Adaptar práticas de segurança ao novo cenário de ameaças

Sara Duffer:
Então, vou seguir em frente e mergulhar direto. Pois bem, vocês dois são responsáveis pela segurança na Amazon e na AWS, respectivamente. Vocês podem me falar um pouco sobre os mecanismos que usam para se manterem alinhados?

Steve Schmidt:
Claro. Acho que temos que começar dizendo que nem todas as empresas são iguais, isso é óbvio para as pessoas aqui. Mas quando você administra uma grande organização como a Amazon, às vezes é surpreendente a diferença nos departamentos comerciais dentro da mesma empresa. Temos alguns departamentos que são extremamente intolerantes a riscos, outros que estão muito mais dispostos a ultrapassar limites em determinadas circunstâncias. Isso depende muito do negócio em que eles estão, dos dados que estão administrando, etc. E descobrimos que é necessário ter um conjunto comum de métricas em toda a empresa que nos forneça uma análise básica de como as pessoas estão se saindo do ponto de vista da segurança. Assim, relatórios específicos de negócios ou personalizados para cada departamento, que abordam os riscos que eles têm e o que eles preferem fazer em termos de gerenciamento dos dados que seus clientes lhes confiaram, das informações que eles têm, etc.

Porém, relatórios comuns são a coisa mais importante para nos dar uma visão uniforme. É assim que, quando conversamos com alguém, desde o CEO da empresa, Andy Jassy, até o funcionário de menor escalão, podemos falar um idioma comum. Para nós, é muito rápido entender como é o desempenho de uma parte da empresa em comparação a outra e, o mais importante, apontar lacunas em lugares em que não estamos examinando problemas da maneira como deveríamos porque aprendemos um conjunto específico de oportunidades para melhorar uma parte da empresa em relação a outra. E, convenhamos, todos os nossos líderes na empresa são competitivos. Então, quando você usa relatórios comuns que os comparam com seus colegas, isso motiva os comportamentos nos quais estamos realmente interessados. Isso faz com que as pessoas foquem na direção certa.

Chris Betz:
Olha, por mais que eu odeie me chamar de intolerante, somos intolerantes a riscos na AWS. Dessa forma, somos uma das organizações que realmente dedica muito tempo às métricas específicas dos nossos negócios. Mesmo internamente na AWS, eu acho que essas mesmas abordagens tendem a funcionar para nós, que a natureza competitiva e o aproveitamento dela em todas os departamentos são incrivelmente poderosos. E estar muito, muito bem alinhado com a empresa, entender que a AWS não tem a mesma tolerância que outros lugares poderiam ter em relação a riscos. Para entender o que nos preocupa e garantir que essas métricas de negócios permaneçam alinhadas com a empresa e apareçam como parte de nossos processos de análise comercial.

Sara Duffer:
Steve, você mencionou uma conversa com o CEO, Andy Jassy. Como você se comunica as atualizações de segurança para o CEO e a diretoria?

Steve Schmidt:
Bom, a comunicação com os CEOs, porque do meu ponto de vista temos vários CEOs na Amazon, é também adaptada à forma como sua organização atua. Por exemplo, Chris realiza uma reunião semanal com o CEO da AWS porque a cadência de segurança lá tende a ser super rápida. Nesse caso, temos que reagir às ameaças muito rapidamente, precisamos entender as mudanças no ambiente que temos ao nosso redor. Precisamos ser capazes de adaptar nossas respostas de forma adequada, de acordo com a forma como o mundo está funcionando ao nosso redor. Também trabalhamos com Doug Herrington, que é o CEO do departamento de lojas. Esse trabalho é mais focado em seu negócio, no qual o intervalo de rotação tende a ser um pouco diferente, como um mês de avaliação ou algo do tipo.

Andy Jassy prefere participar de uma reunião específica de análise de segurança trimestralmente. Então, a cada trimestre, vamos até ele com um conjunto de métricas e relatórios comuns que são consistentes ao longo do tempo, mas também com uma seção do nosso relatório, que está sempre mudando. Chamamos isso de eventos atuais e é algo em que nos concentramos em qual é a mudança no ambiente em que operamos, o que é mais significativo para nós. Como os russos estão pensando atualmente em relação aos chineses? Como eles estão perseguindo as empresas? Quais novos métodos as pessoas estão usando para causar problemas e como estamos respondendo a isso ou nos preparando para isso?

Você também mencionou a diretoria. Nossa diretoria é relativamente única. Muitas diretorias optam por colocar a supervisão de sua organização de segurança no comitê de auditoria ou em um comitê de risco, normalmente em uma instituição financeira. A Amazon optou por ter um subcomitê específico apenas para segurança e, portanto, temos três membros da nossa diretoria que se concentram exclusivamente na segurança. Nos reunimos com eles regularmente. Eles recebem um relatório trimestral sobre o que está acontecendo com a Amazon e analisam todos os nossos departamentos. Os membros da diretoria nos dizem que gostariam de se concentrar em alguns departamentos por vez, então eles escolhem. É como girar o botão e dizer qual departamento será escolhido na próxima vez.

E também temos a seção sobre os eventos atuais na parte inferior, porque são também os interesses comuns sobre onde estamos agora, para onde estamos indo, o que está mudando ao nosso redor e como precisamos evoluir. E acho que é um ciclo muito curto entre algo que tenha mudado no mundo e a diretoria sendo informada sobre como estamos gerenciando essa mudança. É muito importante para nossa capacidade contínua de garantir que tenhamos a proteção certa para os clientes.

Sara Duffer:
Chris, alguma coisa a acrescentar?

Chris Betz:
Três reflexões adicionais. Primeiro, uma das coisas que eu aprecio nas conversas com Andy e com os CEOs, mas também na AWS, é que não temos essas conversas isoladamente. Não é apenas um grupo bem pequeno com o CEO. É com o CEO e sua equipe de liderança porque nada acontece isoladamente. Portanto, garantir que a empresa acompanhe a conversa, que estejamos profundamente engajados com departamento que antecedeu e como parte dessas conversas é extremamente importante. A segunda coisa é que, na AWS, temos uma diretoria, além da diretoria da Amazon. E isso nos permite, como mecanismo, mergulhar trimestralmente de forma profunda na segurança e em tópicos relacionados a riscos, para que possamos continuar tendo essas conversas e garantir que estamos implementando a governança adequada.

E, a terceira ideia, depois de ver várias diretorias diferentes, cada uma com a qual eu interagi é incrivelmente diferente. Acho que muito disso é impulsionado pelas pessoas, pelas personalidades, e parte disso é impulsionado pela natureza do negócio. Então, eu acho que uma das coisas importantes que eu descobri como CISO, ou líder em tecnologia no engajamento da diretoria, é entender como a diretoria opera em outros domínios. Como a empresa pensa e fala sobre si mesma? Qual é a linguagem que você deve usar? Qual é o contexto, porque falar sobre segurança isoladamente não ajuda. É a segurança no contexto da empresa que é tão importante. E, em terceiro lugar, garantir que você entenda o público. Pessoas diferentes em diretorias têm habilidades muito diferentes. Você precisa saber falar com todas elas.

Portanto, quer sejamos líderes de tecnologia envolvidos em uma conversa sobre segurança ou CISOs, é necessário entendermos esse público, a natureza da diretoria, como a empresa pensa sobre si mesma e como a segurança e a tecnologia se encaixam nisso, para que tenhamos sucesso em nossa conversa.

Steve Schmidt:
Eu quero ampliar algo que Chris acabou de dizer. O maior erro que vemos em novos líderes quando conversam com a gerência ou com uma liderança sênior da empresa, como uma diretoria, é o foco excessivo em questões técnicas, principalmente na área de segurança. Isso realmente extermina a sua capacidade de transmitir sua opinião ao cliente, que é esse membro da diretoria. Precisamos falar, como disse Chris, no contexto da empresa. Não importa se essa é uma vulnerabilidade crítica com uma pontuação CVSS de 9,86 ou se ninguém se importa. Essa é uma oportunidade para um adversário obter acesso a esse tipo de informação que pertence aos nossos clientes, que tem esse resultado e tem uma probabilidade razoável de ocorrer nos próximos 60 dias. Que um membro da diretoria possa administrar esses problemas em vez de dizer: “Isso é uma coisa assustadora”. Acho que a contextualização é extremamente importante.

Sara Duffer:
Ambos conversam com os clientes regularmente. Quais são os desafios ou problemas de segurança atuais que você está ouvindo dos clientes? E o que a AWS está fazendo para ajudar nossos clientes nesse espaço?

Steve Schmidt:
O número um tem que ser a IA. Muitas pessoas, é claro, estão realmente interessadas em como usar isso com segurança? Como posso usar a IA com responsabilidade? Como posso obter informações e ter certeza de que estou obtendo o acesso correto a esses dados quando preciso, impedindo o acesso quando não preciso? Quando conversamos com os clientes, a primeira coisa que pergunto é: “Quantas aplicações você tem em sua empresa que usam IA generativa? Você sabe a reposta agora? Você consegue medir isso regularmente?” A maioria das pessoas diz: “Ah, sim, contamos no mês passado ou no último trimestre ou em algum momento. E adivinhe... Seus desenvolvedores estão progredindo muito mais rápido do que isso. Tivemos que criar processos internamente, o que nos permite visualizar todas as vezes que um desenvolvedor aciona um mecanismo de IA generativa de seu laptop corporativo ou de um dos ativos de produção que possuímos na empresa.

E isso nos permite ter a visibilidade que precisamos fornecer às nossas equipes de segurança de aplicações para ajudá-las a entender o que está acontecendo com esse serviço específico. Quando fizemos essa contagem pela primeira vez, e começamos a fazer isso há pouco tempo, relatamos a Andy e dissemos: “Ah, sim, existem mais de mil aplicações de IA generativa que estão atualmente em operação ou desenvolvimento em toda a empresa.” E recebemos um olhar chocado do tipo: “O quê? Você está de brincadeira...” E tivemos que responder: não! A propósito, esse movimento está crescendo em um ritmo extremamente rápido, o que é ótimo porque significa que nossos desenvolvedores estão realmente avançando com confiança, mas também significa que nossas equipes precisam se esforçar e acompanhar essas pessoas para garantir que estejam fazendo tudo de forma razoável, apropriada, etc. Mas tudo começou com aquela visibilidade e com o desenvolvimento do mecanismos de visibilidade lá embaixo.

Chris Betz:
Acho que a outra conversa que sempre acabo tendo muito é: quais recursos já existem na AWS, pois as pessoas estão pensando em como eles são seguros, mas também econômicos? As pessoas não querem investir tempo e energia em espaços onde as soluções já existem ou onde as coisas já acontecem. Um dos lugares onde acabamos falando muito sobre isso são as arquiteturas e os controles, garantindo que as pessoas sejam bem arquitetadas, analisando como implementar controles simples e fáceis em grande escala. Então, acho que, para nós, se transformou em uma das conversas frequentes que temos internamente sobre como garantir que estamos produzindo segurança simples em grande escala para esses clientes. Outro lugar onde isso acaba, e sobre o qual temos falado muito recentemente, é a inteligência de ameaças. Empresas diferentes e provedores de nuvem diferentes lidam com a inteligência de ameaças de forma diferente.

Nossa abordagem visa tornar essa inteligência de ameaças uma parte fluida de como os sistemas operam. Então, na verdade, passamos muito tempo falando sobre isso porque não precisávamos falar sobre isso no passado, mas é importante que os clientes saibam o que esperar. Que temos uma série de provedores de inteligência de ameaças, honeypots e sensores que coletam dados todos os dias, mais de 100 milhões de interações por dia apenas em nossos honeypots. E que essas tecnologias, esses dados, são combinados com nossos outros dados de sensores de sistemas como o Sonaris e nos permitem agir. Essa ação acontece sem que os clientes precisem estar cientes.

Somos capazes de nos proteger contra diferentes ataques quando identificamos um endereço malicioso. E esse tráfego nem chega aos seus sistemas. Por exemplo, no último ano, negamos mais de 24 bilhões de tentativas de enumerar buckets do S3, mais de 2,6 trilhões de tentativas de descobrir serviços vulneráveis no EC2. E quando não podemos fornecer isso automaticamente para você, onde não temos esse grau de fidelidade, podemos aplicar isso diretamente em ferramentas como o GuardDuty, etc. Então, as conversas que estou tendo com o pessoal de segurança são como eles aproveitam a tecnologia que já está incorporada, tanto as partes perfeitas quanto as partes em que estamos fornecendo informações extras para as equipes de segurança operarem?

Steve Schmidt:
Acho que existem alguns dados muito interessantes para ampliar uma observação que você fez sobre inteligência de ameaças. E a inteligência de ameaças é algo incrivelmente frágil. O que a maioria das pessoas não percebe é que, pelo que vemos na Internet, cerca de 23% do espaço de IP da Internet é transferido em cerca de três minutos. Ou seja, se seu feed de inteligência de ameaças tiver uma semana, um mês ou qualquer outra coisa, você estará muito, muito desatualizado. E algumas outras coisas que falam sobre a rapidez da ação, assim que você obtém informações sobre a inteligência de ameaças. Quando expomos um honeypot à internet, leva menos de 90 segundos para que um adversário o descubra e menos de três minutos para que esse adversário tente explorá-lo. Essas são situações em que, se seu desenvolvedor disser: “ah, vou abrir esse bucket na Internet, tudo ficará bem. Ninguém sabe que isso está lá.” Três minutos! Esse é o tempo que você tem antes que tenha um problema real. Então, saiba o que está acontecendo por meio de um feed de inteligência robusto, seja capaz de agir rapidamente. E, o mais importante, não exija que um humano envolvido atue nesse problema. Certifique-se de que a automação faça isso.

Chris Betz:
Muito bem colocado!

Sara Duffer:
Vou mudar para um tópico que me preocupa muito, que é um mundo de regulamentações em constante evolução, certificações de padrões, etc. Ser capaz de acompanhar essa conformidade e a evolução da conformidade é um desafio. Chris, você pode falar um pouco sobre como a AWS pensa sobre conformidade em grande escala?

Chris Betz:
Nós conversamos muito sobre isso.

Sara Duffer:
Sim, é verdade.

Chris Betz:
Para começar, uma das coisas que eu acho incrivelmente poderosas em termos de como você garante a conformidade em grande escala é começar com uma base segura. Pensar na segurança em termos de segurança desde o design, certificando-se de que ela seja incorporada ao processo de desenvolvimento, é um ótimo ponto de partida antes mesmo de pensar em regulamentação ou conformidade. Quando fazemos as coisas da melhor maneira, a conformidade é um efeito colateral intencional desse trabalho de segurança. E, para ser honesto, a maioria dos órgãos reguladores também quer isso.

O objetivo da conformidade é garantir que você se mantenha em segurança. Por isso, é muito importante criar um programa de segurança focado na segurança com o objetivo de demonstrar intencionalmente e comprovar a conformidade. E o terceiro ponto é que não basta ter sempre a conformidade incorporada desde o início nos seus processos de segurança; é preciso ser capaz de demonstrá-la e comprová-la. Portanto, ser capaz de reunir esses dados, torná-los visíveis e facilitar a compreensão de outras pessoas é extremamente importante. E há engenharia envolvida nisso também. E eu diria que esse é um investimento que vale a pena, mas você passa mais tempo nesse universo do que eu, então também estou curioso sobre a sua perspectiva.

Sara Duffer:
Bem, eu ouço muito os clientes no momento, principalmente sobre programas de IA responsável e como operacionalizá-los rapidamente. Então, na verdade, é uma conversa, devido a essa evolução muito rápida, sobre ser capaz de sair do conceito de conformidade, que é muito pontual, muito binário, muito focado em se estamos aderindo às regras e regulamentos, como a Lei de IA da União Europeia, por exemplo. E poder transformar esse programa rapidamente em uma mentalidade de garantia e capacidade de fornecer um nível de confiança na qualidade, confiabilidade e eficácia da conformidade que pudemos ilustrar. E como podemos fazer isso?

Com bastante frequência, isso geralmente é utilizado por meio de padrões técnicos. Então, padrões como o ISO 42001, que permite que as organizações possam ilustrar aos clientes finais que estão operando, implantando e desenvolvendo, usando práticas de IA com responsabilidade e, em seguida, agrupando tudo isso a partir de uma perspectiva de governança. Então, como garantir que a organização esteja fazendo o que você realmente espera e como você informa aos líderes seniores e à diretoria o que você está fazendo em relação à IA responsável. E o mais importante, fazer tudo isso de uma forma que você atenda os desenvolvedores onde eles estiverem, e não comprometa a inovação. Assim, você é capaz de atingir esse alto padrão e, ao mesmo tempo, fazer isso rapidamente.

Sara Duffer:
Então, mudando um pouco de assunto, Steve, eu vou até você. Muitas vezes, quando falamos de segurança, entramos muito nas novas tecnologias e nos universos em evolução que temos à nossa frente. Mas, em última análise, um agente malicioso é malicioso e é um ser humano. Gostaria de ouvir um pouco mais sobre o que você pensa sobre a dimensão humana associada à segurança cibernética.

Steve Schmidt:
Certamente. Então, as notícias urgentes, a segurança de computadores, a segurança da informação, a segurança cibernética, não importa o nome que você dê, não são problemas técnicos. São problemas relacionados a pessoas. Uma das coisas que aprendi há muito tempo, quando estava no FBI focado no trabalho de contra-espionagem, foi que, embora perseguir os espiões seja o trabalho, e é interessante, eles estão lá por uma razão. Eles são motivados por alguma coisa. Tradicionalmente, no mundo da espionagem, era dinheiro, ideologia, coerção ou ego. O mesmo acontece no mundo da cibersegurança. As pessoas estão interessadas em dinheiro. Esse é o seu agente de ransomware. Ideologia. É o agente tradicional de um estado-nação que está reunindo informações ou preparando um campo de batalha. A influência, que é nova nesse espaço, está provocando a população a pensar de uma maneira específica, mudando suas opiniões, fazendo com que coisas aconteçam no mundo. Ou ego. Esse é o script kitty, que realmente quer ser o maior e mais malvado hacker do mercado e causar um ataque de DDoS como parte disso.

E por que nos preocupamos em saber qual a motivação das pessoas ou por que estão fazendo isso? Porque isso nos ajuda a entender os tipos de ferramentas, os tipos de recursos que eles terão, aonde provavelmente irão nos buscar e sua tolerância a riscos ou exposição. Por exemplo, isso é importante se eles forem pegos e o FBI bater na porta, ou isso é algo que realmente não importa porque eles estão atualmente sentados em um porão na Bielorrússia ou algo parecido? Esse é o tipo de espectro com o qual temos que trabalhar para entender o que temos que fazer como defensores e como construímos sistemas que ajudem a impedir que essas pessoas tenham acesso.

O interessante é que a mesma mentalidade precisa ser aplicada aos nossos próprios funcionários. Nossos próprios funcionários são universalmente bem-intencionados. Eles querem fazer a coisa certa, querem ajudar, etc. Mas sejamos sinceros, eles também são humanos. Então, às vezes, eles têm problemas financeiros. Às vezes, eles não gostam da direção que algo está tomando. Às vezes, eles simplesmente têm um dia ruim. E como resultado, nós, como defensores, precisamos estar preparados para entender o que eles estão fazendo, por que estão fazendo isso e como vamos garantir que eles não estejam fazendo algo que não deveriam.

Mas, o mais importante realmente é o componente da cibersegurança e das pessoas dentro de uma empresa; é a cultura da empresa. A cultura de segurança de uma empresa é o que determina seu sucesso. Todos nós vimos o que acontece nas notícias públicas quando você tem uma cultura de segurança deficiente. Você acaba com atores do estado-nação invadindo uma organização repetidamente e explorando-a em seu próprio benefício. Por quê? Porque as pessoas na empresa não foram medidas nem motivadas pela coisa certa.

Essas pessoas não estavam motivadas para proteger seus dados ou suas informações. Elas estavam focadas em outras coisas. Portanto, desenvolver uma cultura que afirma que a coisa mais importante para você como pessoa, desenvolvedor em minha empresa, é: em primeiro lugar, estar fisicamente seguro e, em segundo lugar, proteger os dados de seus clientes. Porque isso permite que eles tomem boas decisões sempre que estiverem pensando em algo. “Devo ir para a esquerda? Devo ir para a direita? Devo fazer isso? Devo fazer aquilo? Devo pedir ajuda porque eu realmente não sei? Espere que vou procurar um especialista nessa área.”

E acho que o incentivo para garantir que você tenha a cultura certa é que ela reduz os custos no futuro, porque você não precisa limpar a bagunça que alguém fez porque estava agindo rapidamente para atingir uma meta de lucro, uma meta de margem ou uma meta de entrega, em vez de garantir a segurança certa para seus clientes finais nas empresas.

Sara Duffer:
E isso também facilita minha vida no mundo da garantia de segurança. Esse é um bom resultado. Chris, por falar em cultura, falamos muito na AWS sobre a segurança ser uma prioridade máxima. Fale um pouco sobre como realmente fazemos isso. Como você desenvolve essa cultura?

Chris Betz:
Uma das razões pelas quais eu acho que a cultura é tão importante é que ela não só resulta em um longo investimento, mas acho que toda empresa que eu conheço trabalha para treinar, fornecer ferramentas e fornecer recursos relacionados à segurança cibernética. E um dos grandes diferenciais é a cultura. Porque a segurança está mudando constantemente. Pela sua conversa anterior, não sei dizer quantas vezes acabamos falando sobre IA recentemente, certo? A IA está mudando constantemente. E essa capacidade de adaptação. Aquela capacidade de levantar a mão e dizer: “Sabe de uma coisa? Estou vendo um conflito aqui, ou estou vendo uma maneira melhor de lidar com a segurança”. Vamos pensar sobre isso. Podemos fazer isso melhor? Não apenas seguir cegamente o processo e as ferramentas mas, na verdade, fazer a pergunta.

Ou: “Acho que falta alguma coisa nesses processos e ferramentas. Eu vejo esse risco, eu vejo esse problema. Como faço para abordar isso?” Essas coisas são extremamente importantes. E, como você disse, a cultura compensa com o tempo de uma forma incrível. O desenvolvimento dessa cultura demanda tempo e esforço conscientes. Isso começa do topo. Tudo começa com o alinhamento da cultura à forma como a organização funciona. Parte disso é dizer a nós mesmos quem somos. É tanto interna quanto externamente, ouvir Matt dizer: “Tudo começa com a segurança.”

Além disso, é sobre como as pessoas investem o seu tempo. Steve e eu conversamos sobre as reuniões semanais que acontecem, lideradas por nosso CEO. A garantia de que isso faça parte do funcionamento da organização é extremamente importante. Depois de incorporar a segurança à cultura da organização, é importante enfatizar que a segurança é tarefa de todos. Cada pessoa recebe uma função específica. Essa é a oportunidade de levantar a mão e dizer: “Temos que fazer algo diferente. Achamos que estamos perdendo alguma coisa. Estou confuso. Não tenho certeza”. Sobre segurança, todos precisam entender que a segurança é seu trabalho e é nosso trabalho como líderes de segurança tornar essa tarefa o mais fácil possível. Porque se as pessoas dedicarem seu tempo à segurança em cada etapa do processo, isso aumentará o atrito na organização. Tornar a segurança responsabilidade de todos anda de mãos dadas com o esforço da equipe de segurança em tornar esse processo fácil e natural para todos. Isso significa que a segurança precisa ser distribuída por toda a empresa. Precisamos garantir que o treinamento, a competência e o conhecimento sejam bem projetados para garantir que isso aconteça em toda a organização.

E, finalmente, precisamos estar dispostos a investir. Precisamos estar dispostos a investir em inovações que melhorem a segurança. Precisamos estar dispostos a investir em inovações que facilitem a segurança. Porque se você não fizer isso, acabará se prendendo ao passado e nunca conseguirá avançar como organização. Uma das maneiras de fazer parte disso é, por exemplo, criar um programa de guardiões da segurança, em que contamos com nosso pessoal e oferecemos treinamentos em questões de segurança profundas para as equipes de serviços e de engenharia, a fim de garantir que as pessoas considerem a segurança desde o início dos processos de desenvolvimento e também continuamente, e que tenham o conhecimento adequado. E isso ajuda a tornar as coisas extremamente escaláveis. Então, há uma coisa que todos vocês podem fazer com suas equipes: analisar profundamente se podemos criar um programa de guardiões de segurança e como podemos criar uma cultura de segurança em nossa empresa?

Sara Duffer:
OK. Quais são as três perguntas que os líderes de empresas aqui presentes podem trazer de volta para seus programas de segurança e conformidade?

Chris Betz:
Vou te dar uma que eu sempre adoro perguntar. Para todos nós, líderes em tecnologia, não sei quantos de vocês têm o que chamamos de departamento de ferramentas de desenvolvimento ou de ferramentas para desenvolvedores. Como líder de segurança, esses departamentos são os meus favoritos em toda a empresa. Se você não tiver um, essas são as equipes que criam ferramentas que facilitam a vida de seus desenvolvedores. Há uma enorme vantagem nisso. Se há um lugar em que eu adoro ver as empresas colocarem seus melhores talentos, é no departamento de ferramentas de desenvolvimento, porque em um departamento você pode tornar todos os seus processos de desenvolvimento muito melhores. Do ponto de vista da segurança, é aí que está a vantagem. Porque você pode usar seu conhecimento de segurança e suas competências de segurança e incorporá-los a essas ferramentas, obter grande escalabilidade e tornar a segurança um movimento natural.

Portanto, a pergunta que eu retomaria se eu fosse vocês seria perguntar aos líderes de segurança e aos líderes de ferramentas de desenvolvimento qual é o relacionamento deles, qual o sucesso do seu trabalho juntos e até que ponto todos os resultados de segurança que você está procurando estão incorporados ao recurso de ferramentas do desenvolvedor.

Sara Duffer:
Steve?

Steve Schmidt:
Então, isso é para reiterar algo que eu disse antes: pergunte às suas equipes: “Onde estamos criando aplicações de inteligência artificial generativa hoje?” Em seguida, pergunte às suas equipes: “Qual é o mecanismo que temos para sabermos amanhã onde estamos desenvolvendo aplicações de IA generativa e qual é a latência entre a criação de uma nova aplicação e essa aplicação chegar até nós?” E você descobrirá que, em muitos casos, a resposta é: “Mexa-se, mexa-se, mexa-se. Rápido, encontre alguns dados. Aqui está a resposta”. Impressionante! Já estamos no dia seguinte. OK.
        
Portanto, você precisa de um método, um mecanismo, uma ferramenta que permita fazer isso regularmente, manter-se atualizado, garantir que sejam operadores e administradores responsáveis dessa infraestrutura e que possam ser proprietários responsáveis dos dados coletados em nome de seus clientes.

A segunda parte é saber quais barreiras de proteção você tem, e existe um mecanismo para atualizar essas barreiras à medida que o mundo muda em relação à IA generativa? No tempo em que estivemos sentados aqui no palco, o mundo da IA generativa avançou incrivelmente. Há sempre algo novo acontecendo. Há uma nova maneira de causar um problema com o modelo básico que alguma pessoa inteligente inventou, e precisamos ser capazes de nos defender contra isso. Então, qual é o método de iteração rápida para poder influenciar as barreiras de proteção que você tem em suas aplicações de IA generativa?

Sara Duffer:
Acho que você trapaceou. Acho que foram dois. Eu também vou trapacear um pouco. E eu diria que é muito importante perguntar às equipes sobre como elas estão realmente garantindo a conformidade. E o que quero dizer com isso é que, no momento, não se trata apenas de saber se estamos em conformidade com os vários padrões, leis, etc., mas também de entender como você pode obter garantias contínuas ao longo do tempo para que você possa realmente determinar qual é o custo dos desenvolvedores.

Então, eu diria que há duas questões principais: qual é o seu nível de conformidade com suas práticas ou leis internas, etc., e qual é o custo para os desenvolvedores, o que é realmente importante porque você precisa inovar rapidamente, além de garantir que está monitorando os custos para seus desenvolvedores e que permanece em conformidade.

Para finalizar, a pergunta final que tenho é: ao falar com os clientes regularmente, qual é o melhor conselho que você tem para que os eles aprovem imediatamente sua postura de segurança?

Chris Betz:
Para sua empresa interna e para seus clientes, encontre maneiras de implementar chaves de acesso. Abandonar as senhas é simplesmente uma virada de jogo para seu pessoal e para seus clientes. Aproveite essa tecnologia. É um grande avanço. Implemente isso hoje.

Steve Schmidt:
Além de ser muito mais seguro, é também uma experiência melhor para o usuário. E é muito suave. Portanto, concentre seu pessoal de tecnologia nisso e descubra por que eles não estão fazendo isso agora.

O número dois é muito menos interessante do que as chaves de acesso e seus componentes de segurança. Gerenciamento de vulnerabilidades. Aplique seus patches. É a melhor defesa que você tem contra as pessoas lá fora.

Chris Betz:
Ou exija que sua equipe faça isso para você.

Steve Schmidt:
Exatamente.

Chris Betz:
Use Lambdas e outras coisas.

Steve Schmidt:
Sim.

Sara Duffer:
Bem, muito obrigado por se juntar a nós hoje e obrigado novamente pelo tempo.

Ouça agora

Ouça agora

Ouça agora