Mengatur Skala Keamanan yang Tepat di Berbagai Bisnis Amazon

Clarke Rodgers:
Steve, terima kasih banyak telah bergabung dengan saya hari ini.

Steve Schmidt:
Senang berada di sini. Terima kasih.

Clarke Rodgers:
Jadi sudah lama sejak terakhir kita berbincang. Sebenarnya, tadi malam saya mencari solusi. Sekitar empat tahun yang lalu.

Steve Schmidt:
Wah.

Clarke Rodgers:
Jadi saat kita mengingat tentang hal yang terjadi empat tahun lalu, pandemi sedang berlangsung. Anda dan saya sedang wawancara jarak jauh dan Anda memiliki peran yang berbeda, bukan? Jadi Anda adalah kepala petugas keamanan informasi di AWS. Tidak lama setelah wawancara itu, Andy naik jabatan menjadi CEO Amazon, dan salah satu hal pertama yang dia lakukan adalah mengajak Anda bergabung sebagai kepala petugas keamanan. Apakah Anda bisa ceritakan sedikit tentang alasan ia melakukan itu?

Steve Schmidt:
Tentu. Jadi salah satu hal yang sangat penting bagi Andy adalah memahami cara kami melindungi informasi pelanggan kami. Hal itu menjadi kebutuhan di AWS yang merupakan dasar bagi bisnis itu sendiri. Anda tidak dapat memiliki bisnis seperti AWS kecuali Anda mengelola keamanan dengan benar.

Dan ketika dia menjalani posisi barunya, dia ingin mengambil pola pikir yang sama dan menerapkannya pada semua pelanggan kami di bisnis yang luar biasa beranekaragam yang dioperasikan oleh Amazon saat ini. Ia juga ingin tahu bahwa ada seseorang yang pekerjaan hariannya mengawasi hal semacam itu. Jadi ia mengajak saya untuk bergabung dan mengambil alih pekerjaan itu.

Clarke Rodgers:
Jadi sebagai kepala petugas keamanan, ada satu kata yang hilang dari sana, informasi, kan? Jadi Anda adalah CSO. Kami telah melakukan beberapa wawancara pelanggan yang juga mengikuti kampanye “drop the I”. Apakah Anda bisa memberi tahu saya sedikit tentang alasan penting untuk menjadi kepala petugas keamanan, bukan menyebut informasi secara spesifik?

Steve Schmidt:
Tentu. Jadi ketika Anda melihat perlindungan informasi, yang merupakan mata uang nyata dari ranah kita, itu adalah sesuatu yang tentunya memiliki komponen logis yang biasa digunakan orang yang bekerja di CISO. Namun, makin banyak musuh kita yang menggunakan manusia untuk mendapatkan informasi yang lebih sulit didapat dari sudut pandang logika.

Jadi ada perubahan besar semacam ini di industri, dan sudah lama sekali, jika Anda memperhatikannya, orang-orang memiliki mata-mata, mata-mata fisik yang akan masuk dan mengambil salinan dokumen atau hal-hal semacamnya. Ketika kami online dengan sistem komputer, oh, ada peluang baru. Mari kita bahas hal itu dari jarak jauh, dan seterusnya. Ketika bisnis menjadi lebih baik dalam mengamankan informasi itu, baik on premise atau di tempat lain, ternyata orang tersebut kembali lagi menjadi mata-mata.

Kami harus mengintegrasikan perlindungan aset fisik dan aset informasi kami, aset logis kami untuk mendapatkan gambaran lengkap tentang apa yang kami lakukan dengan data pelanggan kami dan cara melindunginya, serta data bisnis kami. Karena seringkali saat ini, musuh negara-bangsa kita tidak hanya fokus mendapatkan akses ke data yang dimiliki pelanggan kami, tetapi juga informasi tentang ke mana kami akan membawa bisnis kami selanjutnya?

Cara kami membangun rangkaian produk atau layanan yang sangat menarik berikutnya, entah itu satelit atau kendaraan robot. Mereka memiliki nilai luar biasa bagi negara-negara di seluruh dunia, sekaligus untuk bisnis yang mereka dukung. Jadi sebagai profesional keamanan, kami harus melihat gambaran lengkap tentang siapa musuh kami dan bagaimana kami akan melindungi dari mereka.

Clarke Rodgers:
Tentu saja. Jadi, saat Anda melangkah ke dalam peran CSO dan sekarang Anda memiliki laporan keamanan fisik ke dalam diri Anda, saya membayangkan bahasa yang digunakan oleh para profesional keamanan informasi dan keamanan fisik, serta bahasa yang digunakan oleh orang-orang keamanan fisik bisa jadi ada di dua bidang yang berbeda. Bagaimana Anda mengintegrasikan keduanya sehingga mereka berbicara bahasa yang sama dan dapat bekerja secara efektif bersama?

Steve Schmidt:
Tentu. Jadi, ini bukan tentang pilihan kata yang mereka miliki karena mereka memiliki bahasa sendiri. Anda benar sekali. Hal yang paling penting adalah memahami apa tujuan akhir mereka, cara Anda akan mengukur kemajuan Anda menuju tujuan tersebut, dan yang paling penting, mengidentifikasi poin-poin penting atau kesenjangan antara dunia fisik dan dunia logika.

Bayangkan seperti ini, jika saya berada di dunia fisik, saya akan mencegah orang masuk ke dalam gedung, tempat saya mencegah musuh-musuh kita dipekerjakan oleh perusahaan. Namun, jika musuh berhasil masuk ke dalam gedung, apakah hal tersebut akan jadi masalah bagi sisi keamanan informasi? Jika mereka berdiri di lobi, berarti tidak masalah. Jika mereka berada di ruangan dengan banyak sakelar jaringan di dalamnya, itu akan menjadi hal yang sama sekali berbeda. Jadi, kita harus menghubungkan kedua situasi tersebut untuk mendapatkan gambaran yang tepat tentang hal yang sedang terjadi.

Clarke Rodgers:
Apakah Anda harus membuat peralatan untuk menyeberangi jembatan ini?

Steve Schmidt:
Ya, keduanya merupakan kombinasi dari peralatan dan proses yang telah kami kumpulkan. Jadi, peralatan adalah evolusi yang konstan. Kami selalu menjadi lebih baik dalam teori, dalam menemukan cara untuk mengumpulkan, menganalisis, dan menggunakan data. Hal yang menjadi lebih menarik dan lebih sulit sebenarnya adalah mencari tahu cara membagi informasi di antara berbagai bagian bisnis, dan cara Anda memastikan bahwa mereka memiliki akses ke berbagai hal yang diperlukan... untuk melakukan tugas mereka, tetapi tidak membebani mereka dengan data sehingga mereka tidak dapat menemukan bagian yang penting di antara banyak tumpukan informasi yang kami kumpulkan.

Dan di situlah komponen proses diperlukan. Hal ini sering kali berkaitan dengan informasi yang bisa jadi sensitif, dan sebagainya, dan menemukan cara untuk memastikan bahwa informasi tersebut dialihkan dari satu bagian ke bagian lain dalam organisasi. Dan hal ini benar-benar membutuhkan orang-orang yang sangat terlatih. Dibutuhkan orang-orang yang tahu bahwa, oke, hal ini mungkin terlihat tidak berbahaya, tetapi jika digabungkan dengan hal lain yang telah kita ketahui, hal ini benar-benar menarik. Dan sayangnya belum ada sistem yang bisa melakukannya. Mungkin dengan beberapa pelatihan AI pada masa mendatang, kita akan dapat mencapainya, tetapi saat ini belum ada.

Clarke Rodgers:
Itu sangat, sangat menarik. Anda memulai program keamanan di AWS, jadi Anda tahu AWS dari awal hingga akhir, cara mengamankannya, ancaman yang melawannya, potensi risiko, dll. Saat Anda pindah ke peran CSO, kini Anda belajar tentang amazon.com atau hal yang kami sebut penyimpanan internal, Whole Foods, Prime Video, MGM, Twitch, semua organisasi yang berbeda ini.

Pertama, bagaimana Anda mendapatkan informasi tentang profil keamanan untuk masing-masing bisnis tersebut dan jenis potensi risikonya, lalu cara Anda menyatukan semuanya? Jadi istilah umumnya, dasbor penyedia visibilitas terpusat (SPOG) yang Anda rasa nyaman karena profil risiko untuk Whole Foods sudah sesuai, satu-satunya untuk AWS dan sesuai untuk AWS, bagaimana Anda mengetahui semua itu?

Steve Schmidt:
Nah, pertama-tama, salah satu hal yang saya sukai dari pekerjaan saya adalah keragaman bisnis. Seringkali orang mengatakan bahwa Anda telah berada di posisi Anda selama 16 tahun. Itu adalah hal yang benar-benar tidak biasa bagi seseorang di industri keamanan. Mengapa begitu? Karena keragaman pekerjaan yang dimiliki perusahaan ini. Ini adalah kesempatan untuk terus belajar, inilah yang saya sukai.

Saya tidak semuda itu. Orang-orang berkata, berapa lama Anda akan terus bekerja? Apakah Anda akan pensiun, apa pun itu? Saya pun merasa sangat menikmatinya. Tidak, saya tidak mau. Ini benar-benar sangat menyenangkan. Dan itu karena Anda beralih dari membangun penyedia cloud terbesar di dunia menjadi menempatkan satelit di luar angkasa dan menjalankan toko kelontong, dan keragaman yang ada merupakan tantangan yang luar biasa dari perspektif bisnis, tetapi juga merupakan peluang yang menarik untuk meningkatkan skala perusahaan agar lebih murah dalam pengoperasiannya.

Ketika Anda melihat organisasi keamanan yang beroperasi, organisasi tersebut tidak murah. Namun, ketika Anda dapat menskalakannya di seluruh bisnis sebesar Amazon, itu berarti biaya unit dapat diturunkan.

Clarke Rodgers:
Tentu saja.

Steve Schmidt:
Jadi setiap bisnis mendapat keuntungan dari skala bisnis lain. Jadi, menemukan cara agar toko kelontong dapat memanfaatkan keamanan yang sama seperti yang dilakukan oleh bisnis satelit, yang dapat mereka lakukan di banyak bidang, misalnya, manajemen kerentanan, baik Anda melakukan patch pada sistem komputer, pada dasarnya tidak terlalu berbeda saat Anda membangun satelit dibandingkan dengan mengoperasikan toko kelontong.

Dan itu memungkinkan kami untuk melakukan hal-hal pada tingkat yang benar-benar tidak mampu dilakukan oleh bisnis mandiri dan meningkatkan standar untuk semua orang. Dan itulah bagian dari pekerjaan saya di sini yaitu memastikan bahwa kami memiliki standar di seluruh perusahaan, apakah itu untuk manajemen kerentanan atau respons insiden atau komponen lain yang masuk ke organisasi keamanan yang khas.

Lalu mencari tahu komponen yang harus diterapkan secara khusus untuk bisnis tertentu karena situasi unik mereka. Dengan demikian, kami tidak mencoba dan menerapkan satu ukuran yang cocok untuk semua orang karena hal itu hanya akan meningkatkan biaya. Jika Anda melihat bisnis grosir misalnya, kerugian satu unit di sana memiliki nilai yang relatif lebih kecil, sedangkan kerugian satu satelit adalah kebalikannya.

Clarke Rodgers:
Tentu saja.

Steve Schmidt:
Jadi kita harus menyesuaikan situasi keamanan untuk masing-masing komponen.

Clarke Rodgers:
Bagaimana Anda menahan... Aku akan membuat cadangan. Anda memiliki kepala petugas keamanan informasi yang menjalankan program keamanan untuk masing-masing bisnis lainnya. Bagaimana Anda meminta pertanggungjawaban mereka untuk menjalankan bisnis keamanan mereka?

Steve Schmidt:
Jadi salah satu hal yang sangat difokuskan Amazon di seluruh perusahaan adalah gagasan tentang satu pemilik utas. Jadi seseorang yang tugasnya hanya fokus pada satu komponen dari sesuatu. Dalam keamanan, itulah alasan kami memiliki CISO untuk setiap bisnis individu karena dua hal.

Pertama adalah saya ingin seseorang yang setiap hari hanya berfokus pada hal itu, apakah itu Amy Herzog yang berada di perangkat dan ruang Kuiper, atau apakah Chris Betz yang menjaga AWS. Namun, pada saat yang sama saya menggunakan pengukuran umum di semua hal itu. Misalnya, saya melihat tinjauan bisnis bulanan manajemen kerentanan, yang mencakup seluruh perusahaan dan menggunakan angka yang sama, metodologi yang sama, metode presentasi yang sama, dan sebagainya.

Jadi kami mendapatkan pandangan umum yang konsisten di setiap bisnis tersebut. Dan itu memungkinkan kita untuk melakukan dua hal. Pertama adalah memastikan bahwa kita memenuhi standar yang dibutuhkan, dan yang kedua adalah memastikan bahwa kita menerapkan visibilitas yang kita inginkan di setiap sudut bisnis. Karena cukup sering di mana orang memiliki masalah dengan berpikir, oh, ini bukan hal yang penting, ini adalah hal kecil, dan lain-lain.

Dan di situlah orang jahat bertindak dan kita semua dikalahkan. Jadi dengan memberikan pengawasan 10.000 pada semuanya, kami memastikan bahwa kami melakukan hal-hal yang kami butuhkan di setiap bagian perusahaan.

Clarke Rodgers:
Kemudian Anda memiliki sistem terpusat di bawah keamanan Amazon atau AMSEC yang dapat dimanfaatkan semua orang.

Steve Schmidt:
Jadi ada banyak hal yang pada dasarnya sama di semua bisnis kami. Cara Anda mengumpulkan jenis data tertentu, cara Anda menganalisis data atau melaporkannya, dan alih-alih membuat setiap bisnis melakukan hal yang sama berulang-ulang, kami memutuskan untuk memindahkannya ke satu tempat. Hal itu memungkinkan kami untuk menghemat hal-hal seperti waktu developer.

Jadi jika Anda berpikir untuk menjalankan skala besar, kami akan kembali ke manajemen kerentanan, mesin pengumpulan, untuk itu Anda harus memiliki teknisi yang siap sedia. Jika Anda pernah menjalankan organisasi on-call, yang Anda miliki, Anda membayangkan untuk memiliki satu orang yang dapat dihubungi, Anda harus memiliki sekitar tujuh orang untuk melakukannya secara efektif untuk mengakomodasi cuti dan liburan dan yang lainnya.

Clarke Rodgers:
Kami ingin orang-orang berlibur.

Steve Schmidt:
Benar. Jadi dengan menyebarkannya ke sekelompok bisnis yang berbeda dari satu tempat, itu berarti kami melakukannya dengan lebih efektif karena kami mendapatkan alat yang lebih baik secara terpusat dan dengan biaya lebih rendah.

Clarke Rodgers:
Praktik apa yang telah Anda kembangkan atau ikuti untuk melaporkan status keamanan di semua bisnis yang berbeda ini ke dewan Amazon?

Steve Schmidt:
Pertama, dewan Amazon sangat menarik. Ada sedikit sekali dewan yang memiliki ketajaman teknis di seluruh populasi seperti dewan Amazon, tetapi beberapa tahun lalu Amazon memilih untuk membuat subkomite keamanan. Jadi tidak seperti banyak tempat di mana keamanan dapat melapor ke komite audit, misalnya, ada sekelompok orang yang berdedikasi yang tugasnya hanya untuk melihat keamanan di dewan Amazon.

Hal itu bagus dan juga berarti ada banyak pengawasan pada kami dalam prosesnya. Jadi, kami harus membangun mekanisme pelaporan yang berkembang dari waktu ke waktu karena dua alasan. Pertama karena kami menjadi lebih baik dalam melakukan pekerjaan pelaporan. Dan yang kedua, dewan menjadi lebih terinformasi seiring berjalannya waktu. Mereka mengajukan pertanyaan yang lebih kritis dan ingin mengetahui detail yang lebih spesifik tentang ceruk dalam bisnis. Kami umumnya menemukan bahwa penting untuk melaporkan kepada mereka tentang komponen bisnis tertentu setiap kali kami berbicara. Apakah kami memenuhi standar keamanan kami di tempat-tempat tertentu?

Selain itu, mereka memiliki hal-hal yang benar-benar diminati, ceritakan kepada kami tentang bagian tertentu dari bisnis ini atau hal yang kami kerjakan yang menurut kami memiliki banyak risiko, jadi berikan kami penjelasan tentang bla, bla, bla. Dan hal itu memungkinkan kami untuk memiliki komponen yang konsisten, komponen variabel yang didasarkan pada minat mereka.

Lalu, kami memutuskan untuk memasukkan sesuatu yang disebut peristiwa terkini di bagian akhir. Di sana, kami mengambil semua hal yang telah Anda lihat dalam berita, kami menyaringnya menjadi hal-hal yang menurut kami memiliki pelajaran atau poin khusus bagi kami, lalu menyajikannya ke dewan sebagai komponen informatif di bagian akhir. Inilah sesuatu yang terjadi di industri, inilah alasan kami tidak terpengaruh.

Inilah investasi yang membuat kami tidak terpengaruh. Dan menurut saya hal itu memiliki nilai yang luar biasa bagi dewan. Yang pertama, mereka memahami bahwa kami berada dalam kondisi yang baik, namun yang kedua, hal ini membantu menginformasikan keputusan investasi pada masa mendatang. Jadi ketika kami berani menyatakan bahwa kami berinvestasi dalam autentikasi multifaktor delapan tahun lalu, 10 tahun lalu, dan hal ini mencegah pelaku ancaman yang masuk ke perusahaan besar lainnya memengaruhi kami, mereka berkata, oke, bagus. Apa saja investasi lain yang harus kita rencanakan sekarang yang akan membantu kita dalam 10 tahun agar terhindar dari masalah?

Clarke Rodgers:
Banyak sekali pelanggan CISO kami yang sangat fokus pada dewan direksi. Beberapa dari mereka tidak mendapatkan FaceTime sebanyak yang lain. Dan Anda sudah mengatakan bahwa dewan kami unik karena kecerdasan keamanan mereka. Rekomendasi apa yang akan Anda berikan kepada rekan-rekan CISO atau CSO yang melapor kepada dewan mereka agar benar-benar membantu menyampaikan maksud mereka, agar dipahami oleh dewan, dan sebagainya?

Steve Schmidt:
Jadi nomor satu hal yang saya dengar dari anggota dewan tentang alasan mereka menyukai cara kami melakukan sesuatu adalah kami sangat berhati-hati untuk menghindari jargon. Banyak orang dalam peran CISO bersifat teknis dan mereka ingin melaporkan berbagai hal dengan cara yang-

Clarke Rodgers:
Bit dan bita.

Steve Schmidt:
Tepatnya, mencerminkan cara mereka berpikir tentang hal itu. Namun, yang perlu diingat di sini, dewan adalah pelanggan. Jadi ketika kita mempresentasikan kepada mereka, mereka harus paham yang kita bicarakan dan kita harus menemukan cara untuk menjelaskan hal-hal dalam konteks yang masuk akal bagi dewan tertentu.

Jadi nomor satu adalah menemukan mekanisme pelaporan yang konsisten daripada memvariasikannya setiap saat karena pada dasarnya hal itu akan makin menyulitkan seseorang untuk memahaminya. Nomor dua adalah mencari tahu dua atau tiga metrik super penting yang ingin Anda sampaikan di sana setiap saat.

Jangan membebani orang dalam metrik. Misalnya, kami selalu, selalu melaporkan mengenai manajemen kerentanan. Ini adalah satu-satunya kontrol keamanan fundamental terpenting yang kami operasikan dan saya pikir siapa pun mengoperasikannya lalu mencari tahu hal-hal apa yang merupakan add-on yang menarik pada akhirnya, yang membantu Anda mengembangkan hal yang harus kami investasikan. Jadi pisahkan di antara komponen proses pelaporan.

Clarke Rodgers:
Dan apakah jika kita berinvestasi di sini, kita mengurangi risiko di sini?

Steve Schmidt:
Ya, ini adalah kombinasi dari pengurangan risiko saat ini dan pengurangan risiko ke depan, dan melihat ke depan sebenarnya mungkin merupakan bagian tersulit dari pekerjaan kami sebagai profesional keamanan karena kami tidak memiliki bukti eksistensi untuk digunakan. Dan banyak orang mengetahui dan berkata, apakah itu benar-benar perlu?

Apakah kita harus melakukannya sekarang? Apakah kita harus melakukannya sebanyak itu? Apakah kita bisa menguranginya? Itulah argumen yang harus kami miliki dan kami harus mampu membangun basis pengetahuan semacam itu di papan tulis dari waktu ke waktu dan berkata, ini adalah contoh-contoh eksploitasi dunia nyata dari hal-hal yang terlihat seperti ini dan menurut kami ini akan berlaku dalam jangka waktu tertentu. Oleh karena itu, kami harus bertindak sekarang atau dua tahun lagi atau tiga tahun lagi atau kapan pun.

Clarke Rodgers:
Saya paham. Jadi, di Amazon kami dikenal karena inovasi kami, bekerja hingga akhir, mendengarkan pelanggan kami, dan lain-lain. Sebagai pemimpin keamanan, Anda memiliki banyak pilihan, dan ini mungkin tergantung pada laporan CISO Anda kepada Anda, Anda memiliki banyak pilihan tentang alat yang Anda beli versus alat yang perlu Anda bangun. Sering kali hal itu bergantung pada skala.

Jadi, perangkat lunak komersial yang tersedia di pasaran mungkin sesuai atau tidak sesuai dengan skala Amazon dan Anda perlu membuat sendiri. Selama setahun terakhir kami telah berbicara secara terbuka tentang alat seperti Madpot dan Mithra dan Sonaris. Sebagai CSO, bagaimana Anda melakukan presentasi untuk mendapatkan dana agar benar-benar menempatkan sumber daya teknik di balik alat seperti itu, dan saya membayangkan banyak alat lain yang belum kita bicarakan, bagaimana Anda melakukan presentasi untuk mengatakan bahwa ini adalah investasi yang layak dan inilah nilai yang akan kita peroleh dari alat ini?

Steve Schmidt:
Tentu. Jadi, pertama-tama mari kita membedakan antara alat yang dibeli dengan sesuatu yang kita bangun. Saya pikir itu adalah titik awal yang penting. Kami akan membeli alat jika itu adalah barang komoditas. Jadi misalnya, respons deteksi titik akhir, kami membelinya alih-alih membangunnya sendiri. Mengapa? Karena laptop Mac, laptop Windows, laptop Linux yang kami gunakan sama dengan yang digunakan banyak orang lain juga.

Kami mungkin memiliki sedikit perangkat lunak yang berbeda dengan mereka, tetapi itu tidak benar-benar membedakan bisnis kami. Padahal kami adalah satu-satunya yang dapat membangun sistem skala yang sangat besar seperti Madpot sebagai contoh. Di mana kami dapat membangun sesuatu yang tidak dapat dilakukan orang lain, di situlah kami cenderung berinvestasi.

Cara kami melakukan proses investasi itu sama seperti kami melakukan banyak hal lainnya. Anda membuat prototipe, mencobanya, lalu melihat yang berhasil. Anda menjamin tidak akan melakukannya dengan benar pertama kali. Jadi, Anda harus melakukannya dan merekayasa ulang sesuatu, mengubahnya sedikit, dan sebagainya. Kini Madpot telah sangat sukses tetapi tidak muncul begitu saja dalam sekejap. Madpot adalah investasi bertahun-tahun yang dimulai dengan seorang rekayasawan tunggal yang berkata, ya, saya sangat menyukai ide ini. Mari kita lihat apakah hal itu bisa menjadi sesuatu yang menarik.

Lalu jadilah mesin ini yang memungkinkan kami memperoleh data intelijen ancaman yang benar-benar tepat waktu yang dapat kami gunakan yang dapat kami proses dan dapat kami terapkan ke dalam alat keamanan yang dapat diakses oleh semua pelanggan kami. Dan saya merasa itulah bagian yang paling penting. Jadi misalnya, banyak pelanggan kami mengatakan, ooh, saya ingin umpan intelijen ancaman mentah.

Dan seperti, sebenarnya tidak, Anda tidak menginginkannya. Apa yang benar-benar Anda inginkan adalah hal-hal yang relevan bagi Anda dalam konteks tempat Anda beroperasi saat ini. Sisanya hanya kebisingan dan volumenya sekarang sangat besar sehingga tidak ada gunanya mencoba dan mencerna semuanya kecuali Anda memiliki bisnis seperti milik kami.

Dan banyak pelanggan kami telah mengetahui bahwa mereka benar-benar suka mengambil hal seperti intelijen ancaman dan mengonsumsinya sebagai bagian dari layanan terkelola. Hal itu memungkinkan mereka untuk tidak menyia-nyiakan waktu mereka untuk mengumpulkan tumpukan data yang sangat besar atau konteks yang hilang karena tidak diterapkan di banyak pelanggan.

Dan konteks itu penting. Di situlah visibilitas terpusat yang hanya kita miliki untuk kembali ke bagian asli tentang komoditisasi versus pembuatan khusus, benar-benar membawa keuntungan.

Clarke Rodgers:
Lalu saya kira, karena tidak ada kata yang lebih baik, hal ini membantu kami mengamankan AWS memangkas Amazon dan menambah manfaat bagi pelanggan kami. Jadi maksud saya ini adalah kemenangan.

Steve Schmidt:
Dalam bahasa umum Amazon akan mulai dengan pelanggan terlebih dahulu dan berkata, hal ini membantu semua pelanggan kami mengamankan diri mereka dengan lebih baik. Pada saat yang sama, hal ini membantu kami dengan bisnis kami karena sebagian besar bisnis kami adalah pelanggan Amazon AWS. Jadi hal itu bermanfaat secara keseluruhan.

Clarke Rodgers:
Itu bagus sekali. Mari kita beralih sedikit ke topik lain. Tahun lalu telah menjadi tahunnya AI generatif. Mayoritas pelanggan kami yang saya ajak bicara telah berfokus pada pengamanan AI gen sebagai alat yang digunakan oleh kalangan bisnis. Jadi, mungkin ini adalah alat pihak ketiga dan mereka menggunakan Amazon Bedrock atau apa pun itu. Namun, mari kita amankan alat tersebut. Apa yang Anda lihat atau mungkin apa yang kami lakukan di dalam Amazon yang sebenarnya menggunakan AI generatif sebagai alat keamanan atau sebagai bagian dari rantai peralatan keamanan Anda?

Steve Schmidt:
Jadi, penggunaan AI generatif yang paling efektif yang telah kita ketahui sejauh ini adalah dalam proses keamanan aplikasi itu sendiri. Jadi, seperti yang Anda ketahui di AWS, setiap aplikasi fitur tunggal, dan sebagainya, yang diluncurkan, memiliki tinjauan keamanan sebelum diluncurkan. Dahulu bisnis lain belum memiliki kemewahan itu karena memerlukan biaya yang sangat mahal untuk melakukannya, terutama saat Anda mempertimbangkan bahwa untuk melakukannya memerlukan ribuan rekayasawan keamanan yang fokus pada hal itu.

Sebagian besar perusahaan di luar sana tidak memiliki jumlah rekayasawan keamanan secara total seperti yang baru saja kami lakukan pada pekerjaan AppSec di Amazon. Jadi, AI generatif memberi kita pengaruh yang luar biasa di ruang tersebut. Saya akan mengatakan ini masih dalam tahap sains, tetapi sangat menjanjikan.

Kami berpikir bahwa seiring berjalannya waktu, kami mungkin akan melihat pengurangan beban kerja manusia di bidang keamanan aplikasi di kisaran 60 hingga 70%, yang berarti bahwa kami dapat melakukan berbagai hal dengan lebih cepat dengan biaya yang lebih murah dan konsistensi yang lebih baik di berbagai tempat seperti AWS, yang selalu memiliki investasi dalam mengevaluasi segala sesuatu, serta di berbagai area yang memiliki peluang untuk melihat lebih banyak hal yang belum pernah dievaluasi sebelumnya, yang berarti kami dapat memperoleh cakupan yang lebih besar. Jadi, ini semacam kemenangan ganda.

Clarke Rodgers:
Jadi, Anda akan menghemat jam kerja manusia dengan AI generatif dan menggunakannya untuk menghadapi tantangan keamanan siber lainnya.

Steve Schmidt:
Oh, AI generatif sebenarnya akan melihat layanan yang kami miliki secara lebih mendalam dan memeriksa lebih banyak aplikasi secara keseluruhan. Bagian lainnya adalah AI generatif tidak akan menjadi solusi menyeluruh untuk berbagai hal. Hal yang akan dilakukannya adalah menyingkirkan banyak hal yang mudah dicapai, jika Anda mau, dan memungkinkan rekayasawan kami untuk fokus pada berbagai masalah yang sangat menarik yang hanya bisa ditangani oleh manusia.

Orang-orang akan berpikir, oh, AI generatif dapat menyelesaikan semua masalah, padahal belum. Dan saya pikir siapa pun yang mengatakan bahwa hal itu bisa dilakukan di bidang keamanan mungkin sebenarnya tidak memahami apa yang sedang terjadi. Selalu perlu ada pengawasan manusia di ruang tersebut, setidaknya untuk saat ini. Dan yang lebih penting, harus ada penilaian manusia tentang apakah AI generatif telah membuat keputusan yang benar atau tidak.

Clarke Rodgers:
Berbicara atau tinggal bersama manusia. Apa yang menjadikanperekrutan keamanan hebat di Amazon atau AWS?

Steve Schmidt:
Menurut saya, hal nomor satu yang kami cari dalam perekrutan keamanan kami dan yang dipikirkan kebanyakan orang adalah kecerdasan teknis semacam ini, bukan, rasa ingin tahu.

Clarke Rodgers:
Jelaskan pada saya lebih lanjut.

Steve Schmidt:
Maksudnya adalah seseorang yang tidak melihat suatu masalah dan berkata, oh, oke, ini dia. Mereka berkata, yah, mengapa hal itu bisa terjadi? Nah, mengapa hal itu bisa terjadi di tempat itu? Mengapa kita tidak mendeteksinya lebih cepat? Mengapa hal tersebut bisa menjadi kesalahan yang bisa dilakukan oleh builder di awal? Itulah tipe orang yang terus mencari tahu yang membuat kami sangat tertarik.

Anda pasti sudah tidak asing lagi dengan proses koreksi kesalahan yang kami gunakan, COE, dan ada apa di bagian bawahnya? Lima mengapa. Selain itu, kesamaannya terletak pada upaya untuk mengatasi akar masalah dan bukan hanya mengatasi gejala masalah di bagian atas.

Clarke Rodgers:
Jadi rasa ingin tahu adalah raja,

Steve Schmidt:
Rasa ingin tahu adalah raja. Ya.

Clarke Rodgers:
Jika aku memberimu bola kristal-

Steve Schmidt:
Ya.

Clarke Rodgers:
Maaf. Berikut pertanyaannya. Jika Anda melihat bola kristal itu, apa yang akan menjadi fokus CSO dan CISO dalam satu tahun ke depan atau lebih?

Steve Schmidt:
Yah, saya rasa kebanyakan orang harus fokus pada AI generatif karena bisnis mereka mengonsumsi layanan itu dengan kecepatan yang luar biasa, dan mereka harus melakukan dua hal. Nomor satu adalah memahami di mana mereka menggunakan AI generatif. Saya rasa kami beruntung di Amazon dan kami memiliki visibilitas terpusat yang memungkinkan kami untuk melihat di mana semua builder kami menggunakan AI generatif.

Sebagian besar perusahaan tidak seperti itu dan mereka harus mencari tahu. Yang kedua adalah Anda harus mencari tahu tentang AI generatif, cara Anda melakukan RAG dan apakah Anda menerapkan otorisasi dan autentikasi dengan tepat selama proses itu. Itu bukan hal sepele. Ini adalah sesuatu yang bahkan dunia perangkat lunak belum sepenuhnya memahami.

Dan merupakan hal yang sangat penting untuk dapat menggunakan AI generatif dengan cara yang hanya menyajikan kembali data sebagai hasil dari prompt yang diberikan oleh orang di ujung sana yang berwenang untuk mengaksesnya pada saat itu juga dari tempat mereka berada dengan peralatan yang sedang mereka gunakan. Kebanyakan orang bahkan belum memikirkan masalah itu.

Namun pada kenyataannya, jika Anda melihat sistem internal kami di Amazon sekarang, saat Anda menggunakan laptop Anda, kami dapat mengetahui banyak hal tentang Anda ketika Anda menggunakan sistem internal kami. Secara harfiah, apakah laptop Anda berada dalam kondisi yang diharapkan? Apakah Anda sudah melakukan patch, dan lain-lain?

Kita semua pernah mendapat pemberitahuan kecil yang menyatakan bahwa Anda akan dikarantina jika tidak melakukan patch. Dan di manakah lokasi Anda? Apa pekerjaan Anda? Dan hal-hal yang kebanyakan orang bahkan tidak sadari sedang kita lihat, seperti hari apa sekarang? Dan apakah ini jam yang biasa Anda akses atau datang dari tempat yang tidak biasa? Hal-hal semacam itu.

Clarke Rodgers:
Apakah ini normal untuk Clarke?

Steve Schmidt:
Benar. Apakah ini normal untuk Clarke dan apakah ini normal bagi seseorang yang bekerja di Clarke? Dan kontrol tersebut tidak ada di banyak tempat. Itu sebabnya penerapan pagar pembatas sangat penting. Saya tidak peduli sistem apa yang Anda gunakan untuk melakukannya, Anda hanya perlu memiliki pagar pembatas.

Dan pagar pembatas itu harus terus berkembang seiring lanskap ancaman yang berkembang di sekitar Anda, seiring perubahan ilmu AI generatif, dan ketika bisnis Anda makin menentukan penggunaan data yang dapat diterima yang mereka masukkan ke dalam sistem AI generatif.

Clarke Rodgers:
Itu adalah saran yang fantastis dan bagus. Kita akan melihat apakah prediksi Anda menjadi kenyataan. Steve, Anda adalah kepala petugas keamanan untuk semua Amazon. Pekerjaan ini memiliki tingkat stres yang cukup tinggi. Apa yang Anda lakukan untuk menjaga diri Anda tetap waras dan bersemangat, tetap mengikuti perkembangan dunia, mendengarkan, lalu bagaimana Anda juga memastikan bahwa para pemimpin Anda melakukan hal yang sama dan menjaga diri mereka sendiri?

Steve Schmidt:
Jadi hal pertama yang saya fokuskan dengan semua pemimpin kami, baik yang baru maupun yang sudah lama bekerja di perusahaan, adalah bagaimana Anda melakukan sesuatu untuk memisahkan diri Anda dari tugas? Tugas kami memiliki tingkat stres yang sangat tinggi. Ada hal yang secara efektif tidak pernah dihilangkan.

Jadi, punya cara untuk menyerahkan tanggung jawab di antara orang-orang secara formal dan berkata, baiklah, Clark, selama enam hari ke depan Anda akan berlibur. Saya tidak ingin mendengar kabar dari Anda. Saya tidak ingin Anda online. Dan karyawan kami sangat berdedikasi. Ada saat-saat di mana saya harus mengancam untuk mematikan komputer orang karena, misalnya, Anda seharusnya berlibur, berhentilah mengirimi saya email.

Saya menghargai dedikasi Anda, tetapi masalahnya adalah Anda akan kelelahan. Dan ini seperti maraton. Bukan lari cepat. Jadi membangun mekanisme itu sangat penting. Hal kedua adalah memiliki sesuatu yang memungkinkan Anda melakukan sesuatu yang bernilai bagi diri Anda secara individu. Beberapa orang adalah musisi, mendaki gunung, dan pergi memancing. Saya pribadi adalah seorang petugas pemadam kebakaran dan paramedis sukarelawan.

Clarke Rodgers:
Oh, wah.

Steve Schmidt:
Bagi saya, ini adalah sesuatu yang berbanding terbalik dengan pekerjaan saya sehari-hari. Jadi kita adalah manusia. Kita suka berinteraksi dengan orang-orang. Saya berbicara dengan Anda di sini secara tatap muka. Yay, bukan dalam video. Luar biasa. Tapi tugas harian saya adalah dua hal yang sangat berbeda dari itu.

Yang pertama adalah sebagian besar pekerjaan saya sehari-hari hanya berdampak tiga, lima, 10 tahun ke depan. Jadi itu bukan imbalan langsung. Yang kedua adalah semua komputer yang berisi beberapa orang, yang bahkan tidak dapat saya lihat atau sentuh. Jadi dengan bagian menyenangkan dalam hidup saya, dari sisi petugas pemadam kebakaran, paramedis, jika saya melakukan pekerjaan individu dengan baik, saya dapat membantu seseorang yang dapat saya jangkau dan sentuh, menjalani hari yang lebih baik. Dan hal ini memberi saya umpan balik langsung yang saya dambakan sebagai manusia. Kedua, hal itu sangat bersifat fisik dan bukan sesuatu yang murni logis.

Clarke Rodgers:
Jenis stresnya berbeda, tapi mungkin stres yang lebih sehat.

Steve Schmidt:
Ya, benar. Dan ironisnya, ada banyak penelitian yang menunjukkan bahwa orang-orang yang sudah lama bekerja di pemadam kebakaran justru mengalami penurunan denyut nadi saat sirene berbunyi, karena itu adalah tempat yang membuat mereka bahagia dan mereka menikmatinya. Dan jujur saja, siapa yang tidak suka berkendara di jalan dengan sirene dan lampu truk? Itu sangat menyenangkan.

Clarke Rodgers:
Luar biasa. Saya membayangkan dan ingin mendengar lebih banyak sebagai CSO, Anda dihadapkan pada pengambilan keputusan dan keputusan yang sangat penting setiap hari. Apakah Anda seorang paramedis atau pemadam kebakaran dengan pangkat lebih tinggi atau lebih rendah, yang berarti orang lain yang membuat keputusan sulit dan Anda hanya fokus pada hari Anda?

Steve Schmidt:
Ironisnya, saya sebenarnya adalah asisten kepala di organisasi tersebut, tetapi hal itu lebih berkaitan dengan keterampilan kepemimpinan daripada kecerdasan teknis di bidang lain. Namun, saya telah melakukannya selama 38 tahun.

Clarke Rodgers:
Oh, luar biasa.

Steve Schmidt:
Jadi, saya telah mengumpulkan sedikit pengalaman.

Clarke Rodgers:
Bagus. Jadi, Steve, terima kasih banyak telah bergabung dengan saya hari ini.

Steve Schmidt:
Terima kasih. Saya sangat senang berada di sini.

Dengarkan sekarang

Dengarkan sekarang

Dengarkan sekarang