Dimensionamento corretto della sicurezza nelle attività di Amazon

Clarke Rodgers:
Steve, grazie mille per esserti unito a me oggi.

Steve Schmidt:
Felice di essere qui. Grazie.

Clarke Rodgers:
È passato un po' di tempo dall'ultima volta che abbiamo parlato. In effetti, stavo facendo i conti ieri sera. L'ultimo incontro risale a circa quattro anni fa.

Steve Schmidt:
Wow.

Clarke Rodgers:
Se torniamo indietro a quattro anni fa, eravamo nel pieno della pandemia. Tu ed io stavamo svolgendo un'intervista a distanza e ricoprivi un ruolo diverso all'epoca, giusto? Eri il Chief Information Security Officer di AWS.. Poco tempo dopo quell'incontro, Andy è diventato CEO di Amazon, e una delle sue prime mosse è stata quella di coinvolgerti come Chief Security Officer. Ti va di raccontarmi cosa lo ha spinto a fare quella scelta?

Steve Schmidt:
Certo. Una delle cose che Andy ha sempre considerato fondamentali è la protezione delle informazioni dei nostri clienti. Questo approccio è nato in AWS, dove la sicurezza non è solo una priorità, ma una condizione essenziale per l'esistenza stessa dell'azienda. Non si può avere un business come AWS senza una gestione della sicurezza estremamente rigorosa.

Quando Andy è passato al ruolo di CEO di Amazon, ha voluto estendere quella stessa mentalità all'intero ecosistema dell'azienda, applicandola a tutte le realtà, estremamente diverse, in cui Amazon opera. Inoltre, riteneva importante sapere che ci fosse una figura dedicata, il cui compito quotidiano fosse proprio quello di vigilare su questi aspetti critici. Ed è per questo che mi ha chiesto di assumere questo ruolo e guidare l'intera funzione sicurezza.

Clarke Rodgers:
Quindi, nel titolo di Chief Security Officer manca la parola “informazione”, giusto? Dunque non sei un CISO, ma un CSO. Abbiamo avuto alcune conversazioni con clienti che, come te, hanno scelto di “togliere la I” dal titolo. Ci puoi spiegare perché è necessario identificarsi come Chief Security Officer e non specificare solo la sicurezza delle informazioni? Perché è importante questa distinzione?

Steve Schmidt:
Certo. Se pensiamo alla protezione delle informazioni, che in fondo è la valuta più preziosa nel nostro contesto, tradizionalmente ci si è concentrati sulla componente logica, quella gestita dal CISO. Ma oggi gli avversari si stanno evolvendo e sempre più spesso cercano di ottenere informazioni attraverso le persone, non solo attraverso la tecnologia.

C'è stata una sorta di oscillazione storica: tempo fa esistevano le spie che fisicamente entravano negli uffici per sottrarre documenti riservati o per svolgere altre attività dannose. Poi, con l'avvento dell'informatica, gli attacchi si sono spostati online, e vengono perpetrati da remoto o con altre modalità. Ma ora che le aziende hanno rafforzato le proprie difese digitali, stiamo assistendo a un ritorno all'elemento umano e all'infiltrazione fisica.

Per proteggere efficacemente ciò che conta davvero, dobbiamo integrare la difesa delle risorse fisiche con quella delle risorse informative e digitali. Solo così possiamo avere una visione completa di come trattiamo i dati dei nostri clienti e in che modo li tuteliamo, insieme ai dati sensibili della nostra azienda. Oggi, gli attori malevoli, in particolare quelli sponsorizzati da governi, non si limitano più a cercare l'accesso ai dati dei clienti: puntano anche alle informazioni strategiche, come i piani futuri di business e

lo sviluppo di nuovi prodotti o servizi, che si tratti di satelliti, robot o tecnologie avanzate. Questi elementi hanno un valore elevatissimo sia per altri stati che per i competitor. Per questo, come esperti di sicurezza, è fondamentale avere una prospettiva completa, conoscere i nostri avversari e costruire difese che tengano conto di tutte le superfici d'attacco.

Clarke Rodgers:
Sì, certo. Quando hai assunto il ruolo di CSO e hai iniziato a gestire anche la reportistica sulla sicurezza fisica, è probabile che tu abbia notato come i professionisti della sicurezza delle informazioni e quelli della sicurezza fisica tendano a usare terminologie differenti. Come si possono armonizzare questi due ambiti affinché comunichino efficacemente e collaborino con successo?

Steve Schmidt:
Certo. Non è tanto una questione di scelta delle parole, dato che ognuno ha il proprio linguaggio tecnico. Hai assolutamente ragione. L'aspetto cruciale è comprendere qual è l'obiettivo finale di ciascuno, come misurare i progressi verso quell'obiettivo e, soprattutto, identificare i collegamenti o le lacune tra il mondo fisico e quello logico.

Mettiamola così: nel mondo fisico, il mio ruolo è prevenire l'accesso non autorizzato agli edifici, impedendo così ai potenziali avversari di essere assunti nell'azienda. Ma se un avversario dovesse effettivamente entrare in un edificio, quale impatto avrebbe dal punto di vista della sicurezza delle informazioni? Se si trova in un atrio, è una situazione; se accede a un locale che contiene numerosi switch di rete, la situazione cambia radicalmente. È fondamentale quindi connettere questi due aspetti per ottenere un quadro chiaro e completo di ciò che sta accadendo.

Clarke Rodgers:
Hai dovuto sviluppare degli strumenti per superare queste differenze?

Steve Schmidt:
Sì, è una combinazione di strumenti e processi che abbiamo implementato. Gli strumenti sono in continua evoluzione. Teoricamente, stiamo sempre migliorando nel trovare modi per raccogliere, analizzare e utilizzare i dati. La parte più interessante e complessa è capire come trasferire queste informazioni tra le diverse aree dell'azienda e come garantire che abbiano accesso a tutto il necessario per svolgere il loro lavoro, evitando al contempo di sommergerle di dati a tal punto che non riescano a identificare le informazioni importanti tra le enormi quantità di dati che raccogliamo.

Ed è qui che entra in gioco l'importanza dei processi. Spesso si tratta di gestire dati che potrebbero essere sensibili e di trovare modi per assicurare che vengano trasferiti correttamente all'interno dell'organizzazione. Questo richiede persone molto competenti. Ci vogliono esseri umani che comprendano che, anche se un dato può sembrare innocuo da solo, se combinato con altre informazioni che abbiamo, può rivelarsi molto significativo. Purtroppo, al momento non esiste un sistema completamente automatizzato capace di fare ciò. Forse, con un adeguato addestramento dell'IA, in futuro potremo raggiungere questo obiettivo, ma attualmente non siamo ancora a quel punto.

Clarke Rodgers:
È davvero interessante. Hai guidato il programma di sicurezza in AWS, quindi hai una profonda conoscenza di AWS, delle sue vulnerabilità, delle minacce e del suo livello di rischio. Avanzando al ruolo di CSO, ora puoi esplorare le realtà di amazon.com e di altre entità interne come Whole Foods, Prime Video, MGM e Twitch, tra le altre.

Come hai fatto a familiarizzare con il profilo di sicurezza e la propensione al rischio di ciascuna di queste diverse entità e poi come hai integrato queste informazioni? In che modo hai determinato che il profilo di rischio appropriato per una divisione, come Whole Foods o AWS, fosse adatto anche per le altre? Come hai sincronizzato tutti questi elementi?

Steve Schmidt:
Beh, prima di tutto, una delle cose che adoro del mio lavoro è la diversità delle attività che gestiamo. Spesso le persone mi dicono che è insolito per qualcuno nel settore della sicurezza rimanere nello stesso ruolo per sedici anni. Perché? È proprio la varietà del lavoro in questa azienda che mi spinge a continuare. C'è un'opportunità costante di apprendimento, è davvero entusiasmante.

Non sono più giovanissimo e la gente mi chiede spesso quanto tempo ancora intendo lavorare, se ho intenzioni di andare in pensione. E io rispondo che mi sto divertendo troppo per smettere. È davvero stimolante. E questo perché si passa dalla gestione del più grande fornitore di servizi cloud al mondo, all'installazione di satelliti nello spazio, fino alla gestione di catene di supermercati; la diversità di queste sfide è notevole dal punto di vista aziendale, ma offre anche l'interessante opportunità di sfruttare le dimensioni dell'azienda per ridurre i costi di gestione.

Considerando che le operazioni di sicurezza non sono economiche, la possibilità di scalare su una realtà vasta come Amazon permette di abbassare i costi unitari.

Clarke Rodgers:
Sì, certo.

Steve Schmidt:
Quindi ogni azienda trae vantaggio dalle dimensioni delle altre aziende. Quindi, trovare modi per permettere a un negozio di alimentari di beneficiare delle stesse misure di sicurezza di un'azienda che gestisce satelliti è fattibile in molti ambiti, come nella gestione delle vulnerabilità.Il processo di installazione di patch su un sistema informatico, in fondo, non cambia sostanzialmente tra la costruzione di satelliti e la gestione di un supermercato.

Questo ci permette di operare a un livello che una singola azienda non potrebbe permettersi e di elevare gli standard per tutti. Il mio lavoro è anche questo: garantire che ci sia uno standard uniforme in tutta l'azienda e a prescindere che si tratti di gestione delle vulnerabilità, di risposta agli incidenti, o di qualunque altro aspetto tipico di un'organizzazione di sicurezza.

Quindi è importante individuare quali elementi specifici devono essere implementati per le singole aziende considerando le esigenze individuali. In questo modo, evitiamo di applicare una soluzione universale, che altrimenti farebbe lievitare i costi. Ad esempio, in un'azienda alimentare, la perdita di un'unità può avere un impatto economico relativamente limitato, mentre la perdita di un satellite rappresenta l'esatto opposto.

Clarke Rodgers:
Sì, certo.

Steve Schmidt:
Quindi dobbiamo adattare la situazione di sicurezza per i singoli componenti.

Clarke Rodgers:
In che modo... Mi spiego meglio. I responsabili della sicurezza delle informazioni supervisionano i programmi di sicurezza per ciascuna di queste aziende affiliate. Come vi assicurate che siano effettivamente responsabili della gestione delle loro attività di sicurezza?

Steve Schmidt:
Una delle strategie su cui Amazon pone grande enfasi in tutta l'organizzazione è il concetto di "proprietario a thread singolo". Ciò significa avere una persona il cui compito è concentrarsi esclusivamente su un singolo aspetto di un'area. Per quanto riguarda la sicurezza, è per questo che abbiamo un CISO dedicato per ogni singola divisione. Il motivo è duplice:

innanzitutto, desideriamo che ci sia qualcuno che si occupi esclusivamente di sicurezza ogni giorno, che sia Amy Herzog a occuparsi dei dispositivi e dello spazio Kuiper, o Chris Betz per AWS. Allo stesso tempo, impieghiamo metriche comuni per tutte queste divisioni. Ad esempio, conduco una revisione aziendale mensile sulla gestione delle vulnerabilità che copre l'intera azienda e utilizza gli stessi dati, metodologie e formati di presentazione.

Questo ci permette di avere una visione uniforme che è coerente per ogni divisione. In questo modo possiamo realizzare due obiettivi principali. Il primo è garantire che soddisfiamo gli standard di sicurezza richiesti e il secondo è assicurare una visibilità completa in ogni angolo dell'azienda. Spesso, quando emergono problemi, le persone tendono a minimizzare, pensando che non siano gravi o che riguardino solo una piccola parte dell'operato.

È in questi frangenti che si verificano le vulnerabilità. Mantenendo una supervisione generale di alto livello su tutto, ci assicuriamo di adottare le misure necessarie in ogni parte dell'azienda.

Clarke Rodgers:
E poi ci sono i sistemi centralizzati sotto l'ombrello della sicurezza di Amazon, o AMSEC, di cui tutti possono beneficiare.

Steve Schmidt:
Quindi, ci sono molti aspetti che sono fondamentalmente identici in tutte le nostre divisioni. Il modo in cui raccogliamo determinati tipi di dati, come li analizziamo o li riportiamo, è comune. Invece di costringere ogni singola azienda a ripetere le stesse operazioni, abbiamo deciso di centralizzare questi processi. Questo approccio ci permette di risparmiare risorse come il tempo degli sviluppatori.

Pensando alla gestione su larga scala, torniamo all'esempio della gestione delle vulnerabilità: per gestire un sistema di raccolta dati efficace, hai bisogno di ingegneri disponibili. Se hai mai gestito un team di guardia, saprai che per avere una copertura reperibile continua, considerando ferie e altri impegni, hai bisogno di circa sette persone se vuoi davvero organizzarlo in modo efficace.

Clarke Rodgers:
Vogliamo che le persone possano andare in vacanza.

Steve Schmidt:
Esatto. Quindi, centralizzando la gestione per un gruppo diversificato di aziende da un unico luogo, riusciamo a operare più efficacemente. Grazie alla centralizzazione delle risorse otteniamo strumenti di qualità superiore a un costo inferiore.

Clarke Rodgers:
Quali metodi hai adottato o creato per comunicare al consiglio di amministrazione di Amazon lo stato della sicurezza nelle varie divisioni aziendali?

Steve Schmidt:
Il consiglio di amministrazione di Amazon è davvero interessante per vari motivi. Innanzitutto, ci sono pochi consigli di amministrazione che vantano un acume tecnico comparabile a quello del consiglio di Amazon. Inoltre, Amazon ha deciso diversi anni fa di creare un sottocomitato per la sicurezza. A differenza di molte altre realtà dove la sicurezza potrebbe riferire al comitato di revisione, ad esempio, Amazon ha un gruppo dedicato di persone il cui unico compito è occuparsi di sicurezza all'interno del consiglio di amministrazione.

Questo è estremamente vantaggioso, ma comporta anche frequenti controlli e così abbiamo dovuto sviluppare un meccanismo di reporting che si evolve nel tempo per due motivi principali. Il primo è che miglioriamo continuamente nel nostro modo di creare report. Il secondo motivo è che il consiglio diventa sempre più informato nel tempo, ponendo domande mirate con il desiderio di conoscere dettagli più specifici su aspetti particolari del settore. Riteniamo essenziale riferire specificamente su particolari componenti dell'azienda ogni volta che ci rivolgiamo a loro. Domandiamo: stiamo rispettando i nostri standard di sicurezza in determinate aree?

Inoltre, i membri del consiglio hanno temi di particolare interesse; vogliono saperne di più su determinati ambiti dell'azienda o su nuove iniziative che considerano particolarmente rischiose, ecc. Ciò ci consente di mantenere un componente di reporting costante e al tempo stesso flessibile, adattandola in base agli interessi specifici dei membri del consiglio.

Aggiungiamo anche una sezione che chiamiamo “attualità” dove prendiamo eventi di rilievo che sono stati trattati nei media, li analizziamo e traiamo lezioni o punti salienti specifici per noi, e li presentiamo al consiglio come informazione aggiuntiva alla fine di ogni sessione. Questo include incidenti rilevanti nel settore, spiegando perché non ci hanno colpito

e quali investimenti ci hanno protetto. Credo che questo approccio apporti un enorme valore al consiglio. In primo luogo, permette di comprendere che ci troviamo in una posizione solida e, in secondo luogo, aiuta anche nelle decisioni di investimento future. Ad esempio, quando evidenziamo come il nostro investimento precoce (dieci anni fa) nell'autenticazione a più fattori ci abbia protetti da minacce che hanno colpito altre grandi aziende, il consiglio può apprezzare il valore di tali investimenti e considerare quali altri investimenti pianificare oggi che potrebbero proteggerci in futuro.

Clarke Rodgers:
Molti dei nostri clienti CISO prestano molta attenzione al consiglio di amministrazione. Alcuni di loro hanno meno tempo a disposizione di altri per interazioni dirette. E come hai già sottolineato, il nostro consiglio è davvero unico proprio per la sua competenza in materia di sicurezza. Che suggerimenti daresti ai tuoi colleghi CISO o CSO per comunicare in modo efficace con i consigli di amministrazione, trasmettere con chiarezza i messaggi chiave, adottare un linguaggio in linea con quello dei dirigenti, ecc.?

Steve Schmidt:
La prima cosa che ho sentito spesso dai membri del consiglio, e che apprezzano particolarmente nel nostro approccio, è l'attenzione che mettiamo nell'evitare il gergo tecnico. Molte persone nei ruoli di CISO hanno un background tecnico e tendono a voler riportare le informazioni nei termini in cui le pensano...

Clarke Rodgers:
Nei dettagli, nei bit e nei byte.

Steve Schmidt:
Esattamente, rispecchiano il modo in cui loro concepiscono e analizzano la situazione. Ma dobbiamo ricordare che, in questo contesto, il consiglio di amministrazione è il nostro “cliente”. Quindi dobbiamo adattare la comunicazione alle loro esigenze, non alle nostre, e trovare modi per spiegare i concetti in un contesto che sia rilevante e comprensibile per quel consiglio specifico.

Quindi, il primo punto fondamentale è adottare un meccanismo di reporting coerente, anziché modificarlo di volta in volta, perché la coerenza rende più semplice l'interpretazione e più difficile distorcerne il significato. Il secondo è individuare le due o tre metriche davvero essenziali da comunicare ogni volta,

evitando di sovraccaricare il consiglio con troppi dati. Per esempio, noi riferiamo sistematicamente sulla gestione delle vulnerabilità, che consideriamo il controllo di sicurezza operativo più critico. Infine, è utile distinguere chiaramente tra le metriche chiave e altri elementi di interesse aggiuntivi, che possono aiutare il consiglio a valutare dove investire: questa separazione intenzionale tra le componenti del reporting rende il messaggio più efficace e strategico.

Clarke Rodgers:
E se investiamo qui, riduciamo il rischio di qua?

Steve Schmidt:
Esatto, si tratta di bilanciare la riduzione dei rischi attuali con quella dei rischi futuri, e quest'ultima è spesso la sfida più complessa per chi lavora nella sicurezza, perché non abbiamo prove concrete a cui fare riferimento. Spesso ci viene chiesto: È davvero urgente?

Dobbiamo intervenire subito? È necessario un intervento così in grande? Possiamo farlo in modo più contenuto? Sono domande legittime, e proprio per questo è fondamentale costruire nel tempo una base solida di consapevolezza all'interno del consiglio. Dobbiamo essere in grado di portare esempi reali di minacce che, pur non essendo identiche, sono simili a quelle che potremmo affrontare, spiegando perché pensiamo che ci riguarderanno in un determinato arco di tempo. Solo così possiamo giustificare l'esigenza di intervenire subito o pianificare azioni nei prossimi due o tre anni.

Clarke Rodgers:
Ok ho capito. In Amazon siamo noti per la nostra capacità di innovare, lavoro a ritroso, ascoltare i nostri clienti, ecc. Come leader della sicurezza, hai spesso molte opzioni a disposizione (specialmente se i CISO riportano direttamente a te) e una delle decisioni più importanti riguarda la scelta tra acquistare soluzioni già pronte o sviluppare strumenti internamente. Questa decisione, spesso, dipende dalla capacità di scalare:

molte soluzioni commerciali non sono progettate per operare alla scala di Amazon, e questo può rendere necessario sviluppare soluzioni su misura. Nell'ultimo anno abbiamo condiviso pubblicamente esempi di strumenti sviluppati internamente, come Madpot, Mithra e Sonaris. Come CSO, come giustifichi l'investimento in termini di risorse ingegneristiche per sviluppare strumenti di questo tipo e altri che non sono stati resi pubblici? Come stabilisci che vale davvero la pena investire su una soluzione proprietaria? E soprattutto, come dimostri il valore concreto che l'azienda potrà ottenere da questo investimento?

Steve Schmidt:
Certo. Partiamo con una distinzione fondamentale tra strumenti acquistati e strumenti sviluppati internamente. Questo è un punto di partenza cruciale. In generale, tendiamo ad acquistare soluzioni quando si tratta di componenti standardizzati. Per esempio, per il rilevamento e la risposta sugli endpoint (EDR), ci affidiamo a soluzioni commerciali già esistenti. Perché? Perché i laptop Mac, Windows o Linux che utilizziamo sono gli stessi utilizzati da molte altre aziende.

Anche se il software può variare, non è un elemento che realmente ci differenzia. Al contrario, investiamo nello sviluppo interno quando possiamo costruire qualcosa che nessun altro è in grado di offrire. Prendiamo Madpot, ad esempio: è un sistema progettato per operare su una scala che solo realtà come la nostra possono raggiungere. È qui che decidiamo di concentrare i nostri sforzi e risorse.

Il processo con cui arriviamo a questi investimenti segue un approccio simile a quello di altri ambiti: si parte con un prototipo, si testa, si osserva cosa funziona e cosa no. È normale non azzeccare tutto al primo tentativo, quindi si corregge, si adatta, si evolve, ecc. Madpot, ad esempio, è oggi un progetto di grande successo, ma non è nato da un giorno all'altro. Ha richiesto anni di sviluppo, ed è iniziato con l'iniziativa di un singolo ingegnere curioso, che ha avuto un'intuizione e ha deciso di esplorare un'idea promettente.

Da lì si è evoluto in un motore che ci consente di raccogliere, elaborare e sfruttare in tempo reale dati di intelligence sulle minacce, da cui traggono beneficio anche i nostri clienti attraverso gli strumenti di sicurezza che utilizziamo. E questo è un punto essenziale, perché per esempio molti clienti dicono di voler un “feed grezzo” di intelligence sulle minacce,

e magari poi cambiano idea. Ma in realtà ciò di cui hanno davvero bisogno sono dati pertinenti, filtrati e contestualizzati per il loro ambiente specifico. Il resto è solo rumore e con la mole di informazioni in circolazione oggi, è inefficiente e poco utile gestirlo senza infrastrutture adatte.

Per questo motivo, molti dei nostri clienti hanno scoperto di apprezzare moltissimo l'idea di utilizzare l'intelligence sulle minacce come parte integrante di un servizio gestito. Questo consente loro di non dover perdere tempo a setacciare enormi quantità di dati o a gestire informazioni prive di contesto, perché quel contesto non è stato applicato trasversalmente su più clienti.

Infine, il contesto è fondamentale. Ed è proprio in questo contesto che la nostra visibilità centralizzata rappresenta un vero punto di forza, rendendo evidente il valore strategico dello sviluppo interno rispetto all'adozione di strumenti standardizzati e facilmente reperibili sul mercato.

Clarke Rodgers:
Esatto, e credo che la proposta interna, per usare questo termine, sia chiara: questo tipo di investimento ci consente di proteggere meglio AWS e allo stesso tempo di offrire un valore aggiunto concreto ai nostri clienti. In altre parole, è una doppia vittoria.

Steve Schmidt:
E, come da tradizione nel linguaggio di Amazon, partiamo sempre dai clienti: questo approccio consente a tutti loro di migliorare la propria sicurezza. Al contempo, porta beneficio anche alla nostra organizzazione, perché la maggior parte delle nostre business unit sono anch'esse clienti di AWS. In definitiva, è una strategia vantaggiosa su tutti i fronti.

Clarke Rodgers:
È grandioso Cambiamo argomento solo un attimo. L'anno scorso è stato l'anno dell'IA generativa. La maggior parte dei clienti con cui interagisco si concentra sulla sicurezza dell'IA generativa come strumento impiegato nel business. Potrebbe trattarsi di uno strumento di terze parti, o forse stanno utilizzando Amazon Bedrock, a prescindere. Ciò che facciamo è garantire la sicurezza di questi strumenti. Quali sono le tue osservazioni, o cosa stiamo facendo in Amazon per usare effettivamente l'IA generativa come uno strumento di sicurezza o come parte del nostro arsenale di strumenti di sicurezza?

Steve Schmidt:
L'utilizzo più efficace dell'IA generativa che abbiamo osservato finora è stato nel processo di sicurezza delle applicazioni. Come è prassi in AWS, ogni singola funzionalità, app o altro che sviluppiamo, passa attraverso una revisione di sicurezza prima del lancio. Molte altre aziende non si sono potute permettere questo approccio in passato a causa degli elevati costi, considerando che implicherebbe letteralmente migliaia di ingegneri della sicurezza concentrati su questo aspetto.

La maggior parte delle aziende non possiede nemmeno il totale degli ingegneri della sicurezza che noi dedicamo solo all'AppSec in Amazon. Di conseguenza, l'IA generativa ci offre un enorme vantaggio in questo campo. Anche se è ancora in una fase di sviluppo scientifico, mostra grandi potenzialità.

Riteniamo che col tempo vedremo una riduzione dei carichi di lavoro umani nell'ambito della sicurezza delle applicazioni del 60-70%, il che significa che possiamo operare più rapidamente, riducendo i costi e aumentando l'ottimizzazione in ambienti come AWS. Noi di AWS abbiamo sempre posto grande enfasi sulla valutazione completa e sull'esplorazione di aree che non sono mai state considerate prima, permettendoci così di ottenere una copertura più estesa. Quindi si tratta di una sorta di vittoria su due fronti.

Clarke Rodgers:
Quindi, le ore di lavoro risparmiate grazie all'IA generativa verranno reinvestite per affrontare altre sfide nel campo della sicurezza informatica.

Steve Schmidt:
In realtà ci concentreremo su un'analisi più approfondita dei servizi che offriamo e su una revisione più estesa delle applicazioni. Un altro aspetto è che l'IA generativa non sarà una soluzione completa per molte di queste sfide. Di sicuro eliminerà molti compiti ripetitivi e meno critici, permettendo ai nostri ingegneri di focalizzarsi su problemi più complessi e stimolanti, che richiedono un intervento umano.

Molte persone pensano che l'IA generativa possa risolvere tutti i problemi, ma non è così. Ritengo che chiunque sostenga il contrario nel campo della sicurezza probabilmente non ha una piena comprensione della situazione. È sempre necessaria la supervisione umana in questo ambito, almeno per ora. E, cosa ancora più importante, deve esserci un giudizio umano per verificare se l'IA generativa ha preso la decisione corretta.

Clarke Rodgers:
Parlando o continuando a trattare di persone, in Amazon o AWS, cosa rende ottima un'assunzione nel settore sicurezza?

Steve Schmidt:
Direi che la prima qualità che cerchiamo nei nostri addetti alla sicurezza non è tanto un particolare acume tecnico, come molti potrebbero pensare, ma piuttosto la curiosità.

Clarke Rodgers:
Spiegaci più in dettaglio.

Steve Schmidt:
Significa cercare qualcuno che non si limiti a guardare un problema dicendo semplicemente, “oh, ok, eccolo”, ma che si chieda, “perché è successo?” “Perché è finito proprio là?” “Perché non l'abbiamo rilevato prima?” “È possibile che sia stato un errore iniziale dello sviluppatore?” Cerchiamo persone che non si fermino alla superficie, ma che continuino a scavare più a fondo.

E questo riflette il nostro processo di correzione degli errori, noto come COE, che si basa sul principio dei “Cinque Perché”. Questo approccio punta a risalire alla radice del problema invece di limitarsi a trattare un sintomo superficiale.

Clarke Rodgers:
Quindi la curiosità la fa da padrone.

Steve Schmidt:
La curiosità la fa da padrone. Esatto.

Clarke Rodgers:
Se ti dessi una sfera di cristallo...

Steve Schmidt:
Beh direi...

Clarke Rodgers:
Mi dispiace. È la domanda. Se proviamo a guardare al futuro, quali saranno le principali priorità per i CSO e i CISO nel corso del prossimo anno o in futuro?

Steve Schmidt:
Bene, ritengo che la maggior parte dei professionisti dovrà concentrarsi sull'IA generativa poiché le aziende stanno adottando questi servizi a ritmi esponenziali. Prima di tutto, dovrà individuare dove l'IA generativa viene impiegata all'interno delle loro organizzazioni. Amazon, ad esempio, beneficia di una visibilità centralizzata che le permette di monitorare l'uso dell'IA generativa tra i suoi sviluppatori,

un vantaggio non comune in altre aziende, le quali dovranno invece scoprirlo. In secondo luogo, sarà fondamentale capire come si sta implementando la RAG e se l'autenticazione e l'autorizzazione sono gestite adeguatamente attraverso tutto il processo con l'IA generativa. Questo non è un compito semplice e il settore del software non ha ancora del tutto chiarito come affrontarlo.

È fondamentale poter utilizzare l'IA generativa in modo tale da garantire che i dati vengano rilasciati solo in risposta a prompt specifici per cui l'utente dall'altra parte ha l'autorizzazione in quel dato momento, dal luogo in cui si trova e con il dispositivo che sta utilizzando. Molte aziende non hanno ancora considerato a fondo questa problematica.

Ad esempio, nei nostri sistemi interni in Amazon, quando usi il tuo laptop, controlliamo molti aspetti relativi al tuo uso dei nostri sistemi interni. Verifichiamo se il tuo laptop è aggiornato con le patch necessarie,

e se ricevi avvisi che ti metteranno in quarantena se non le applichi. Consideriamo anche in quale parte del mondo ti trovi, quale sia il tuo ruolo e altre variabili che la maggior parte delle persone non si rende conto che monitoriamo, come il giorno della settimana o l'ora in cui accedi, o se stai accedendo da una posizione insolita. Questi sono tutti fattori rilevanti.

Clarke Rodgers:
È normale per Clarke?

Steve Schmidt:
Esatto. È normale per Clarke ed è normale per una persona che ricopre la posizione di Clarke? Molto semplicemente, questi controlli non esistono nella maggior parte dei posti. Ecco perché l'implementazione dei guardrail è così importante. Non mi interessa quale sistema usi, devi solo avere dei guardrail implementati correttamente.

E questi guardrail devono evolversi costantemente man mano che il panorama delle minacce si sviluppa intorno a te, man mano che la scienza dell'IA generativa cambia e man mano che la tua azienda determina sempre di più quale sia l'uso accettabile dei dati che sta inserendo in un sistema di IA generativa.

Clarke Rodgers:
È fantastico ed è un ottimo consiglio. Vedremo se le tue previsioni si avvereranno. Steve, tu sei il responsabile della sicurezza di tutta Amazon. È un lavoro a dir poco stressante. Come fate non solo a mantenere il benessere mentale e rilassarvi, ma anche a restare aggiornati sul mondo, a concentrarvi e poi a staccare la spina, e in che modo vi assicurate che anche i vostri leader facciano lo stesso e si prendano cura di sé stessi?

Steve Schmidt:
Il primo punto su cui insisto con tutti i nostri leader, sia i nuovi che i veterani dell'azienda, si riferisce a cosa stanno facendo per distaccarsi dal lavoro. I nostri impieghi sono incredibilmente stressanti, e siamo costantemente connessi.

Per questo è fondamentale avere un sistema formale per delegare le responsabilità. Ad esempio, potrei dire a Clark: “Nei prossimi sei giorni sei in vacanza. Non voglio sentirti, non voglio vederti online.” Il nostro team vanta una dedizione totale, tanto che a volte ho dovuto minacciare di disattivare i computer per far rispettare le ferie: sei in vacanza, smettila di inviarmi e-mail.

Apprezzo questa dedizione, ma c'è il rischio reale di esaurimento. Ricordiamoci che il nostro lavoro è una maratona, non uno sprint. È cruciale stabilire meccanismi che sostengano questa visione. Il secondo punto è coltivare un hobby o un'attività che dia valore personale. Ci sono persone che suonano, che scalano montagne o che pescano. Io, ad esempio, sono un vigile del fuoco e un paramedico volontario.

Clarke Rodgers:
Wow.

Steve Schmidt:
È qualcosa che per me è l'esatto opposto del mio lavoro quotidiano. Quindi siamo esseri umani. Ci piace interagire con le persone. Sto parlando con te qui faccia a faccia. Sì, non in video. Grandioso. Ma il mio lavoro quotidiano è composto da due aspetti molto diversi.

Uno è che la maggior parte dell'effetto del mio lavoro quotidiano si manifesta solo tra tre, cinque o dieci anni; quindi, non offre gratificazioni immediate. In secondo luogo, il mio lavoro coinvolge principalmente computer e solo indirettamente persone, che spesso non posso neanche vedere o toccare. D'altro canto, nella mia vita fuori dal lavoro, come vigile del fuoco e paramedico, se svolgo bene il mio compito, posso concretamente aiutare qualcuno che posso fisicamente raggiungere e toccare, migliorandone direttamente la giornata. Questo mi fornisce quel feedback immediato che è così gratificante per la nostra natura umana e, inoltre, è un'attività molto più fisica rispetto al puro lavoro logico al computer.

Clarke Rodgers:
Un diverso tipo di stress, ma probabilmente più salutare, forse.

Steve Schmidt:
Lo è. L'ironia sta nel fatto che diversi studi indicano che i vigili del fuoco con anni di esperienza mostrano una diminuzione del battito cardiaco all'attivarsi delle sirene, perché per loro è un momento di gioia, il loro “posto felice”. E, diciamocelo, chi non troverebbe eccitante sfrecciare per strada con le sirene e le luci accese su un camion dei pompieri? È decisamente emozionante.

Clarke Rodgers:
Grandioso. In qualità di CSO, affronti quotidianamente decisioni critiche. Come paramedico o vigile del fuoco, ti trovi in una posizione più operativa, dove altri prendono decisioni complesse mentre tu ti concentri sulle attività immediate della tua giornata?

Steve Schmidt:
Ironia della sorte, sono effettivamente l'assistente capo dell'organizzazione, il che si concentra più sulle capacità di leadership che sull'acume tecnico che predomina negli altri contesti. Ma lo faccio da 38 anni.

Clarke Rodgers:
Fantastico.

Steve Schmidt:
Quindi ho accumulato un po' di esperienza.

Clarke Rodgers:
Ottimo! Steve, grazie mille per esserti unito a me oggi.

Steve Schmidt:
Grazie! È stato un piacere essere qui.

Ascolta ora

Ascolta ora

Ascolta ora