Reformulação da segurança como uma vantagem estratégica

Clarke (00:05):
Merritt, muito obrigado por participar do nosso programa hoje.

Merritt (00:08):
Obrigada por me receber.

Clarke (00:09):
Você poderia falar um pouco da sua trajetória? O que trouxe você até a AWS e o que você faz em sua função atual?

Merritt (00:15):
Sim. Estou na AWS há quatro anos. Eu trabalhava no governo dos EUA promovendo segurança para a população americana. Trabalhei nos três poderes do governo. Entrei para o setor de segurança porque sentia que havia grandes questões que nos interpelavam, mas nós não sabíamos muito bem como confrontá-las. Então fiz o curso de direito, em parte porque sabia que essa seria uma das coisas em jogo aqui. E também tenho a sensação de que esse panorama geral de problemas será mais importante do que compreender uma ameaça específica em um momento específico ou um ator específico, ou algo assim. Como resultado, acabei trabalhando em áreas da segurança que considero serem pouco atraentes. Coisas relacionadas à camada de infraestrutura, mas que são muito importantes nos bastidores. Acho que é isso o que realmente me trouxe até aqui.

Clarke (01:08):
Esta é uma excelente história. Você poderia falar um pouco mais sobre o departamento do CISO e seu propósito no contexto geral da AWS?

Merritt (01:17):
Sim. Então, sou diretora no departamento do CISO. O departamento do CISO (Chief Information Security Officer) na AWS é muito parecido com um departamento em qualquer outra empresa, certo? Steve Schmidt, meu chefe, cuida não somente da segurança interna com a qual a AWS se protege, mas também de como garantimos a segurança de tudo que entregamos como uma empresa. E isso é um conjunto de providências a considerar, pois pensamos em como proteger e permitir que os empregados tenham o mínimo de obstáculos e sejam sua própria equipe de desenvolvimento. E assim tentamos fazer com que as equipes de desenvolvimento façam a coisa mais segura da maneira mais fácil e segura. Então acho que é aqui que minha função realmente me permite ter empatia e credibilidade ao falar com os clientes, pois passo metade do meu trabalho tentando melhorar nossa segurança aqui na AWS, e a outra metade passo conversando com os clientes. Então, às vezes, o trabalho envolve falar em público, mas em muitos momentos envolve conversas de CISO para CISO, conversas com grupos de segurança, e entender como garantir a maturidade empresarial deles. E, muitas vezes, a segurança é um daqueles tipos de fatores decisivos que permite que eles progridam em um ritmo mais abrangente, rápido e maduro. Quando, na verdade, a segurança pode com frequência ser vista como um bloqueio. E acho que isso não é bom o suficiente. Não apenas porque equipes de segurança precisam crescer e deixar de dizer não, mas também porque, hoje em dia, especialmente na nuvem, como você sabe, assim que você começa a desenvolver algo, você está articulando sua identidade e suas permissões e a maneira pela qual você constrói isso em relação ao resto da sua arquitetura e da internet. Então há propriedades de segurança em tudo o que você constrói. E isso significa que precisamos trazer a segurança para nossas conversas e precisamos conversar com nossos clientes sobre como fazemos isso.

Clarke (03:23):
Entendi. Em suas conversas entre CISO e cliente, imagino que você assuma outras responsabilidades, pois imagino que um CISO diga “eu amo o produto X ou Y, mas gostaria que ele fizesse isso.” Isso entra no campo da segurança pelo qual você é responsável. Como o pedido de um cliente em conversas como esta retorna para as equipes de produto de serviços de segurança o implementarem em um recurso?

Merritt (03:51):
Como você sabe, as equipes de serviços estão criando, implementando e implantando novas funcionalidades o tempo todo. Então não é bem um desafio ficar a par do que eles decidiram ou conseguiram investir na oferta. Isso tem mais a ver com como resolvemos o problema e, se não estamos resolvendo problemas da forma correta, então acho que é obviamente uma conversa que trago de volta para nosso lado e na qual eu trabalho. Mas muito do que eu faço é entender, primeiro, o que o cliente está realmente pedindo e como ajudá-lo a aumentar a maturidade e a alcançar uma posição melhor. E a outra coisa é se perguntar: como podemos fazer isso? Acho que muito do valor que os clientes esperam de uma conversa comigo está contido na pergunta “Como sua equipe pode reconciliar essas coisas?”. Pois não creio em jogos de soma zero, mas acho valioso ter empatia verdadeiramente genuína. 

Clarke (04:51):
Muito bem dito, muito bem dito. Então, quando os clientes perguntam “Como a AWS faz X?” Quais são as perguntas mais comuns relacionadas a “Como a AWS faz..." Sob uma perspectiva de segurança, são esses tipos de perguntas que você recebe dos clientes?

Merritt (05:07):
De longe, a que mais aparece está relacionada à inovação. “Como suas equipes de desenvolvedores fazem inovações e como sua equipe de segurança se relaciona com elas sem entrar em conflitos?” Acho que isso é realmente um aspecto notável daquilo que fazemos, pois, diga o que quiser sobre o rápido ritmo das inovações que descaradamente buscamos, isso significa que às vezes fazemos lançamentos em um ritmo mais rápido ou que há pessoas que têm dificuldade em entender o que significam coisas novas. Mas, em última instância, o que fazemos é, pela natureza desses mecanismos, parecido com uma equipe de duas pizzas, e isso tem repercussão na segurança, sabe? Assim, em uma equipe de duas pizzas, que é apenas uma forma de dizer que você está quase que intencionalmente isolado para se mover rapidamente para tomar uma decisão de negócios, você tem que tomar decisões de negócios em relação à segurança disso. Assim, apenas algumas poucas pessoas saberão como os componentes funcionam nos bastidores. Isso tem elementos de segurança em como operamos. Estamos na verdade falando sobre como incorporamos a segurança nos produtos que entregamos. Então não se trata tanto de se relacionar com eles como uma equipe de segurança que recebeu a tarefa de reformar essa nave. Tem mais a ver com a pergunta de “Como você transformou sua empresa em algo que vive e respira segurança como parte daquilo que você está vendendo?”.

Clarke (06:38):
Faz todo o sentido. Então, quando converso com clientes, uma das coisas que eles costumam perguntar, e imagino que você também esteja se perguntando a mesma coisa, é: “Eu sei do valor da DevSecOps. Sei do valor de dedicar os recursos em engenharia e segurança operacional e de todos os outros elementos de segurança. Mas como posso criar uma empresa de segurança de excelência como a AWS faz?”

Merritt (07:05):
Pois é. Acho que há várias facetas dessa pergunta, certo? Ela pode ser: “Não sei se já executamos nosso plano de resposta a incidentes” ou “não sei se temos um plano de resposta a incidentes.” E, de novo, acho que muito disso vem para aqueles controles que analisam o ciclo de vida dos seus ativos. Eu ia dizer infraestrutura, mas isso é algo que você desenvolve por meio desse processo, sabe? Por meio de seus controles de proteção, detecção e correção. E, claro, um dos elementos para o qual sempre retornamos aqui é a automação. Então, por exemplo, em nossa equipe, nossa equipe de segurança da AWS, nós nunca fechamos um tíquete de problema até pensarmos em uma correção, se isso puder ser feito. Assim, algo como a automação soa como algo da boca para fora até que seja implementada de formas observáveis. Mas, em última instância, o que buscamos agora são formas de realmente escalar as operações. E, por conta dos nossos controles de proteção, detecção e correção, nossa base de vigilância 24 horas é uma pessoa que cuida de todas as automações. Então há muita liberdade ao abraçar essa próxima geração do centro de operações de segurança. Não me entenda mal, sei que isso é uma espécie de objetivo grandioso, mas, em muitos sentidos, precisamos começar em algum lugar. Você terá ganhos. Temos que construir uma equipe de segurança ao resolver problemas grandes e pequenos. Então comece de algum lugar, entende? Contrate pessoas que amem automação, contrate uma equipe diversa que pense de forma diferente, que resolva problemas com diferentes códigos, diferentes automações e então chegue lá com o apoio da sua liderança também. Isso é muito importante para esse processo em que falamos de fato sobre o investimento que a empresa, ou entidade, eu diria, pois o setor público opera de maneira muito parecida, que elas estão empenhadas no processo de segurança. E, de novo, isso precisa ser implementado de formas e comportamentos específicos. Então, quando as pessoas vêm até mim e perguntam “Como posso construir uma equipe de segurança de excelência?” Ou “Como posso criar uma cultura de inovação?”. Bem, tem a ver com o que você faz repetidamente. Há coisas com as quais podemos nos identificar e ajudar. Por exemplo, na DevSecOps, incorporamos um engenheiro de segurança nas equipes em uma proporção de um para oito, mas isso poderia ser... Isso sobe e desce, avaliamos se este é o número certo. Procuramos a causa do erro todas as vezes que algo acontece que não deveria ter acontecido ou em que não ocorre de acordo com o plano. E, inclusive, VPs devem estar nas reuniões sobre a causa do erro. Não colocamos um engenheiro júnior lá para sofrer as consequências. Ter esse ecossistema de responsabilidade, não para a punição das pessoas, mas algo para a organização ver a curva de aprendizado crescendo com o tempo, é nosso real objetivo. E isso é algo que não acontece por acidente. Você precisa implementar esses mecanismos.

Clarke (10:22):
E acho que o segredo é desenvolver o mecanismo que reforça o comportamento que estamos buscando.

Merritt (10:28):
Acho que é exatamente isso. Por exemplo, se você escolher tornar bem abertas as permissões do seu empregado, que é o que fazemos na Amazon, e, inclusive, é uma decisão de negócios deliberada. Então você precisará ter, ou pelo menos escolhemos ter, um registro e monitoramento refinados sobre o que está acontecendo. E você precisa estabelecer limites e fazer com que encaminhamentos irrepreensíveis aconteçam conforme o previsto, e, de novo, isso significa que sua liderança deve estar empenhada, pois eles precisam saber que vão responder pela segurança. 100% dos executivos dizem que se importam muito com a segurança, mas saber de fato que eles vão ter que lutar por isso, que terão que compreender que serão cobrados por isso, isso importa. E isso também significa que a equipe de segurança terá uma participação decisiva no negócio em si.

Clarke (11:26):
Entendi. Você falou um pouco disso antes na sua resposta sobre investimentos, certo? Muitos dos nossos CISOs de clientes e executivos de clientes vêm até nós e dizem: “Bem, precisamos investir em nossas capacidades”. Do ponto de vista da segurança, a AWS tem sido muito clara ao longo dos anos sobre os cinco pontos principais para uma base mínima de segurança. Identidade, controles de detecção, segurança de infraestrutura, proteção de dados e resposta a incidentes. Então, quando um CISO de cliente diz: “Tenho um orçamento limitado, uma equipe limitada, mas preciso observar todos esses cincos pontos. Onde posso iniciar meus investimentos, onde está o maior retorno para investimentos nesses cinco?”.

Merritt (12:09):
Vejo um bom número de CISOs perguntando: “Começo com um workload ou com cem?” Certo? E acho que a resposta é começar de algum lugar e tornar isso significativo. Comece com não sei quantos workloads, mas não faça isso em segredo. Faça-os como se estivessem sob um microscópio de segurança, pois realmente creio que você terá as heranças de segurança que de fato são um diferencial de negócios para sua empresa ou para sua entidade do ponto de vista da plataforma. Vou apenas voltar um pouco, e isso vai parecer bobagem, mas vamos nos lembrar do que é a nuvem? Há 20 anos, as pessoas faziam esses cinco estágios apenas verificando a existência de rogue servers por debaixo dos panos. Não fazemos mais isso, ou pelo menos não se faz isso na nuvem. E uma das razões pelas quais sabemos que isso é uma herança de segurança é porque a AWS assume a responsabilidade por essas camadas mais inferiores do processo. Aproveitar a nuvem para fazer a escala de segurança da nuvem é uma das urgências que realmente não vejo os clientes fazendo. Se eles têm um orçamento limitado, essa é mais uma razão para que alcancem esse estado em que podem aproveitar essa escala. Quer dizer, tendo dito isso, se eu tivesse que escolher um, eu diria que a identidade é realmente difícil. Ainda estou para ver um cliente que diga: “Simplesmente amo meu provedor de identidades. E acho que fazemos isso muito bem.”

Clarke (13:40):
Então investimentos em identidade, se você estiver com pouco dinheiro, digamos assim?

Merritt (13:45):
Acho que, se você tem pouco dinheiro, você deve conversar com seu negócio sobre quais são os objetivos dele e, com base nisso, explicar por que a segurança é um diferencial nos negócios. E falo não somente sobre a segurança em relação ao que você produz, mas segurança como parte do seu produto. Então, se você é um varejista, uma empresa de petróleo e gás, se você é uma... Não importa, automotiva, farmacêutica, mídia e entretenimento, fusões e aquisições, parte com a qual as pessoas se preocupam hoje em dia, como deveriam fazer, é a segurança de como você faz negócios. Então não são apenas as pessoas que entregam produtos de segurança e não é apenas dizer: “Ah, você está cuidando dos seus dados internamente em suas funções de RH?”. É mais sobre como você entrega a segurança como parte integrante do seu produto. E acho que não há como improvisar isso. Isso deve ser feito baseado na forma como você cria sua empresa real e os objetivos que você quer alcançar. E para a sua questão, o orçamento que você está buscando deve levar isso em conta. Acho que não devemos mais considerar a segurança como um centro de custos. Estou realmente cansada disso, pois, na verdade, ela é um facilitador e impulsionador de negócios e ninguém quer fazer nada que não seja seguro, ninguém quer comprar algo que não seja seguro, ninguém quer interagir com uma empresa ou governo que não seja seguro. Então, honestamente, será um fracasso se você não estiver lá. E sei que há um alvo em movimento, pois isso é um processo e estamos trabalhando nele, mas é preciso lutar com o melhor que temos.

Clarke (15:24):
Com relação àquele assunto sobre a segurança ser um facilitador dos negócios, como um CISO e uma organização que vê a organização do CISO como um centro de custos, como um CISO defende e transmite essa mensagem à diretoria e a outros tomadores de decisão da organização?

Merritt (15:42):
Há alguns elementos nisso, certo? Um deles é a transformação geral que acontece nas empresas quando elas decidem crescer. Eu inclusive acho que as empresas estão em geral muito fixadas nos custos da mudança. Mas não estão examinando o custo de permanecer onde elas estão. Sabe, a essa altura, você deve examinar quais são seus custos de permanecer onde você está e o que você está pagando agora por não mudar e não fazer as coisas que sabe que você poderia ser. E, honestamente, eu entendo que exige um pouco de audácia e energia afirmativa para chegar lá, mas isso trará retornos quase que imediatamente. E também será uma das principais formas pelas quais sua organização poderá realmente crescer como empresa. E acho que, no fim das contas, tudo que atrasa isso é apenas uma perda de tempo. E, da mesma forma, para responder à sua pergunta, acho que as pessoas que veem isso como um custo fazem parte do passado. 

Clarke (16:53):
Pois é. Acho que você levantou um ótimo ponto ao dizer que o risco de não fazer algo é equivalente a outros riscos que as empresas estão considerando.

Merritt (17:01):
Eu não diria equivalentes, diria que são geralmente mais caros. E, quando você está conversando com a diretoria, isso é uma das coisas a serem pensadas. Quando as pessoas falam de métricas de segurança, acho que elas geralmente as gamificaram. Elas falam coisas como: “Dissemos que na semana passada observamos 100 batidas na porta e nessa semana foram apenas 70.” E isso é como batidas na porta e irrelevante. Claro, esses números são artificiais. Eu acabei de inventá-los. Mas a questão é que as métricas de segurança devem mostrar de forma genuína se você está melhorando com o tempo ou não. Se você não estiver, então elas são as métricas erradas. Por que quem você está de fato gamificando? Cabe a você estar no combate.

Clarke (17:50):
Ransomware é um tema importante hoje em dia. E uma grande preocupação para os clientes. Eu sei que você tem alguma experiência nessa área. Qual conselho você daria para as organizações de segurança de clientes em relação ao que elas precisam fazer para se preparar no caso de uma ocorrência de um ransomware?

Merritt (18:07):
Pois é. Obviamente isso tem aparecido muito na mídia ultimamente. Embora o ransomware não seja nada novo. Ele existe desde, pelo menos, 1989. Houve uma conferência de saúde na qual um malfeitor estava distribuindo drives de disco com etiquetas com a palavra “aids” escrita nelas, pois era uma conferência sobre saúde. E assim, isso veio a ser conhecido como o “ransomware aids” porque, quando você o inseria em seu drive de disco, ele criptografava seus dados e exigia que você enviasse um cheque de USD 89 para uma caixa postal no Panamá. Então acho que a questão é que o ransomware não é teoricamente novo, mas na prática ele é, pois, claro, com a ascensão das criptomoedas e a possibilidade de monetizar o fato de que eles entraram em sua rede-

Clarke (18:58):
E o ransomware é um serviço, correto?

Merritt (19:01):
Sim. E a comoditização é certamente um fator. E, honestamente, o fato de que regimes de privacidade de dados tornaram realmente caro para as empresas serem excluídas por terem tido alguma violação de segurança. Havia um tipo de ransomware que de fato bloqueava seus dados e há um tipo que extrai seus dados. E mesmo que você tenha backups, eles ameaçam expor o fato de que eles tiveram acesso aos dados. E isso por si só pode ser caracterizado como uma violação, especialmente se você estiver lidando com dados regulamentados, o que todos nós fazemos. Então acho que o panorama em que isso está ocorrendo é relevante. Mas acho que, para responder à sua pergunta, não há uma solução mágica contra o ransomware. O ransomware exige que você coloque sua casa em ordem. Então tudo, desde diminuir a probabilidade de que pessoas entrem na sua casa em primeiro lugar. Então coisas como identidade e patching, privilégio mínimo e segmentação. Também ter aqueles backups imutáveis. Coisas como backup ou nuvem e porta da AWS que permitem que você tenha um novo backup no tempo restauram a capacidade de backup. 

Clarke (20:23):
Para continuar nos temas em alta, outro tema muito debatido entre clientes é o conceito de confiança zero. O que significa confiança zero e como você articula isso com os clientes e como a AWS pode ajudá-los a alcançar confiança zero quando, na verdade, isso é algo que eles precisam fazer?

Merritt (20:42):
Claro. Acho que confiança zero pode ser uma lente conceitual útil com a qual você considera seus controles de segurança. Certo? Eu acho... Então, primeiro, pergunte a qualquer pessoa o que confiança zero significa e você terá uma definição diferente. Mas, para mim, confiança zero não dá uma ideia de que essa caneca de café não está conectada à internet, mas dá a ideia de que você deve reduzir, possivelmente para zero, o nível de confiança que devemos dar a um agente na rede com base na posição dele na rede. Então é basicamente que, seja um software, seja um humano, devemos reduzir nossa dependência nessa ideia de um perímetro tradicional. Mas claro, o perímetro está morto, vida longa ao perímetro, certo? E acho que, na nuvem, mesmo na AWS, nossa abordagem não é fazer a escolha binária entre controles centrados em perímetro como uma VPN ou VPC e controles refinados e centrados em identidade que operam nesses grupos de segurança, Naples e tudo mais. Em vez disso, queremos fazer com que ambos trabalhem juntos e aumentem e estejam cientes uns dos outros. Assim, um exemplo seria uma política de endpoint da VPC em que há permissões de perímetro e refinadas. E eles estão conscientes de aumentar uns aos outros e podem ser raciocinados por meio de algumas de nossas ferramentas que são inerentes à nuvem porque estamos fazendo a infraestrutura como código. Você pode fazer a segurança como código. Assim, algo como um analisador ou inspetor de acesso pode fazer um alcance de rede sem enviar um pacote através da rede, por exemplo. Assim, a ideia de que você deveria estar acoplando esse tipo de defesa em profundidade, eu acho, mas isso soa como algo antigo. É algo como “colocar um cadeado na porta e na janela.” Não, eles servem a propósitos diferentes. E, de fato, eles são parte da mesma lógica que usamos quando raciocinamos sobre segurança.

Clarke (22:57):
Merritt, agradeço por sua presença hoje. Alguma reflexão final?

Merritt (22:59):
Sabe, acho que as pessoas vêm a mim com o que elas acham que são perguntas de CISO profundas e técnicas. Mas o que elas realmente estão perguntando é: “Como posso fazer com que minha organização tenha o ímpeto e os recursos para fazer mudanças?”. E acho que isso se resume ao investimento, literal e figurativo, que uma entidade faz para privilegiar a segurança. Então, quando dizemos que a segurança é nossa principal prioridade ou qualquer aforismo que usamos, nós não queremos que isso seja um ditado. Queremos que isso seja incorporado na cultura de tudo aquilo que fazemos. Uma das formas pelas quais fazemos isso é fazer com que Steve Schmidt responda diretamente ao CEO e que a segurança nunca seja algo ultrapassado ou ofuscado por outros interesses de negócio. Então acho que, para as pessoas que esperam conseguir emular um pouco da priorização que pudemos exibir, o caminho é fazer isso. E a forma de chegar lá é começar. E o jeito de começar é fazer com que seu negócio se alinhe com esses objetivos. E uma das formas de chegar lá ou uma das formas de habilitar sua organização a chegar mais perto disso é construir uma equipe de excelência. E acho que agora é tão clichê falar que é difícil encontrar talentos, quero que contratemos pessoas que pensem diferente e pareçam diferente e programem de forma diferente, pois isso é absolutamente a coisa certa para a indústria e a coisa certa para todo o ecossistema. Sabe, a segurança tem muitos pontos de contato com comunidades vulneráveis, com as formas que interagimos com a tecnologia, com as formas pelas quais resolvemos problemas e fortalecemos negócios e entidades. Se não for aqui, então onde será? Então eu diria que isso é um chamado para todos nós, tornar seu local de trabalho inclusivo e fortalecer suas entidades.

Clarke (25:02):
Merritt. Muito obrigado pelos seus insights e por estar aqui hoje.