Como o nível executivo define o padrão para a cultura de segurança

Clarke Rodgers:
Costumamos dizer que a segurança é nossa maior prioridade na AWS, mas como podemos garantir que esse seja realmente o caso? Tudo começa com a adesão da cúpula e a criação de uma cultura de segurança em toda a organização.

Sou Clarke Rodgers, diretor de estratégia empresarial da AWS e seu guia para uma série de conversas com líderes de segurança da AWS aqui no Executive Insights.

Hoje, estamos conversando com Sara Duffer. Sara tem uma compreensão extraordinariamente profunda da Amazon Security, graças à sua função anterior como consultora técnica do CEO da Amazon. Junte-se a nós enquanto Sara compartilha o que aprendeu com sua experiência como líder de segurança e consultora técnica. Aproveite.

Clarke Rodgers:
Sara, muito obrigado pela sua participação hoje.

Sara Duffer:
Eu que agradeço. É muito bom estar aqui.

Clarke Rodgers:
Gostaria que você contasse um pouco sobre sua carreira e sua função atual na AWS.

Sara Duffer:
Então, estou aqui na AWS há 13 anos. Comecei na equipe de infraestrutura da AWS, passando muito tempo em nossos data centers. Logo depois, mudei para nossa pequena equipe de conformidade, na época, que se tornou nossa equipe de garantia de segurança.

Clarke Rodgers:
E você sempre trabalhou na segurança ou foi sua primeira vez na área quando entrou na AWS?

Sara Duffer:
Sempre estive na segurança. Comecei minha carreira ao sair da faculdade, fui direto para trabalhos de ataque e penetração, segurança física. Comecei a invadir organizações legalmente. Depois mudei para a parte mais de implementar soluções de segurança. Na verdade, tinha a ver com resolver os problemas que estava encontrando, o que era bem interessante e, depois, migrei para a AWS.

Clarke Rodgers:
Bom, seu histórico de segurança é bem impressionante, mas você teve outra função na AWS e na Amazon, que é bem única, e é a função de consultora técnica. Você poderia compartilhar um pouco sobre o que é uma consultora técnica e o que ela faz?

Sara Duffer:
Então, comecei na função de consultora técnica em novembro de 2020. E esse cargo era para assessorar Andy Jassy, que era CEO da AWS na época. Obviamente, mais tarde, ele se tornou CEO da Amazon e eu também passei a ser CT de Andy nessa função. E a função de um CT, essencialmente, é ensinar. Então, tudo se resume a ser capaz de ensinar um líder sobre escala e execução em um ritmo que você nunca viu antes. E foi uma experiência absolutamente fantástica.

Clarke Rodgers:
Então, há algum tipo de lição importante aprendida em sua experiência na função de CT?

Sara Duffer:
Todo dia era uma ótima lição. Uma das coisas que fiz logo no começo, quando fui transferida para a função de CT, foi manter uma lista, que chamo de minhas lições aprendidas em uma frase, que eu disse a mim mesma que atualizaria semanalmente. Então rapidamente me vi escrevendo, quase diariamente, pequenas observações sobre grandes líderes, como eles operam e como se engajam. Então, houve muitas lições. Acho que há três que realmente se destacam para mim, e essas são muito evidentes apenas observando e interagindo com Andy. A primeira é que o tempo é um recurso muito valioso. É fundamental escolher bem onde dedicar seu tempo.

E isso combina muito com a próxima, ou seja, quando você diz “Sim”, tem que ser um “Sim” de corpo inteiro. Você realmente precisa falar sério e precisa pensar em você futuro, não apenas em como é agora. “Claro, posso fazer isso, sim”. Parece um compromisso simples mas, na verdade, é muito mais difícil de executar do que parece. Essas são as duas principais.

A próxima, que vejo ser repetida por tantos líderes incríveis, mas obviamente Andy faz isso com maestria, é ter uma curiosidade voraz. É a capacidade de fazer perguntas que, em primeiro lugar, são construtivas, mas que buscam entender os fundamentos básicos do tema da reunião em que você está ou descobrir os elementos básicos de aprendizagem, como a equipe pensa, verificando e pressionando a equipe para garantir que o modo como estão pensando esteja alinhado com o modo como pensamos na Amazon e o que aprender com a equipe. E essa curiosidade voraz se manifestou repetidamente e de maneira consistente em todos os líderes seniores da Amazon.

Clarke Rodgers:
Fantástico! Então, vamos falar agora da sua função atual. Um dos tópicos que continuam surgindo em nossos círculos de CISO da AWS é a criptografia pós-quântica. O que você pensa a respeito?

Sara Duffer:
Bem, nos esquemas atuais de criptografia de chave pública, ela aproveita problemas matemáticos para fatorar logaritmos discretos e criptografia de curvas elípticas. Então, estamos nos primórdios da computação quântica e haverá muitos benefícios para a sociedade com isso. Uma delas é a capacidade de solucionar problemas computacionais difíceis muito mais rápido com as consequências não intencionais de, potencialmente, no futuro, haver um computador quântico capaz de quebrar os esquemas de criptografia de chave pública que temos hoje. Portanto, há muitas conversas hoje sobre criptografia pós-quântica, ou PQC, e esquemas que podemos começar a pensar em implementar hoje para continuar protegendo nossos dados no futuro em que veremos a computação quântica chegando.

A AWS está trabalhando muito nesse espaço atualmente. Temos nossos criptógrafos que realmente contribuíram com contratos de chaves PQ e esquemas de assinatura PQ. E não é só teoria. Há muitas teorias disponíveis e há muito trabalho que o NIST, por exemplo, está fazendo nesse espaço, para o qual também estamos contribuindo. Mas também existe a realidade e, para nossos endpoints TLS-1.3, implementamos o PQ hoje no AWS Secrets Manager, no serviço KMS e no serviço de gerenciamento de certificados. Portanto, é algo que as pessoas poderiam até experimentar hoje, o que é bem legal.

Clarke Rodgers:
Mais ou menos no último ano, a IA generativa meio que conquistou o mundo em todos os tipos de formas e maneiras diferentes. O que você pensa sobre isso no espaço criptográfico? Isso vai ser útil? Isso vai ser um obstáculo? É muito cedo?

Sara Duffer:
Acho que, do ponto de vista da IA generativa, ouvimos muita discussão sobre essa preocupação com a divulgação de IP. E por causa disso, você está ouvindo cada vez mais uma discussão sobre técnicas de preservação de privacidade pelas quais você pode continuar sendo capaz, por exemplo, de treinar grandes quantidades de dados e preservar o IP associado a eles. Então, a equipe está focada nesse espaço e estudando possibilidades enquanto também analisa internamente quais soluções temos.

Clarke Rodgers:
As tendências e previsões de segurança são de grande interesse para nossos clientes. O que você enxerga acontecendo na área de segurança nos próximos, digamos, três a cinco anos ou mais?

Sara Duffer:
Para mim, tenho dois espaços nos quais estou realmente interessada no momento. Um deles, que é muito incipiente, mas acho que vai se tornar cada vez mais importante para os CISOs, é o conceito de computação criptográfica. Portanto, a computação criptográfica é uma forma de usar meios criptográficos para permitir que várias partes compartilhem informações de uma maneira que as mantenha privadas. Um exemplo disso hoje é o AWS Clean Rooms, um serviço que permite que nossos clientes colaborem, compartilhem informações e aprendam. Na verdade, há uma parte dele chamada de computação criptográfica para Clean Rooms. E isso permite que os clientes possam compartilhar informações de forma criptográfica. Ainda é cedo e ainda é algo pouco divulgado, mas o tópico da computação criptográfica é mais comentado quando o assunto é o conceito de preservação de privacidade.

Então, você vê que o mundo de hoje está caminhando cada vez mais para a análise de dados e como podemos compartilhar, aprender mais e treinar dados, etc. E cada vez mais você terá esse conceito de: “Como você tem técnicas de preservação de privacidade?” E uma dessas formas é usar a computação criptográfica.

O outro é muito meu xodó, um novo serviço que nossa equipe lançou este ano, o serviço AWS Payment Crypto. O que eu acho fascinante nesse serviço é que, atualmente, para habilitar o tipo de criptografia de ponta-a-ponta exigido para os pagamentos, grandes processadores precisam continuar a manter uma espécie de HSM no local. E o AWS Payment Crypto permite que as organizações aproveitem a Nuvem AWS para realizar as funções criptográficas e de gerenciamento de chaves que seriam realizadas tradicionalmente com esse tipo de HSM on-premises.

Esse serviço ainda está engatinhando. É muito novo. Além disso, o ponto mais importante dele é que também atendeu aos requisitos de conformidade com o PCI PIN, o que é absolutamente essencial. Há muito o que observar nesse espaço, pois é possível continuar ajudando e permitindo que os clientes saiam de instalações on-premises para a nuvem. Esse é um lugar bem empolgante em que eu certamente estou de olho.

Clarke Rodgers:
Então, mudando um pouco para uma perspectiva mais voltada ao desenvolvimento. Durante anos, falamos sobre “Vamos garantir que estejamos incorporando a segurança desde o design nas aplicações”, depois evoluímos para a conformidade e a privacidade desde o design. Como você incentiva, quais são as expectativas que você define para que as equipes de desenvolvimento realmente pensem dessa forma? O ideal é que seja no estágio de iteração: “Aqui está o que eu quero criar, deixe-me levar todas essas coisas em consideração”, mas como, mecanicamente, você ajusta isso?

Sara Duffer:
Tudo gira em torno da cultura, que começa no topo. Isso já foi dito várias vezes, mas realmente começa no topo. Segurança, privacidade, conformidade, é realmente o seu trabalho número um. E você sente que todos os criadores na AWS sabem disso, é parte da cultura. E acho que esse é provavelmente o ponto de partida principal. Mas o que também é importante para cada um de nossos desenvolvedores, para qualquer equipe e também para nossos clientes, que estão criando até mesmo serviços internos do ponto de vista de segurança ou privacidade para os membros da equipe, é estar na mesma página que os desenvolvedores.

Às vezes, em muitos casos, o que falta até nesses itens táticos é medir a quantidade de trabalho que cada engenheiro precisa fazer e, em seguida, medir coletivamente quantos desses itens táticos estão sendo enviados a todos os criadores. Porque o impacto geral de ser capaz de responder taticamente a todas essas solicitações pontuais, você percebe que é uma carga significativa que os engenheiros estão assumindo como parte de seu trabalho diário.

Há várias maneiras de resolver esse problema, mas talvez isso acelere a identificação, “Há maneiras proativas de resolver esse problema específico?”, como em pipelines ou algo parecido, para evitar que essa questão tenha que envolver um engenheiro? O que será ainda melhor. Então, acho que essa é uma das principais coisas, além de começar no topo e garantir que você tenha as políticas implementadas para definir o que precisa ser feito. Em seguida, você tem sua execução diária e sua identificação de problemas.

Mas, nesse aspecto de gestão de problemas combinado com a gestão de mudanças, é essencial realmente compreender o que significa estar na mesma página que o desenvolvedor e saber lidar com questões de gravidade dois ou de gravidade muito alta, em que precisamos parar tudo e resolver imediatamente E, ao mesmo tempo, vamos dar uma olhada em todos os outros itens que estamos pedindo que as pessoas consertem. Há outras maneiras de fazer isso e resolver de maneira diferente e oportuna? Então, acho que essa é provavelmente uma das áreas mais interessantes que eu conheço e que, como a organização, analisamos de forma consistente ao longo do tempo: como reduzimos consistentemente a carga sobre os engenheiros e reduzimos o atrito associado à necessidade de resolver os problemas?

Clarke Rodgers:
E uma grande parte disso, como você disse, é a cultura e a propriedade. Essa segurança, mesmo que não esteja no meu crachá, faz parte do meu trabalho.

Sara Duffer:
Exatamente. É bem isso.

Clarke Rodgers:
Eu sei que, ao longo de sua carreira, a mentoria foi muito importante para você. Que tipo de mecanismos você criou para garantir que estava ajudando aqueles que realmente queriam entrar em contato com você e obter alguns de seus conselhos?

Sara Duffer:
Tive muita sorte em minha jornada para chegar à AWS e também na AWS, pois sempre tive mentores e instrutores incríveis que sempre estiveram dispostos a intervir a qualquer momento para conversar comigo, torcer por mim e me defender quando eu não estava na sala. Acho que uma das coisas interessantes para mim é que, quando passei para a função de consultora técnica, foi incrível. Sim, meus e-mails aumentaram, mas o que realmente aconteceu foi a redução do número de pessoas que estavam apenas entrando em contato para se conectar, aprender mais e identificar oportunidades. Acredito que as pessoas ficaram um pouco intimidadas.

Um dos mecanismos mais valiosos que uso atualmente é a regra de que qualquer pessoa que entre em contato, independentemente do cargo na organização, sempre terá 30 minutos da minha atenção. Quando eu estava na função de CT, uma coisa muito legal oferecida era a possibilidade de membros muito novos da organização, seja da nossa comunidade de desenvolvedores ou dos nossos centros de distribuição, entrarem em contato com indivíduos mais experientes para uma conversa de trinta minutos, para simplesmente aprender mais.

Hoje também garanto um período todo mês reservado especificamente para mentoria. Geralmente tenho quatro vagas e você tem quatro momentos, quatro semanas ou quatro reuniões para poder participar. No final disso, tomamos uma decisão: continuamos ou não? E isso permite que as pessoas também tenham um plano ou uma forma de encerrar algumas das mentorias.

Clarke Rodgers:
Fantástico! Tenho certeza de que eles apreciam a oportunidade. Sara, muito obrigado pela sua participação hoje.

Sara Duffer:
Muito obrigada. Foi ótimo.