Repensar as operações de segurança e conformidade na AWS

Clarke: (00:05)
Chad, muito obrigado por participar de nosso programa.

Chad: (00:07)
É um prazer estar aqui.

Clarke: (00:09)
Poderia nos contar um pouco sobre sua carreira e o que trouxe você para a AWS?

Chad: (00:13)
Sim. Estou na AWS há mais ou menos 11 anos, trabalhando com segurança e conformidade desde que entrei para a empresa, em 2010. Eu vim da EY, onde fazíamos consultoria de segurança e de continuidade dos negócios. Essa experiência foi muito boa para me ajudar no trabalho que faço hoje para a AWS, que é a conformidade da segurança.

Clarke: (00:43)
Como líder da garantia de segurança na AWS, quais são suas principais responsabilidades?

Chad: (00:50)
Bom, nossa principal meta e missão é ajudar nossos clientes a migrar dados regulamentados e altamente confidenciais para a nuvem, e essa migração envolve muitas coisas. Precisamos provar internamente que nosso ambiente é seguro. Precisamos também auditorar a AWS, garantindo que o seu fornecedor, a AWS, seja seguro. E essa é a nossa tarefa, provar por meio de auditorias, certificações e outros compromissos de auditorias diretas que o que fazemos em segundo plano, aquilo que os clientes não veem, é seguro e está em conformidade com os diferentes tipos de padrões de regulamentação e certificação que seguimos.

Clarke: (01:34)
Você conta com equipes internas de conformidade que trabalham para garantir que os produtos da AWS mantenham certo padrão. Também trabalha com auditores e reguladores externos?

Chad: (01:47)
Sim. Sim. A maior parte de nosso trabalho está relacionada a processos externos com auditores, reguladores, examinadores regulamentares externos e clientes que também fazem auditorias na AWS, realizando a devida diligência conosco.

Clarke: (02:03)
No mundo da segurança, de uma perspectiva ampla, é muito difícil encontrar, contratar, treinar e reter funcionários de segurança talentosos. Imagino que aconteça a mesma coisa com profissionais de garantia de segurança e conformidade.

Chad: (02:18)
Tem razão. Sim.

Clarke: (02:20)
Poderia falar um pouco sobre como você prepara os recém-contratados, depois como os mantém engajados e como faz com que a garantia de segurança seja um lugar em que as pessoas queiram trabalhar?

Chad: (02:33)
Sim. Vou retroceder um pouco e dizer que a dificuldade de contratar funcionários qualificados em segurança técnica hoje é que estamos competindo com alguns serviços excelentes voltados ao público. E estamos todos tentando contratar as mesmas pessoas, como desenvolvedores, designers de sistemas e profissionais assim. Precisamos competir.

Chad: (03:00)
E muitas vezes, em nosso mundo, fazemos um bom trabalho, mas nada acontece, certo? Não há violações, não há escaladas, simplesmente nada acontece. Mas quando você presta serviços muito bons, algo acontece. Lançam um produto, todo mundo fica empolgado, há geração de receita, há envolvimento do cliente... E estamos competindo com isso, mas o que temos, o que os profissionais de segurança têm, é um aspecto de realmente ser bom, como... Não como cidadãos corporativos... É como contribuir bem para o bem geral da segurança de todo o setor.

Chad: (03:49)
Há um aspecto disso no que estamos fazendo aqui, estamos desenvolvendo processos internos que externalizamos, serviços internos que externalizamos, ajudando toda a nossa base de clientes a melhorar a segurança e a conformidade. Então há esse aspecto. E o tipo de pessoa que realmente valoriza isso se sai muito bem em nossa equipe e adora trabalhar na área de conformidade. Sim. Ninguém na faculdade pensa: “Quero ser auditor. Quero ser engenheiro de conformidade”. Ninguém diz isso, mas quando chegam à equipe e percebem o que estamos fazendo e como estamos ajudando os clientes, é uma proposta de valor muito, muito ampla para toda a nossa base de clientes e não apenas para aqueles que usam serviços específicos. Então isso acontece, e é algo que temos e de certa forma desenvolvemos.

Chad: (04:40)
Quando contratamos, muitas vezes, não contratamos pessoas com o currículo de conformidade tradicional, talvez por causa da animosidade tradicional que talvez tenham com as equipes de serviço ou desenvolvedores. Não queremos isso mesmo. Queremos fugir disso. Então não há muitas pessoas. Algumas pessoas têm um grande ímpeto de fazer isso do jeito certo e escalar, mas tradicionalmente talvez não sejam tão técnicas. Portanto, não têm o perfil de nossa organização.

Chad: (05:21)
Mas quando contratamos quem tem... Eles necessitam de dois princípios de liderança da Amazon para se sair bem. O primeiro é aprender e ser curioso. Precisam ser capazes de ser curiosos e entrar no fluxo de trabalho dos desenvolvedores para entender quais ferramentas estão usando. Como eu disse, entender como realizam o trabalho. É necessário ter muita curiosidade técnica para poder fazer isso corretamente.

Chad: (05:54)
E o segundo princípio de liderança necessário é inventar e simplificar, pois estamos fazendo coisas e inventando maneiras de fazer conformidade como ninguém jamais fez. E sei porque, quando perguntamos a colegas em outros fóruns e conferências, não há ninguém que tenha de lidar com a escala com a qual temos de lidar. Assim, precisamos inventar nossas próprias ferramentas e nossos próprios serviços para desenvolvedores. Eu diria apenas que esses são os dois tipos de princípios de liderança realmente necessários para nós.

Chad: (06:29)
E à medida que trazemos pessoas, as contratamos de todas as partes. Um de meus melhores funcionários era engenheiro elétrico. Ele fez faculdade, formou-se em engenharia elétrica e fez outra coisa na área de engenharia elétrica e depois veio porque ficou muito, muito curioso sobre nosso trabalho e viu a proposta de valor. Ele foi um de nossos melhores funcionários. E é desse tipo de coisa que gostamos.

Chad: (06:57)
Gostamos de um pouco de diversidade de formação e de experiência. Contamos com uma equipe bastante diversificada nesse sentido, o currículo, o modo de pensar, as origens, tudo isso é muito, muito diferente. E isso beneficia a organização porque podemos pensar de forma inovadora. Podemos pensar em formas de escalar. Quanto mais envolvo a equipe, mais ela se envolve nesse aspecto, em que faz coisas líderes de mercado, escalando em taxas sem precedentes para diferentes atividades e diferentes processos. Eles ficam empolgados com isso. Como todos nós. Eu fico, pois estamos abrindo o caminho e exercendo liderança de pensamento nesse âmbito.

Chad: (07:45)
Outra coisa empolgante é que isso também se aplica a muitos de nossos clientes. Há mais coisas que estamos fazendo que podem beneficiar os clientes do que as pessoas imaginam. E estamos trabalhando muito não apenas no desenvolvimento desses processos e dessas ferramentas e facilitadores, mas também tentamos externalizá-los por meio de nossos outros serviços para ajudar nossos clientes a aproveitar as lições que aprenderam.

Clarke: (08:14)
Chad, os últimos 18, 24 meses foram difíceis para todos com a pandemia e as pessoas tendo de trabalhar virtualmente, em casa e em cafeterias etc. De que maneira esse trabalho remoto afetou sua equipe e a capacidade de fazer o trabalho cotidiano? Depois, acrescente os recursos e serviços que sua equipe faz para auxiliar as diferentes equipes de desenvolvimento existentes.

Chad: (08:35)
Há certos aspectos tradicionais das auditorias que não fazem sentido, como visitar um datacenter. Em muitos aspectos, os auditores desejam visitar o datacenter principalmente porque podem marcar como uma tarefa concluída. Ou querem se encontrar pessoalmente porque precisam marcar que concluíram a tarefa, quando na verdade poderiam obter as informações necessárias em outro lugar. Como um acompanhamento de datacenter, nossos datacenters são tão instrumentados que podemos coletar qualquer evidência necessária, inclusive captação de câmeras, remotamente. Por que seria necessário ir até o datacenter? Na verdade, ir até o datacenter não ajuda a fazer isso.

Chad: (09:12)
Antes da pandemia, havia todos esses tipos de compromissos que, de fato, não eram necessários e tomavam muito tempo, principalmente viajar para datacenters do mundo todo. E quando precisamos coordenar um acompanhamento de datacenter em Singapura. Isso leva uma semana inteira de um grupo inteiro, do tempo dos auditores e do nosso.

Chad: (09:40)
Aí veio a pandemia, e não conseguimos fazer nada disso. No início, os auditores tinham muita dificuldade em dizer: “Não vou ao datacenter”. Mas o que fizemos foi trabalhar com eles e dizer: “Sabem como dizemos a vocês o quanto somos instrumentados?” Sim. Vou mostrar como você pode realizar remotamente todos os procedimentos que faria pessoalmente e por meio de uma sala de leitura virtual, análise de documentos e entrevistas por videoconferência. E com amostragem, não é necessário estar lá para baixarmos a tabela do sistema que descreve algo que se deseja analisar. Podemos fornecer a você dessa forma segura e mostrar a cadeia de custódia de como baixamos e tudo mais.

Chad: (10:31)
Ao forçar todos a isso, todas as nossas auditorias se tornaram muito mais eficientes. Conseguimos agilizar as auditorias. Conseguimos não apenas realizá-las com mais rapidez e eficiência, mas também conseguimos fazer muitas coisas diferentes em paralelo, que normalmente teríamos de fazer em sequência, por causa de todas as viagens. Então, há muitos benefícios para as auditorias em si.

Chad: (10:56)
Além disso, conseguimos repensar o que realmente é necessário para validar os relatórios de controle ou validar os processos de controle. Em muitos aspectos, a pandemia nos permitiu recuar, e talvez tenha nos obrigado a recuar, e forçou os auditores a recuar e a repensar como estão obtendo a garantia em nosso ambiente.

Chad: (11:26)
Dedicamos tempo para desenvolver mais ferramentas. Temos maneiras diferentes de realizar, como eu disse, um acompanhamento de datacenter. Já existe uma visita virtual para acompanhamento de datacenter. Mencionei o simpósio de auditoria digital, que é, em vez de colocar todo mundo em uma sala e palestrar, agora temos um lugar virtual para isso com vídeos e coisas do tipo. Assim, eles podem fazer isso sob demanda em seu próprio fuso horário, e não temos de chamar os líderes de equipe de serviço e os gerentes gerais para apresentar aos clientes basicamente as mesmas informações repetidas vezes. Isso tornou esse tipo de auditoria e outras interações e eventos educacionais que temos muito mais eficientes.

Clarke: (12:17)
Parece que é quase uma auditoria como serviço?

Chad: (12:21)
Auditoria como serviço ou simplesmente focar o que importa. Será que as coisas tradicionais que fizemos por 20 anos realmente são necessárias? Algumas não eram. E assim conseguimos fazer a coisa certa, realizar os procedimentos certos e avaliar os controles certos.

Clarke: (12:44)
Impressionante! E se mudarmos um pouco o direcionamento para a perspectiva do cliente. Sou um cliente e vou iniciar um programa de garantia de segurança. Claramente, não vou começar o primeiro dia no nível e na escala da AWS, mas como um cliente faria para ser auxiliado em seus próprios programas de garantia de segurança interna? Você falou sobre ter equipes de desenvolvimento. Não é uma “operação padrão” que vejo em qualquer um de nossos clientes. Alguns dos maiores estão começando a pensar dessa forma. Mas como o cliente estabelece essa base com a liderança sênior para dizer que isso é importante e que esse é o tipo de investimento que devemos fazer?

Chad: (13:24)
Esta é uma boa pergunta e acho que é diferente para muitos clientes. A maioria dos clientes tem alguma situação exclusiva para seus negócios que diferencia a proposta de valor de segurança e conformidade.

Chad: (13:38)
Em geral, obviamente a segurança é importante e a conformidade é completamente essencial em muitos aspectos. E é necessário desenvolver o programa. Todos precisam de um programa de segurança. Todo mundo precisa de um programa de conformidade. Seja conformidade de segurança, seja conformidade jurídica ou de qualquer outra coisa, é preciso estar em conformidade com as leis para continuar fazendo negócios, certo?

Chad: (14:05)
Mas eu diria que provavelmente a primeira coisa... Em primeiro lugar, existe a atividade de vender o fato do valor de um programa de segurança e conformidade para a liderança, e acho que deve ser uma decisão de negócios, certo? Ninguém necessariamente deve ter a obrigação ou o trabalho de tentar convencer toda uma equipe de liderança de que é importante ter segurança. Levar a segurança a sério deve ser uma decisão no nível do CEO.

Chad: (14:46)
Então, depois que você decidiu isso, entende o valor e quer investir nele, como fará isso? Eu ia dizer exatamente isso enquanto falávamos um pouco sobre entender os processos reais, em nosso caso, dos desenvolvedores. Esse provavelmente deve ser seu primeiro foco. A maioria das pessoas começa se perguntando: “Que frameworks de controle nós temos? E quais são os controles que precisamos cumprir? Primeiro, documentaremos esses controles e depois iremos aos negócios dizer que precisam fazer essas coisas ou atingir essas metas”.

Chad: (15:25)
Se, em vez disso, você se aprofundar em como seus negócios funcionam, seja qual forem os negócios. Em nosso caso, trata-se de um monte de desenvolvedores, certo? Como trabalham, como realizam os trabalhos, quais ferramentas usam, todas essas coisas são super importantes porque precisamos entendê-las a fundo para podermos introduzir algo novo. Muitas vezes não precisamos introduzir nada de novo graças ao modo como o trabalho está sendo feito. Ou faremos o trabalho de interpretar os frameworks de controle de como estão fazendo o trabalho. E essa atividade, não importa em que tipo de negócios você esteja, unir o que eles estão fazendo e como estão fazendo com o que é necessário e que tipo de interpretação poderá ser necessário aplicar à organização, essa atividade é a mais importante.

Chad: (16:24)
E provavelmente é a primeira coisa que você precisa fazer para obter uma grande parceria entre a equipe de conformidade, a equipe de segurança e os negócios. Muitas vezes, fazemos de trás para frente. E acho que isso tem sido o segredo de nosso sucesso, não apenas no início, mas também na continuidade. Só temos sucesso contínuo porque nos aprofundamos muito no modo como os desenvolvedores da AWS criam, desenvolvem, implantam e mantêm software, e todo o resto gira em torno disso.

Clarke: (16:59)
Chad, muito obrigado por participar de nosso programa.

Chad: (17:01)
Foi um prazer estar aqui. Obrigado, Clarke.