安全優先領導
Adam Selipsky 暢談安全文化、生成式 AI 和客戶至上決策領導者對生成式 AI 安全性的觀點
生成式 AI 是目前大多數執行長最關注的議題。事實上,這是前任 AWS 執行長 Adam Selipsky 在與同行對談時最常聽到的討論主題之一。在此次安全領導者訪談中,我們將與 AWS 企業戰略總監 Clarke Rodgers 一起了解 Adam 對生成式 AI 的觀點和關於企業領導者在 AI 時代應如何處理安全問題的建議,以及如何制定符合客戶和員工需求的生成式 AI 戰略。
對話的轉寫
聚焦 AWS 前任執行長 Adam Selipsky 和 AWS 企业策略师 Clarke Rodgers
新興技術的安全基礎
Clarke Rodgers (00:10):
當您與客戶執行長和同行進行這種私人會議時,他們會問您哪些問題? 在安全性、隱私、合規性,以及我們看到的監管制度方面,他們會與您談論哪些話題? 您能讓我們了解一下這些對話內容嗎?
Adam Selipsky (00:28):
這些都是非常重要的對話,許多執行長真的非常關心這些話題,而這些話題引起了其中許多人的共鳴,也應該如此。我想我要指出一些事情,其中一個是,生成式 AI 當然是每個人最關注的議題。我們還有很多問題圍繞「在生成式 AI 的世界要如何考慮安全性」、「事情發展如此快」、「我應該使用哪些類型的應用程式或技術?」以及「我如何知道這是否安全,還有我該如何考慮公司內部的安全機制?」 答案的第一部分是
「您應該預期生成式 AI 的安全等級要與您所使用的任何其他服務完全相同。」
不知為何,人們在談論所有這些服務的企業安全時會出現這種分裂,然後,「哦,現在讓我們談談生成式 AI」。 有些最早的生成式 AI 聊天機器人或消費級助理,是在沒有安全模型的情況下就推出了,這確實是讓我非常震驚。而資料實際上是透過網際網路發佈,對模型的任何改進實際上都將與使用模型的每個人共用。這就是為什麼許多資訊長、資安長和執行長在很長時間內會禁止他們公司使用其中一些助理程式。
但這讓我感到驚訝,因為我想去找注重安全的執行長、資訊長或資安長,並告訴對方:「嗨,我有這個超讚的全新資料庫服務,比其他服務都好。您會喜歡它!我真的認為您應該採用它。順便一提,它沒有連接安全模型,但不用擔心,因為我會提供 v2,然後就會安全了。」 各位一定知道,我接著會被掃地出門!
Clarke Rodgers (02:20):
沒錯。
Adam Selipsky (02:21)
至少我希望會這樣,應該要這樣。所以,我認為這個領域中的其他公司出於某種原因,我無法告訴您為什麼,在安全方面採取不同的方法,並在某種程度上認為這不太重要。而且我們在此相當可預測。我們的生成式 AI 服務,例如 Amazon Bedrock,這是用於作業基礎模型的託管服務,與任何其他 AWS 服務相比,安全性並未降低。
以上是關於生成式 AI 的第一種對話內容。然後還有一些其他主題,以及「如何將安全思維引入我的公司?」 我認為這可以回到文化。這回到了今天我和您討論的一些關於真正由上而下領導的事情,並從高層領導人傳遞訊息,表明這很重要。而且這個標準非常高。我經常為同事提供建議,大部分是關於堅持最高標準,人們需要了解安全標準有多高,以及絕不容忍除了這些最高標準以外的任何情況。
為您的組織投資合適的安全性
Clarke Rodgers (03:30):
對於可能不太傾向投入組織內的安全風險和合規問題以進一步參與其中的同業執行長,您有什麼建議?
Adam Selipsky (03:43)
我認為第一件事是了解安全對您的業務有多重要,對您的業務來說安全在哪些方面重要? 我認為說這樣的話很容易:「哦,安全就是安全,這一直是任何人始終擔心的要務。」 對於 AWS,我已經說過,這就是關於我們和我們經營的業務類型以及客戶對我們在執行關鍵任務工作負載的信任。但是還有其他企業,其業務在不同方面可能有不同的安全風險和機會。
所以決定,「安全在我的業務中真正重要的是什麼?」 這有助我決定在哪裡投資。因為我認為如果概念是:「我必須在安全方面投入大量資金,無論是生產農業設備,或是否擁有一個大型社交媒體網站,或者我是資料領域的新創公司都該如此。」這可能會令人卻步。
Clarke Rodgers (04:44):
原來如此。
Adam Selipsky (04:45)
我認為安全優先事項將會有所不同。所有這些類型的公司都將有安全需求,安全將以某些方式變得很重要。但我真的鼓勵人們深入研究,找出真正的優先事項是什麼。通常這確實使投資變得更容易,因為您會發現,「我要在那裡投資更多,然後將決定下一個投資的重點。」 所以這可能是我建議大家的第一件事。
如何更有效地與執行長溝通
Clarke Rodgers (05:14):
那麼,對於嘗試以有意義的方式向執行長、董事會等報告安全和合規的資安長,您有什麼建議?
Adam Selipsky (05:26)
我會說說我給自家資安長的建議,以及我向對方提出的要求,我認為
可能對其他資安長來說意義非常相似,那就是用客戶的視角、客戶的濾鏡來審視您的作業、您的工作,以及您所提供的建議和忠告。資安長的工作是讓企業能做需要做的事情和想要做的事情,以滿足客戶需求並安全地為客戶提供價值。
「因此,要有創新精神,發揮創意,想辦法接納企業想實現的構想,同時在安全營運方面成為客戶的擁護者。」
我認為這有助於建立高信譽,因為客戶會將資安長視為有價值的業務合作夥伴,相信他們會推動和支持業務,而不是將資安長視為需要取得其核可的對象。
我認為這完全改變了關係,也確實有助於安排資源的優先順序。因此,當您透過客戶的視角檢視問題,真的可以知道:「如果我們做 X,我們會在哪裡真正產生客戶風險?」 或者「如果我們做 Y,我們能在哪裡真的創造出絕佳的客戶機會和安全?」 如果您這麼思考的話,勢必會有所改善。
順便說一句,我認為資安長在這些情況下也會獲得很高的信譽,他們會說:「我需要拉安燈繩 (Andon cord)。我們不能、不應該做這件事。在這麼做之前,我們需要修正一些問題。」 如果這個情況很罕見,那麼若您聰明的話,您會非常非常認真地對待這件事。
Clarke Rodgers (07:06)
很棒的建議。Adam,非常感謝您今天在百忙之中抽空接受訪問。
Adam Selipsky (07:10)
我的榮幸。感謝您!
