開發和衡量現代安全營運組織

Clarke (00:04)：
Hart，非常感謝您參加我們今天的討論。

Hart (00:06)：
感謝您邀請我，Clarke。

Clarke (00:08)：
那麼，您能否花點時間跟我們說說您的背景，您是如何來到 AWS 的，以及您目前的職務是什麼？

Hart (00:14)：
好的。在 AWS 之前，我在國防承包商情報領域工作，做很多系統整合方面的工作，我確實很喜歡這項任務，喜歡為美國政府和世界各地政府提供支援，以及他們所做的事情和一些受監管產業也是如此。但我始終要確保這份名單受頂級安全公司的保護，對吧。在我職業生涯的早期，這些主要針對消費者。就像桌面上的防毒軟體、個人防火牆之類。但隨著時間的推移，這份名單則遷移至提供基礎設施的公司，以確保世界運轉。例如 Amazon 這樣的公司，以及其他大型基礎設施供應商。而我處於職業生涯的某個階段，正致力於尋找下一步行動。我想去真正在安全方面進行創新的地方。這不僅能夠對少數非常重要的客戶產生影響，而且對整個世界都是如此。因此，我抓住機會來到 AWS。

Clarke (01:12)：
您目前在 AWS 的職位是什麼？

Hart (01:14)：
目前，我是安全和基礎設施全球專業實務及專業服務主管，這有點拗口。但其實，我的任務是幫助客戶建立信心和技術能力，以便在雲端中透過我們操作他們最敏感的工作負載。

Clarke (01:33)：
謝謝 Hart。…我們稍微切換下角度，從客戶的角度出發。我們的客戶資訊安全執行長，他們一直尋找安全人才，而這類人才又不易找到。 當您缺乏安全人才時，您會給客戶組織的資訊安全執行長或其他招聘經理提供哪些類型的建議，以尋找合適的人員，即使他們可能不具備您所尋求的深厚安全技能？

Hart (02:02)：
是的，我認為這很大程度上取決於企業文化。 而且，我們經常發現自己會處於兩種不同的對話中。一是引入深厚的技術工程資源，然後開發一個程序，讓他們可以適應任何新技術，例如 Lambda、容器或 KS。亦或是它的安全方面。因此，引入深厚的技術工程資源，幫助他們了解如何安全地建置、如何安全地思考，或者比如說，如何從威脅模型開始每個衝刺以產生您的使用者案例，然後您繼續衝刺，而不僅僅是產品經理提出的功能需求。  就是這類技能。當然，另一方面，安全社群中的其他領域同樣也有很多真正有才華的安全人員。 因此，他們可能是在稽核中，可能在合規中，也可能在其他領域；因此，這就為我們提供了一個契機，可將他們引入安全社群的不同領域並允許他們 (如果他們有興趣增強技術性) 開發那些工程技能，開發這種產品開發、產品管理技能。這確實非常有用。我經常提到的一點，同樣也是我們團隊正在尋求的，創意類型往往是最成功的。橫向思考家、藝術家、詩人。隨著時間的推移，他們往往非常擅長進行此類調整。其並不會對任何人形成刻板印象，不過這種靈活性、敏捷性和思維方式通常可讓他們很快就產生創意。

Clarke (03:38)： 
客戶似乎確實正不斷轉向安全工程，將安全性融入其管理的應用程式和基礎設施中。如您所知，安全還有另一個方面，即營運安全，且其僅為確保一切按正常運作，讓我可在此看到紅色標記，讓我對此做出回應，等等。工程思維方式與營運思維方式之間的適當平衡是什麼？

Hart (04:04)：
是的，這是一個非常重要的問題。實際上，我花了很多時間與資深主管討論這個問題，因為當他們處於旅程早期階段時，不僅涉及雲端，我認為還與應用程式現代化相關，而他們中的許多人都如此操作，且無論是否使用 AWS 介入。重點通常放在開發營運的開發部分。因此，他們確實在思考，如何更好地建置和部署其工作負載？ 他們未必會考慮整個營運部分。然後，當您新增安全營運時，確實需要處理一個非常特殊的細微差別。我發現其中有一點非常實用，當我們開始談論營運時，我們就無法再切實探討計劃和行動了。在遷移過程中的很多時候，在新的工作負載建置過程中的很多時候，它確實非常程式化。 您有一個產品經理，您也有一個遷移負責人，但是當我們談論安全營運時，您必須全天候提供可靠性、安全性及感應與回應活動，而且這些活動都內含傳統營運重視思維方式。現在，我們不再需要受限於真實的實體營運中心。因為，我們在雲端中設定了系統，可以幫助我們做同樣的事情。不過，我們需要改變這種執行思維方式。簡單而言，就是說在營運中，通常哪些指標對您很重要？ 我們討論了遷移，也討論了開發。我們知道什麼對您至關重要以及成功是什麼樣的，但是從指標的角度來看，您認為怎樣才算是安全營運？ 一旦我們展開了對話，我們通常可以很容易就了解它的概況，現在開始從安全的角度出發，以一種有意義的方式整合開發與營運。

Clarke (05:50)：
所以，我會提出這個非常重要的問題，即從營運的角度來看，客戶通常在尋找哪些關鍵指標？

Hart (05:57)：
是的。這同樣取決於他們的目標和目的。其中一個要關注的指標就是駐留時間。擁有不可改變的基礎設施最酷炫的一點就是，您可以為雲端中的整個資料中心提供極低的復水率。對於較小的工作負載，我們的許多客戶不再需要耗費數月乃至數年的時間來重建和重新部署應用程式，而是可以將時間縮短至幾小時甚至是幾分鐘。因此，如果您可以在一小時內重建整個資料中心，現在您就可以開始思考，我們要如何變更關於對手駐留時間的對話？ 我們如何變更有關漏洞管理和修補長尾的對話？ 另外，我們可以開始切實關注那些能協助我們提高敏捷性、可擴展性和可靠性的指標，最終實現安全性。

Clarke (06:55)：
所以，我們今天的對話大部分都圍繞著工程安全營運，而這是營運安全組織的傳統基本要素。在我與資訊安全執行長的許多對話中，他們真的很關心我如何在適當的業務環境中報告安全性，以及我如何以董事會或資深總監能夠理解的業務術語來描述網路風險？ 作為企業領導者，在該領域中，相較於我們所考慮的傳統指標的安全營運，您是否能提供任何相關的安全性產品？

Hart (07:31)：
是的，我們可以。這實際上是從客戶逆向工作的另一個良好範例。早些時候，在建置安全風險和合規實務的安全部分時，客戶便已向我們提出此類問題。在安全諮詢方面，無論是我還是我團隊中的許多人，都有相關經驗，但我們並非資訊安全執行長，無須承擔保護組織方面的個人責任。因此，在收到幾次請求後，我們認為我們必須要找到一些資訊安全執行長來與我們協作。所以，這就是我們所要做的。我們建立了一個執行安全諮詢實務，我們有資訊安全執行長、風險和稽核計主管。他們已經和 AWS 一起踏上了雲端之旅，現在他們就是我們團隊中的一員了。他們可以在強大的工程和營運人員的支援下執行同行級別的諮詢工作，以實際幫助實作該執行策略。它真的真的非常不錯。我們能夠圍繞指標進行對話。我指的不是我們之前討論的營運指標之類的指標。我們所說的是關鍵績效指標。我們要探討的是為組織設定安全期望，以逐年推動轉型，而不僅僅是今年達到某一特定數字。 

Clarke (08:53)：
原來如此。那麼，對於與您合作的客戶資訊安全執行長，在他們向董事會報告的業務層次中，您是否發現了任何趨勢？ 當我與客戶資訊安全執行長交談時，沒錯，您仍然需要了解我們修補的機器的所有指標、我們攔截的病毒以及我們攔截的攻擊等等。但是，對於那些可能沒有深厚的安全專業知識但可能會為您的預算和其他營運帶來資金的人來說，您會提供哪些建議？

Hart (09:29)：
是的。我認為有幾個不同的觀點。一個是我前面提到的轉型角度。如果您設定了正確的目標和期望，就會產生巨大的拉引效應。我將使用的一個範例是，由於資訊安全執行長設定的目標是能夠在幾天 (比如，每 48、72 小時) 內為您的整個雲端資料中心復水。從此逆向工作，則它會對您如何執行 BCPDR 產生巨大的影響。您如何執行、建立、部署和操作，您如何進行測試。它迫使每個人都要執行自動化，它迫使每個人都要進行加速，進而最終減少每一項底層基礎設施活動的價值實現時間。因此，可以為您的客戶降低成本、加速進入市場，縮短回應時間。它確實透過一項正確的安全期望推動了整個業務的一些偉大成果，順便說一句，這可能是一個年度轉型。因此，或許我們希望今年每 45 天復水一次，然後明年可以減少到 15 天，再後一年可減少到 48 小時。這樣年復一年，您將可使用一個安全目標來推動所有其他業務成果。

Clarke (10:52)：
然後在您報告時，可與董事會一同追蹤。

Hart (10:54)：
就是這樣。

Clarke (10:55)：
太棒了。Hart，非常感謝您參加我們今天的討論。

Hart (10:57)：
酷。感謝您邀請我。