以全新數位體驗吸引客戶

高管層如何為安全文化設定標準

與 AWS 安全保證總監 Sara Duffer 的對話

文化和人力培訓是組織安全準備工作的關鍵要素,畢竟許多惡意人士仍依賴基本的網路釣魚方案進行攻擊。加入我們,共同與 AWS 安全保證總監兼 Amazon 執行長前任技術顧問 Sara Duffer 進行交談。我們將討論安全文化的重要性以及執行長在建置和強化安全標準中發揮的作用。

本訪談的部分內容也有音訊版本。按一下下方您喜愛的播放器圖示收聽播客,並訂閱 AWS 領導者訪談播客,以免錯過任何一集。

由於之前曾擔任執行長的技術顧問,Sara 比大多數人更了解 Amazon 如何建立並持續加強企業安全文化。與 AWS 企業戰略總監 Clarke Rodgers 一起採訪 Sara Duffer,了解她在配合執行長工作期間觀察得到的經驗和掌握的知識,包括高管層如何為安全文化設定標準。

認識 AWS 安全保證總監 Sara Duffer

建立客戶信心的數位體驗

Clarke Rodgers:
我們常說安全是 AWS 的首要任務,但如何確保將其放在首要地位? 首先是要得到高管層的全力支援,然後要在整個組織內建立安全文化。

您好,我是 AWS 的企業策略總監 Clarke Rodgers,也是您在 Executive Insights 的嚮導,帶您一同與 AWS 的安全領導者進行一系列對話。

今天,我們要與 Sara Duffer 暢談。Sara 先前擔任 Amazon 執行長的技術顧問,因此她對 Amazon 安全有著非常深入的了解。與我們共同聆聽 Sara 分享其作為安全領導和技術顧問的經驗。敬請觀賞。

Clarke Rodgers:
Sara,非常感謝您參加我們今天的訪談。

Sara Duffer:
感謝您!很高興來此參加討論。

Clarke Rodgers:
您可否花點時間介紹一下自己的職業生涯和目前在 AWS 擔任的職位。

Sara Duffer:
我已在 AWS 就職長達 13 年。我最初在 AWS 基礎設施團隊工作,期間利用大量時間在資料中心搜尋資料。此後不久,我加入當時規模很小的合規團隊,該團隊後來成為我們的安全保證團隊。

Clarke Rodgers:
您一直在從事安全工作嗎?還是在加入 AWS 後才開始涉足安全領域?

Sara Duffer:
我一直從事安全工作。我從大學畢業後就開啟自己的職業生涯,直接從事攻擊和滲透工作、物理安全 — 開始合法地侵入組織。然後,我開始更多地實作安全解決方案。實際上,解決發現的問題是值得深入探究的領域,並且我最終將自身的工作經驗帶到 AWS。

探索 AWS 技術顧問的角色

建立客戶信心的數位體驗

Clarke Rodgers:
您的安全背景已經足已令人印象深刻,但您在 AWS 和 Amazon 還擔任另一個非常獨特的職位,也就是技術顧問。您可否簡單介紹一下技術顧問的含義以及該職位的工作內容?

Sara Duffer:
我從 2020 年 11 月開始擔任技術顧問。當時是 AWS 執行長 Andy Jassy 的技術顧問。Andy 後來成為了 Amazon 的執行長,而我也繼續擔任其在新職位上的技術顧問。從本質上來說,技術顧問是一種教導職位。該職位的關鍵在於能夠迅速向領導者教導問題規模和執行的解決方案。這是絕對奇妙的體驗。

「

從本質上來說,技術顧問是一種教導職位。該職位的關鍵在於能夠迅速向領導者教導問題規模和執行的解決方案。」

Clarke Rodgers:
您從擔任技術顧問的經歷中得到哪些重要的經驗?

Sara Duffer:
每天都能得到此類經驗。在调任成為技術顧問时,我提前準備了一份不斷變動的清单,其中以一列記錄自己得到的经验,並且告诉自己每周都要更新此清單。我很快發現自己幾乎每天都在觀察傑出的領導者,了解他們如何開展工作和參與其中。因此,我得到很多經驗。我認為有三點經驗讓我印象深刻 — 均是通過觀察 Andy 和與其交流得到的。第一點經驗是,時間是一種非常寶貴的資源;您必須非常慎重地考慮如何安排自己的時間。

並且這與下一點經驗緊密相關,即如果您說「沒問題」,就必須全身心地投入完成工作。 您確實需要認真考慮,思考自己的未來發展,而不僅僅是滿足於現狀。有人喜歡說:「當然,我將來可以做到這一點。」 這聽起來很簡單,但執行起來卻困難重重。這兩點是核心的經驗教訓。

下一點經驗是擁有強烈的好奇心,我看到很多傑出的領導者都擁有此品質,但顯然 Andy 在這方面表現得更加出色。強烈的好奇心表現為經常提問,最初是充滿建設性的問題,但很快就能探究以瞭解所參加會議的核心基礎,或者了解核心學習模組和團隊的想法,同時檢查並推動團隊以確保他們的想法與我們從 Amazon 角度出發的想法相一致,此外還可以從團隊身上學到相關的經驗。這種強烈的好奇心反覆出現在 Amazon 的所有高層領導者身上。

預測後量子密碼學和生成式 AI 的趨勢

建立客戶信心的數位體驗

Clarke Rodgers:
這太妙了。我們轉到您目前擔任的職位。我們 AWS CISO 圈子中不斷討論的主題之一是後量子密碼學。您的想法是什麼?

Sara Duffer:
當今的公有金鑰加密法方案利用離散對數和橢圓曲線加密的數學問題。我們正處於量子運算的早期階段,該技術將為社會帶來諸多益處。其中之一就是能夠更快地解決困難的運算問題,但未來可能會出現意想不到的後果,即量子電腦可能能夠破解我們目前的公有金鑰加密法方案。現如今有很多關於後量子密碼學,即 PQC 的討論,同時討論的還有我們可以開始考慮投入使用的方案,這些方案可以繼續保護我們的資料,以應對將來量子運算面世時引發的問題。

AWS 目前在此領域做了很多工作。我們的密碼學家實際上貢獻了 PQ 金鑰協議和 PQ 簽名方案。這些內容不僅停留在理論階段。目前人們已經提出很多理論,例如 NIST 正在此領域開展大量工作,我們也為此做出了貢獻。但是,我們也在將理論轉化為現實,對於我們的 TLS-1.3 端點,我們目前已經在 AWS Secrets Manager、KMS 服務和憑證管理服務中實作 PQ。這實際上是人們甚至可以立即試用的服務,這一點非常酷。

Clarke Rodgers:
在過去一年左右,生成式 AI 以各種不同的形式和方式席捲全球。您如何看待加密領域中的生成式 AI? 它會有所幫助嗎? 還是會成為障礙嗎? 又或者是為時過早?

Sara Duffer:
我認為從生成式 AI 的角度來看,我們聽到了很多擔憂 IP 洩露的討論。正因為如此,您會聽到越來越多有關隱私權保護技術的討論,藉助這些技術,您可以繼續訓練大量資料並保護與其相關聯的 IP。這是團隊非常關注和為之思考的領域,我們甚至在內部研究自己有哪些解決方案。

Clarke Rodgers:
安全趨勢和預測是我們的客戶最感興趣的主題。您認為未來三到五年左右安全領域將會發生哪些變化?

Sara Duffer:
目前我真正感興趣的領域有兩個。其中一個領域尚處於起步階段,但我認為它將日益成為 CISO 最關心的問題,即密碼編譯運算的概念。密碼編譯運算是一種使用密碼編譯手段讓多方能夠以保持資訊私有性的方式共用資訊的方法。目前該領域的一個範例是 AWS Clean Rooms,該服務可讓我們的客戶協作和共用資訊並取得經驗。其中有一部分稱為 Clean Rooms 的密碼編譯運算。該部分可讓客戶以密碼編譯方式共用資訊。該領域目前還處於早期階段,您對其不會有更多了解,但您會越來越多地聽到密碼編譯運算的主題就是圍繞隱私權保護的概念。

可以思考一下,當今世界正朝著越來越多的資料分析發展,以及我們如何共用和學習更多資料並進行訓練等。而且,您將越來越多地聽到如下概念:「您如何使用隱私權保護技術?」 其中一種方式就是使用密碼編譯運算。

另一種是我非常關心的方式,實際上這是我們團隊今年推出的一項新服務,即 AWS Payment Crypto 服務。我發現該團隊從事的工作非常有趣,即為了能夠實現如今的支付所需的端到端加密,大型主要處理器必須繼續在現場維護某種 HSM。AWS Payment Crypto 可讓組織利用 AWS Cloud 執行傳統上使用本地部署 HSM 完成的金鑰管理和密碼編譯功能。

這項服務仍然處於早期階段。它也是非常新的服務。此外,這項服務最重要的一點是它還滿足 PCI PIN 合規要求,這種合規性絕對至關重要。我認為在此領域有很多值得關注的方面,因為您能夠繼續協助和支援客戶從其本地部署移轉至雲端。這是令人興奮的領域,我必然會密切關注。

AWS 中始於安全的設計

提升轉化率的途徑

Clarke Rodgers:
我們稍微轉變一下視角,更多地從發展的角度來考慮。多年來,我們一直在談論「讓我們確保以始於安全的設計方式建置應用程式」,然後發展到始於安全的設計和始於隱私權的設計。您如何激勵開發團隊,以及對開發團隊設定了何種期望,讓他們真正以這種方式思考? 理想情況下,它處於反覆運作階段,即「這是我想建置的產品,我會考慮所有這些方面」,但是如何建立合適的機制?

Sara Duffer:
這完全事關企業文化,而企業文化是從最高層開始推廣的。我的意思是,雖然企業文化反覆提及,但它確實是從最高層開始推廣。安全性、隱私權、合規,這確實是您的首要任務。您會感受到,這些概念已融入 AWS 中每位建構家的企業文化。我認為這可能是核心起點。同樣真正重要的是,對於我們的每一位建構家、任何團隊和我們的客戶來說,甚至是從安全或隱私權的角度為團隊成員建置內部服務,也需要在開發人員的工作地點與其會面。

我認為您有時會看到,在很多情況下都缺少的是,即使在這些策略性項目中也沒有衡量每位元工程師需要完成的工作量,而是從總體上衡量有多少策略性項目要交給所有這些建構家。由於能夠對所有這些一次性要求做出策略性回應產生的總體影響,您會突然意識到這是工程師在日常工作中承擔的沉重負擔。

有多種方法可以解決此問題,但也許這可以讓您更快地採取行動,從而能夠確定「我們是否可採取主動的方法來解決此特定問題?」,例如透過管道或其他方式,以防止此問題實際上必須由工程師來處理? 這將會是更理想的方法。我認為這是核心事項之一,此外,從最高層開始推廣企業文化,並確保制定相應政策來定義需要完成的工作。然後,您就可以日常履行文化和辨別問題。

「

這完全事關企業文化,而企業文化是從最高層開始推廣的。我的意思是,雖然企業文化反覆提及,但它確實是從最高層開始推廣。安全性、隱私權、合規,這確實是您的首要任務。」

但是在問題管理部分與變更管理部分相結合的情況下,我們能夠真正確定與開發人員在其工作地點會面意味著什麼,並且能夠避免嚴重程度為二級或非常高的問題,需要放下一切工作來修復這些問題。·同時,我們要了解要求人員修復的所有其他項目。我們可以透過其他方式來完成修復並及時地進行補救嗎? 我認為這可能是我所知道的最有趣領域之一,即組織一直在關注的問題是,我們如何持續減輕工程師的負擔並減少由於補救任何問題而產生的分歧?

Clarke Rodgers:
正如您所說,其中很大一部分是企業文化和擁有權 — 儘管我的名牌上沒有提到安全,但它確實是我工作的一部分。

Sara Duffer:
就是這樣。可以這麼說。

賦能下一代偉大領導者的指導機制

提升轉化率的途徑

Clarke Rodgers:
我知道在您的整個職業生涯中,指導對您具有重要意義。您建立何種機制來確保協助那些真正想要與您聯絡並取得建議的人員?

Sara Duffer:
我非常幸運,在加入 AWS 以及在 AWS 就職期間一直擁有非常出色的導師和輔導者,他們總是願意隨時站出來與我交談,不斷鼓勵我,在我不在場時為我辯護。我認為有趣的事情之一是,在擔任技術顧問職位時自身的感覺非常棒。我收到的電子郵件確實增加了,但實際上,聯絡我了解更多資訊和尋找機會的人卻有所減少。我認為人們稍微被我制定的規則所嚇退。

我認為目前使用的最有價值的機制之一是,我始終定有一條規則,即任何與我聯絡的人,無論他們在組織中擔任何種職位,我都會給他們 30 分鐘的時間。在擔任技術顧問職位時,我所獲得的最重要好處之一就是能夠讓組織中非常初級的成員 (來自我們的建構家社群或履行中心) 與組織中的高層人員取得聯絡,而高層人員會花 30 分鐘的時間來了解更多資訊。

我還確保每個月留出一定的時間專門指導他人。我通常會有四個時段,您也有四個時段、四週或四次會議來參與指導。最後,我們做出一個決定 — 繼續還是不繼續? 這也讓人們能夠針對某些指導制定退出計劃或退出通道。

Clarke Rodgers:
這太妙了。我相信他們很喜歡此機會Sara,非常感謝您參加我們今天的訪談。

Sara Duffer:
非常謝謝您。非常棒的談話。

領導者簡介

提升轉化率的途徑

Sara Duffer
AWS 安全保證總監

Clarke Rodgers
AWS 企業策略總監

身為具安全專業背景的 AWS 企業策略總監,Clarke 樂於協助高階主管探索雲端可以如何實現安全轉型,並且與這些主管攜手合作,找到最適合的企業解決方案。Clarke 在 2016 年加入 AWS,但在其加入團隊之前便已熟悉 AWS 安全的諸多優勢。他曾是一家跨國保險 / 再保險提供商的資訊安全執行長,並負責監管策略部門執行向 AWS 的全遷移工作。

  • 發布日期
  • 字母 (A~Z)
  • 字母 (Z~A)
 我們找不到任何與您的搜尋相符的結果。請改為搜尋其他內容。

邁出下一步

AWS 高層簡報
資源中樞

創新

了解產業領導者如何持續保持創新,以發展業務並締造差異化的客戶體驗。

播客
播客

聆聽與學習

聆聽高管們和 AWS 企業策略師 (均為前高階主管) 討論數位轉型之旅。

雲端的商業價值
LinkedIn

掌握最新動態

AWS Executive Insights 是業務和技術領導者的數位目的地,我們於此共享資訊、最佳實務和活動邀請。 

AWS 高層簡報
資源中樞

企業領袖充分挖掘生成式 AI 的價值

了解如何將生成式 AI/ML 整合到您的組織中。