Os negócios da segurança

Clarke Rodgers (00:07):
Chris Betz, diretor de segurança da informação da AWS. Obrigado pela presença hoje.

Chris Betz (00:11):
É um prazer estar aqui. Obrigado. Obrigado por me receber hoje.

Clarke Rodgers (00:13):
Então, como CISO da AWS, o que levou você a vir da Capital One para a AWS? Com sua vasta experiência como executivo, você poderia ter ido para qualquer lugar. O que trouxe você para a AWS?

Chris Betz (00:25):
Uma das coisas que percebi ao longo dos meus vários anos na empresa era o quanto nosso trabalho dependia da segurança da AWS. Como você sabe, a Capital One está totalmente na nuvem e desativou seus data centers. Então, essa jornada na Capital One, o trabalho de segurança na Capital One com a AWS, realmente me levou a apreciar o quanto incrivelmente importante é essa tecnologia para essa confiança, para a segurança de tantas empresas.

E, francamente, ter a oportunidade de migrar da confiança na AWS para fazer parte desse sistema no qual tantas empresas e pessoas no mundo inteiro confiam para garantir a segurança... olha, isso é incrivelmente empolgante. Interessante a maneira como você formulou a pergunta: “Ei, eu poderia ir para qualquer lugar”. Eu penso nisso ao contrário. Essa é uma daquelas oportunidades que são o ápice absoluto de uma carreira em segurança, a possibilidade de fazer parte da equipe de segurança da AWS.

Clarke Rodgers (01:31):
Fantástico! Agora que você está aqui há algum tempo, quais são algumas de suas observações que podem não ter sido tão claras quando você ainda era um cliente? E, agora que você está dentro do nosso ambiente e é responsável pela segurança, o que mudou para você? O que você aprendeu desde que se juntou à nossa equipe?

Chris Betz (01:49):
Uma coisa é ouvir as conversas. Já ouvi várias vezes a história de como a segurança é a prioridade absoluta da AWS. Ouvi conversas sobre a reunião semanal de segurança. Uma das histórias mais contadas pelo meu antecessor é sobre como toda semana o CEO da AWS se reúne com todos os líderes da AWS e eles conversam sobre algumas das principais questões de segurança nas quais precisamos nos concentrar, áreas nas quais precisamos melhorar.

Uma coisa é ouvir falar sobre essas reuniões. Outra coisa é vivenciá-las, participar dessas conversas, ser desafiado por meus parceiros de negócios, meus parceiros de tecnologia, sobre “Estamos avançando rápido o suficiente? Estamos elevando o nível o suficiente? Estamos à frente das ameaças? Onde iremos encontrar agressores?” E fazer com que eles sejam líderes no mesmo nível que eu e minha equipe ao promovermos a segurança. E isso é apenas uma experiência divertida e, de certa forma, única.

Clarke Rodgers (02:55):
Fantástico! E é claro que você está absorvendo a cultura de segurança. Você falou sobre o mecanismo da reunião entre CEO/CISO, mas isso é algo que simplesmente está em todos os lugares.

Chris Betz (03:05):
Verdade. Eu trabalho na área de segurança, então todas as conversas que eu tiver incluirão esse tema até certo ponto, mas só de participar de reuniões que nem são sobre tópicos de segurança já é incrível. Como líder sênior, uma das coisas que eu gosto na AWS é que ela envolve a segurança em reuniões que não são especificamente sobre segurança. Isto é, eu posso fazer parte dessas conversas e fazer com que outras pessoas falem, perguntem sobre segurança, pensem: “Como podemos fazer isso melhor?” Como você disse, essa cultura que está em toda parte é realmente importante.

Clarke Rodgers (03:36):
Exatamente. Vamos avançar um pouco e falar sobre a execução de um programa de segurança. Quais são alguns dos principais indicadores ou medidas que você utiliza para demonstrar a eficácia do seu programa de segurança? E isso pode ser aqui na AWS ou em experiências passadas.

Chris Betz (03:56):
Essa é uma pergunta muito boa. Muitas vezes, quando me fazem essa pergunta, as pessoas esperam que eu use métricas ou medidas, esse tipo de coisa. E certamente há uma série de métricas e medidas que podemos usar para ajudar a descrever o que está acontecendo na segurança. Mas uma das coisas que acho que é realmente um indicador importante é o grau em que as empresas e as organizações de tecnologia enxergam a segurança como um facilitador para a realização de seus programas e o grau em que os programas de segurança encaram seu trabalho como um modo de tornar a maneira segura a maneira mais fácil para a empresa e para os provedores de tecnologia.

Quando você mistura os dois, os fornecedores de negócios e de tecnologia sentem que a segurança é um facilitador e uma parte essencial. Com isso, a equipe de segurança considera que seu papel não é eliminar riscos ou ser responsável por eles, mas permitir que a empresa assuma seus objetivos de negócios de forma segura, e isso muda muito a organização. Então, para mim, esse tipo de química, esse tipo de atitude, essas abordagens são os indicadores mais importantes para o sucesso de uma empresa em tornar a segurança uma parte efetiva de suas operações.

► Ouça o podcast: CISO ou CSO? Qual cargo define melhor os líderes de segurança atuais?

Clarke Rodgers (05:21):
Você mencionou anteriormente que agora participa de reuniões em que talvez a segurança não seja o foco, mas pelo menos você está exposto a ela, o que é uma demonstração de que “A segurança é importante e queremos ter um assento à mesa”.

Chris Betz (05:32):
Sim. E parte do desafio é que eu e você crescemos em um mundo em que a segurança se desenvolveu da tecnologia. No entanto, hoje pedimos aos líderes de segurança que sejam líderes de negócios, que se sentem ao lado da empresa e participem dessas conversas, que entendam o que significa risco para a empresa, quais são todos os riscos para a empresa e como eles podem ajudar a garantir que as pessoas estejam seguras e, ao mesmo tempo, gerenciem esses outros riscos e o sucesso dos negócios. Então, acho que isso é algo cada vez mais importante para muitos líderes de segurança.

Clarke Rodgers (06:07):
E este é um ótimo gancho para minha próxima pergunta. Muitos clientes, em minhas conversas com eles, e imagino que com você também, querem saber como informar riscos de forma mais eficaz ao conselho de administração. Você tem alguma dica ou orientação sobre como fazer isso ou como pensa sobre isso ao informar sobre riscos cibernéticos ao conselho de administração?

Chris Betz (06:30):
Essa é uma ótima pergunta e, honestamente, nunca vi duas empresas que fizessem isso da mesma forma. Parte disso é porque é importante falar sobre riscos dentro do contexto dos negócios. Quando você está falando com o conselho, é extremamente importante entender quem são seus integrantes, que tipos de líderes eles são, quais são suas áreas de conhecimento.

Quando falo com o conselho aqui na AWS, sei que estou cercado por membros que são incrivelmente aprofundados em muitos aspectos da tecnologia, bem como em outros aspectos dos negócios. Portanto, as conversas que mantenho são muito diferentes de quando estou em um conselho em que há especialistas em um tipo específico de negócio, no varejo ou em outra área: esses especialistas trazem uma abordagem diferente, um conhecimento diferente.

E uma das coisas mais importantes (e isso remonta à conversa que acabamos de ter sobre um CISO como líder de negócios) é entender a segurança dentro do contexto da empresa.

Clarke Rodgers (07:32):
E informando deste modo.

Chris Betz (07:33):
Informando em termos de como isso afeta os negócios. Fazemos muitas coisas como líderes de segurança, mas eu costumo dividir tudo em quatro categorias principais. É nossa função estabelecer o padrão do que consideramos ser “bom” para a empresa. Qual é a nossa tolerância ao risco? O que queremos alcançar? É meu trabalho. É nosso trabalho como líderes de segurança ser uma fonte de verdades e transparência. “Veja como está o nosso desempenho hoje.” E é aí que chegamos a essas conversas sobre métricas.

Clarke Rodgers (08:08):
Conquistamos a confiança dos clientes, mas você precisa conquistar a confiança dos seus parceiros de negócios.

Chris Betz (08:11):
Precisamos ganhar a confiança da empresa. O que me leva ao ponto três, que é quase mais importante: não podemos ser apenas essa fonte de transparência. Não podemos simplesmente apontar para um problema. Nós, como líderes de segurança, precisamos ser um provedor de soluções capaz de fornecer meios para que a empresa se torne eficaz e eficiente na redução desse risco de segurança e, portanto, é nosso trabalho fornecer essas soluções e pensar em como fazemos isso.

“Não podemos simplesmente apontar para um problema. Como líderes de segurança, precisamos ser um provedor de soluções capaz de fornecer meios para que a empresa se torne eficaz e eficiente na redução desse risco de segurança.”

E a quarta e última categoria é que também é nosso trabalho ser uma fonte de responsabilidade, nos manter em segurança, ser transparentes com o conselho de administração, responsabilizar a empresa pela forma como estamos cumprindo o padrão que estabelecemos. Portanto, temos muitas funções diferentes, mas as empresas que eu considero ser as mais bem-sucedidas nesse espaço, as líderes de segurança, são aquelas que não se limitam a dizer “Aqui está a meta a ser alcançada e aqui está o quanto perto estamos dela”, mas se concentram em permitir que a empresa chegue lá de maneiras muito, muito bem pensadas.

Clarke Rodgers (09:13):
Chris, muito obrigado por sua participação.

Chris Betz (09:15):
Foi ótimo. Obrigado por me receber.