como desenvolver com segurança, como pensar com segurança, por exemplo começar cada sprint com um modelo de ameaça para gerar histórias dos usuários, às quais o sprint será aplicado, em vez de usar apenas os requisitos funcionais definidos pelo gestor do produto.  Esse tipo de competência. E, no outro extremo do espectro, temos vários profissionais de segurança muito talentosos em outras partes da comunidade de segurança. Esse profissionais podem estar em outras áreas, como auditoria ou conformidade, e essa é uma oportunidade de trazê-los para uma parte diferente da comunidade de segurança e permitir que, se eles estiverem interessados, tornem-se mais técnicos a fim de desenvolver essas competências de engenharia para consolidar suas habilidades de desenvolvimento e gerenciamento de produtos. E isso é também muito útil. Outro insight que eu posso oferecer aqui, e isso é algo que buscamos em nossas equipes, é que as pessoas mais criativas normalmente são as mais bem-sucedidas. Os artistas, os poetas, as pessoas com pensamento lateral. Eles normalmente são muitos bons em fazer esses ajustes com o passar do tempo. Não queremos estereotipar ninguém, mas esse tipo de flexibilidade, agilidade e mentalidade normalmente permite os que esses indivíduos aprendam rapidamente.

Clarke (03:38): 
Os clientes parecem estar buscando mais a engenharia de segurança, incorporando segurança em suas aplicações e nas estruturas que gerenciam. Como você sabe, existe um outro aspecto operacional da segurança, que é verificar se tudo está funcionando como deveria, além da detecção de alertas, aos quais eu devo reagir, esse tipo de coisa. Qual seria o equilíbrio ideal entre a mentalidade de engenharia e a mentalidade operacional?

Hart (04:04):
Essa é uma pergunta muito importante. Conversei muito com alguns executivos seniores sobre isso, porque no início da jornada que muitos deles estão fazendo, não só com a nuvem, mas também com a modernização das aplicações, independentemente do envolvimento deles com a AWS, a ênfase é quase sempre na parte de desenvolvimento do dev ops. Será que eles estavam realmente pensando sobre como desenvolver e implantar suas workloads de forma mais eficiente? Eles não necessariamente pensaram totalmente na parte operacional. E, quando você adiciona operações de segurança, há uma nuance muito específica que precisa ser abordada. Uma das coisas que eu acho muito útil é quando falamos sobre operações, não podemos mais falar sobre programas e iniciativas. Muitas vezes durante uma migração ou durante o desenvolvimento de uma nova workload, tudo é muito programático. Você tem um gestor de produtos e um coordenador de migração, mas quando o assunto é operações de segurança, você precisa ter uma resposta e um senso de segurança e confiabilidade 24 horas por dia, o que vem com uma mentalidade de uma central de operações convencional. Porém, hoje não precisamos mais nos limitar às quatro paredes de uma central de operações física. Temos sistemas na nuvem que nos ajudarão a fazer a mesma coisa. Mas para isso é necessário mudar essa mentalidade dos executivos. Muitas vezes, isso é tão simples quanto perguntar a eles quais métricas são importantes para eles nas operações? Falamos sobre a migração e sobre o desenvolvimento. Sabemos o que é importante e o que é sucesso, mas qual é a sua visão das operações de segurança do ponto de vista das métricas? E, quando temos essa conversa, podemos quase sempre nos direcionar facilmente para essa visão e começar a integrar realmente o desenvolvimento e as operações de forma significativa, do ponto de vista da segurança e da proteção.

Clarke (05:50):
Vou então fazer a pergunta de um milhão de dólares: quais são as principais métricas que os clientes normalmente buscam, do ponto de vista operacional?

Hart (05:57):
Pois é. Isso depende das metas e objetivos deles. Analisaremos elementos como tempo de espera. Uma das grandes vantagens da infraestrutura imutável é que podemos ter taxas de reidratação muito baixas para todo o datacenter na nuvem. Em vez de levar meses, ou até mesmo anos, para recriar e relocar uma aplicação, muitos clientes o fazem em poucas horas para workloads menores. Então, se você puder recriar todo o seu datacenter em uma hora, você agora pode começar a pensar sobre como mudar a conversa sobre o tempo de espera para um adversário? Como mudar a conversa sobre o gerenciamento de vulnerabilidades e a demorada aplicação de patches? E podemos começar a analisar essas métricas que nos ajudam a promover agilidade, escalabilidade e confiabilidade que, em última instância, promovem a segurança.

Clarke (06:55):
Hoje falamos muito sobre as operações de segurança da engenharia, um tipo de mecanismo tradicional para a administração de um departamento de segurança. Em várias conversas que eu tenho com CISOs, eles se mostram realmente preocupados sobre como eu relato a segurança no contexto de negócios apropriado e como eu abordo o risco cibernético usando termos comerciais que a diretoria da minha empresa possa entender? Você tem algum comentário a fazer sobre isso, considerando a segurança como um coordenador dos negócios, ao contrário de operações de segurança nas métricas tradicionais que normalmente usamos?

Hart (07:31):
Sim, tenho. E é na verdade um ótimo exemplo de trabalhar de trás para frente, partindo do cliente. Logo no início, quando desenvolvíamos a parte da segurança que compunha o risco de segurança e a prática de conformidade, começamos a receber esse tipo de pergunta dos clientes. Eu e a minha equipe na época tínhamos experiência em consultoria de segurança, mas nenhum de nós tinha a responsabilidade pessoal que um CISO tem pela proteção da organização. E depois de receber essa solicitação algumas vezes, decidimos tentar encontrar alguns CISOs que pudessem trabalhar conosco. E foi isso que fizemos. Criamos uma prática consultiva de segurança executiva, onde temos CISOs coordenando os riscos e a auditoria. Esses indivíduos passaram pela jornada para a nuvem com a AWS e hoje fazem parte da nossa equipe. Eles podem fazer o trabalho de consultoria experiente, com o suporte dos membros da equipe com forte histórico operacional e de engenharia, para ajudar a implementar a estratégia executiva. E isso tem sido excelente. Temos conversas ótimas sobre as métricas. Não me refiro às métricas operacionais como as que mencionamos antes. Estamos falando sobre os principais indicadores de performance. Estamos falando sobre definir as expectativas de segurança para a organização, o que promoverá a transformação ano após ano, e não apenas elevar os números este ano. 

Clarke (08:53):
Entendi. Agora, trabalhando com esses CISOs dos clientes, você tem visto alguma tendência no tipo de relatório de nível comercial que é entregue aos conselhos diretores? Quando converso com os CISOs dos clientes sim, você precisa ainda ter todas as métricas sobre as máquinas corrigidas, os vírus e ataques que interceptamos, e coisas desse tipo. Mas qual é o conselho que você daria para articular isso em uma linguagem de negócios que possa ser entendida por aqueles que não têm uma grande expertise em segurança, mas que controlam seus orçamentos e outras operações?

Hart (09:29):
Pois é. Eu acho que existem diferentes pontos de vista. Um é o ângulo da transformação que eu mencionei antes. Se você determinar a meta e a expectativa corretas, o efeito pode ser incrível! Um exemplo que eu posso usar é, enquanto o CISO determina a meta de poder reidratar todo o datacenter na nuvem em poucos dias, digamos a cada 48 ou 72 horas. Trabalhando a partir daí, o efeito sobre como você faz o BCPDR pode ser dominó. Como você desenvolve, implanta, opera e como fazer testes. Isso obriga todo mundo a automatizar e acelerar, o que por sua vez reduz o valor temporal para todos aqueles que estiverem sob as atividades da infraestrutura. Custo reduzido, rápida entrada no mercado e melhor tempo de resposta para seus clientes. A determinação correta da expectativa de segurança, o que provavelmente é uma transformação anual, realmente promove ótimos resultados. Podemos por exemplo fazer a reidratação a cada 45 dias, e depois aumentar para cada 15 dias no ano seguinte, e a cada 48 horas no ano seguinte a esse. Ano após ano você usará esse objetivo de segurança para promover todos esses resultados comerciais.

Clarke (10:52):
E monitora isso com a diretoria à medida que faz o relatório.

Hart (10:54):
Exatamente.

Clarke (10:55):
Incrível! Hart, muito obrigada por ter participado do nosso programa.

Hart (10:57):
Sem problemas. Obrigado por me receber.