Como ser um CISO melhor

Clarke Rodgers (00:07):
Que qualidades tornam um CISO bem-sucedido? Como CISO da AWS, meu convidado de hoje tem uma ótima perspectiva com relação a essa pergunta. Sou Clarke Rodgers, diretor de estratégia empresarial da AWS e seu guia para uma série de conversas com líderes de segurança da AWS aqui no Executive Insights.

Estamos felizes em receber no programa Chris Betz, CISO da AWS. Junte-se a nós enquanto ele compartilha suas ideias sobre tudo, desde o estabelecimento de uma cultura de segurança até a contratação com foco na diversidade e a mentoria da próxima geração de grandes líderes de segurança. Aproveite.

Clarke Rodgers (00:38):
Bem, eu conheço você muito bem, mas adoraria falar um pouco mais sobre sua experiência para o público.

Chris Betz (00:44):
Como você disse, nós nos conhecemos há algum tempo. Uma das coisas que eu adoro na comunidade de segurança é como ela é pequena. Em um determinado momento, você acaba interagindo com pessoas que já conheceu pelo mundo. No meu caso, minha experiência começou na Força Aérea. Estive na Força Aérea por vários anos, entrei para o governo federal, e lá passei mais alguns anos trabalhando em segurança cibernética.

Tive a oportunidade de trabalhar na área de segurança em empresas como a CBS, uma empresa de mídia, e por um bom tempo em lugares como Apple, Microsoft e Lumen, CenturyLink na época, e, mais recentemente, na Capital One. Então, foi bem interessante ver uma espécie de diversidade de funções e, como você mesmo diz, ver os mesmos rostos várias vezes.

Clarke Rodgers (01:23):
Então, como CISO da AWS, quando você hoje vai se encontrar com clientes e responder às perguntas sobre segurança, como isso mudou as coisas? A capacidade de dizer: “Olha, eu estava na sua função há pouco tempo e foi assim que pensei sobre essa questão. E agora que estou aqui, esta é a resposta para sua pergunta”, esse tipo de coisa.

Chris Betz (01:45):
Na última década, trabalhei em funções de segurança em empresas que são clientes importantes da AWS. Então, sim, estive ao lado da AWS no avanço da nossa jornada de segurança e da nossa jornada de tecnologia. Ter sido cliente há até pouco tempo permite que eu converse de uma maneira muito diferente, porque acho que entendo essas conversas e as dúvidas e os desafios que os clientes têm.

Uma das coisas que eu também mais aprecio nessas conversas é a capacidade de nos mantermos bem embasados com relação ao que nossos clientes estão observando, ao que eles acham que está acontecendo no mundo e, na realidade, a capacidade de trocarmos ideias. “Veja, é isso que estou percebendo. É assim que estou resolvendo esse problema.” “Ah, é isso que você está observando? É assim que você está resolvendo esse problema.” Essa capacidade de continuarmos a elevar mutuamente o nível dentro da AWS, e também nos nossos clientes, é incrivelmente poderosa.

Clarke Rodgers (02:51):
E você está em condições de ganhar mais confiança ao dizer: “Foi assim que resolvi esse problema na função anterior”, o que é ótimo.

Chris Betz (02:58):
Já estou calejado.

Clarke Rodgers (02:59):
Exatamente. Como CISO, você precisa ter uma profunda experiência em segurança, ter experiência em negócios e reunir tudo isso, mas você tem grandes equipes sob sua responsabilidade que realmente precisam entregar segurança à empresa, aos nossos clientes etc. Então, sob esse prisma, na sua opinião, quais são os desafios que os líderes de segurança enfrentam atualmente?  

Chris Betz (03:21):
Muito disso se baseia em talento. Os problemas que estamos resolvendo na área de segurança são tão multidimensionais, como você já ressaltou, que ter as pessoas certas ao seu redor é absolutamente essencial para o sucesso na área de segurança. Adoro ter pessoas ao meu lado. Na verdade, em todas as empresas de alto desempenho em que já trabalhei, adorava estar cercado por pessoas que ensinavam, inspiravam e desafiavam.

Porque essa é uma área em que estamos constantemente aprendendo. Portanto, precisamos de pessoas que estejam constantemente elevando o nível. Quando você consegue achar essas pessoas, é incrivelmente inspirador. Elas encontram formas de resolver problemas como você nunca imaginou antes para tornar a empresa mais eficaz, para pensar em como tornar a segurança algo natural para as pessoas. É incrivelmente importante. E essas mesmas pessoas, quando você tem a cultura certa, estão dispostas a desafiar você. “Você está pensando sobre isso da maneira certa?” E esse desafio ajuda todos a crescer, ajuda você a crescer, ajuda a organização a crescer, ajuda você a seguir na direção certa.

Pessoas que têm exatamente a mesma experiência, que abordam os problemas da mesma forma, não são as pessoas que vão ensinar, desafiar e inspirar você. Portanto, acho que um dos grandes desafios que continuamos a enfrentar no campo de segurança é como podemos obter essa variedade de perspectivas, de culturas, de experiências, essa diversidade de abordagens e de mentalidades que nos ajudam a realmente ser a organização incrível que deveríamos ser. E é nisso que passo boa parte do meu tempo, ajudando a garantir que tenhamos as pessoas certas, a combinação certa, pois sem isso não poderemos resolver o resto do problema.

Clarke Rodgers (05:10):
E talvez com experiências não tradicionais, isso não garante que “Esta é uma pessoa de segurança”. Bem, esse ponto de vista pode nos ajudar em um certo aspecto da segurança, porque nossos adversários certamente são diversificados.

Chris Betz (05:23):
Exatamente. E é importante entender que a AWS é uma empresa global. Os adversários são globais. Precisamos explorar esse talento global. Precisamos utilizar pessoas com todos os tipos de experiências diferentes e trazê-las para cá. Algumas das pessoas mais inteligentes que conheço na área de segurança têm experiências incrivelmente diversificadas. Elas aperfeiçoaram suas habilidades em segurança durante vários anos. Mas a forma como você faz essa combinação certa de perspectivas é mesmo muito importante.

Clarke Rodgers (05:51):
Ao analisar os últimos anos e olhar para o futuro, o que mais entusiasma você, do ponto de vista da segurança? Pode ser um programa, um processo, uma tecnologia, seja qual for o caso, e onde você está concentrando seus esforços com base nisso?

Chris Betz (06:08):
Quando analiso a jornada percorrida pela Confiança zero, desde um conjunto de produtos que foram anunciados como soluções de Confiança zero até um conjunto de padrões, na verdade, até um conjunto de tecnologias incorporadas. Quando analiso a forma como parte da experiência do usuário mudou nos últimos anos, as tecnologias de chaves de acesso que, mesmo no passado recente, a Amazon.com e várias outras empresas vêm introduzindo, isso muda fundamentalmente a maneira como pensamos sobre essa experiência de usuário perfeita, essa capacidade de acessar a tecnologia e fazer isso de uma maneira muito cuidadosa e então-

Clarke Rodgers (06:50):
E tornar a segurança um caminho fácil, certo?

Chris Betz (06:52):
Tornar a segurança um caminho fácil. Acho que os avanços que fizemos nessa área, abandonando as VPNs complicadas e adotando uma análise integrada e aprofundada do que está acontecendo, são incrivelmente poderosos.

Há muita agitação sobre IA generativa. Mas o campo de IA não é novo. Fazemos isso há décadas, mas a velocidade das mudanças nas áreas de machine learning e IA nos últimos um ou dois anos é simplesmente incrível. Essas mudanças proporcionam vários recursos muito interessantes com relação à forma como penso em lidar com a segurança. Um dos exemplos que gosto de dar quando falo com as pessoas é que antigamente pode ter sido eficiente, em termos de tempo, tentar analisar um dado para ver “Opa, tem algum risco de segurança aqui?“, criar uma planilha grande, pesquisar essa planilha e trabalhar com os dados da maneira que costumávamos fazer na prática. Porque o tempo necessário para escrever o código para que isso acontecesse-

Clarke Rodgers (07:53):
Era muito mais longo, sim.

Chris Betz (07:54):
-era contabilizado em horas, e você podia fazer a análise manualmente em uma hora ou algo assim. Agora, com coisas como o CodeWhisperer e outras tecnologias, esse modelo mudou. A capacidade de descrever um problema bem compreendido, “Quero analisar esses dados para encontrar essas coisas”, torna-se algo que você pode pedir que um sistema faça, obter uma resposta em segundos, implementá-la, testá-la e executá-la em muito menos tempo do que você faria com uma planilha manual. E é repetível, testável e verificável. Você reduz o erro humano. Existem muitos grandes benefícios em fazer isso dessa maneira. Portanto, acho que isso vai mudar até mesmo a maneira como as operações de segurança funcionam, não apenas aqui na AWS, mas em todo o setor. Então, acho que há uma grande oportunidade aqui.

O outro lado disso é que também estou dedicando muito tempo, uma vez que todos estamos aprendendo sobre o que a IA generativa pode fazer, como protegê-la e como desafiá-la. Estamos dedicando muito tempo e energia para garantir que tenhamos a base certa na AWS e que estejamos criando os recursos certos. À medida que criamos soluções baseadas em IA generativa, podemos primeiro testá-las ao máximo-

Clarke Rodgers (09:14):
em grande escala.

Chris Betz (09:15):
Sim, em grande escala, como líder do setor. E também podemos pegar cada um desses aprendizados e transformá-los em recursos que oferecemos aos nossos clientes, porque os mesmos problemas que temos são os problemas que eles têm quando usam IA generativa. Então, acontece esse incrível ciclo de aprendizado rápido em que aprendemos coisas novas todos os dias, e isso é legal. É um desafio, porque os invasores também estão aprendendo coisas novas todos os dias.

Clarke Rodgers (09:41):
Verdade, estão mesmo.

Chris Betz (09:42):
E precisamos continuar com esse ciclo bastante rigoroso para avançar rapidamente nesse campo, e é por isso também que eu gosto de estar aqui na AWS. Nós não avançamos devagar. Não avançamos nem um pouco devagar. Então, acho que esse superpoder da AWS se encaixa perfeitamente no ponto para o qual precisamos ir nesse campo.

Clarke Rodgers (10:01):
Essa é uma ótima resposta. E os clientes tradicionalmente vêm até nós com suas necessidades tecnológicas, seja sobre segurança, seja sobre a solução de problemas de negócios. Uma coisa que pode não ser tão óbvia para os clientes é que, claramente, somos uma empresa de tecnologia. Oferecemos a eles software e serviços e também dedicamos muito tempo tentando ajudá-los a criar seus programas de segurança e a serem mais eficazes. Um dos programas mais populares que temos são os AWS CISO Circles, como você bem sabe. Você poderia falar um pouco sobre eles, como eles são organizados e que clientes podem se beneficiar deles?

Chris Betz (10:38):
Essas conversas que tivemos antes sobre a comunidade de segurança ser pequena, sobre aprender uns com os outros, são muito importantes.

Segundo as regras da Chatham House, não atribuímos a conversa a ninguém. Isso permite que as pessoas tenham conversas verdadeiras. A capacidade de aprendermos uns com os outros, de nos desafiarmos mutuamente, de fazermos perguntas. “Como você está resolvendo esse problema?” “Estou começando a ver os invasores fazendo isso. Você também está enfrentando esse problema?” Inove, pense, aprenda com os melhores. Acho que esse é o ambiente em que ficamos quando entramos nos CISO Circles.

Portanto, reunir pessoas que têm pontos em comum, regiões do mundo, pontos em comum em termos de negócios e tecnologia, conjuntos similares de problemas, com algumas das pessoas mais inteligentes que conheço dentro e fora da AWS para ter essas conversas, isso é incrivelmente poderoso. E é isso que eu acho que realmente podemos aproveitar com os CISO Circles. E, para ser sincero, gostei dos que participei e estou ansioso para fazer muitos outros no próximo ano.

Clarke Rodgers (12:08):
Claro. Quando eu era cliente, lembro-me que aprendi muito mais com os CISOs em outros setores. Surpreendentemente, no setor de segurança, você tem uma certa tolerância ao risco, está fazendo determinadas coisas. E aprendi muito com a mídia, com o varejo e com os bancos. Isso foi fantástico.

Chris Betz (12:16):
Observei exatamente a mesma coisa, e é por isso que gosto dessa mistura de reunir pessoas para ter essas conversas.

Clarke Rodgers (12:32):
Chris, muito obrigado por sua participação.

Chris Betz (12:34):
Foi excelente. Obrigado por me receber.