Liderança que prioriza a segurança

Clarke Rodgers (00:10):
Quando você tem esse tipo de reunião privada com outros CEOs como você, que são seus clientes, o que eles perguntam? Sobre o que estão falando em termos de segurança, privacidade, conformidade e o tipo de regime regulatório existente? Você pode nos dar uma ideia sobre o que rola nessas conversas?

Adam Selipsky (00:28):
Essas são conversas muito importantes, que refletem as preocupações de muitos CEOs, e esses tópicos ressoam entre muitos deles, como é de se esperar. Gostaria de destacar algumas coisas, e uma delas é que a IA generativa é uma preocupação de todos. Recebemos muitas perguntas com os temas “Como eu penso em segurança em um mundo de IA generativa”, “As coisas estão acontecendo tão rapidamente”, “Que tipos de aplicativos ou tecnologias devo usar?”, “Como eu sei que elas são seguras” e “Como garantir a segurança dentro da minha empresa?” E a primeira parte da resposta é:

De certa forma, existe essa divisão em que as pessoas falam sobre segurança corporativa para todos esses serviços aqui e, em seguida, dizem: “Agora vamos falar sobre IA generativa”. Foi muito surpreendente para mim ver como alguns dos primeiros chatbots de IA generativa e assistentes voltados para o consumidor surgiram sem um modelo de segurança. Os dados eram divulgados na Internet, e qualquer melhoria no modelo era compartilhada por todos que usassem os modelos. É por isso que tantos CIOs, CISOs e CEOs baniram alguns desses assistentes de sua empresa por um bom tempo.

Mas isso me surpreende porque, imagine, eu chegar e falar para um CEO, CIO ou CISO que se preocupa com a segurança: “Tenho esse novo serviço de banco de dados incrível. Não há nada parecido. Você vai adorar. Acho que você deveria adotá-lo. A propósito, ele não tem nenhum modelo de segurança anexado, mas não se preocupe, porque a próxima versão será segura.” É óbvio que eu seria demitido.

Clarke Rodgers (02:20):
Claro.

Adam Selipsky (02:21)
Esperaria que fosse, pois mereceria. Então, acho que outras empresas nessa área, por algum motivo, não sei por quê, estão adotando uma abordagem diferente em relação à segurança e, de alguma forma, a consideram menos importante. E somos muito previsíveis nessa questão. Nossos serviços de IA generativa, como o Amazon Bedrock, serviço gerenciado para operar modelos básicos, têm a mesma segurança que qualquer outro serviço da AWS.

Então, essa é a primeira conversa sobre IA generativa. Há alguns outros tópicos, incluindo “Como faço para inserir uma mentalidade de segurança em minha empresa?” E acho que isso remete à cultura. Isso ecoa algumas das questões que discutimos hoje sobre liderança de cima para baixo e a transmissão de sinais pelos líderes seniores de que essa é uma prioridade. E os padrões são incrivelmente altos. Eu costumo dar conselhos para meus colegas para insistirem nos mais altos padrões, e as pessoas precisam ver o quanto os padrões de segurança são altos e que seu nível de tolerância deve ser baixo para qualquer coisa menos que esses níveis.

Clarke Rodgers (03:30):
Que conselho você daria aos seus colegas CEOs que talvez não estejam dando a devida atenção aos riscos de segurança e às questões de conformidade em suas organizações, incentivando-os a se envolverem mais nessas áreas?

Adam Selipsky (03:43)
Creio que o primeiro passo seria compreender a importância da segurança para a sua empresa e de que maneira ela se mostra relevante para o seu negócio. Penso que é simples afirmar: “Segurança é segurança, deve ser sempre a principal preocupação de qualquer pessoa”. E eu já expressei isso para a AWS. Essa é a afirmação sobre quem somos, o tipo de negócio que administramos e a confiança que nossos clientes têm em nós para executar suas workloads críticas para a missão. Mas existem outras empresas para as quais diferentes aspectos de seus negócios provavelmente apresentam um conjunto diferente de riscos e oportunidades de segurança.

Assim, ao refletir sobre “onde a segurança realmente importa na minha empresa”, isso vai me ajudar a decidir onde investir. Porque acho que pode ser muito assustador se o conceito for: “Eu tenho que investir uma quantia enorme de dinheiro em segurança, em toda a empresa, independentemente de eu fabricar equipamentos agrícolas, ter um site relevante de rede social ou ser uma startup na área de dados”.

Clarke Rodgers (04:44):
Entendi.

Adam Selipsky (04:45)
E acho que as prioridades de segurança serão diferentes. Todos esses tipos de empresas têm necessidades de segurança, e a segurança é importante, de uma forma ou de outra. Eu incentivo as pessoas a investigarem mais a fundo e descobrirem quais são as verdadeiras prioridades. E isso geralmente simplifica muito o investimento, porque você pode dizer: “Vou começar investindo mais nesse local, e depois decidiremos quais são os próximos locais para investir”. Então, essa é provavelmente a primeira coisa que eu aconselho às pessoas.

Clarke Rodgers (05:14):
Que conselho você daria aos CISOs que estão tentando informar questões de segurança e conformidade de forma significativa ao CEO, ou ao conselho de administração?

Adam Selipsky (05:26)
Vou lhe contar os conselhos que dou ao meu CISO e as solicitações que ele me faz, o que eu acho que
provavelmente se assemelhe muito ao que é relevante para outros CISOs, que é colocar a lente do cliente, um filtro do cliente em seu trabalho e nos conselhos que você dá. O trabalho do CISO é permitir que a empresa faça o que quer fazer e o que precisa ser feito para encantar os clientes e fornecer valor a eles, com segurança.

Penso que isso gera uma grande credibilidade, pois o CISO passa a ser visto como um parceiro comercial valioso, que impulsiona e capacita o negócio, em vez de ser visto apenas como alguém que precisa conceder uma aprovação.

Acho que isso muda totalmente os relacionamentos e ajuda muito a priorizar os recursos. Pela lente do cliente, você poderá constatar “Onde, de fato, será gerado risco para ele ao tomar uma ou outra ação”. Ou “Onde será gerada uma ótima oportunidade com segurança para o cliente se esta ou aquela ação for realizada”. É importante pensar dessa maneira.

A propósito, acho que o CISO também ganha uma enorme credibilidade nas ocasiões em que diz: “Preciso puxar a corda Andon. Não podemos continuar com esse processo. Precisamos consertar algo antes de retomarmos as atividades”. E se o evento for raro e você for inteligente, levará isso muitíssimo a sério.

Clarke Rodgers (07:06)
Esse é um excelente conselho. Adam, muito obrigado por tirar um tempo em meio a correria do seu dia para se encontrar comigo hoje.

Adam Selipsky (07:10)
Foi um prazer. Obrigado.