如何成為更好的 CISO

與 AWS CISO Chris Betz 的對談

關於成功安全領導能力的思考

成功的 CISO 應具備哪些特質？我們該如何定義有效、頂級的安全領導能力？身為 AWS 的 CISO，今天的來賓因其獨特地位，是回答這些問題的不二人選。

對話的轉寫

觀看 Chris Betz 分享他對建立安全文化、招募多元人才、指導下一代優秀安全領導者等各種安全議題的看法。

認識 AWS 的 Chief Information Security Officer，Chris Betz

Clarke Rodgers (00:07)：
成功的 CISO 應具備哪些哪些特質？今天的來賓是 AWS 的 CISO，他對這個問題有獨到的見解。我是 AWS 的 Director of Enterprise Strategy，Clarke Rodgers，在 Executive Insights 裡，我還是您的嚮導，會帶您一起和 AWS 的安全領導者進行一系列的對話。

AWS 的 CISO，Chris Betz 來道本節目，我們很高興。我們邀請您一起聽他分享對建立安全文化、招募多元人才、指導下一代優秀安全領導者等各種安全議題的看法。敬請觀賞。

Clarke Rodgers (00:38)：
我很了解你，但還是想請你為觀眾多介紹一點你的背景。

Chris Betz (00:44)：
就像你說的，我們彼此認識有一陣子了。這也是我喜歡安全社群的原因之一，這個圈子真的滿小。到了一定時候，你就會發現自己和在世界各地見過的人打交道。就我來說，我的故事始於美國空軍。我在空軍服務多年，後來進入了聯邦政府，在那裡從事了更多年的網路安全領域工作。

我曾有機會在幾間公司做過安全工作，像是媒體公司 CBS、還在 Apple、Microsoft、Lumen (當時叫 CenturyLink) 等公司待過一段時間，最近待的公司是 Capital One。因此，擔任多種角色很有趣，而且就像你說的，常和同一批人見面也十分有趣。

► 觀看影片：一名 CISO，同時也是一位空軍退伍軍人對資料防禦的觀點

Clarke Rodgers (01:23)：
身為 AWS CISO，你現在去見客戶並回答他們安全相關的問題時，情況有什麼改變嗎？你能夠說：「嘿，不久前我跟你面對一樣的處境，我是這麼想的。而現在我在這裡，這就是針對你問題的解決方案」，諸如此類的話。

Chris Betz (01:45)：
過去十年來，我一直在 AWS 重要客戶的公司擔任安全職務。因此，我陪伴 AWS 見證了我們的安全之旅和技術之旅。最近我成為了客戶，這讓我能用一種非常不同的方式來對話，因為我可以理解這些對話，以及客戶面臨的問題和挑戰。

在這些對話中最讓我欣賞的一點是，我可以充分了解客戶的所見所聞，知道他們對世界正在發生的事情有什麼感受，也能反覆討論想法。「嘿，這是我看到的。我是用這種方法解決問題的。」「喔，這就是你看到的？你就是這樣解決問題的。」我們能同時在 AWS 內部及客戶內部持續提高標準，這種能力是非常強大的。

Clarke Rodgers (02:51)：
你能藉著說：「我在上一份工作中就是這樣解決這個問題的。」來贏得更多信任，這點很棒。

Chris Betz (02:58)：
這些都是實戰經驗。

Clarke Rodgers (02:59)：
就是這樣。身為 CISO，你必須具備深厚的安全專業知識，也必須要有企業專業知識，並將這些知識融會貫通。但你手下還有龐大的團隊，他們須為企業和我們的客戶等交付實際的安全服務。從這個角度來看，你認為現今安全領導者面臨哪些挑戰？

為安全組織帶來人才多元性

Chris Betz (03:21)：
多數問題最後還是回到人才上。正如你指出的，我們正在解決的安全問題有如此多面向，因此擁有合適人才絕對是在安全領域成功的關鍵。對我來說，我喜歡被優秀的人包圍。事實上，在我曾經工作過的所有頂尖公司裡，我們都喜歡被那些教導、激勵和挑戰我們的人包圍。

因為這是個我們不斷學習的領域。所以我們需要的是不斷提高標準的人。這些人會讓鼓舞你，帶給你非凡的體驗。他們能以你從未想像過的方式解決問題，讓業務更有效率、並且思考如何讓安全成為人們的自然動機。這是非常重要的。在合適的企業文化裡，這些人也會願意挑戰你。「你思考這個問題的方向正確嗎？」而這種挑戰有助於每個人成長，有助於你成長，有助於組織成長，有助於你朝著正確的方向前進。

► 觀看影片：安全的人性化一面：管理安全團隊的建議

背景完全相同、以相同方式處理問題的人，不會為你帶來教導、挑戰和啟發。因此，我認為我們在安全領域持續面臨的一大挑戰是，我們如何獲得廣泛的觀點、廣泛的文化、廣泛的經驗、多元化的方法，以及多元化的思維，這些都有助於我們真正成為應該成為的優秀組織。因此，我在這方面投入了很多時間，來確保我們擁有合適的人才和合適的團隊，因為沒有這樣的團隊，我們就無法解決其他的問題。

Clarke Rodgers (05:10)：
或許要找那些來自非傳統背景的人，打破「這個人就是做安全的人」的刻板印象。嗯，這種觀點或許有助於我們面對某些安全問題，畢竟我們的對手肯定夠多樣化。

Chris Betz (05:23)：
就是這樣。重點是我們要了解 AWS 是一家全球性公司，而我們的對手也是全球性的。我們需要挖掘全球人才。需要挖掘來自各種不同背景的人才，將其引進公司。我在安全領域中認識的一些最聰明的人就擁有驚人的多樣化背景。他們長年累月地在安全領域磨練自身技能。但如何引入正確的觀點組合真的非常非常重要。

透過零信任讓安全成為阻力最小的途徑

Clarke Rodgers (05:51)：
回顧過去幾年並展望未來，在安全方面讓你最感到興奮的是什麼？不論是專案、流程、或技術，不管是什麼情況，你們的工作重點是什麼？

Chris Betz (06:08)：
回首零信任的發展歷程，從一套宣傳為零信任解決方案的產品，到一套標準，再到真正內建其中的技術。觀察過去幾年來的使用者體驗變化，像是近期 Amazon.com 和許多其他公司推出的密鑰 (passkey) 技術，這根本性地改變了我們對無縫使用者體驗的看法，讓我們能深思熟慮後使用最新技術，並由此……

Clarke Rodgers (06:50)：
讓安全變簡單，是吧？

Chris Betz (06:52)：
沒錯，讓安全變簡單。因此，我認為在此領域取得的顯著進展，讓我們能逐漸擺脫繁複難用的 VPN，轉而朝能夠無縫接軌、且能深入分析現狀的方向邁進。

AWS 如何以生成式 AI 為基礎為客戶打造新功能

生成式 AI 話題正夯。AI 領域其實不是新領域。我們已經耕耘數十年，但過去一、兩年間機器學習/AI 領域的發展速度簡直令人難以置信。這些技術能讓我更高效、有序地處理安全工作。我跟「舊世界的人」討論時，我喜歡舉的例子之一是：在過去，你試圖分析一份資料來判斷「嘿，這裡有安全風險嗎？」時，要建立大型試算表並在其中搜尋資料、然後用我們過去熟悉的方式手動處理資料，這做法可能更省時。因為當時撰寫程式碼來自動化處理反而更耗時……

Clarke Rodgers (07:53)：
是呀，要花更多時間。

Chris Betz (07:54)：
……要以小時來計算，手工分析也許能在一個小時左右完成。如今，有了 CodeWhisperer 和其他類似技術，這種模式發生了翻天覆地的變化。只要能清楚闡述一個系統能充分理解的問題，像是「我想分析這些資料來找出這些內容」，然後叫系統去做，系統在幾秒鐘內就能給你答案，包括實作、測試、執行。比起手動處理試算表，這個方法快上非常多。而且這是可重複執行、可測試、可驗證的。還能降低人為錯誤。用這種方式處理資料有很多很棒的好處。所以我認為這將會改變整個安全營運的模式，不光是 AWS，整個業界都是如此。因此，我認為這當中蘊藏著巨大商機。

另一方面，我也在花很多時間了解生成式 AI 能做什麼，以及如何保護、挑戰生成式 AI。我們正投入大量時間與心力確保 AWS 內部具備完善的基礎，也持續建置正確的能力。在打造以生成式 AI 為基礎的解決方案時，首先，我們必須徹底測試這些解決方案……

Clarke Rodgers (09:14)：
大規模測試。

Chris Betz (09:15)：
沒錯，用業界領先的方式大規模測試。而且，我們也能從這些實作過程中獲得經驗，並將其轉化為提供給客戶的功能。畢竟我們面臨的問題，也是客戶在使用生成式 AI 時會遇到的問題。因此，這形成了非常快速的學習循環，我們每天都在學習新事物，這很有趣。不過這也很有挑戰性，因為攻擊者每天也都在學習新技術。

Clarke Rodgers (09:41)：
確實如此。

Chris Betz (09:42)：
我們需要保持這個高速的學習循環，以便在這個領域快速應變，而這也是我喜歡在 AWS 工作的原因。我們的步調很快。非常非常快。在這個領域，AWS 的這種超強能力正好符合我們在這領域的發展方向。

透過 AWS CISO Circle 建立安全社群

Clarke Rodgers (10:01)：
很棒的回答。客戶通常為了技術需求 (無論是安全或是商業問題) 來尋求我們的協助。有一點客戶可能不太清楚，我們固然是科技公司，提供軟體與服務，我們也花了很多時間嘗試幫助客戶打造更完善的安全計畫並提高效率。在我們眾多計畫中，如您所知，最受歡迎的一個就是 AWS CISO Circles。能稍微談談這個計畫嗎？包括其組織方式，以及能帶給客戶什麼好處？

Chris Betz (10:38)：
稍早我們談過，安全社群很小，大家可以彼此學習成長，這點非常重要。

「我最欣賞安全領域的一點是，我們的對手不是彼此。而是外部那些攻擊客戶的惡意份子。我們需要讓客戶在使用技術時能感到安全。而 CISO Circle 正好是實踐這個理念的好方法。」

秉持著查塔姆宮守則 (Chatham House Rules)，我們不會把某個人說的內容和其本人歸結在一起。這能讓與會者進行真正的交流。我們能向彼此學習、提出挑戰性的問題。「嘿，你是怎麼解決這個問題的？」「嘿，我開始看到有攻擊者這樣做了。你也有看到這個問題了嗎？」創新、思考、向最優秀的人才取經。在 CISO Circle 裡，我們創造的就是這樣的環境。

將具有共同點的人們聚集在一起，可能是來自世界上的相同區域、有相似的商業與科技應用，或是面臨類似的問題。再搭配一些 AWS 內外最聰明的安全專家，讓大家交流，這樣的對話真的非常強大。而這就是我認為 CISO Circle 真正有價值的地方。老實說，我非常享受參與這些對話，並且期待未來的一年能有更多的交流。

Clarke Rodgers (12:08)：
確實如此。當我還是客戶時，我記得我從其他產業的 CISO 身上學到了很多。出乎意料地，在保險業，因為有著一定程度的風險承受能力，所以你會做一些特定的事，而我從媒體、零售和銀行等產業學到了很多東西。我從中獲益良多。

Chris Betz (12:16)：
我也是，正因如此，我很享受這種將跨領域的專家聚集一起對談的模式。

Clarke Rodgers (12:32)：
Chris，今天非常感謝你撥冗參與訪談。

Chris Betz (12:34)：
我很開心，感謝您的邀請。