安全至上的领导力
Adam Selipsky 谈安全文化、生成式人工智能和客户至上的决策领导者对生成式人工智能安全的看法
生成式人工智能是当今大多数首席执行官关注的焦点。事实上,这是前 AWS 首席执行官 Adam Selipsky 在与同行交谈中最常听到的讨论话题之一。在此次安全领导者访谈中,我们将与 AWS 企业战略总监 Clarke Rodgers 一起了解 Adam 对生成式人工智能的看法和关于企业领导者在 AI 时代应如何处理安全问题的建议,以及如何制定符合客户和员工需求的生成式人工智能战略。
谈话记录
由前 AWS 首席执行官 Adam Selipsky 和 AWS 企业战略分析师 Clarke Rodgers 主持
新兴技术的安全基础
Clarke Rodgers(00:10):
与客户首席执行官以及同行举行这样的非公开会谈时,他们向您提出了什么问题? 对于安全性、隐私和合规性,以及现有的监管制度,他们跟您聊了什么? 您能为我们透露一下那些讨论内容吗?
Adam Selipsky(00:28):
这些都是非常重要的讨论,许多首席执行官都非常关心这些话题,这些话题也确实引起了许多人的共鸣。我想说几点,其中一点是,生成式人工智能是所有人关注的话题。我们收到了很多问题,比如“我如何看待生成式人工智能世界中的安全”、“事物发展如此之快”以及“我应该使用什么类型的应用程序或技术?”,以及“如何才能知晓这些应用程序或技术是安全的,及我该如何看待公司内部的安全?” 答案的第一部分是,
“生成式人工智能应能提供与您从任何其他服务中期望的安全水平完全相同的保障。”
人们似乎在讨论这些服务的企业安全性时存在一种分歧,然后突然转到“哦,现在我们来谈谈生成式人工智能”。 一些最早的生成式人工智能聊天机器人或消费者级别助手竟然没有安全模型,这一点令我感到震惊。数据实际是通过互联网发布的,对模型的任何改进实际上都会由所有使用模型的人共享。因此,许多首席信息官、首席信息安全官和首席执行官实际上在相当长的一段时间内禁止了其公司使用其中一些助理。
但我感到有些惊讶,因为我想到去找一位注重安全的首席执行官、首席信息官或首席信息安全官,然后告诉他们:“您好,我可以提供这种出色的新数据库服务。”它无与伦比。您会喜欢的。我真的认为您应该采用它。顺便提一句,它并没有与之关联的安全模型,但别担心,我会在第 2 版推出时解决这个问题,到时候就会安全了。” 没有人会相信的。
Clarke Rodgers(02:20):
确实。
Adam Selipsky(02:21)
至少我希望如此,也理当如此。因此,我认为在这个领域的其他公司出于某种原因(说不出是什么原因),对安全采取了不同的态度,将其看得不那么重要。而我们预见到了这一点。我们的生成式人工智能服务,例如用于运营基础模型的托管服务 Amazon Bedrock,和任何其他 AWS 服务同样安全。
以上便是围绕生成式人工智能的第一次对话。还有一些其他话题,比如“如何使我的公司具备安全意识?” 我认为这可以追溯到文化中。这可以回归到我们今天讨论的一些关于真正自上而下的领导力,以及向高层领导人发出信号,表明这很重要的问题。还有门槛,标准是非常高的。我经常为同行提供建议,很多时候涉及坚持最高标准,以及人们需要看到安全标准有多高,以及人们对于任何事情都毫不容忍,唯独对于最高标准十分宽容。
为您的组织投资适当级别的安全措施
Clarke Rodgers(03:30):
您会给那些或许没有十分关注组织内部安全风险和合规问题的同行首席执行官什么建议,使其更加关注这些问题呢?
Adam Selipsky(03:43)
我认为首先要明白,安全对您的业务有多重要,以及安全在哪些方面对您的业务很重要? 我觉得人们很容易会说,“哦,安全就是安全,它必定是所有人都要担心的头等大事。” 我提到过,对于 AWS 而言,安全的确至关重要。这代表着我们的立场和我们所经营的业务类型,以及我们的客户对我们运行其关键工作负载的信任。然而,对于其他企业而言,它们的业务可能涉及不同的安全风险和机遇。
因此,需要确定,“在我的业务中,安全究竟在哪些方面真正重要?” 这有助于我决定在哪里投资。因为我认为,如果理念是:“无论我是制造农业设备的企业,还是经营着一个大型社交媒体网站,抑或是数据领域的初创企业,我都必须在安全方面投入大量资金”,那可能会让人感到非常艰巨。
Clarke Rodgers(04:44):
明白了。
Adam Selipsky(04:45)
而且我认为安全优先事项会有所不同。所有这些类型的公司都将有安全需求,安全在某种程度上都很重要。但我真心建议人们深入研究,明确真正的优先事项是什么。通常情况下,这实际上会使得投资变得更容易,因为您会说,“嘿,我会先在这方面投资更多,然后再决定接下来要投资的地方。” 所以这可能是我建议大家的第一件事。
如何更有效地与首席执行官沟通
Clarke Rodgers(05:14):
那么,您会给那些试图向首席执行官、董事会等高层管理层,报告安全和合规情况的首席信息安全官们提出什么建议呢?
Adam Selipsky(05:26)
我会告诉你我给我的首席信息安全官的建议,以及我对首席信息安全官的要求,我认为
这与其他首席信息安全官的情况可能非常相似,那就是在你的工作、职责以及所提供的建议和指导中,要始终以客户为视角,用客户的眼光来看待。首席信息安全官的职责是让业务能够按照需求和愿望来满足客户的期望,并为客户提供价值,同时确保安全。
“要有创新精神,要有创造性,找到能够支持业务想法的方式,同时又要成为您客户的支持者,确保安全运营。”
我认为这样做会带来很强的信誉,因为这样一来,首席信息安全官就会被视为一位有价值的业务伙伴,他们致力于推动和支持业务的发展,而不是被视为只需要完成某些例行程序的人。
我认为这完全改变了关系,也真正有助于资源的优先分配。因此,通过客户的视角,你便可以判断,“如果我们执行 X 方案,到底会给客户带来什么风险?” 抑或“如果我们执行 Y 方案,我们到底能在哪里创造绝佳的客户机会和安全性?” 如果你这样想的话。
顺便说一句,我认为如果首席信息安全官表示:“我需要采取紧急行动”,会获得很高的信誉。我们不能,我们不应该这样做。在我们做之前,我们需要先修复一些问题。” 如果这种情况很少见,那么如果你很聪明,你会非常认真地对待这个问题。
Clarke Rodgers(07:06)
这是个很棒的建议。Adam,非常感谢您今天能在忙碌的一天中抽出时间与我见面。
Adam Selipsky(07:10)
不客气。非常感谢!
