O papel do CEO na liderança de segurança

Clarke Rodgers (00:05):
A liderança de segurança precisa começar do topo. Quando a diretoria se reúne para discutir a estratégia de negócios, a segurança não só precisa fazer parte, mas ser a primeira prioridade de todos.

Meu nome é Clarke Rodgers, Diretor de estratégia empresarial da AWS e seu guia para uma série de conversas com líderes de segurança da AWS aqui no Executive Insights.

Meu convidado de hoje dispensa apresentações: Adam Selipsky, CEO da AWS. Acompanhe a conversa sobre como a cultura de segurança foi estabelecida pela primeira vez na AWS, como é a comunicação entre o CEO e o CISO, além de como Adam apoia iniciativas de segurança desde o topo. Agradecemos por se juntar a nós.

Clarke Rodgers (00:46):
Adam Selipsky, CEO da Amazon Web Services. Agradecemos muito pela sua participação.

Adam Selipsky (00:50):
É um prazer estar aqui.

Clarke Rodgers (00:51):
Vamos voltar um pouco na história. Estamos em 2005. Você teve a permissão de Jeff Bezos de seguir em frente com esse pequeno experimento chamado “AWS”. Como você abordou essas primeiras conversas sobre segurança com os clientes? Posso imaginar que muitos clientes naquele momento disseram: “O que é nuvem?”, “O que é computação distribuída?” Eles podem nem ter dito isso, mas quais conversas sobre segurança aconteceram naquele momento?

Adam Selipsky (01:22)
Era um conceito muito novo e claro que para muitas pessoas não era intuitivo que você entregasse suas cargas de trabalho e as executasse “em algum lugar por aí”. É por isso que se chama nuvem, porque está em algum lugar por aí. Então, é compreensível que tenha exigido muita explicação, mas realmente começou a fazer sentido para as pessoas quando explicamos alguns dos fundamentos, o maior deles foi que a Amazon teve que se tornar muito boa em tudo isso porque não existia a AWS.

Clarke Rodgers (01:49):
Claro.

Adam Selipsky (01:50)
Portanto, a Amazon tinha que ser muito boa em administrar uma infraestrutura altamente escalável, altamente disponível, altamente econômica e, é claro, muito disponível e segura operacionalmente. Realmente nos baseamos em toda a experiência dentro da Amazon, que estava operando em uma escala em que, mesmo naquela época, poucas empresas estavam operando, para construir a AWS. Uma das grandes premissas era que havia um monte de trabalhos pesados sem diferenciação. Às vezes, chamávamos isso de “sujeira” da infraestrutura. A maioria das empresas realmente não precisaria ser boa em infraestrutura.

Se você está vendendo automóveis, transmitindo filmes, descobrindo medicamentos, por que deveria ser bom em administrar uma enorme infraestrutura, mantê-la disponível e segura, com baixo custo, seguir em frente e ser inovadora? Esse, é claro, era o negócio da AWS.

Clarke Rodgers (02:50):
Certo.

Adam Selipsky (02:51)
Então, fazia sentido sermos muito bons em todas essas coisas. Como um dos principais elementos disso, realmente explicaríamos nossa abordagem de segurança, que era basicamente a tarefa mais importante da AWS.

Eu faço questão de falar muito sobre isso porque é mais importante do que qualquer outra coisa que fazemos. Na verdade, fomos muito claros desde o início. Costumávamos dizer que havia poucos eventos que poderiam causar a extinção da AWS, mas o problema de segurança errada era uma das poucas coisas que poderiam ser um evento de extinção para a empresa, especialmente no início. Levamos isso muito a sério.

Clarke Rodgers (03:44):
Então, isso impulsionou certos comportamentos nas equipes de produto enquanto elas desenvolviam novos serviços, como SQS, S3 e EC2?

Adam Selipsky (03:54):
Conseguimos realmente ter a maior e a melhor segurança com um modelo de propriedade muito bem definido. Poderíamos chamá-lo de matriz. Portanto, temos uma equipe de segurança de grande porte, altamente especializada, absolutamente superior e de classe mundial. Temos milhares de pessoas dedicadas apenas à segurança. Poucas empresas podem dizer isso, pois não é viável economicamente para a maioria das empresas fazer isso.

Portanto, nossa equipe de segurança, nossa equipe centralizada de segurança da AWS, desenvolve muitos recursos técnicos e tem muitos especialistas para ajudar na auditoria, no aconselhamento e na condução da estratégia. Ao mesmo tempo, nossas equipes de serviço, EC2, S3, DynamoDB, Connect, Amazon Bedrock, seja qual for, são todas 100% proprietárias da segurança delas. Isso não é terceirizado para a equipe de segurança.

Então, se houver um problema com um de nossos serviços, a gerência geral desse serviço estará totalmente envolvida, assumindo a responsabilidade e guiando o caminho. E, claro, terá a parceria total da nossa equipe de segurança. Acredito que incorporar essa segurança à cultura da nossa equipe de serviço garante que, na verdade, a incorporemos ao serviço. Isso é essencial. Nós a incorporamos ao serviço desde o primeiro dia, não depois. É claro que estamos sempre aprimorando a segurança, mas fundamentalmente incorporamos segurança sólida e de nível corporativo em tudo o que fazemos em qualquer serviço desde o momento em que começamos a desenvolvê-lo.

Clarke Rodgers (05:43):
Isso faz muito sentido porque o proprietário do serviço está mais próximo do que está construindo. Então, ele sabe quais são os riscos, etc., envolvidos neste...

Adam Selipsky (05:52)
Bem, nenhum problema de segurança será introduzido por uma equipe central de segurança. Eles seriam introduzidos involuntariamente pela sua própria equipe. Portanto, é melhor que sua própria equipe seja a primeira a identificá-lo e corrigi-lo. Realmente adotamos a abordagem de dupla segurança com um conjunto muito robusto de recursos da nossa equipe de segurança.

Clarke Rodgers (06:09):
Com certeza. Então, 17 anos e meio depois do lançamento inicial, como está a segurança? Quando digo segurança, também me refiro a conversas sobre risco e conformidade. Como eles evoluíram em suas interações com os clientes?

Adam Selipsky (06:26)
Acho que a conversa sobre segurança começou com “Isso realmente poderia ser seguro?” Claro que abordamos isso. Superamos isso rapidamente. Penso que houve alguns momentos importantes em que a Netflix anunciou que sim. Embora sejam extremamente capazes de desenvolver qualquer um desses recursos, decidiram não fazer isso. Quando eles anunciaram que, basicamente, abandonariam o negócio de data center e colocariam toda a sua infraestrutura na AWS — o que implicitamente significava toda a segurança, toda a disponibilidade — acho que muitas pessoas pensaram no assunto. Isso mudou o teor das conversas.

Várias agências governamentais, incluindo membros proeminentes da comunidade de inteligência do governo dos EUA, disseram publicamente que a AWS oferecia uma segurança melhor do que em seus próprios data centers. Novamente, muitas pessoas, incluindo grandes empresas, bancos, empresas farmacêuticas, etc., pensaram no assunto. Então, como você tinha grandes clientes dizendo: “Esse é um ótimo modelo de segurança, vamos confiar essas funções à AWS”. Acho que muitas outras empresas consideraram nossos serviços.

Clarke Rodgers (07:35):
Então, no ano passado, na segunda temporada da série, tive o privilégio de entrevistar o CISO da AWS. Conversamos sobre mecanismos de segurança, o que funciona em grandes organizações e o que não funciona tão bem. Um dos mecanismos mais eficazes a que ele se referiu foi a reunião semanal entre o CEO e o CISO na AWS. Ele disse que isso define o tom para o resto da organização. Mantém o CEO informado sobre o que está acontecendo no campo da segurança. Mantém o CISO informado sobre o que é importante para o CEO.

Então, minha pergunta é que eu adoraria ouvir sua perspectiva sobre essa reunião. Não como um profissional de segurança, mas sua perspectiva como líder de negócios. Como essa reunião funciona para você?

Adam Selipsky (08:20):
Nesse caso específico, um de nossos muitos mecanismos de segurança é a reunião semanal que eu e o Diretor de segurança da informação, Chris Betz, dirigimos em conjunto. Como você mencionou, isso envia um sinal cultural. Portanto, é uma reunião semanal, sem brincadeira. Nós priorizamos isso. O conteúdo é incrivelmente simples. Analisamos os três principais problemas de segurança que surgiram na última semana.

Sempre realizamos a reunião, sempre há duas ou três delas. Algumas vezes podem ser mais “interessantes” do que outras, mas nunca deixamos de fazê-la. Sempre examinamos as melhores e inspecionamos profundamente. Então, não é uma apresentação. No estilo da Amazon, há um documento escrito, um resumo escrito do problema de segurança. Ele foi cuidadosamente examinado antes da reunião, está completo e contém exatamente onde estamos e as próximas etapas exatas sobre esse problema de segurança. As pessoas da equipe de serviço apropriada e, claro, da equipe de segurança, qualquer pessoa diretamente envolvida, estão todas nessa reunião.

É definitivamente educacional. Às vezes é confortável e às vezes, sinceramente, menos confortável porque levamos isso muito a sério. Se notarmos algum problema que precise de correção, algum comportamento que precise ser mudado, alguma coisa que precisemos fazer de forma diferente tecnicamente para garantir os resultados que queremos, somos muito abertos sobre eles na reunião. Então, acho que isso também envia um sinal cultural de que levamos isso absolutamente a sério. Assim, podemos nos aprimorar de forma técnica. Acredito que também é importante culturalmente reforçar que, de fato, a segurança ainda é a tarefa mais importante na Amazon.

Clarke Rodgers (10:13):
Mudando um pouco de assunto, vamos falar da sua linha de líderes de negócios. Como você os responsabiliza pela segurança de seus serviços específicos ou de outros negócios que estão executando dentro da AWS?

Adam Selipsky (10:24)
Bem, em geral, eles mesmos se responsabilizam. Essa é a cultura que construímos, que é de longe uma resposta melhor do que outra pessoa tentando responsabilizá-los. Então, acho que com a cultura que construímos em torno da segurança, com o claro modelo de propriedade que estabelecemos, onde isso realmente faz parte do trabalho diário deles, não é uma coisa adicional. Com mecanismos como a reunião semanal de segurança, da qual, é claro, eles participam se a equipe deles tem um problema naquela semana, acredito que podemos fortalecer vários pontos e impulsionar a tomada de responsabilidade deles. É realmente muito mais fácil, muito melhor assim.

É importante ter a equipe de segurança centralizada. Eles são os verdadeiros especialistas em segurança de tudo e qualquer coisa. Eles analisam as melhores práticas em todas as nossas equipes. São eles que podem garantir que, se houver alguma equipe em que suspeitemos que precisamos fazer algo diferente em relação à segurança, eles possam conversar com os líderes dessa equipe, sejam eles líderes técnicos ou comerciais. Então, eu realmente acho que é ter esses vários mecanismos reunidos que coloca a propriedade sobre essa equipe.

Nas raras ocasiões em que há um problema com a equipe, fica imediatamente evidente que esperamos que essa equipe entenda o problema e resolva o problema. É claro que eles receberão ajuda de quem precisarem, mas eles são os proprietários dele.

Várias agências governamentais, incluindo membros proeminentes da comunidade de inteligência do governo dos EUA, disseram publicamente que a AWS oferecia uma segurança melhor do que em seus próprios data centers. Novamente, muitas pessoas, incluindo grandes empresas, bancos, empresas farmacêuticas, etc., pensaram no assunto. Então, como você tinha grandes clientes dizendo: “Esse é um ótimo modelo de segurança, vamos confiar essas funções à AWS”. Acho que muitas outras empresas consideraram nossos serviços.

Clarke Rodgers (11:53):
Acho que esse é um ponto muito importante a ser destacado: ter essa propriedade do líder de negócios sobre a segurança, bem como sobre a funcionalidade do produto que está criando e sobre as P&L. Muitos de nossos clientes têm essas responsabilidades separadas e, às vezes, há um problema por causa disso, mas ter esse caminho único de propriedade é fantástico.

Adam, agradeço muito por reservar um tempo de seu dia agitado para se encontrar comigo hoje.

Adam Selipsky (12:16):
É um prazer. Agradeço.