Como a AWS ajuda os clientes a cumprirem seus objetivos de segurança, risco e conformidade

O trabalho de Hart Rossman é ajudar os clientes a criar confiança e capacidade técnica para operar suas workloads mais sigilosas com a AWS na nuvem. A equipe de Rossman é obcecada em como aumentar o nível da experiência do cliente no que diz respeito a atender às necessidades urgentes em relação à segurança, riscos e conformidade.

Clarke Rogers, estrategista corporativo da AWS, conversou com Hart sobre como as soluções são criadas após ouvir profundamente (e entender verdadeiramente) o que é importante para o cliente, o que ele espera quando contrata sua equipe, quais os serviços mais usados por clientes que estão movendo seus serviços de segurança para a nuvem e como a AWS se supera para garantir que suas ferramentas e parceiros estejam alinhados e otimizados.

Experiências digitais que consolidam a confiança do cliente

Clarke (00:58):
Conte-nos um pouco sobre sua experiência, como você veio para a AWS e qual o seu cargo atual?

Hart
(01:05):
Claro. Antes da AWS, eu trabalhava em um espaço de inteligência para fornecedores de defesa, fazendo vários trabalhos de integração de sistemas. Eu gostava muito desse trabalho, adorava a missão de apoiar o governo americano e outros governos em todo o mundo e o que eles faziam, além de outras indústrias regulamentadas também. Mas eu sempre tive curiosidade e mantinha em minha cabeça uma lista das principais empresas de segurança. No início da minha carreira, essas empresas eram voltadas principalmente aos consumidores. Estou falando de antivírus, firewalls pessoais em seu desktop, coisas desse tipo. Mas, com o passar do tempo, essa lista migrou para empresas que fornecem a infraestrutura que faz o mundo rodar. Empresas como a Amazon e outras grandes provedoras de infraestrutura. Eu estava em um ponto na minha carreira no qual eu precisava descobrir meu próximo passo. Eu queria fazer parte de uma empresa que estivesse realmente inovando a segurança. Isso faria uma diferença, não só para alguns clientes importantes, mas para todo o mundo. E, assim que tive a oportunidade de entrar para a AWS, eu não hesitei.

Clarke
(02:02):
E qual é a sua função atual na AWS?

Hart
(02:39):
No momento eu sou diretor de serviços profissionais e práticas especializadas globais de infraestrutura e segurança, o que é um cargo com um nome bem longo. Mas, na verdade, meu trabalho é ajudar os clientes a criar confiança e capacidade técnica para operar suas workloads mais sigilosas conosco na nuvem.

Clarke (02:58):
Entendi. Então, quando você analisa diferentes serviços profissionais que seu grupo oferece ou disponibiliza aos clientes, existe algum mecanismo específico que adota para garantir que a sua oferta é na verdade o que os clientes querem ou precisam?

Hart:
(03:14)
Vou dar um exemplo bem específico. Alguns anos atrás, tínhamos alguns clientes que estavam considerando migrar seus sistemas de cartão de pagamento para a nuvem. Eles precisavam de uma equipe que tivesse a expertise em nuvem e em operações modernas de sistemas de cartões de pagamento, e que também entendessem o padrão PCI. A primeira vez que enfrentamos essa situação, pensamos em trazer um parceiro que tivesse competência em PCI. Isso funcionou muito bem. Normalmente, quando os clientes trabalham com a AWS e com um de seus parceiros, obtemos os melhores resultados.

Ouvimos também que eles querem garantir que a expertise e orientação que receberão da AWS seja autoritativa e que os parceiros, como o PCI, sejam qualificados. Assim, acabamos escrevendo seis páginas de uma narrativa escrita com base no “trabalho de trás para frente” e desenvolvendo uma equipe que acabou se tornando uma subsidiária independente, a AWS Security Assurance Services, que é uma empresa PCI-QSA. E agora é também um assessor altamente confiável.

Coletamos esse feedback inicial dos clientes, fizemos alguns experimentos, integramos paceiros e, em última análise, criamos um negócio para encantarmos nossos clientes. E mantivemos os parceiros envolvidos.”

Clarke (05:17):
Fantástico! Então não há nenhum processo interno que você oferecerá ao serviço X, se o cliente não o solicitar?

Hart
(05:27):
Não, nenhum. Aliás, em algumas conversas das quais participei, e já estou na AWS a mais de nove anos, isso não é aconselhável. O que acontece muito é, por exemplo, você fala algo em uma reunião e alguém o elogia e diz que você é muito perspicaz mas, em seguida, agradecem o seu ponto de vista e perguntam: mas o que seus clientes dizem sobre isso? Isso não quer dizer que eles estão descartando a minha expertise, mas eles reconhecem, e eu também reconheço, que teremos a solução correta para os clientes, quando ouvirmos atentamente, quando ajudarmos os clientes a pensar sobre a solução depois de várias interações com eles. Aí então podemos filtrar essas informações com as lentes da expertise. Depois que identificarmos essa solução da Amazon exclusiva, aí sim poderemos levá-la ao cliente.

Clarke
(06:09):
Então eu imagino que, na sua empresa, você esteja constantemente contratando novos consultores para atender às necessidades de seus clientes. O que você procura nesses excelentes consultores de segurança da AWS que você está sempre contratando? Seria uma expertise ampla e profunda em segurança? Ou uma mentalidade de empreiteiro, que só quer resolver problemas? Qual o tipo de experiência e talento você procura quando faz uma contratação para a ProServe?

Hart
(06:39):
Procuramos alguns talentos, mas fundamentalmente buscamos pessoas com aptidões técnicas e adequação cultural. A adequação cultural é o alinhamento com os nossos princípios de liderança e a habilidade de pensar cuidadosamente e internalizar esses princípios, além de nos ajudar a conhecer mais sobre o princípio de liderança durante nosso trabalho. Procuramos também aptidões técnicas, qual é a excelência desse indivíduo? Nesse caso, o que eu procuro é expertise em um assunto ou domínio específico, e habilidade demonstrada para trabalhar com outros domínios também.
 
Por exemplo, se você for um especialista em identidade, poderá demonstrar que pode aplicar sua expertise à criptografia? Ou pode aplicá-la em áreas forenses ou em outras áreas naturais? Porque com isso, trazemos pessoas que são totalmente especializadas em suas áreas. Elas têm uma tremenda profundidade, que levará à abrangência. Pois todo mundo quer a sua expertise para ajudar a resolver problemas, o que é um pouco diferente do que você faz todos os dias. Portanto, procuramos essa agilidade, flexibilidade, a habilidade de ver além do horizonte, de aplicar sua prática de formas não convencionais.

Nós totalmente procuramos por empreiteiros. E insistimos que toda a equipe, desde os arquitetos corporativos até nossos consultores de entrega e gerentes, obtenham proficiência técnica na plataforma. Por isso estamos aqui para ajudar os clientes. E se você nunca carregou uma foto CAT no S3, ou nunca executou uma instância do EC2 ou implantou código no Lambda, você não poderá inspirar credibilidade quando falar com um cliente sobre como eles resolverão seus problemas ou criarão seus próximos negócios nesses mesmos serviços. Portanto, para nós é muito importante que você possa arregaçar suas mangas e trabalhar de verdade com a tecnologia, criando soluções confiáveis.

Clarke
(11:55):
Você se reúne com muitos diretores executivos dos clientes, e é claro que tem consultores implantados em todo o mundo, solucionando problemas dos clientes e ajudando-os a criar diferentes recursos. Você tem observado alguma tendência em relação às ofertas de segurança que estão sendo contratadas por meio do AWS ProServe, com as quais os clientes precisam de ajuda atualmente?

Hart
(12:16):
Uma das coisas que notamos desde que começamos nossa empresa é que os clientes não querem comprar infraestruturas inseguras de forma alguma. É claro que na AWS nós fornecemos um conjunto de serviços muito seguro e confiável. Os clientes querem saber a melhor forma de implementá-los para as necessidades específicas de suas empresas. Atualmente, por exemplo, contêineres estão em alta demanda. Todo mundo está usando contêineres, implementando novos ou usando contêineres para acelerar e simplificar uma migração. Muitos diretores executivos querem saber como acertar no modelo de segurança de contêineres. Como eles acertam em questões de segurança operacional, como gerenciamento de vulnerabilidades, verificações, etc em contêineres e na segurança deles. Outra área é a resposta a incidentes. Infelizmente, temos visto muitos relatos na mídia sobre ransomware e outros tipos de ataques.

Os clientes querem entender quais recursos eles podem usar na AWS para se proteger contra esse tipo de atividade insidiosa. E também como podem capacitar seus respondentes para que sejam eficientes na nuvem, uma vez que tudo isso pode ser novo para eles. Eles podem ser excelentes on-premises, mas agora têm um conjunto totalmente diferente de ambientes para administrar. Portanto temos visto muito interesse em respostas. Outra área de interesse é a engenharia de segurança. Muitos clientes nos falam que querem construir como a Amazon constrói. Sentimos-nos confortáveis com seus serviços. Gostamos do que vocês fizeram e de como expõem suas APIs. Queremos fortalecer nossas APIs da mesma forma que vocês fizeram. Queremos ter o mesmo tipo de dev ops do ciclo de vida do desenvolvimento de software que vocês têm. Assim, recentemente nós desenvolvemos um recurso de engenharia para clientes que tem uma ênfase forte em segurança. Também estamos trabalhando nisso com os clientes.

Clarke (17:19):
Quando os clientes estão começando, eles podem usar a Proserve, um parceiro para ajudar a identificar qual é a zona de pouso inicial deles. E, claro, atualmente temos também o Control Tower e outras formas para fazer isso. Quais os tipos de serviços ou mesmo de documentação que vocês oferecem? Esse é um tipo de pergunta de duas partes, uma na posição de cliente, “Como eu sei quando estou, é mais ou menos isso, no caminho certo e alinhado com as práticas recomendadas da AWS?” e outra “Mesmo se eu fizer tudo isso, posso esquecer de algo e ter algum problema, seja ele um ransomware ou de outro tipo; nesses casos, a ProServe terá a oportunidade de me ajudar?”

Hart (18:04):
Ótima pergunta, Clarke. Tenho algumas questões com as duas partes da sua pergunta. Em relação à primeira parte, eu sempre gosto de garantir que os clientes estejam familiarizados com a nossa linha principal, digamos nossas ferramentas de inspeção. Eles precisam se sentir confortáveis com esse elementos bem arquitetados. Essas são ótimas orientações. É preciso que você sinta-se confortável com as recomendações, e com o Security Hub e Guard Duty. Esses tipos de serviços ajudam a entender onde você está. E, se você implementou esses fundamentos e se eles estão funcionando da forma esperada. E então, do ponto de vista mais abrangente de um planejamento e capacitação, podemos olhar os serviços como as recomendações da AWS ou APG. Esses são um tesouro fenomenal de lições e práticas recomendadas, aprendidas da Amazon e de nossos parceiros sobre como fazer as coisas.
 
Lançamos recentemente uma arquitetura de referência de segurança, o que é uma orientação bastante prescritiva, tanto em palavras como em código. Em alguns textos, falamos sobre uma variedade de uso de casos e princípios de arquiteturas, e o que foi importante para mim quando desenvolvemos essa arquitetura de referência de segurança. São como desenhos arquitetônicos que mostram como os serviços da AWS funcionam na sua conta do ponto de vista de segurança. Não são somente rabiscos no quadro negro ou expressões entusiasmadas, são o tipo de física da segurança teórica, que depois complementa essa implementação real. Assim, cada caso de uso na orientação da arquitetura de referência de segurança vem com um código-fonte que mostra como implementá-la em uma implementação de referência. E isso, com o tempo, será construído por nós.

Adicionaremos diferentes pontos de vista. Já recebemos um feedback incrível de nossos clientes, que não só adoraram usá-los, mas também querem saber mais sobre o caso de uso. E este caso de uso que eu tenho? Estamos considerando repetir esse também. Você perguntou também sobre a resposta a incidentes. Recentemente, no Reinforced, falamos sobre os recursos da nossa equipe de resposta a incidentes do cliente. Essa equipe está sediada na Proserve. E essa é uma oportunidade para fazermos duas coisas. Primeiro, e o mais importante, ajudar os clientes a resolver problemas e planejar com antecedência. Assim, podemos prevenir a ocorrência de qualquer incidente. Porém, se alguma coisa acontecer, pode ser um problema pequeno até a solução de tudo. Ok. Temos ainda uma oportunidade por meio do sistema de suporte, no qual se você tem um evento de segurança e precisa de ajuda escalada ou elevada na AWS, temos essa equipe de resposta a incidentes de clientes, que é sediada na minha organização.

E a meta dessa equipe é resolver qualquer problema para os clientes. Eles fornecem bastante suporte prático e várias orientações para solucionar incidentes. E, na maioria dos casos, os clientes estão bem equipados para responder aos incidentes e gerenciá-los. Acredito que para eles, é tudo novidade. Pode ser que nunca tenham feito isso na nuvem ou que o ataque seja totalmente desconhecido para eles. O que eles querem mesmo, é que um especialista fora da empresa deles possa ajudá-los. Oferecendo um ponto de vista diferente. E uma conversa amigável.

O caminho para níveis superiores de conversão

Sobre os autores

Hart Rossman
Diretor de segurança global e práticas de infraestrutura da AWS

Hart Rossman é diretor de segurança do AWS Global Services. Nessa função, ele é responsável por construir com os clientes, com as equipes de serviços da AWS, assim como pela capacitação de parceiros, as estratégias de crescimento e a segurança e operações das interações. Como nosso cliente ou parceiro, talvez você tenha experimentado nosso trabalho inovador, que inclui o AWS Cloud Adoption Framework Security Perspective, AWS Security Reference Architecture, Jam Service & Events, Security Epics, ou o Control Tower Account Factory for Terraform.

Clarke Rodgers
Estrategista empresarial da AWS

Como um estrategista empresarial da AWS, Clarke é dedicado em ajudar os executivos a explorar como a nuvem pode transformar a segurança e trabalhar com eles para encontrar as soluções corporativas certas. Clarke ingressou na AWS em 2016, mas sua experiência com as vantagens da segurança da AWS começou bem antes de ele se tornar parte da equipe. Em sua função de diretor de segurança da informação para um fornecedor multinacional de seguros de vida, ele supervisionou a migração integral de uma divisão estratégica para a AWS.

  • Data de publicação
  • Ordem alfabética (A-Z)
  • Ordem alfabética (Z-A)
 Não foi possível encontrar resultados para sua pesquisa. Tente uma pesquisa diferente.

Dê o próximo passo

AWS Executive Briefing
HUB DE RECURSOS

Revelar o valor da IA generativa para líderes de negócios

Saiba como integrar o ML/IA generativa na sua organização.

Podcast
PODCAST

Ouça e aprenda

Ouça os líderes executivos e os estrategistas empresariais da AWS, todos executivos experientes, debatendo as jornadas de transformação digital.

O valor comercial da nuvem
LinkedIn

Fique conectado

O AWS Executive Insights é um destino digital para líderes empresariais e de tecnologia, onde compartilhamos informações, melhores práticas e convites para eventos. 

O valor comercial da nuvem
HISTÓRIAS DE SUCESSO DE CLIENTES

Inove em todos os setores

Explore como os clientes estão gerando valor com a IA generativa na AWS.