安全领导力要求在物理方面和数字方面采取整体方法,而 Amazon 的多样化业务组合在这两方面都带来了独特的挑战和机会。在本次对 Amazon 首席安全官 Steve Schmidt 的访谈中,我们将探索 Amazon 如何在AWS、amazon.com、Whole Foods、Prime Video、Kuiper 等组织中实施安全措施。加入本次对话,届时 AWS 企业战略总监 Clarke Rodgers 将向 Steve 询问 Amazon 如何将企业安全措施标准化、利用生成式人工智能提高应用程序安全性以及通过 MadPot 等工具提供全面的威胁情报。立即收听,以了解现代安全领导者们如何将物理安全措施和信息安全措施相结合,以应对来自网络攻击和人类间谍活动的不断演变的威胁。
Clarke Rodgers:
Steve,非常感谢你今天能够光临。
Steve Schmidt:
很高兴来到这里。谢谢。
Clarke Rodgers:
距离我们的上一次谈话已经有一段时间了。实际上,我昨晚还在计算究竟过了多久。大概是四年以前。
Steve Schmidt:
哇哦。
Clarke Rodgers:
当我们回顾四年前发生的事情时,疫情仍在继续。你和我正在进行远程访谈,但你那时扮演着另一种角色,对吧? 当时你在 AWS 担任首席信息安全官。在那次访谈后不久,Andy 升任 Amazon 首席执行官一职,上任之初,他的其中一个举措就是让你担任首席安全官。你能否简单谈一谈,他为何这样做?
Steve Schmidt:
当然可以!Andy 非常看重的其中一件事是,要了解我们如何保护客户的信息。这是 AWS 的需求决定的,也是业务的立足根本。除非采取适当的安全措施,否则你的企业不可能发展到 AWS 那样的规模。
踏上新岗位之后,他希望保持同样的心态,并以这种心态对待 Amazon 目前运营的众多业务的全部客户。他还渴望知道,有人每天都在他们的日常工作中关注这种事情。于是,他向我抛出橄榄枝,要求我接管这项工作。
Clarke Rodgers:
“首席安全官”里面缺少一个词,也就是“信息”,对吧? 你是一名首席安全官。我们举办过几次客户访谈,他们也去掉了这一职位中的“信息”二字。你能否简单谈一谈,将这一职位称为“首席安全官”而不专门加上“信息”二字为何如此重要?
Steve Schmidt:
当然可以!信息保护是我们这一领域的真正货币,在首席信息安全官的工作中,它无疑具有人们习以为常的逻辑组件。然而,我们的对手正在越来越多地通过人工方式获取信息,这些信息从逻辑角度更难获得。
这一行业曾经出现过这样的摇摆,你回想一下,很久以前,人们会成为间谍,物理间谍会潜入并偷走文档副本或类似的东西。当我们使用计算机系统上网时,哎呀,出现了新的漏洞。让我们远程偷窃这些东西,或者干点其他的事。尽管企业在本地或其他地方加强了这些信息的保护措施,但事实证明,人们又拾起了间谍的行当。
我们必须整合对我们的物理资产和信息资产(也就是逻辑资产)的保护,以便全面了解我们正在对客户数据进行的处理以及我们如何保护这些数据以及我们的业务数据。因为现在,我们的民族国家对手通常不仅专注于获取客户拥有的数据,还在关注我们将来的业务会向哪个方向发展。
我们如何构建下一组非常有趣的产品或服务,无论是卫星还是机器人车辆。这些产品或服务将为世界各国以及这些产品或服务支持的业务创造不可估量的价值。作为安全专业人员,我们必须全面了解谁是我们的对手,以及我们需要如何防范他们。
Clarke Rodgers:
当然。在你担任首席安全官一职之后,就会收到物理安全问题报告,我能够想象到,信息安全专业人员所说的语言与物理安全人员所说的语言完全是两种不同层面的东西。你如何整合这两者,以便让他们说同一种语言并且有效地协同工作?
Steve Schmidt:
当然可以!与其说他们在遣词造句,不如说这是因为他们各有各的行话。你说得绝对正确。必须了解他们的最终目标是什么、如何衡量你们的目标进展情况,最重要的是,确定物理世界与逻辑世界之间的交接点或差距。
要这样想:假如我在物理世界里阻止人们进入建筑物,阻止我们的对手被公司雇用。然而,假设对手进入了建筑物,信息安全措施会置若罔闻吗? 当他们站在大厅里时,那是一回事。但如果他们进入了一个装有大量网络交换机的房间,那就完全是另一回事了。我们必须将这两种情形联系在一起,以便正确了解正在发生的事情。
Clarke Rodgers:
你们需要构建任何工具才能克服这些障碍吗?
Steve Schmidt:
是的,我们将工具与流程整合在一起。工具在不断演变。我们会想方设法收集、分析和使用数据,理论上,我们在这方面不断取得进展。事实上,我们需要确定如何在企业的不同部门之间传送这些数据、如何确保他们能够获得…完成工作所需的资源,但又不能让他们被数据压垮,否则他们就无法在我们收集的大量信息中颉取精华,但这一过程变得越来越有趣,也越来越困难。
而在这方面,流程组件大有用武之地。为此,通常需要找出可能敏感的信息、非常敏感的信息等等,并想方设法确保它们从组织的一个部门传送到另一个部门。这项工作必须由非常专业的人员来完成。需要有人掌握这些知识,好吧,这本身可能看起来没有什么危害,但是结合我们观察到的另一件事来看时,事情就变得非常有趣了。不幸的是,目前还没有一个系统能够做到这一点。或许借助将来推出的一些人工智能训练,我们能够实现这一目标,但目前只能望而却步。
Clarke Rodgers:
这非常非常有趣。你们在 AWS 启动了安全计划,因此你们能够了解 AWS 的过去和未来、如何保护它、对 AWS 构成的威胁、风险偏好等等。当就任首席安全官一职之后,你现在需要了解各个组织,例如 amazon.com(我们在内部称之为商店)、Whole Foods、Prime Video、MGM 和 Twitch 等等。
首先,你是如何快速了解每个业务部门的安全概况和风险偏好,然后如何将这些信息整合在一起的? 说到“单一管理平台”这一常用术语,你们通过这个平台确定 Whole Foods 能够承受什么样的风险概况,适用于 Whole Foods 的风险概况也适用于 AWS,那么你们是如何确定所有这些风险概况的呢?
Steve Schmidt:
首先,对于我的工作,我非常喜欢的一点是业务的多样性。人们经常说,你在这个职位已经拼搏 16 年了。对安全行业的人士来说,这种情况实属罕见。这是什么原因? 这是因为这家公司的工作多种多样。这是一个继续学习和深造的大好机会,我喜欢这样的机会。
我没那么年轻。人们会问,你还要工作多久? 你准备退休吗,还是有其他打算? 我想,好吧,我现在非常享受。不,我可不想退休。这个工作非常有趣。这是因为,你既要打造世界上最大的云提供商、在太空部署卫星,又要经营杂货店,从业务角度来看,这一多样性是一项难以置信的挑战,但这也是一个利用该公司的庞大规模降低运营成本的有趣机会。
从安全组织的运营角度来看,要实现这些目标,需要付出巨大的代价。不过,当你能够将其扩展到像 Amazon 这样的大型企业时,这意味着可以降低单位成本。
Clarke Rodgers:
当然。
Steve Schmidt:
每一家企业都能受益于其他企业的规模化。因此,要想方设法让杂货店能够利用卫星企业采取的那些安全措施,这样,他们就会在很多方面(例如漏洞管理,无论是否在计算机系统上安装了补丁)发现,建造卫星与经营杂货店并没有本质上的不同。
这样,我们就能够在独立企业根本负担不起的水平开展工作,并提高每个人需要达到的标准。作为我在这里的工作内容的一部分,我要确保我们在整个公司推行一套标准化的标准,无论是对于漏洞管理、事件响应,还是典型安全组织中的任何其他组成部分。
然后需要确定在发生特殊情况之后,必须为特定的企业安装哪些定制组件。这样,我们就不必尝试对所有人采用“一刀切”方法,因为那样只会导致成本飙升。例如,以杂货店为例,他们的单位损失只会导致价值小幅下降,而卫星的损失恰恰相反。
Clarke Rodgers:
当然。
Steve Schmidt:
我们必须针对各个组成部分来调整安全态势。
Clarke Rodgers:
你们是如何让…我会提供帮助。首席信息安全官负责执行所有其他业务的安全计划。你们如何让他们负责运营他们的安全业务?
Steve Schmidt:
在整个公司中,Amazon 非常重视的一个关注点是单线负责人的想法。单线负责人在工作中只专注于某一件事的一个组成部分。在安全方面,我们为每一个企业都配备了首席信息安全官,原因有两个。
一是,我希望有人每天只专注于特定的事务,无论是负责设备和 Kuiper 项目事宜的 Amy Herzog,还是致力于掌管 AWS 的 Chris Betz。而与此同时,我对所有这些事务都使用常用的衡量方法。例如,我会查看漏洞管理月度业务回顾,这些回顾涵盖了整个公司,并使用相同的数字、相同的方法、相同的演示方式等等。
我们会达成共识,这些业务部门中的每一个人都会予以认同。这样,我们就可以做两件事。一是确保我们达到所要求的标准,二是确保我们应用我们希望在企业的每个角落都能获得的可见性。由于人们在遇到问题时通常会这样想:这件事并不重要、这是一件小事,诸如此类。
这时候,坏人就会乘虚而入,并对我们造成伤害。通过一览无余地监督所有的事务,可以确保我们公司的每个部门都在执行我们希望开展的工作。
Clarke Rodgers:
随后,就可以让集中式系统受到 Amazon 安全措施(AMSEC 保护伞)的保护,每个人都可以采用这些安全措施。
Steve Schmidt:
在我们的所有业务部门中,有很多东西基本相同。这包括收集某些类型的数据的方式、分析或报告这些数据的方式。我们不会让每一个业务部门一遍又一遍地重复同样的工作,而是决定将它们汇集到同一个地方。这样,我们就能够节省一些资源,例如开发人员的时间。
如果你考虑进行大规模运营,我们要回到漏洞管理和收集引擎这两个话题,在这两方面,你必须让工程师们随时待命。如果你曾经经营过一个随时待命的组织(你有过这样的经历),并让一个人随时待命,那么为了有效地做到这一点,你必须配备大约七个人手,才能填补缺勤和休假人员的空缺以及应对其他的各种情况。
Clarke Rodgers:
我们希望人们定期休假。
Steve Schmidt:
没错。将人们从一个地方调配到其他的各个业务部门,这意味着我们可以更有效地做到这一点,因为我们能够以更低的成本集中开发更好的工具。
Clarke Rodgers:
为了向 Amazon 董事会汇报所有这些业务部门的安全状况,你们开发或遵循了哪些做法?
Steve Schmidt:
首先,Amazon 董事会真的非常有趣。很少有董事会像 Amazon 董事会那样,全体成员都拥有敏锐的技术眼光,而 Amazon 在几年前还选择成立了一个安全小组委员会。例如,很多组织让安全部门向审计委员会汇报,而 Amazon 有所不同,他们让 Amazon 董事会的一组专业人员负责处理安全问题。
太棒了,这也意味着在这一过程中,我们会接受大量的审查。我们不得不建立一个随着时间的推移而不断演变的报告机制,原因有两个。一是因为我们在报告方面的工作开展得更好。二是随着时间的推移,董事会越来越了解情况。他们会提出更多尖锐的问题,并希望了解有关行业细分市场的更多具体细节。我们屡屡发现,每次交谈时,我们都必须向他们汇报业务的特定组件。我们在某些地方是否达到了安全标准?
此外,他们还有自己真正感兴趣的事情,并告诉我们,他们认为业务部门的这个特定部分或者我们正在讨论的这个问题面临着很大的风险,所以要向他们简单介绍一下,诸如此类。这样,我们就拥有了一个一致的组件,一个基于他们的兴趣的可变组件。
随后,我们最终决定添加被称为“时事”的内容,在其中收录了你们在新闻中看到的所有内容,将它们提炼成我们认为可以从中吸取特殊经验教训或要点的内容,最后将这些内容作为包含丰富信息的组件呈现给董事会。这就是业界发生的事情,这就是我们没有受到影响的原因。
这笔投资让我们并未受到影响。在我看来,这一投资为董事会创造了巨大的价值。首先,他们知道我们处于一个很棒的位置,其次,这一投资有助于为将来的投资决策提供参考信息。我们可以昂首挺胸地宣布,我们在八年前,确切地说是十年前,投资于多重身份验证,并阻止了一个曾经入侵另一家大公司的威胁行为者影响到我们,他们称赞道,很好,你们做得非常棒。我们现在应当规划哪些其他的投资,以便帮助我们在 10 年内继续避免问题发生?
Clarke Rodgers:
我们的很多首席信息安全官客户都非常关注董事会。他们当中的一些人不像其他人那样经常进行 FaceTime 通话。而且你已经表示过,我们的董事会之所以独一无二,是因为他们非常熟悉安全事务。对于向董事会汇报的首席信息安全官同行或首席安全官同行,你会提出哪些建议,以便真正帮助他们阐明观点、效仿董事会的习惯用语等等?
Steve Schmidt:
董事会成员解释了他们为何喜欢我们的做事方式,我从他们那里听说的第一件事是,他们认为我们非常小心谨慎地避免使用行话。很多首席信息安全官都是技术人员出身,他们希望
Clarke Rodgers:
事无巨细地汇报各种情况。
Steve Schmidt:
确切地说,这反映了他们对事务的思维方式。但是我们必须记住,董事会是我们的客户。当我们向他们演讲时,我们必须效仿他们的语言,我们必须想方设法在特定的董事会能够理解的背景下解释各种事项。
首先要确立一致的报告机制,而不是每次都使用不同的机制,否则基本上会让人摸不着头脑。其次要确定你每次都会用到的两三个极其重要的指标。
不要让人们迷失在一个又一个指标中。例如,我们始终会汇报漏洞管理。这是我们实施的最重要的基本安全控制措施,我认为每个人都会实施这些措施,然后最终确定哪些内容是有趣的附加组件,它们可以帮助开发我们应当投资的方面,因此要有意识地将报告流程中的各个组件分离。
Clarke Rodgers:
如果我们投资于这一方面,就能降低相应的风险吗?
Steve Schmidt:
是的,既能降低当前的风险,也能降低未来的风险,作为安全专业人员,未来的风险实际上可能是我们工作中的最大难题,因为我们没有任何风险存在性证明可供使用。面对这种情况,很多人会说,这真的有必要吗?
我们现在必须这样做吗? 我们一定要这么大张旗鼓吗? 我们可不可以收敛一点? 我们每个人都难免遇到这样的争论,我们需要能够不断向董事会灌输这样的基础知识,并解释说,这些情况是这类知识在现实中的应用示例,我们认为在这段时间里,它们将适合我们,因此我们必须在现在、两年内、三年内或任何其他时候采取行动。
Clarke Rodgers:
明白了。在 Amazon,我们以创新、逆向工作、倾听客户的意见等举措而闻名。作为安全事务领导者,你有很多选择,这可能取决于你的首席信息安全官向你进行的汇报,在应当购买哪些工具和需要构建哪些工具方面,你有很多选择。这通常取决于规模。
无论现成的商用软件是否可能扩展到 Amazon 的规模,你都需要自行开发一些东西。在过去的一年里,我们公开讨论了诸如 Madpot、Mithra 和 Sonaris 之类的工具。作为首席安全官,你如何说服董事会划拨资金,以便实际调用此类工具背后的工程资源,我认为这还包括很多我们没有谈到的其他工具,你如何让董事会相信你提议的投资将会带来回报并创造价值?
Steve Schmidt:
当然可以!让我们首先区分一下购买的工具与我们构建的工具有何不同。我认为这是一个重要的切入点。当工具是商品时,我们可以购买工具。例如,我们会购买端点检测响应工具,而不是自行构建它。为什么? 因为我们使用 Mac 笔记本电脑、Windows 笔记本电脑、Linux 笔记本电脑,这些笔记本电脑与很多其他人使用的笔记本电脑是一样的。
我们这些电脑上安装的软件或许存在些许差异,但并不会让我们的业务具有根本性的不同。目前只有我们能够构建 Madpot 这样的超大规模系统。在我们愿意投资的领域,我们能够构建其他厂家无法构建的内容。
在投资过程中,我们采用的方法与我们开展其他各项工作时的方法没什么两样。首先是原型设计,然后进行试验,你会看到哪些措施奏效。毋庸置疑,你不会第一次就把事情做对。所以你得重新设计一些东西,稍微修改一下,诸如此类。Madpot 现在取得了惊人的成功,但这并不是一夜之间发生的。此次投资持续了很多年。最初只有一名工程师,他说,呃,我非常喜欢这个想法。让我们看看能不能把它变成一些有趣的东西。
然后,它变成了这个引擎,这样,我们就能够非常及时地从中提取威胁情报数据,我们可以处理这些数据,然后将它们输入到所有客户都可以访问的安全工具中。我认为这是最重要的部分。举个例子,我们的很多客户会说,哇,我想获得原始威胁情报信息。
事实上,不,你不想这样。你真正想要的是与你现在的运营环境相关的那些东西。其余的都是干扰,而且现在的干扰如此之多,除非你的企业规模和我们一样大,否则就是巴蛇吞象,毫无意义。
我们的很多客户发现,他们真的非常喜欢获得威胁情报等内容,并在托管式服务中使用这些内容。这样,他们就不必花费时间筛查大量的数据,或者避免由于这些数据未在多个客户当中付诸应用而缺少背景信息。
这些背景信息非常重要。在这方面,集中式可见性能够真正发挥优势,我们只需回顾最初关于商品化与定制构建的讨论。
Clarke Rodgers:
接下来,据我猜测,内部说法是,(原谅我找不到更好的措辞),这样可以帮助我们保护 AWS/Amazon,并为我们的客户带来更多的收益。我的意思是,这是一场胜利。
Steve Schmidt:
用典型的 Amazon 用语来说,首先是客户至上,然后说,这样可以帮助我们所有的客户更好地进行自我保护。与此同时,这样还可以帮助我们开展业务,因为我们的大多数业务毕竟都来自于 Amazon/AWS 的客户。这样总体上是有益的。
Clarke Rodgers:
很好。让我们换个话题。过去的一年是生成式人工智能蓬勃发展的一年。在和我交谈过的众多客户中,大多数都专注于保护企业正在使用的生成式人工智能工具。这一工具或许是第三方工具,或许是他们正在使用的 Amazon Bedrock,但无论是哪种情况,我们都要保护这一工具。你观察到了什么,或者在 Amazon 内部,我们在将生成式人工智能用作安全工具或在安全工具链中使用生成式人工智能来做些什么?
Steve Schmidt:
到目前为止,我们发现,在应用程序安全流程自身内使用生成式人工智能最为有效。正如您在 AWS 中熟悉的那样,在发布之前,所有的内容,例如每一款功能应用程序,都要接受安全审查。放眼过去,其他企业负担不起这一奢侈行为,因为这样做要付出高昂的代价,尤其是考虑到,这意味着成千上万的安全工程师需要专注于这项工作。
在其他的大多数公司中,安全工程师总数还不如我们 Amazon 从事 AppSec 工作的人数多。生成式人工智能在我们的这一领域发挥了巨大的杠杆作用。我要说的是,尽管仍然处于科研阶段,但生成式人工智能的前景非常光明。
我们认为,随着时间的推移,我们有望将应用程序安全领域的人工工作量减少 60% 到 70%,这意味着在 AWS 这样的组织中,我们能够以更低的成本、更快的速度和更高的一致性完成工作。AWS 在持续不断地进行投资以评估各个方面,并投资于有机会深入了解以前从未评估过的那些领域,这意味着我们可以扩大覆盖范围。这有点像是双赢。
Clarke Rodgers:
这么说,你们会利用生成式人工智能节省下来的工时,来应对其他的网络安全挑战。
Steve Schmidt:
嗯,实际上,我们要更深入地了解我们现有的服务,并全面研究更多的应用程序。另一方面,生成式人工智能不会成为很多服务和应用程序的唯一解决方案。如果你愿意的话,它会取代很多能够轻而易举完成的人工工作,让我们的工程师专注于只有人类才能解决的非常有趣的问题。
人们会认为,哇,生成式人工智能可以解决所有问题,但它还做不到这一点。我认为,当有人告诉你,生成式人工智能可以解决安全领域的所有问题时,他们可能并不了解目前的进展情况。这一领域始终需要人为监督,至少目前如此。更重要的是,必须通过人为方式来判断生成式人工智能是否做出了正确的决定。
Clarke Rodgers:
与人们交谈或者和他们在一起。Amazon 或 AWS 对应聘的安全专业人员提出了哪些严格要求?
Steve Schmidt:
在我看来,当我们招聘安全专业人员时,我们最为看重,同时也是大多数人首先会想到的,是这种特殊的技术敏锐度,准确地说是好奇心。
Clarke Rodgers:
请详细谈一谈。
Steve Schmidt:
这意味着有人还没有搞清楚问题就武断地说,好了,就是这样。他们会说,哎呀,为什么会这样? 哇哦,为什么它一开始就出现在那个地方? 我们为什么没有早点发现它? 开发人员怎么能一开始就犯错呢? 这种人一直在挖掘我们真正感兴趣的东西。
你真的非常熟悉我们使用的纠错(COE)流程,它以什么为基础? 五个为什么。通过上述问题可以真正找出问题的根源,而不是仅仅蜻蜓点水般地解决问题的症状。
Clarke Rodgers:
最重要的是好奇心,
Steve Schmidt:
好奇心至关重要。没错。
Clarke Rodgers:
如果我给你一个水晶球,
Steve Schmidt:
哎呀。
Clarke Rodgers:
抱歉。这是问题。如果你能看到那个水晶球,明年前后,首席安全官和首席信息安全官会关注哪些方面?
Steve Schmidt:
我认为大多数人不得不关注生成式人工智能,因为他们的业务正在以惊人的速度使用这些服务,而且他们必须做两件事。第一件事是了解他们正在哪些方面使用生成式人工智能。在我看来,我们在 Amazon 处于一个幸运的位置,我们拥有集中的可见性,这样就能够了解我们的所有开发人员正在哪些地方使用生成式人工智能。
大多数公司都没有这样做,他们必须搞清楚这一点。第二件事是,对于生成式人工智能,你必须搞清楚你要如何执行 RAG,以及你在整个过程中是否恰当地执行了授权和身份验证。这不是一件小事。软件领域甚至还未完全搞定这件事。
这件事至关重要,它将决定能否正确使用生成式人工智能,以便只在另一端的人员被授权在那个时刻,从他们现在所处的位置,通过他们当前使用的设备进行访问时,返回数据作为提示的结果。大多数人甚至从未考虑过这个问题。
但实际上,如果你现在看一看我们 Amazon 的内部系统,当你使用笔记本电脑时,当你使用我们的内部系统时,我们会度量你的很多信息。也就是说,你的笔记本电脑是否处于我们预期的状态? 你是否打了补丁?诸如此类。
无论是哪种情况,我们都会通过小弹窗发出通知,提示你如果不打补丁,你将被隔离。你位于世界的哪个地方? 你从事什么工作? 大多数人甚至觉察不到我们正在查看他们的信息,比如今天是星期几? 这是否是你平时访问的时间,你是否来自一个不寻常的地方? 诸如此类的信息。
Clarke Rodgers:
这对 Clarke 来说正常吗?
Steve Schmidt:
没错。这对 Clarke 来说正常吗,这对 Clarke 的同事来说正常吗? 在大多数地方,这些控件根本不存在。正因为如此,护栏的实施才如此重要。我不在乎你用什么系统来实施护栏,只要将它们付诸实施即可。
随着你周围的威胁形势不断演变,生成式人工智能科学不断发展,以及你的企业越来越多地为他们向生成式人工智能系统提供的数据确定可接受的用途,这些护栏也必须不断演变。
Clarke Rodgers:
这真是不可思议,非常棒的建议。不知道你的预测能否变成现实,我们走着瞧。Steve,你是整个 Amazon 的首席安全官。这是一项压力巨大的工作,至少可以这么说。你是如何让自己保持理智和释放压力、与世界保持同步、收放自如,以及你又是如何确保你的领导者们也在做同样的事并照顾好他们自己的?
Steve Schmidt:
对于我们的每一个领导者,无论他们是公司的新任领导者还是终身领导者,我要关注的第一件事都是,你如何让自己从工作中抽离出来? 我们的工作承受着极大的压力。有些东西实际上是永远不会消失的。
要想办法在人员之间正式完成责任交接,然后说,好吧,Clark,接下来的六天你去度假。专心度假吧,我不想听到你的消息。我不会要求你上线办公。我们的员工非常敬业。实际上,在某些地方,我不得不勒令员工关闭他们的电脑,因为在于,打个比方,你应该正在度假,所以别再给我发电子邮件了。
我非常感激你的辛劳付出,但问题是,这样下去你会精疲力尽。这些工作是马拉松长跑,而不是短跑冲刺比赛。因此,建立这一机制至关重要。第二件事是,做一些对你个人来说有价值的事情。有些人选择吹拉弹唱,有些人去爬山,有些人去钓鱼。我自己是一名志愿消防员兼护理人员。
Clarke Rodgers:
哇!
Steve Schmidt:
对我来说,这与我的日常工作完全相反。我们是人类。我们喜欢与他人互动。我正在这里和你面对面交谈。是的,不是通过视频聊天。非常好。但是在我的日常工作中,有两件事与此截然不同。
一是在日常工作中,我所做的大部分事情在未来的三年、五年甚至十年之后才会产生影响。这些事情无法立即获得回报。二是总会有人把电脑扔给我,让我替他们完成工作,他们甚至和我素未谋面或者从未和我打过交道。说到我生活中的趣事,我担任消防员、护理人员时的那些事,如果我把自己的工作做好,我就能帮助一个我可以伸手触摸到的人度过更美好的一天。这样就会为我提供即时反馈,作为一个人类,我渴望得到这样的反馈。此外,这种反馈是物理性的,而不是纯粹逻辑性的。
Clarke Rodgers:
另一种类型的压力,但可能是一种更健康的压力。
Steve Schmidt:
确实是这样。具有讽刺意味的是,很多研究表明,在消防队工作很长时间之后,当听到警报声时,人们的脉搏实际上会下降,因为那是他们的快乐源泉,他们会享受那一刻。面对现实吧,谁不喜欢坐在响着警报器、闪着警报灯的消防车里,在公路上风驰电掣呢? 那会非常有趣。
Clarke Rodgers:
非常好。我能想象得到,作为首席安全官,我渴望听到更多的警报声,因为你每天都要做出决策,非常关键的决策。你是高头衔还是低头衔的护理人员或消防员?这意味着如果你的头衔低,将由其他人做出艰难的决定,而你只需要专注于自己的日常工作。
Steve Schmidt:
具有讽刺意味的是,我实际上是组织内的一名助理警长,但是这一角色更注重领导能力,而不是像其他领域那样青睐技术敏锐度。不过,我已经服役 38 年了。
Clarke Rodgers:
哇,这太棒了。
Steve Schmidt:
我积累了些许经验。
Clarke Rodgers:
很好。Steve,非常感谢你今天能够光临。
Steve Schmidt:
非常感谢。很高兴来到这里。