Adapting Security Practices to the New Threat Landscape

Sara Duffer:
Así que voy a seguir adelante y me voy a sumergir directamente. Por lo tanto, ambos son responsables de la seguridad en Amazon y AWS, respectivamente. ¿Puede hablarme un poco sobre los mecanismos que utiliza para mantenerse alineado?

Steve Schmidt:
Claro. Creo que una de las cosas con las que tenemos que empezar es que no todas las empresas son iguales, eso es obvio para la gente de aquí. Sin embargo, cuando se dirige una organización grande como Amazon, a veces sorprende la diferencia en las operaciones comerciales dentro de una empresa. Tenemos algunas organizaciones que son extremadamente intolerantes al riesgo, otras que están mucho más dispuestas a superar los límites en determinadas circunstancias. Eso depende en gran medida del negocio en el que se encuentren, de los datos que manejen, etcétera. Y hemos descubierto que es necesario contar con un conjunto común de métricas en toda la empresa que nos permita realizar un análisis básico del desempeño de las personas desde el punto de vista de la seguridad. Y luego, informes específicos para cada empresa o personalizados para cada organización que aborden los riesgos a los que se enfrentan y lo que prefieren hacer en términos de administrar los datos que sus clientes les han confiado, la información de la que disponen, etcétera.

Sin embargo, la presentación de informes comunes es lo más importante para darnos una visión uniforme. Es para que cuando conversemos con alguien, desde el director ejecutivo de la empresa, Andy Jassy, hasta el final, podamos hablar el mismo idioma. Nos permite comprender rápidamente el desempeño de una parte de la organización en comparación con otra y, lo que es más importante, señala las brechas en los lugares en los que no estamos examinando las cosas de la manera necesaria porque hemos aprendido un conjunto particular de oportunidades para mejorar en una parte de la organización en comparación con otra. Y seamos sinceros, todos nuestros líderes de la empresa son competitivos. Por lo tanto, cuando se utilizan informes comunes que los comparan con sus compañeros, se motivan los comportamientos que realmente nos interesan. Hace que las personas se concentren en la dirección correcta.

Chris Betz:
Mira, por mucho que odie llamarme intolerante, en AWS somos intolerantes al riesgo. Por eso, somos una de las organizaciones que, de hecho, dedica mucho tiempo a nuestras métricas específicas de la empresa. Incluso a nivel interno de AWS, me parece que estos mismos enfoques suelen funcionar para nosotros, y que la naturaleza competitiva y el aprovechamiento de ello en todas las organizaciones son increíblemente poderosos. Y estar muy, muy alineados con la empresa, entender que AWS no tiene la misma tolerancia al riesgo que otros lugares podrían tener. Para entender lo que nos importa y asegurarnos de que esas métricas empresariales se mantengan estrechamente alineadas con la empresa y aparezcan como parte de nuestros procesos de revisión empresarial.

Sara Duffer:
Steve, mencionaste haber hablado con el director ejecutivo, Andy Jassy. ¿Cómo te comunicas con el director ejecutivo y las actualizaciones de seguridad de la junta?

Steve Schmidt:
Bien, la comunicación con el director ejecutivo debería ser, desde mi punto de vista, comunicarse con los directores ejecutivos, ya que tenemos varios directores ejecutivos en Amazon; una vez más, se adapta a la forma en que opera la organización. Por ejemplo, Chris organiza una reunión semanal con el director ejecutivo de AWS porque la cadencia de seguridad allí tiende a ser superrápida. Es algo en lo que tenemos que reaccionar ante las amenazas con mucha rapidez, tenemos que entender los cambios en el entorno que nos rodea. Tenemos que ser capaces de adaptar nuestras respuestas de manera adecuada a la forma en que funciona el mundo que nos rodea. También trabajamos con Doug Herrington, que es el director ejecutivo del negocio de tiendas, pero en algo que se centra más en su negocio, en el que el intervalo de rotación tiende a ser un poco diferente, ya sea una reseña mensual o cosas así.

Andy Jassy decide asistir trimestralmente a una reunión específica de revisión de seguridad. Por eso, cada trimestre le presentamos un conjunto de métricas e informes comunes que son consistentes a lo largo del tiempo, pero también una sección de nuestro informe, que cambia constantemente. Lo llamamos eventos actuales y es algo en lo que nos centramos en cuál es el cambio en el entorno en el que operamos que es más importante para nosotros. ¿Qué piensan los rusos ahora mismo en comparación con los chinos? ¿Cómo persiguen a las empresas? ¿Qué métodos nuevos utilizan las personas para causar problemas y cómo respondemos a ellos o nos preparamos para ellos?

Ahora, también mencionaste la junta. Nuestra junta es relativamente única. Muchas juntas optan por colocar la supervisión de su organización de seguridad en el comité de auditoría o en un comité de riesgos, normalmente en una institución financiera. Amazon ha optado por tener un subcomité específico solo para la seguridad, por lo que tenemos tres miembros en nuestra junta que se centran exclusivamente en la seguridad. Nos reunimos con ellos con frecuencia. Reciben un informe trimestral sobre lo que sucede con Amazon y analizan todos nuestros negocios. Los miembros de la junta nos dicen que les gustaría centrarse en un par de empresas a la vez, y eligen. Es como hacer girar el dial y decir qué asunto va a surgir la próxima vez.

Y, por otra parte, tenemos la sección sobre los acontecimientos actuales en la parte inferior, porque nuevamente se trata de los intereses comunes en cuanto a dónde estamos ahora, hacia dónde vamos, qué está cambiando a nuestro alrededor y cómo necesitamos evolucionar. Y creo que el período de tiempo tan corto entre un cambio en el mundo y el hecho de que la junta directiva se informe sobre cómo gestionamos ese cambio es muy importante para nuestra capacidad continua de garantizar que contamos con la protección adecuada para los clientes.

Sara Duffer:
Chris, ¿algo que agregar?

Chris Betz:
Tres reflexiones adicionales. En primer lugar, una de las cosas que aprecio tanto de las conversaciones con Andy como con los directores ejecutivos, pero también dentro de AWS, es que no tenemos esas conversaciones de forma aislada. No se trata solo de un grupo muy pequeño con el director ejecutivo. Es con el director ejecutivo y su equipo de liderazgo porque nada ocurre de forma aislada. Por lo tanto, es realmente importante asegurarnos de que la empresa participe en la conversación, de que interactuemos profundamente con la empresa antes y como parte de esas conversaciones. Lo segundo es que en AWS tenemos una junta y la junta de Amazon. Esto nos permite, como mecanismo, profundizar trimestralmente en temas relacionados con la seguridad y temas relacionados con el riesgo, de modo que podamos seguir manteniendo esas conversaciones y asegurarnos de que estamos estableciendo la gobernanza adecuada.

Y la tercera idea es que, después de haber visto varias juntas diferentes, cada una con la que he interactuado es increíblemente diferente. Creo que mucho de eso se debe al aspecto de las personas, a las personalidades y, en parte, a la naturaleza del negocio. Por eso, creo que una de las cosas que, como CISO o líder tecnológico, es importante, según he descubierto, entender cómo funciona la junta en otros dominios. ¿Cómo piensa la empresa sobre sí misma y cómo habla de sí misma? ¿Cuál es el lenguaje que debes usar? Cuál es el contexto, porque hablar de seguridad de forma aislada no ayuda. Lo que es importante es la seguridad en el contexto de la empresa. Y, en tercer lugar, asegurarse de entender a la audiencia. Las diferentes personas de las juntas tienen habilidades muy diferentes. Tienes que poder hablar con todos ellos.

Por eso, tanto si somos líderes tecnológicos que participan en una conversación sobre seguridad como si somos los propios CISO, asegurarnos de que entendemos a esa audiencia, la naturaleza de la junta directiva, la forma en que la empresa piensa de sí misma y la forma en que la seguridad y la tecnología encajan en eso es realmente una conversación exitosa.

Steve Schmidt:
Quiero amplificar algo que Chris acaba de decir allí. El mayor error que vemos en los nuevos líderes cuando hablan con la dirección o el liderazgo más sénior de la empresa, como un consejo de administración, es centrarse demasiado en los asuntos técnicos, especialmente en el ámbito de la seguridad. Es un asesino mortal para tu capacidad de transmitir tu punto de vista al cliente, que es ese miembro de la junta directiva. Tenemos que hablar, como dijo Chris, en el contexto de la empresa. No importa si se trata de una vulnerabilidad crítica con una puntuación CVSS de 9,86 o no es importante. Esta es una oportunidad para que un adversario acceda a este tipo de información que pertenece a nuestros clientes, lo que tiene este resultado y tiene una probabilidad razonable de que se produzca en los próximos 60 días. Que un miembro de la junta pueda hacerlo en lugar de decir: “Esto da miedo”. Creo que la contextualización es increíblemente importante.

Sara Duffer:
Ambos hablan con los clientes con mucha frecuencia. ¿Cuáles son los desafíos o problemas de seguridad actuales que mencionan los clientes? ¿Y qué está haciendo AWS para ayudar a nuestros clientes al respecto?

Steve Schmidt:
Lo primero tiene que ser la IA. Muchas personas, por supuesto, están realmente interesadas en saber cómo pueden usar esto de forma segura. ¿Cómo puedo usar la IA de manera responsable? ¿Cómo puedo obtener información y asegurarme de que tengo el acceso correcto a esos datos cuando los necesito, impidiendo el acceso cuando no los necesito? Cuando hablamos con los clientes, lo primero que pregunto es: “¿Cuántas aplicaciones tienen en su empresa que utilizan IA generativa? ¿Lo saben ahora mismo? ¿Pueden medir eso de forma regular?” La mayoría de la gente dice: “Ah, sí, contamos el mes pasado”. O el último trimestre o lo que sea. ¿Y sabes qué? El desarrollador se mueve mucho más rápido que eso. Hemos tenido que crear procesos internos, lo que nos permite ver cada vez que un desarrollador llama a un motor de IA generativa desde su portátil corporativo o desde uno de los activos de producción que tenemos en la empresa.

Y eso nos permite tener una visibilidad que podemos enviar a nuestros equipos de seguridad de aplicaciones para ayudarlos a entender lo que sucede con ese servicio en particular. Cuando hicimos ese recuento y empezamos a hacerlo hace poco, fuimos a informarle a Andy y le dijimos: “Ah, sí, hay más de mil aplicaciones de IA generativa que están actualmente en funcionamiento o desarrollo en toda la empresa”. Y nos miro con asombro como: “¿Qué? ¿Me estás tomando el pelo?” Eh, no. Y, por cierto, está aumentando a un ritmo tremendamente rápido, lo cual es fantástico porque significa que nuestros desarrolladores realmente se están acercando y avanzando, pero también significa que nuestros equipos tienen que esforzarse y mantenerse al tanto de estas personas para asegurarse de que están haciendo las cosas de una manera razonable, apropiada, etcétera. Pero todo empezó con esa visibilidad y con la construcción de ese motor de visibilidad en la parte inferior.

Chris Betz:
Creo que la otra conversación sobre la que termino hablando mucho es sobre qué capacidades existen ya en AWS, ya que la gente piensa en cómo son seguras y rentables. La gente no quiere dedicar tiempo y energía a espacios donde las soluciones ya existen o donde las cosas ya suceden. Uno de los temas de los que acabamos hablando mucho es de las arquitecturas y los controles, de asegurarnos de que las personas tienen una buena arquitectura y de cómo implementar controles sencillos y fáciles a escala. Por eso creo que para nosotros se ha convertido en una de las conversaciones frecuentes que mantenemos internamente sobre cómo asegurarnos de que estamos creando una seguridad sencilla y a gran escala para estos clientes. Otro lugar en el que esto termina, y de hecho hemos estado hablando mucho últimamente, es en la inteligencia sobre amenazas. Diferentes empresas, diferentes proveedores de servicios en la nube, tratan la inteligencia sobre amenazas de manera diferente.

Nuestro enfoque consiste en hacer que la inteligencia sobre amenazas sea una parte integral del funcionamiento de los sistemas. De hecho, hemos dedicado mucho tiempo a hablar de esto porque no hemos tenido que hablar de ello en el pasado, pero es importante que los clientes sepan qué esperar. Que tenemos una serie de proveedores de inteligencia sobre amenazas, honeypots y sensores que recopilan datos todos los días, más de 100 millones de interacciones al día solo en nuestros honeypots. Y que estas tecnologías, estos datos, se combinan con los datos de nuestros otros sensores de sistemas como Sonaris y nos permiten actuar. Esta acción se lleva a cabo sin que los clientes tengan que darse cuenta.

Podemos protegernos contra diferentes ataques una vez que identificamos una dirección maliciosa. Y ese tráfico ni siquiera llega a sus sistemas. Por ejemplo, en el último año, rechazamos más de 24 000 millones de intentos de enumerar los buckets de S3 y más de 2,6 billones de intentos de descubrir servicios vulnerables en EC2. Y si no podemos proporcionárselo automáticamente, si no tenemos ese grado de fidelidad, podemos incorporarlo directamente a herramientas como GuardDuty, etcétera. Por eso, las conversaciones que mantengo con el personal de seguridad son sobre cómo pueden aprovechar la tecnología que ya está integrada, tanto las partes integradas como las partes en las que proporcionamos información adicional para que la operen los equipos de seguridad.

Steve Schmidt:
Hay algunos datos realmente interesantes, creo que para amplificar lo que usted dijo allí sobre la inteligencia sobre amenazas. Y la inteligencia sobre amenazas es algo increíblemente frágil. Lo que la mayoría de la gente no se da cuenta es que, por lo que vemos en Internet, alrededor del 23 % del espacio IP de Internet se convierte en unos tres minutos. Es decir, si el feed de inteligencia sobre amenazas tiene una semana o un mes o lo que sea, está muy, muy desactualizado. Y un par de cosas más que hablan de la inmediatez de la acción, tan pronto como se obtiene información de inteligencia sobre amenazas. Cuando exponemos un honeypot a Internet, un adversario tarda menos de 90 segundos, 90 segundos, en descubrirlo y menos de tres minutos en intentar explotarlo. Se trata de situaciones en las que si tu desarrollador dice: “Ah, voy a abrir este bucket a Internet, no pasará nada. Nadie sabe que está ahí”. Tres minutos, eso es lo que tienes antes de tener un problema real. Por lo tanto, sepa lo que está sucediendo a través de una sólida fuente de inteligencia y sea capaz de actuar en consecuencia rápidamente. Y lo que es más importante, no es necesario que un humano esté al tanto para actuar en consecuencia. Asegúrese de que la automatización lo haga.

Chris Betz:
Bien dicho.

Sara Duffer:
Voy a pasar a un tema que me importa mucho, que es que en el mundo de las regulaciones, las certificaciones estándar, etcétera, en constante evolución, resulta un desafío poder estar al tanto de ese cumplimiento, de la evolución del cumplimiento normativo. Chris, ¿puedes hablar un poco sobre cómo piensa AWS sobre el cumplimiento normativo a escala?

Chris Betz:
Tenemos la oportunidad de hablar mucho de esto.

Sara Duffer:
Sí, así es.

Chris Betz:
Para empezar, una de las cosas que creo que es increíblemente poderosa en términos de cómo se logra el cumplimiento a gran escala es que se puede empezar con una base segura. Pensar en la seguridad en términos de seguridad desde el punto de vista del diseño y asegurarse de que la seguridad esté integrada en el proceso de desarrollo, brinda un excelente punto de partida antes de tener que pensar en la regulación o el cumplimiento. Cuando hacemos las cosas mejor, el cumplimiento normativo es un efecto secundario intencional de ese trabajo de seguridad. Y, sinceramente, la mayoría de los organismos reguladores también quieren eso.

Su motivo de cumplimiento es garantizar que estemos seguros. Por eso es muy importante diseñar un programa de seguridad que se centre en la seguridad con el objetivo de demostrar y comprobar intencionalmente el cumplimiento normativo. Y la tercera pieza es que no basta con tener siempre ese cumplimiento desde el diseño como parte de los procesos de seguridad, sino que es necesario poder probarlo y mostrarlo. Por eso, es increíblemente importante poder reunir esos datos, hacerlos visibles y facilitar su comprensión para otras personas. Y en eso también interviene la ingeniería. Diría que es una inversión que vale la pena, pero tú pasas más tiempo en este mundo que yo, así que también tengo curiosidad por tu perspectiva.

Sara Duffer:
Bueno, ahora mismo escucho muchas opiniones de clientes, sobre todo acerca de programas de IA responsable y sobre cómo ponerlos en marcha rápidamente. Por lo tanto, realmente se trata de una conversación sobre, debido a esta evolución tan rápida, sobre poder dejar atrás el concepto de cumplimiento, que es en gran medida puntual, muy binario, muy centrado en si nos adherimos a las normas y reglamentos, como la Ley de IA de la UE, por ejemplo. Y poder hacer que ese programa evolucione rápidamente hacia una mentalidad más basada en la garantía, lo que nos permitió brindar el nivel de confianza en la calidad, la fiabilidad y la eficacia del cumplimiento normativo que pudimos ilustrar. Entonces, ¿cómo podemos hacerlo?

Y con bastante frecuencia, eso suele aprovecharse a través de estándares técnicos. Por ejemplo, la norma ISO 42001, que permite a las organizaciones demostrar a los clientes finales que están operando, tanto implementando como desarrollando, utilizando prácticas de IA de manera responsable y, luego, resumir todo eso desde una perspectiva de gobernanza. Entonces, ¿cómo te aseguras de que la organización está haciendo lo que realmente esperas y cómo informas a los altos directivos y a la junta sobre lo que estás haciendo en torno a la IA responsable? Y lo que es más importante, hacer todo eso de manera que te encuentres con los creadores donde están y no se frene la innovación. De este modo, puedes cumplir con ese alto nivel y, al mismo tiempo, hacerlo de forma rápida.

Sara Duffer:
Cambiando un poco de tema, Steve, me dirijo a ti. Con bastante frecuencia, cuando hablamos de seguridad, nos adentramos en la nueva tecnología y en los mundos en evolución que tenemos por delante. Pero al final del día, un actor de amenazas es un actor de amenazas y es un ser humano. Y me encantaría escuchar un poco más tu opinión sobre la dimensión humana asociada a la ciberseguridad.

Steve Schmidt:
Desde luego. Entonces, noticias de última hora, la seguridad informática, la seguridad de la información, la ciberseguridad, como quiera llamarlas, no son un problema técnico. Es un problema de las personas. Una de las cosas que aprendí hace mucho tiempo cuando estaba en el FBI centrado en el trabajo de contrainteligencia fue que, si bien sí, perseguir a los espías es el trabajo, y es interesante, están ahí por una razón. Están motivados por algo. Tradicionalmente, en el mundo del espionaje, era el dinero, la ideología, la coerción o el ego. Lo mismo ocurre en el mundo de la ciberseguridad. La gente está interesada en el dinero. Ese es el actor de ransomware. Ideología. Es el actor tradicional de un estado nacional el que recopila información o prepara un campo de batalla. La influencia, que es nueva en este espacio, está haciendo que la población piense de una manera particular, cambie sus opiniones y haga que sucedan cosas en el mundo. O el ego. Ese es el gatito del guión, que realmente quiere ser el hacker más grande y malo del mundo y, como parte de ello, provoca un ataque DDoS.

¿Y por qué nos importa saber por qué estas personas hacen esto o cuál es su motivación? Porque nos ayuda a entender los tipos de herramientas, los tipos de capacidades que van a tener, hacia dónde es probable que nos persigan y su tolerancia al riesgo o la exposición. Por ejemplo, ¿es importante que los atrapen y el FBI llame a la puerta, o es algo que realmente no importa porque actualmente están sentados en un sótano en Bielorrusia o algo así? Estos son los tipos de espectro con los que tenemos que trabajar para entender lo que tenemos que hacer como defensores y cómo construimos sistemas que ayuden a impedir que esas personas tengan acceso.

Lo interesante es que debemos aplicar la misma mentalidad a nuestros propios empleados. Nuestros propios empleados tienen buenas intenciones en todo el mundo. Quieren hacer lo correcto, quieren ayudar, etcétera. Pero seamos sinceros, también son humanos. Así que a veces se meten en problemas de dinero. A veces no les gusta la dirección en la que va algo. A veces solo tienen un mal día. Como resultado, nosotros, como defensores, debemos poder estar preparados para entender lo que están haciendo, por qué lo hacen y cómo vamos a asegurarnos de que no están haciendo algo que no deberían.

Pero gran parte del componente realmente importante de la ciberseguridad y de las personas dentro de una empresa es la cultura de la empresa. La cultura de seguridad de una empresa es lo que la hará triunfar o la arruinará. Todos hemos visto lo que ocurre en las noticias cuando tienes una cultura de seguridad deficiente. Se termina con actores del estado-nación que irrumpen repetidamente en una organización y la explotan para su propio beneficio. ¿Por qué? Porque las personas de la empresa no se midieron ni se motivaron por lo correcto.

No estaban motivados para proteger los datos o la información. Estaban enfocados en otra cosa. Por eso, desarrollar tu cultura, que dice que lo más importante para ti como persona, como desarrollador de mi empresa, es, en primer lugar, estar seguro físicamente y, en segundo lugar, proteger los datos de tus clientes. Porque eso les permite tomar buenas decisiones en todo momento del día cuando piensan en algo. “¿Debo ir a la izquierda? ¿Debo ir a la derecha? ¿Debo hacer una cosa? ¿Debo hacer otra? ¿Debo pedir ayuda porque realmente no lo sé? Voy a buscar a un experto en esta área”.

Y creo que el incentivo para asegurarse de tener la cultura adecuada es que esto te lleva a reducir los costos en el futuro, ya que no tienes que arreglar los errores que alguien cometió porque estaba actuando de manera apresurada para alcanzar un objetivo de ganancias, una meta de margen o una entrega, en lugar de brindar la seguridad adecuada para los clientes finales de las empresas.

Sara Duffer:
Y también me facilita la vida en el mundo de la garantía de seguridad. Es un buen resultado. Chris, retomando ese punto en torno a la cultura, en AWS hablamos mucho de que la seguridad es una de las principales prioridades. Háblame un poco sobre cómo lo hacemos realmente. ¿Cómo se construye esa cultura?

Chris Betz:
Una de las razones por las que creo que la cultura es tan importante no solo es porque conduce a una inversión a largo plazo, sino que creo que todas las empresas que conozco trabajan para capacitar, proporcionar herramientas y ofrecer capacidades en torno a la ciberseguridad. Y uno de los principales diferenciadores es la cultura. Porque la seguridad cambia constantemente. En cuanto a tu conversación anterior, no puedo decirte cuántas veces acabamos hablando de IA recientemente, ¿verdad? La IA cambia constantemente. Y esa capacidad de adaptación. Esa capacidad de levantar la mano y decir: “¿Sabes qué? Veo un conflicto o veo una forma mejor de garantizar la seguridad”. Pensemos en esto. ¿Podemos hacerlo mejor? No sigamos simplemente el proceso y las herramientas a ciegas, sino que hagamos la pregunta.

O: “Creo que a estos procesos y herramientas les falta algo. Veo este riesgo, veo este problema. ¿Cómo lo menciono?” Esas cosas son increíblemente importantes. Y como dijiste, la cultura se amortiza con el tiempo de una manera asombrosa. Construir esa cultura requiere tiempo y energía deliberados. Empieza desde arriba. Se comienza alineando la cultura con la forma en que funciona la organización. Parte de eso es decirnos a nosotros mismos quiénes somos. Es tanto interno como externo, escuchar a Matt decir: “Todo comienza con la seguridad”.

Además, es la forma en que las personas pasan su tiempo. Steve y yo hablamos sobre las reuniones semanales que se llevan a cabo dirigidas por nuestro CEO. Una vez más, es increíblemente importante asegurarse de que eso forme parte del funcionamiento de la organización. Una vez que la seguridad esté integrada en la cultura de la empresa, es importante hacer hincapié en que la seguridad es tarea de todos. Cada persona tiene un rol específico. Esa es la oportunidad de levantar la mano y decir: “Tenemos que hacer algo diferente. Creemos que nos falta algo. Estoy confundido. No estoy seguro”. Seguridad: todos deben entender que la seguridad es su trabajo y que es nuestro trabajo como líderes de seguridad hacer que ese trabajo sea lo más fácil posible. Porque si las personas dedican su tiempo a centrarse en la seguridad en cada paso del proceso, eso agregará fricción a la organización. Lo que va de la mano con hacer de la seguridad el trabajo de todos es que la seguridad funcione de manera que sea fácil y natural para las personas dedicarse a ella. Esto significa que la seguridad debe distribuirse en toda la empresa. Debemos asegurarnos de que la capacitación, el conocimiento y las capacidades estén bien diseñados para garantizar que eso suceda en toda la organización.

Y, por último, tenemos que estar dispuestos a invertir. Tenemos que estar dispuestos a invertir en innovación que mejore la seguridad. Tenemos que estar dispuestos a invertir en innovación que facilite la seguridad. Porque si no lo haces, terminas atrapado en el pasado y nunca podrás avanzar como empresa. Una de las formas de lograr algo de esto es mediante programas de guardianes de seguridad, en los que confiamos en nuestra gente, y la capacitamos en cuestiones de seguridad profundas dentro de los equipos de servicio y de ingeniería, para que puedan asegurarse de que las personas piensan en la seguridad desde el principio de los procesos de desarrollo y de forma continua, y que tienen los conocimientos adecuados. Y ayuda a que las cosas sean muy, muy escalables. Por eso, hay una cosa que todos pueden hacer con sus equipos: analizar con detenimiento si podemos crear un programa de guardianes de seguridad y cómo podemos crear una cultura de seguridad en nuestra empresa.

Sara Duffer:
Vale. Entonces, ¿cuáles son las tres preguntas que los líderes empresariales presentes en la sala pueden plantear a sus programas de seguridad y conformidad?

Chris Betz:
Te diré algo que siempre me encanta mencionar. Para todos los líderes tecnológicos, no sé cuántos de ustedes tienen lo que llamamos una organización de herramientas de creación o de herramientas para desarrolladores. Como líder de seguridad, esas organizaciones son mis empresas favoritas en toda la organización. Si no tienes una, estos son los equipos que crean herramientas que facilitan la vida de tus desarrolladores. Ahí hay un enorme apalancamiento. Si hay un lugar en el que me encanta ver a las empresas poner a sus mejores talentos, es en la organización de herramientas de creación, porque en una organización puedes hacer que todos tus procesos de desarrollo sean mucho, mucho mejores. Desde el punto de vista de la seguridad, ahí es donde está la ventaja. Porque puedes tomar tus conocimientos de seguridad y tus capacidades de seguridad e incorporarlos a esas herramientas y obtener una escalabilidad masiva y hacer de la seguridad un movimiento natural.

Por lo tanto, lo que haría si fuera ustedes es preguntar a sus líderes de seguridad y a sus líderes de herramientas de creación cuál es su relación, qué tan bien trabajan juntos y qué tan bien todos los resultados de seguridad que buscan están integrados en la capacidad de las herramientas de creación.

Sara Duffer:
¿Steve?

Steve Schmidt:
Esto es para reiterar algo que dije antes y preguntarles a sus equipos: “¿Dónde estamos creando aplicaciones de IA generativa en este momento?” Y luego pregunten a sus equipos: “¿Cuál es el mecanismo que tenemos establecido para saber mañana dónde estamos creando aplicaciones de IA generativa y cuál es la latencia entre que alguien crea una nueva y nosotros nos enteramos?” Y descubrirás que, en muchos casos, la respuesta es: “Codificar, codificar, codificar. Rápido, encuentra algunos datos. Esta es la respuesta”. Genial. Ahora es el día siguiente. Vale.
        
Por lo tanto, necesitan un método, un mecanismo o una herramienta que les permita hacerlo con frecuencia, mantenerse al día, asegurarse de que son un operador responsable y administrador de esa infraestructura, y de que pueden ser propietario responsable de los datos que recopilan en nombre de sus clientes.

La segunda pieza es qué barreras de protección tienen instaladas y si existe algún mecanismo para actualizar esas barreras de protección a medida que el mundo cambia en torno a la IA generativa. En el tiempo que llevamos aquí sentados en el escenario, el mundo de la IA generativa ha avanzado de manera increíble. Está pasando algo nuevo. Hay una nueva forma de causar problemas con el modelo básico que ha ideado una persona inteligente, y tenemos que ser capaces de defendernos de ello. Entonces, ¿cuál es el método de iteración rápida para poder influir en las barreras de protección que tienen alrededor de sus aplicaciones de IA generativa?

Sara Duffer:
Creo que hiciste trampa. Creo que fueron dos. Yo también voy a hacer un poco de trampa. Y yo diría que se trata en gran medida de preguntar a los equipos cómo garantizan realmente el cumplimiento. Y lo que quiero decir con esto es que no se trata solo de saber en el momento si cumplimos o no con las distintas normas, leyes, etcétera, sino que también se trata de entender cómo se puede obtener una garantía continua a lo largo del tiempo para poder determinar realmente cuál es el costo de los creadores.

Entonces, yo diría que hay dos preguntas fundamentales, que son, cómo cumplen con sus prácticas o leyes internas, etcétera, y cuál es el costo para los creadores, lo cual es muy importante porque querrán poder innovar muy rápido y asegurarse de controlar cuánto les cuesta a sus creadores y, al mismo tiempo, asegurarse de cumplir con las normas.

Para terminar, la última pregunta que tengo es, al hablar con los clientes con frecuencia, ¿cuál es el mejor consejo para que los clientes aprueben inmediatamente su postura de seguridad?

Chris Betz:
Para su empresa interna y para sus clientes, busquen formas de implementar claves de paso. Alejarse de las contraseñas es un punto de inflexión para su gente y sus clientes. Aprovechen esa tecnología. Es un gran paso adelante. Impleméntenlo hoy mismo.

Steve Schmidt:
Además, no solo es mucho más seguro, sino que también ofrece una mejor experiencia de usuario. Es tan fluido. Así que hagan que su personal de tecnología se concentre en esto y descubran por qué no lo están haciendo ahora mismo.

El segundo punto es mucho menos emocionante que las claves de paso y sus verduras de seguridad. Administración de vulnerabilidades. Arreglen sus cosas. Es la mejor defensa que tienen contra la gente que hay ahí fuera.

Chris Betz:
O pídannos que lo arreglemos por ustedes.

Steve Schmidt:
Exactamente.

Chris Betz:
Usen Lambdas y otras cosas.

Steve Schmidt:
Sí.

Sara Duffer:
Bueno, muchas gracias por acompañarnos hoy y gracias de nuevo por su tiempo.

Escuche el pódcast ahora

Escuche el pódcast ahora

Escuche el pódcast ahora