In che modo i vertici aziendali definiscono gli standard per la cultura della sicurezza

Clarke Rodgers:
Spesso diciamo che la sicurezza è la nostra massima priorità in AWS, ma come possiamo assicurarci che sia effettivamente così? Si inizia con l'ottenere il consenso dei vertici e col creare una cultura della sicurezza in tutta l'organizzazione.

Buongiorno, sono Clarke Rodgers, Direttore di Enterprise Strategy presso AWS, e ti accompagnerò in una serie di conversazioni con i leader di AWS che si occupano di sicurezza, qui su Executive Insights.

Oggi parliamo con Sara Duffer. Sara ha una conoscenza straordinariamente profonda della sicurezza in Amazon in virtù del suo precedente ruolo di Consulente tecnico del CEO di Amazon. Unisciti a noi mentre Sara condivide gli insegnamenti tratti dalla sua esperienza sia come leader della sicurezza sia come consulente tecnico. Buon ascolto!

Clarke Rodgers:
Sara, grazie mille per aver accettato il mio invito.

Sara Duffer:
Grazie a te! È bello essere qui.

Clarke Rodgers:
Potresti raccontarci qualcosa della tua carriera e del tuo ruolo attuale in AWS?

Sara Duffer:
Dunque, sono in AWS da 13 anni. All'inizio ho fatto parte del team dell'infrastruttura AWS, dove ho trascorso molto tempo nei nostri data center. Subito dopo, sono passata al team di conformità, che all'epoca era piccolissimo; col tempo è diventato il team di garanzia della sicurezza.

Clarke Rodgers:
E ti sei sempre occupata di sicurezza o hai cominciato a occupartene da quando sei entrata in AWS?

Sara Duffer:
Mi sono sempre occupata di sicurezza. Appena finita l'università, ho iniziato subito a occuparmi di attacchi, penetrazione e sicurezza fisica e ho iniziato a irrompere legalmente nelle organizzazioni. Poi ho cominciato a occuparmi maggiormente dell'implementazione di soluzioni di sicurezza, cercando in sostanza di risolvere i problemi che stavo riscontrando. È stato un ambito divertente e mi ha permesso, infine, di approdare ad AWS.

Clarke Rodgers:
Il tuo background in materia di sicurezza è già abbastanza notevole di suo, ma in AWS e Amazon hai ricoperto anche un altro ruolo piuttosto speciale: quello di consulente tecnico. Puoi dirci qualcosa su cos'è un consulente tecnico e su cosa fa?

Sara Duffer:
Ho iniziato a ricoprire il ruolo di consulente tecnico nel novembre 2020. Nello specifico, ero il consulente tecnico di Andy Jassy, che all'epoca era CEO di AWS. Com'è noto, Andy successivamente è diventato il CEO di Amazon e io l'ho seguito, nel mio ruolo di consulente tecnico. Di fatto, quello del consulente tecnico è un ruolo da insegnante: si tratta di riuscire a insegnare a un leader la scalabilità e l'esecuzione a un ritmo che non hai mai visto prima. È stata un'esperienza assolutamente fantastica.

Clarke Rodgers:
Ci sono delle lezioni essenziali che hai tratto dalla tua esperienza nel ruolo di consulente tecnico?

Sara Duffer:
Ogni giorno mi offriva lezioni del genere. Subito dopo essere stata trasferita al ruolo di consulente tecnico, ho iniziato a tenere un elenco delle lezioni che stavo via via apprendendo, una lista che mi sono ripromessa di aggiornare settimanalmente. Presto mi sono ritrovata ad aggiungere, quasi ogni giorno, semplici osservazioni sui grandi leader, su come agiscono e su come si impegnano. Quindi, per risponderti, le lezioni sono state moltissime. Credo che tre in particolare siano state significative per me, e le ho apprese semplicemente guardando Andy e interagendo con lui. La prima è che il tempo è una risorsa molto preziosa: bisogna prestare grande attenzione a cosa lo si dedica.

Questa lezione va di pari passo con la successiva, vale a dire che quando si dice “sì”, lo si deve intendere davvero. Bisogna dirlo sul serio e tenendo in considerazione il proprio sé futuro, non solo l'io attuale. Andy dice: “Certo, posso farlo in futuro”. Suona semplice, quando in realtà è molto più difficile metterlo in pratica. Queste sono due lezioni fondamentali.

Quella successiva, che ho avuto modo di vedere ripetuta da tanti leader incredibili, ma naturalmente in questo Andy è eccezionale, riguarda l'avere una curiosità vorace. Si tratta di un modo di porre domande che è innanzitutto costruttivo e al tempo stesso molto rapido, che consente di comprendere i fondamenti essenziali di qualunque riunione a cui si stia partecipando o quali siano le nozioni fondamentali, il modo in cui pensa il team, controllando e indirizzando il team per assicurarsi che il suo modo di pensare sia in linea con la prospettiva di Amazon, così come quali cose imparare dal team stesso. Ho visto questa curiosità vorace in azione più e più volte, in modo coerente tra tutti i senior leader di Amazon.

Clarke Rodgers:
Fantastico. Quindi, passiamo al tuo ruolo attuale. Uno degli argomenti che continuano a emergere nei nostri circoli CISO di AWS è la crittografia post-quantistica. Quali sono i tuoi pensieri al riguardo?

Sara Duffer:
Negli odierni schemi di crittografia a chiave pubblica, vengono utilizzati problemi matematici per la fattorizzazione dei logaritmi discreti e la crittografia a curva ellittica. Siamo solo agli albori del calcolo quantistico, ma la società ne trarrà molti vantaggi. Uno di questi è la capacità di risolvere molto più velocemente difficili problemi computazionali; una conseguenza involontaria è che, possibilmente, in futuro, un computer quantistico potrebbe esser in grado di violare gli schemi di crittografia a chiave pubblica in uso attualmente. Oggi si parla molto della crittografia post-quantistica e degli schemi che possiamo iniziare a pensare di applicare affinché continuino a proteggere i nostri dati nel potenziale futuro in cui vedremo entrare in gioco il calcolo quantistico.

In questo momento, AWS sta lavorando molto in questo ambito. I nostri crittografi hanno apportato un contributo sostanziale agli accordi sulle chiavi post-quantistiche e agli schemi di firma post-quantistica. Ma non si tratta di sola teoria. Si stanno compiendo molti studi teorici in questo ambito, ad esempio a opera del NIST, e anche in questo caso stiamo offrendo il nostro contributo. Ma ci sono anche i risvolti pratici: per i nostri endpoint TLS-1.3, abbiamo già implementato la post-quantistica all'interno di AWS Secrets Manager, del servizio KMS e del servizio di gestione dei certificati. In realtà, quindi, le persone possono già sperimentare questa novità, il che è piuttosto interessante.

Clarke Rodgers:
Nell'ultimo anno circa, l'IA generativa ha preso d'assalto tutto il globo in ogni sorta di modo. Cosa ne pensi in relazione all'ambito crittografico? Sarà utile? Sarà un ostacolo? È ancora presto per dirlo?

Sara Duffer:
Per quanto riguarda l'IA generativa, sentiamo molte discussioni sulla preoccupazione per la divulgazione della proprietà intellettuale. Per questo motivo, sempre più spesso si sente parlare di tecniche di conservazione della privacy grazie alle quali è possibile, ad esempio, continuare ad addestrare grandi quantità di dati pur preservando l'IP ad essi associato. È un ambito su cui il team è molto concentrato e sul quale riflette anche per quanto riguarda le nostre soluzioni interne.

Clarke Rodgers:
Le tendenze e le previsioni in materia di sicurezza sono di grande interesse per i nostri clienti. Secondo te, che cosa accadrà nel settore della sicurezza nei prossimi tre-cinque anni?

Sara Duffer:
Per quanto mi riguarda, sono due le novità che mi interessano davvero in questo momento. Una di queste, che al momento è solo agli albori, ma penso che diventerà sempre più importante per i CISO, è il concetto di calcolo crittografico. Si tratta di un modo di utilizzare mezzi crittografici per consentire a più parti di condividere informazioni in modo da mantenerle private. Un esempio di applicazione pratica è AWS Clean Rooms, un servizio che consente ai nostri clienti di collaborare, condividere informazioni e acquisire conoscenze. Un componente di questo servizio è il calcolo crittografico per le camere bianche, che consente ai clienti di condividere informazioni utilizzando strumenti crittografici. Siamo ancora agli inizi e non se ne sente parlare molto, ma il tema del calcolo crittografico avrà un ruolo sempre maggiore nell'ambito della protezione della privacy.

Il mondo odierno si sta orientando sempre più verso l'analisi dei dati e le modalità con cui possiamo condividerli, ricavarne maggiori approfondimenti, addestrarli e via dicendo. Sempre più rilevante sarà l'interrogativo: “quali tecniche di conservazione della privacy utilizzate?” Una di queste tecniche è il calcolo crittografico.

L'altra novità che mi sta molto a cuore è un nuovo servizio che il nostro team ha lanciato quest'anno, il servizio AWS Payment Crypto. Ciò che trovo affascinante dell'operato di questo team è che oggi, per applicare quel tipo di crittografia end-to-end necessaria, i grandi processori principali devono continuare a mantenere una sorta di modulo di sicurezza hardware (HSM) in loco. Invece, con AWS Payment Crypto, le organizzazioni possono sfruttare il cloud AWS per eseguire quelle funzioni crittografiche e di gestione delle chiavi che tradizionalmente sarebbe stato necessario svolgere con un HSM on-premises.

Questo servizio è appena agli inizi ed è davvero innovativo. Inoltre, ciò che più conta è che questo servizio ha anche soddisfatto i requisiti di conformità PCI PIN, il che è assolutamente fondamentale. Penso che ci sia molto da tenere d'occhio in questo ambito, perché permette di continuare ad aiutare i clienti a passare dalle loro soluzioni on-premises al cloud. È un aspetto entusiasmante che sicuramente continuerò a tenere d'occhio.

Clarke Rodgers:
Cambiamo leggermente prospettiva e soffermiamoci sullo sviluppo. Per anni il nostro mantra è stato: “integriamo la sicurezza nelle applicazioni fin dalla progettazione”, poi siamo passati alla conformità fin dalla progettazione e infine alla privacy fin dalla progettazione. Come incentivate questo tipo di pensiero? Quali sono le aspettative che prefiggete affinché i team di sviluppo la pensino effettivamente in questo modo? Idealmente, il processo consiste nel ripetere: “Questo è ciò che intendo costruire, permettetemi di considerare tutti questi aspetti”. Ma concretamente, come lo organizzate?

Sara Duffer:
È tutta una questione di cultura, che parte dall'alto. Lo so che sembra una frase trita, ma inizia davvero dall'alto. Sicurezza, privacy e conformità sono davvero la priorità. E questo si percepisce a partire dalla cultura aziendale di ogni nostro sviluppatore all'interno di AWS. Questo rappresenta probabilmente il nostro punto di partenza principale. Tuttavia, è essenziale che ogni sviluppatore, ogni team e anche i nostri clienti, impegnati nello sviluppo di servizi interni orientati alla sicurezza o alla privacy, si interfaccino con gli sviluppatori nel loro contesto quotidiano.

Ritengo che ciò che spesso si trascura, persino negli aspetti tattici, sia la valutazione del carico di lavoro di ciascun ingegnere e, successivamente, la misurazione collettiva di quanti di questi compiti tattici vengono distribuiti tra tutti gli sviluppatori. Considerando l'impatto totale della necessità di rispondere in modo strategico a tutte quelle richieste sporadiche, ci si rende conto improvvisamente che si tratta di un notevole carico che gli ingegneri stanno affrontando come parte del loro lavoro quotidiano.

Esistono diversi approcci per affrontare questo problema, ma uno potrebbe accelerare il processo consentendo un'identificazione più rapida: “Ci sono soluzioni proattive per risolvere questo specifico problema?” ad esempio, nelle pipeline o in altri contesti, per prevenire la necessità di coinvolgere direttamente un ingegnere? Il che è ancora meglio. Quindi, credo che una delle cose fondamentali sia anche partire dall'alto e assicurarsi di disporre delle policy necessarie per definire ciò che deve essere fatto. Infine, c'è l'attuazione quotidiana e l'identificazione dei problemi.

Combinando la gestione dei problemi con quella delle modifiche, possiamo capire realmente cosa significhi incontrare lo sviluppatore nel suo contesto ed essere in grado di affrontare il problema come se fosse una questione di gravità di secondo livello o molto alta, che richiede di mettere da parte tutto il resto per risolverla. Allo stesso tempo, esaminiamo tutti gli altri aspetti che richiediamo alle persone di affrontare. Esistono altri metodi per intervenire e porre rimedio in modo più efficiente e tempestivo? Quindi, credo che questa sia una delle aree più interessanti che, come organizzazione, abbiamo analizzato costantemente nel tempo: come possiamo continuamente alleggerire il carico per gli ingegneri e ridurre lo stress legato alla necessità di risolvere i problemi?

Clarke Rodgers:
E un aspetto fondamentale di questo, come hai accennato, riguarda la cultura e la responsabilità: la sicurezza, anche se non è un'attività specifica del mio ruolo, fa parte del mio lavoro.

Sara Duffer:
Esatto. È proprio così.

Clarke Rodgers:
So che nel corso della tua carriera il mentoring è stato molto importante per te. Quali meccanismi hai implementato per garantire di essere accessibile a coloro che desiderano realmente contattarti e ricevere i tuoi consigli?

Sara Duffer:
Sono stata molto fortunata nel mio percorso verso AWS e anche all'interno di AWS, poiché ho sempre avuto mentori e coach straordinari che sono stati sempre disponibili a farsi avanti e dedicare tempo per parlare con me, incoraggiarmi e difendermi quando non ero presente. Quando sono passata al ruolo di consulente tecnico, è stato incredibile. Le mie e-mail sono aumentate, certamente, ma ciò che è veramente cambiato è stata la riduzione del numero di persone che mi contattavano solo per relazionarsi, ottenere maggiori informazioni e individuare opportunità. Credo che questo sia stato dovuto a una certa intimidazione da parte loro.

Un meccanismo che trovo molto utile e che applico sempre è la regola secondo la quale, a chiunque mi contatti all'interno dell'organizzazione, riservo sempre mezz'ora del mio tempo. Così, quando ricoprivo il ruolo di assistente tecnico, una delle grandi opportunità che offrivo era quella di permettere ai membri più giovani dell'organizzazione, della nostra community di sviluppatori o dei nostri centri logistici, di programmare incontri di mezz'ora con persone molto esperte dell'organizzazione per relazionarsi e apprendere nuove competenze.

Inoltre, ogni mese mi assicuro di dedicare un determinato periodo di tempo esclusivamente al mentoring. Di solito, predispongo quattro slot disponibili e chiunque può scegliere uno di questi slot, per un totale di quattro settimane o quattro incontri, per partecipare. Alla fine di questo periodo, prendiamo una decisione insieme: continuiamo o interrompiamo il rapporto di mentoring? Questo sistema permette anche alle persone di avere un piano di uscita o una rampa di uscita per concludere il percorso di mentoring, se necessario.

Clarke Rodgers:
Fantastico. Sono sicuro che apprezzano l'opportunità. Sara, grazie mille per aver accettato il mio invito.

Sara Duffer:
Grazie mille. È stato bellissimo.