Escalar a conformidade e a garantia de segurança na AWS

Clarke (00:05):
Chad, muito obrigado por participar do nosso programa.

Chad: (00:07)
Obrigado por me receber.

Clarke: (00:09)
Você poderia nos contar um pouco sobre a sua carreira e o que trouxe você para a AWS?

Chad: (00:14)
Claro. Estou na AWS há mais ou menos 11 anos, trabalhando com segurança e conformidade desde que entrei para a empresa em 2010. Eu vim da EY, onde fazíamos consultoria de segurança e da continuidade dos negócios. Essa experiência foi muito boa para me ajudar no trabalho que faço hoje para a AWS, que é a conformidade da segurança.

Clarke: (00:43)
Como líder da garantia de segurança na AWS, quais são as suas principais responsabilidades?

Chad: (00:49)
Bom, nossa principal meta e missão é ajudar nossos clientes a mover dados altamente confidenciais para a nuvem, e tudo o que envolve essa migração. Precisamos provar internamente que nosso ambiente é seguro. Precisamos também auditorar a AWS, garantindo que o seu fornecedor, a AWS, é seguro. E essa é a nossa tarefa, provar por meio de auditorias, certificações e outros compromissos de auditorias diretas que o que fazemos em segundo plano, aquilo que os clientes não veem, esteja seguro e em conformidade com os diferentes tipos de padrões de regulamentação e certificação aos quais aderimos.

Clarke (01:35):
Você tem equipes internas de conformidade que trabalham para garantir que os serviços da AWS mantenham um certo padrão. Eu imagino que você também trabalhe com auditores e reguladores externos?

Chad: (01:46)
Claro. Claro. A maioria do nosso trabalho está relacionada a processos externos com auditores, reguladores, examinadores regulamentares externos e clientes que também fazem auditorias na AWS, fazendo suas próprias auditorias jurídicas.

Clarke (02:03):
Entendi. A AWS é famosa por ser a maior startup do mercado. Movemos muito rápido e lançamos produtos e recursos para os clientes, assim que eles os solicitam ou o mais rápido possível. Imagino que no seu universo você analise todos os controles, e que tudo tenha que ser perfeito. Como nós, e principalmente a sua equipe, atendemos a essa necessidade de se movimentar rapidamente e cumprimos também as metas de garantia da conformidade e da segurança?

Chad: (02:35)
Essa é uma ótima pergunta, e um constante desafio para nós. Nós definitivamente queremos manter essa cultura de se movimentar rapidamente, iterar rapidamente, lançando ótimos produtos para nossos clientes.

Chad: (02:53)
Isso às vezes vai contra o que tentamos fazer, que é garantir que os processos e controles sejam documentados, e que temos todos os controles necessários para grandes estruturas de conformidade, como FedRamp, ISO e outras, que exigem uma estrutura de controle abrangente e processos que correspondam às expectativas do setor em relação a essas práticas recomendadas. Isso às vezes representa um desafio, quando o que estamos fazendo não necessariamente condiz com o que talvez outras empresas tradicionalmente podem estar fazendo.

Chad: (03:31)
Mas a melhor parte de trabalhar aqui e de fazer parte desta equipe é que a segurança é nossa principal prioridade. E a realidade é que se você acertar com a segurança, puder investir em segurança, e todos os envolvidos estiverem alinhados, o resto da conformidade é bem simples e direto. Eu já ia dizer fácil, mas o que quero dizer é que é simples e direto, ou seja, podemos documentar, seguir o que todo mundo está fazendo e formalizar a documentação, documentar processos em sintonia com os auditores e com os reguladores.

Chad: (04:10) 
Às vezes precisamos fazer algumas coisas e precisamos aprimorar. Com o tempo, à medida que os auditores se aprofundam no que estamos fazendo, estamos ajudando também a aprimorar. Mas principalmente, como controlamos a segurança tão bem internamente do ponto de vista tático e do ponto de vista da contribuição das lideranças, nossa tarefa realmente se torna bastante direta.

Chad: (04:37)
Mas sim, nossa equipe também faz várias coisas para reduzir o peso dos processos de conformidade e das auditorias das nossas equipes de serviços. Fazemos o máximo possível em relação a isso. E, quanto mais fazemos isso, e quanto melhor nos tornamos nisso, mais podemos escalar e mais auditorias desse tipo podemos fazer para mais clientes e organizações governamentais.

Clarke: (05:00)
Que bom que você mencionou esse processo. Muito clientes têm dificuldade com isso. Eles disponibilizam certas aplicações aos clientes e precisam fazer a auditoria dessas aplicações, criá-las e colocá-las em produção, e aí a equipe de auditoria as analisam e verificam se elas atendem a qualquer que seja o padrão exigido. Eu imagino que, com a velocidade e escala com as quais nós operamos, alguns artefatos automatizados que são procedentes do processo de desenvolvimento em si, dentro da AWS, possam ajudar todo mundo.

Chad: (05:33)
Claro. Esse é um outro desafio que enfrentamos, à medida que escalamos. Quais evidências podemos coletar versus quando precisamos exigir algum tipo de compromisso com as equipes de desenvolvimento para assumir que não podemos coletar essas evidências sozinhos. Precisamos que vocês forneçam essas evidências ou que conversem com os auditores por nós.

Chad: (05:58)
Nossa capacidade de fornecer serviços, nossos serviços aos clientes que são desenvolvedores internos, serviços como a criação da documentação, a coleta de evidências, definindo mais claramente o que eles estão fazendo, como os auditores querem ver, etc. Quanto melhor fizermos isso, mais poderemos escalar e expandir nossas estruturas de conformidade para outros tipos de certificações, outros tipos de clientes e outras localizações.

Clarke (06:33):
Alguns membros da sua equipe escrevem código para ajudar a coletar evidências? E vocês desenvolvem seus próprios programas para fazer isso?

Chad: (06:40)
Boa pergunta. Essa é uma pergunta que recebo sempre dos clientes. Como estruturamos a equipe, considerando as habilidades técnicas de nossos membros?

Chad: (06:50)
Nós temos uma equipe de engenharia que faz isso. Ela é um tipo de equipe de automação do controle, como uma equipe do fluxo de trabalho que faz coisas como proporcionar a coleta de evidências, e coisas desse tipo. Essa equipe é muito importante. Ela é essencial porque em nossa organização nós lidamos com vários desenvolvedores, e precisamos falar a língua deles. Precisamos não só falar a língua deles, como também precisamos saber quais as ferramentas eles usam. Precisamos entender como eles desenvolvem código, como implementam o código, o que precisam fazer para lançar, para operacionalizar seus serviços, atualizações etc, fornecendo novos serviços. Precisamos entender isso profundamente para que então possamos criar ferramentas que se alinhem à forma como eles trabalham.

Chad: (07:45)
Acho que isso é muito importante porque muitas vezes você encontra um programa ou equipe de conformidade sem esses conhecimentos, e eles acabam desperdiçando seus esforços de conformidade, comprometendo todo o processo. E essa não é uma boa maneira de promover a escalabilidade. Não é possível escalar assim. Você pode até fazer isso, mas não poderá escalar. A única forma de escalar é incorporar a forma como eles trabalham e capacitá-los para trabalhar normalmente sem nenhuma interferência específica para a conformidade. E se tivermos sucesso nisso, então teremos um programa de conformidade altamente escalável.

Clarke: (08:39)
Isso me parece muito mais colaborativo do que algumas das histórias que eu ouço, em que as pessoas evitam a equipe de conformidade. Imagino que com isso as pessoas não evitam você na sala do café, ou algo desse tipo.

Chad: (08:49)
Esse é um ponto interessante. Muitas vezes, quando os líderes técnicos me procuram para entender melhor os requisitos e como eles podem me ajudar a apoiar a minha equipe, porque eles entendem essa parte do negócio, a conformidade. Para nós na AWS é absolutamente essencial para que nossos clientes usem nossos serviços em workloads regulamentadas. Do contrário isso não pode ser feito e, se não fizéssemos isso, não seria possível atender vários de nossos clientes. Assim, eles entendem isso e me procuram muitas vezes para ajudá-los a coordenar uma linha e obter recursos para ajudar a apoiar suas empresas.

Clarke: (09:34)
Chad, você se reuni com vários clientes, com reguladores e com auditores. Quais tendências você tem observado nesse grupos em relação a como eles veem os provedores de serviços na nuvem e como eles auditoram esses serviços?

Chad: (09:45)
Há cinco anos, eu pensei que até 2020 teríamos uma situação na qual os auditores compartilhassem as evidências e que não precisássemos mais solicitar evidências repetidamente. Mas isso não aconteceu. Eles na verdade estão retrocedendo e dizendo que as evidências são deles e que nós precisamos analisar nosso ambiente subjetivamente e objetivamente. Precisamos tirar nossas próprias conclusões. E, se você coleta evidências para outra pessoa, nós não aceitaremos isso. Precisamos fazer nossos próprios testes e nossa própria amostragem, mas infelizmente esse não é o caso. Portanto, precisamos dominar e ficar muito eficientes na geração de evidências. Nossa habilidade de gerar evidências tem crescido, mas ainda não chegamos lá... Podemos sempre melhorar, mas isso é uma coisa difícil.

Chad: (10:35)
Mas devo dizer que, em geral, as pessoas estão ficando mais espertas. Elas estão fazendo as perguntas certas, perguntas mais aprofundadas. E estamos melhorando nossas respostas, usando toda a experiência que temos com os auditores desses clientes e com os auditores regulares e externos.

Clarke: (10:53) Imagino, como você disse, que as pessoas são... A nuvem já não é mais uma novidade, certo? Ela está sendo usado por todo mundo, em todos os lugares, e portanto as pessoas estão tendo muito mais experiência com a nuvem e sabendo melhor as perguntas a serem feitas. Eu sei que temos ferramentas voltadas ao cliente, como o AWS Artifact, que permite aos clientes analisar certificados de outros fornecedores. Vocês disponibilizam mais alguma coisa para os reguladores? Eles podem ou não ser também clientes, para ajudar a satisfazê-los?

Chad: (11:23)
Claro.

Clarke: (11:24)
Em relação aos controles?

Chad: (11:26)
Bom, eu diria que os clientes estão usando a AWS, e que estão validando a cadeia de suprimento dela. Esses tipos de auditoria são muito diferentes porque elas precisam contextualizar como eles usam a AWS em relação ao que fazemos por trás, o que eles não podem observar. E os ajudamos com isso. Essa é uma conversa mais direta do que com um regulador que não é um usuário da AWS. Eles começam a fazer perguntas sobre como eles acham que deveríamos gerenciar riscos e coisas desse tipo. Isso é um pouco mais desafiador porque não sabemos o contexto do uso, certo?

Chad: (12:10)
Então, quando os clientes nos pedem, é realmente uma ótima parceria. Eles nos contam como estão usando a AWS. Eles basicamente nos explicam como precisam articular o uso e a cadeia de suprimentos do uso para os reguladores. E assim podemos ajudá-los e direcioná-los para o caminho adequado. E essa é uma parceria boa e positiva.

Chad: (12:35)
Os reguladores são um pouco mais abrangentes e fazem perguntas sem esse contexto. É um desafio diferente. Mas... Uma das lições que aprendemos nos últimos anos foi tratar nossos auditores, nossos reguladores e os auditores de nossos clientes como parceiros reais. E, como você falou antes, muitos clientes e pessoas em geral não querem lidar com a conformidade. Os reguladores chegaram. Não, fechem as portas! Todo mundo calado, ninguém fala nada... E isso realmente cria barreiras entre as duas organizações. E eu acredito que essas barreiras existam em todo lugar, principalmente em grandes bancos e seus reguladores, ou nos provedores de saúde e seus reguladores.

Chad: (13:26)
Às vezes... o nível de parceria varia. Nossos clientes que têm uma parceria verdadeira com esses examinadores e auditores se ajudam porque esses examinadores e auditores são também os clientes deles, mesmo se não estiverem usando a AWS, eles são clientes e precisam entender e realizar algumas coisas. E, quanto mais proativos formos em ajudá-los a realizar o que eles precisam, mais rápido será o processo e melhor a experiência. Portanto, nós aprendemos a lição: ser um parceiro verdadeiro e nos envolver com eles de forma positiva é, sem dúvida, a melhor forma e a única maneira de escalar isso no futuro.

Clarke: (14:12) 
Quais os tipos de mecanismos, materiais de treinamento e materiais educacionais você disponibiliza aos reguladores e auditores terceirizados, para que eles entendam a nuvem melhor e como fazer uma auditoria melhor dela?

Chad: (14:28)
Acredito que hoje os auditores já não chegam mais sabendo nada sobre a nuvem. Acho que foi em 2012, o gerente do S3 estava em uma reunião de auditoria e os auditores perguntaram o que era S3. Mais tarde ele me perguntou por que eles estavam fazendo perguntas tão básicas. Acho que isso já não acontece mais.

Chad: (14:54)
Existem muitas informações disponíveis. Temos a academia da nuvem, materiais que nós desenvolvemos, um treinamento agnóstico, além de treinamentos específicos da AWS. Existem milhares de treinamentos melhores, conhecimentos e entendimentos sobre a nuvem disponíveis. Não começamos mais do zero. As pessoas já chegam com algum conhecimento básico.

Chad: (15:21) 
Pensamos então que precisamos de ajuda para continuar atualizando esses examinadores e auditores, e temos materiais internos para isso. Temos o que chamamos de Digital Audit Symposium, que conta com várias narrativas de controle, além de apresentações feitas por controladores e gerentes gerais, explicando como eles operam o serviço em relação aos controles. Temos tudo isso disponível mas, como eu disse antes, o auditor fará suas próprias perguntas e aprofundará mais da sua própria forma, e precisamos nos preparar para responder essas perguntas prontamente, como se fosse uma entrevista. E esse é o tipo de padrão do setor. Mas estamos melhorando à medida que escrevemos mais narrativas, pois sempre que alguém nos fizer uma pergunta muito aprofundada e específica, escreveremos uma narrativa sobre ela. Assim, da próxima vez que outra pessoa fizer a mesma pergunta, teremos uma narrativa pronta, para que possa ser lida e entendida facilmente.

Clarke: (16:25)
Chad, muito obrigado por participar do nosso programa.

Chad: (16:27) 
Obrigado por me receber, Clarke.