Criar uma cultura de segurança com a AWS
Uma conversa com Steve Schmidt, VP de engenharia de segurança e diretor de segurança da informação (CISO), e Jenny Brinkley, gerente sênior de segurança da AWS.
Neste destaque, nosso enfoque é a segurança, sobretudo no desenvolvimento de uma cultura de segurança positiva em sua empresa. Também revelaremos a abordagem da AWS para implementar e cultivar uma cultura de segurança positiva e como você pode fazer isso, mesmo que ainda não esteja dentro da organização de segurança.
Não estamos apenas construindo e operando uma organização de segurança que opera em uma escala que ninguém jamais viu, mas estamos construindo e operando uma cultura que é bastante incomum no mundo da segurança. E é disso de que mais me orgulho: criar a cultura certa na organização.”
O papel da definição de metas na criação de uma cultura de segurança positiva
Acreditamos muito no progresso incremental. Em vez de tentar seguir um programa de mudança radical que não é concluído depois de muitos anos, tentamos fazer com que nossas equipes realizem algo significativo em um intervalo bem curto. Visamos coisas incrementais que sejam progressivas, mensuráveis e, o mais importante, viáveis em um período de tempo relativamente curto, como dois meses.
Progressividade significa sempre progredir em direção às metas que nossas equipes de serviço e nossos clientes desejam atingir. Essa mentalidade é importante por dois motivos. Primeiro, é assim que as empresas progridem e como nossos serviços são lançados aos clientes. Segundo, é um modo de motivar as equipes de serviço a conversar conosco, em vez de nos ver como obstáculos à sua capacidade de lançar serviços ou produtos.
Não se trata do que a equipe de segurança em si deseja fazer, mas de garantir que estejamos sempre ajudando nossas equipes de atendimento ao cliente, nossas equipes internas, a progredir em direção às suas metas, suas conquistas.”
Identificar o problema para conquistar o cliente
Vamos começar definindo a palavra escalada. A escalada é o processo de garantir que as pessoas certas saibam sobre o problema no momento certo. Ela é fundamental para a eficiência na AWS. Escalada é o conceito de uma pessoa ver algo que a faça pensar: “Isto está certo?”. E então, em vez de esperar, garantimos que as pessoas certas saibam.
A escalada abrange um de nossos valores corporativos, que é o fato de que os líderes mergulham fundo e os proprietários se aprofundam nos detalhes da maneira como a empresa opera. Sem todos os detalhes, não é possível tomar boas decisões sobre o que está acontecendo e como administrar sua empresa com eficácia.
No antigo mundo da segurança, usávamos a frase “atire no mensageiro” quando um problema era identificado, o que desmotiva as pessoas a apresentar problemas. Meu trabalho como líder é agradecer às pessoas que identificaram essas coisas e nos informaram. Nós recompensamos o mensageiro e corrigimos o problema.
O que é “confiança zero” e como ela pode melhorar as coisas?
Para nós, confiança zero significa não se apoiar mais em um perímetro de rede como seu principal ponto de defesa. Reduzir o perímetro de segurança ao menor componente possível, de preferência elementos de dados individuais, se for possível chegar a esse ponto. Então, seguindo o caminho oposto, abrir o acesso a esses elementos de dados individuais, onde quer que o usuário autorizado esteja. Não é mais necessário estar em uma VPN, por exemplo, mas em uma situação na qual talvez o telefone tenha um agente que possa informar nosso sistema de autenticação e autorização que meu telefone está em um estado aprovado para aplicar patches.
E ancorar essa confiança em componentes de hardware com grande replicabilidade em sua capacidade de discernir se aquela é a pessoa certa. Portanto, para nós, confiança zero significa desenvolver um conjunto de controles que nos possibilitam permitir ou negar acesso a componentes individuais de dados para pessoas individuais com base no trabalho delas, no local, no que estão usando para acessar o dispositivo, na hora do dia, no dia da semana e na localização. E, quando feito corretamente, isso permite um controle muito melhor e mais refinado das informações.
O que perguntar aos clientes e aos funcionários ao criar uma cultura positiva
- Está feliz com a interação que acabou de ter?
- Solucionei seu problema em um tempo razoável?
- Dei a você as ferramentas para realizar seu trabalho com mais eficiência e facilidade?
Estes são os tipos de perguntas que fazemos a nós e a nossos clientes para ter certeza de como estamos sendo vistos por dentro e por fora.
Lembre seus clientes e funcionários sobre seus motivos
A coisa mais importante que gostaríamos que as pessoas levassem para casa hoje é que a empresa deve ser positiva. Deve ter a ver com o modo como melhoramos a vida das pessoas? Como podemos torná-las mais eficazes e eficientes no trabalho? E como podemos garantir que estamos fazendo um progresso incremental em direção aos nossos objetivos todos os dias, em vez de esperar uma mudança radical.
Então, para quem ainda não faz parte da organização de segurança, incentivamos você a agendar um café virtual, entender suas metas de negócios e encontrar formas de se comunicar com mais eficácia. Saiba mais sobre o que a segurança da AWS está fazendo no blog de segurança da AWS. Na BP, tentamos ser os melhores em tudo o que fazemos. Após anos de experiência na área empresarial, você começa a perceber a grande velocidade em que as coisas mudam com o mercado. Com as coisas sendo mais orientadas para a margem, a única maneira de conseguir fazer isso é alavancar a tecnologia digital, automatizar e ser o mais eficiente, enxuto e eficaz possível.
Você quer dar às pessoas as ferramentas, regras e instruções sobre como fazer a coisa certa. Consequentemente, você ficará mais satisfeito como profissional de segurança e seus clientes ficarão mais satisfeitos por poderem realizar o trabalho com mais facilidade.”
Compartilhar esta história
Leitura recomendada
Dê o próximo passo
Ouça e aprenda
Ouça os líderes executivos e os estrategistas empresariais da AWS, todos executivos experientes, debatendo as jornadas de transformação digital.
Fique conectado
O AWS Executive Connection é um destino digital para líderes de negócios e tecnologia no qual compartilhamos informações.
Assista sob demanda
Obtenha insights de outros profissionais e descubra novas formas de fortalecer a jornada de transformação digital por meio desta rede internacional exclusiva.
Inspire-se
Ouça os debates entre a AWS e líderes de clientes, as práticas recomendadas, lições e ideias transformadoras.