Dimensionamento correto da segurança em todas as empresas da Amazon

Clarke Rodgers:
Steve, muito obrigado pela sua participação.

Steve Schmidt:
É um prazer estar aqui. Obrigado.

Clarke Rodgers:
Já faz um tempo desde a última vez que conversamos. Na verdade, eu estava fazendo as contas ontem à noite. Foi há cerca de quatro anos.

Steve Schmidt:
Uau.

Clarke Rodgers:
Quando pensamos no que estava acontecendo há quatro anos, a pandemia estava acontecendo. Você e eu estávamos em uma entrevista remota, e você estava em uma função diferente, certo? Você era diretor de segurança da informação na AWS. Pouco tempo depois dessa entrevista, Andy assumiu o cargo de CEO da Amazon e uma das primeiras coisas que ele fez foi contratar você como diretor de segurança. Você pode me contar um pouco sobre por que ele fez isso?

Steve Schmidt:
Claro. Uma das coisas que Andy realmente valoriza é entender como protegemos as informações de nossos clientes. Isso surgiu da necessidade na AWS, onde é fundamental para a própria empresa. Você não pode ter uma empresa como a AWS, a menos que você faça a segurança corretamente.

Quando ele assumiu sua nova posição, queria adotar essa mesma mentalidade e aplicá-la a todos os nossos clientes na incrível diversidade de negócios que a Amazon opera atualmente. Ele também queria saber se há alguém cujo trabalho diário é ficar de olho nesse tipo de coisa. Então, ele pediu que eu assumisse o controle.

Clarke Rodgers:
Como diretor de segurança, falta uma palavra: informação, certo? Então, você é um CSO. Tivemos algumas entrevistas com clientes em que eles também, entre aspas, “deixaram de lado o I”. Você pode me explicar um pouco sobre por que é importante ser o diretor de segurança, e não destacar informações especificamente?

Steve Schmidt:
Claro. Quando você analisa a proteção das informações, que é a verdadeira moeda da nossa esfera, é algo que certamente tem o componente lógico com o qual as pessoas estão acostumadas com o trabalho de CISO. Mas, cada vez mais, nossos adversários estão usando seres humanos para buscar informações que são mais difíceis de obter de uma perspectiva lógica.

Houve esse tipo de oscilação do pêndulo na indústria, e há muito tempo, se você pensar bem, as pessoas tinham espiões físicos que entravam e pegavam cópias de documentos ou coisas desse tipo. Quando entramos na Internet com sistemas de computador, surgiu uma nova oportunidade. Vamos roubar essas coisas remotamente... À medida que as empresas melhoraram a proteção dessas informações, seja no local ou em outro lugar, as pessoas voltam a ser espiãs.

Portanto, precisamos integrar a proteção de nossos ativos físicos e de nossos ativos de informação, nossos ativos lógicos, para ter uma visão completa do que estamos fazendo com os dados de nossos clientes e como os estamos protegendo, além de nossos dados comerciais. Porque, muitas vezes, nossos adversários nacionais estão focados não apenas em obter acesso aos dados que nossos clientes têm, mas também às informações sobre para onde levaremos nossos negócios no futuro?

Como estamos desenvolvendo o próximo conjunto de produtos ou serviços interessantes, seja um satélite ou um veículo robótico. Eles têm um valor incrível para países em todo o mundo, mas também para as empresas que apoiam. Como profissionais de segurança, temos que analisar esse quadro completo de quem são nossos adversários e como vamos nos proteger deles.

Clarke Rodgers:
Claro. Você assumiu a função de CSO e agora tem a segurança física subordinada a você. Imagino que o idioma que os profissionais de segurança da informação falam e o que os profissionais de segurança física falam podem estar em dois planos diferentes. Como você integra esses dois âmbitos para que ambos falem o mesmo idioma e possam trabalhar juntos de forma eficaz?

Steve Schmidt:
Claro. Isso tem menos a ver com a escolha de palavras que eles têm porque têm suas próprias linguagens. Você está absolutamente certo. O mais importante é entender qual é o objetivo final deles, como você medirá seu progresso em direção a essa meta e identificar, o mais importante, os pontos de transferência ou as lacunas entre o mundo físico e o mundo lógico.

Pense dessa forma: se estou no mundo físico, eu tento evitar que as pessoas entrem em prédios onde evitarei que nossos adversários sejam contratados pela empresa. Mas se um adversário entrar em um prédio, isso é interessante para o lado da segurança da informação? Se eles estiverem no saguão é uma coisa. Mas se entrarem em um armário com vários switches de rede já é algo totalmente diferente. Então, temos que unir esses dois para ter uma imagem adequada do que está acontecendo.

Clarke Rodgers:
Você teve que desenvolver alguma ferramenta para superar esses desafios?

Steve Schmidt:
Sim, fizemos uma combinação de ferramentas e processos. O uso de ferramentas é uma evolução constante. Estamos sempre melhorando para encontrar maneiras de coletar, analisar e usar os dados. O que se torna mais interessante e mais difícil, na verdade, é descobrir como transferir isso para diferentes partes da empresa e como garantir que eles tenham acesso ao que for necessário para fazerem seu trabalho, mas não os sobrecarregue com dados de forma que não consigam encontrar as partes importantes entre as enormes pilhas de informações que coletamos.

E é aí que entra o componente do processo. Geralmente, trata-se da integração de informações confidenciais, e de como garantir que elas sejam transferidas de uma parte da organização para outra. E isso realmente exige pessoas altamente especializadas. São necessários humanos que saibam que isso pode parecer inócuo por si só, mas quando combinado com esse outro elemento, pode ser muito interessante. E, infelizmente, ainda não existe um sistema que possa fazer isso. Talvez com algum treinamento de IA no futuro, consigamos chegar lá, mas isso simplesmente não existe no momento.

Clarke Rodgers:
Isso é muito interessante. Você iniciou o programa de segurança na AWS, então conhece a AWS de trás para frente, como protegê-la, as ameaças que estão contra ela, o apetite pelo risco etc. Ao assumir a função de CSO, agora você aprenderá sobre a amazon.com ou o que chamamos de lojas internas, Whole Foods, Prime Video, MGM, Twitch, todas essas organizações diferentes.

Primeiro, como você se familiarizou com o perfil de segurança de cada uma dessas empresas e o tipo de apetite pelo risco e, em seguida, como você integrou tudo isso? Então, aquele termo comum — o 'painel único de visualização' — em que você se sentia confortável de que o perfil de risco da Whole Foods era apropriado, e que o da AWS também era adequado para a AWS... como foi que você chegou a essa conclusão?

Steve Schmidt:
Bem, em primeiro lugar, uma das coisas que eu adoro no meu trabalho é a diversidade dos negócios. As pessoas costumam dizer que você está na sua posição há 16 anos. Isso é muito incomum para alguém do setor de segurança. Por que isso está acontecendo? É por causa da diversidade de trabalho que essa empresa tem. É uma oportunidade de continuar aprendendo, ou seja, eu adoro.

Eu não sou tão jovem. As pessoas dizem: por quanto tempo você vai continuar trabalhando? Você vai se aposentar, seja o que for? E eu respondo que estou me divertindo. Não, eu não quero. Isso é realmente muito divertido. E é porque você vai desde a criação do maior provedor de nuvem do mundo à colocação de satélites no espaço e à operação de supermercados. A diversidade é um desafio incrível do ponto de vista comercial, mas também é uma oportunidade interessante de aproveitar a escala da empresa para tornar as coisas mais baratas de operar.

Quando você analisa as organizações de segurança operacional, elas não são baratas. Mas quando você pode escalá-las em uma empresa tão grande quanto a da Amazon, isso significa que o custo unitário pode ser reduzido.

Clarke Rodgers:
Claro.

Steve Schmidt:
Portanto, todas as empresas se beneficiam da escala das outras empresas. Portanto, encontrar maneiras de um supermercado aproveitar a mesma segurança que uma empresa de satélites, o que pode acontecer em muitas áreas, por exemplo, no gerenciamento de vulnerabilidades, independentemente de você estar conectado a um sistema de computador, não é fundamentalmente diferente quando você está construindo satélites e operando uma mercearia.

E isso nos permite fazer coisas em um nível que uma empresa independente realmente não poderia pagar e elevar o padrão para todos. Isso faz parte do meu trabalho aqui: garantir que tenhamos um padrão em toda a empresa, seja para gerenciamento de vulnerabilidades, resposta a incidentes ou qualquer outro componente de uma organização de segurança típica.

E descobrir quais são os componentes personalizados que precisam ser implementados para empresas específicas devido às suas situações únicas. Dessa forma, não tentamos aplicar o modelo de uma única solução para todos, porque isso só aumentaria os custos. Se você observar um supermercado, por exemplo, a perda de uma unidade tem um valor relativamente baixo, enquanto a perda de um satélite é o oposto.

Clarke Rodgers:
Claro.

Steve Schmidt:
Portanto, precisamos adaptar a situação de segurança para componentes individuais.

Clarke Rodgers:
Como você segura... Eu vou recuar. Você tem diretores de segurança da informação que executam os programas de segurança de cada uma dessas outras empresas. Como você os responsabiliza pela administração de seus negócios de segurança?

Steve Schmidt:
Portanto, uma das coisas em que a Amazon se concentra muito em toda a empresa é a ideia de um único proprietário de um único segmento. Alguém cujo trabalho é apenas se concentrar em um componente de alguma coisa. Em segurança, é por isso que temos um CISO para cada empresa individual por causa de duas coisas.

Uma é que eu quero alguém que todos os dias se concentre nisso, seja Amy Herzog, que trabalha nos dispositivos e no espaço de Kuiper, ou seja Chris Betz, que cuida da AWS. Mas, ao mesmo tempo, uso medidas comuns em todas essas coisas. Por exemplo, analiso uma análise comercial mensal do gerenciamento de vulnerabilidades, que abrange toda a empresa e usa os mesmos números, as mesmas metodologias, os mesmos métodos de apresentação etc.

Assim, temos uma visão comum que é consistente em cada um desses negócios. Isso nos permite fazer duas coisas: Uma é garantir que estamos cumprindo o padrão exigido e a outra é garantir que estamos aplicando a visibilidade que queremos em todos os cantos da empresa. Porque, muitas vezes, quando as pessoas têm problemas, elas pensam: isso não é uma coisa importante, é uma parte pequena etc.

É aí que entramos pelo cano e levamos um susto. Com essa supervisão estratégica de alto nível, asseguramos que cada área da empresa esteja alinhada e cumpra seu papel.

Clarke Rodgers:
Há sistemas centralizados sob o guarda-chuva da segurança da Amazon, ou AMSEC, dos quais todos podem se beneficiar.

Steve Schmidt:
Portanto, há muitas coisas que são basicamente as mesmas em todos os nossos negócios. A maneira como você coleta certos tipos de dados, analisa esses dados ou faz relatórios sobre eles. Em vez de obrigar toda empresa a fazer a mesma coisa repetidamente, decidimos movê-las para um único local. Isso nos permite economizar em coisas como tempo de desenvolvedor.

Se você pensar em operar em grande escala, voltaremos ao gerenciamento de vulnerabilidades, mecanismo de coleta para o qual você precisa ter engenheiros de plantão. Se você já dirigiu uma organização de plantão e imaginou ter uma pessoa de plantão, precisa ter aproximadamente sete pessoas para fazer isso de forma eficaz para acomodar licenças, férias e tudo mais.

Clarke Rodgers:
Queremos que as pessoas tirem férias.

Steve Schmidt:
Isso mesmo. Espalhando isso em várias empresas diferentes de um só lugar, isso significa que fazemos isso de forma mais eficaz, porque obtemos melhores ferramentas de forma centralizada e com um custo menor.

Clarke Rodgers:
Quais práticas você desenvolveu ou adotou para relatar o status da segurança de todas essas empresas diferentes à diretoria da Amazon?

Steve Schmidt:
Em primeiro lugar, a diretoria da Amazon é muito interessante. Existem poucas diretorias que têm a perspicácia técnica em toda a população que a diretoria da Amazon tem, porém, a Amazon também escolheu, há vários anos, criar um subcomitê de segurança. Ao contrário de muitos lugares em que a segurança pode ser subordinada ao comitê de auditoria, por exemplo, há um grupo dedicado de pessoas cujo trabalho é apenas analisar a segurança na diretoria da Amazon.

Isso é ótimo e também significa que há uma análise muito detalhada sobre nós no processo. Tivemos que criar um mecanismo de denúncia que evolui com o tempo por dois motivos. Um é porque nos tornamos melhores em fazer nosso trabalho de relatórios. E o segundo é que, com o tempo, a diretoria se torna ainda mais bem informada. Eles fazem perguntas mais pontuais e querem saber detalhes mais específicos sobre nichos no negócio. Geralmente, achamos importante informar a eles sobre componentes específicos do negócio toda vez que conversamos. Estamos cumprindo nossa meta de segurança em certos lugares?

Além disso, eles têm pontos nos quais estão realmente interessados, como: conte-nos sobre essa parte específica da empresa ou sobre esse nicho no qual estamos entrando, achamos que tem muitos riscos, então nos dê um resumo sobre isso etc. Isso nos permite ter um componente consistente, um componente variável baseado nos interesses deles.

Optamos por incluir, ao final, uma seção chamada 'atualidades', na qual analisamos notícias recentes, extraímos os aprendizados mais relevantes e apresentamos esses insights à diretoria como uma parte informativa da reunião. Isso foi algo que aconteceu no setor, é por isso que não fomos afetados.

Esse foi o investimento que permitiu que não fôssemos afetados. Acho que isso tem um valor tremendo para a diretoria. Em primeiro lugar, eles entendem que estamos bem, mas, em segundo lugar, isso ajuda a embasar as decisões de investimento para o futuro. Quando conseguimos demonstrar que investimos em autenticação multifator há oito ou dez anos e que isso nos protegeu de um agente de ameaça que comprometeu outra grande empresa, o retorno que recebemos é positivo: “excelente”. Quais são os outros investimentos que devemos planejar agora que nos ajudarão em 10 anos a continuar evitando problemas?

Clarke Rodgers:
Muitos de nossos clientes CISO se concentram muito na diretoria. Alguns deles não recebem tantas ligações de FaceTime quanto outros. E você já disse que nossa diretoria é única devido ao seu amplo conhecimento de segurança. Que recomendações você daria aos colegas CISO ou CSO que são subordinados a suas diretorias para realmente ajudar a esclarecer seus pontos de vista, falar a língua da diretoria etc.?

Steve Schmidt:
A primeira coisa que ouvi dos membros da diretoria sobre por que eles gostam da maneira como atuamos é que tomamos muito cuidado para evitar jargões. Muitas pessoas nas funções de CISO são técnicas e querem relatar coisas de uma forma que...

Clarke Rodgers:
Os bits e os bytes.

Steve Schmidt:
Exatamente, isso reflete a maneira como eles pensam sobre isso. Mas temos que lembrar que a diretoria é a cliente aqui. Quando estamos apresentando a ela, temos que falar a língua dela e encontrar maneiras de explicar as coisas em um contexto que faça sentido para essa diretoria específica.

Portanto, a prioridade é encontrar um mecanismo de denúncia consistente, em vez de variar todas as vezes, porque isso torna mais difícil para alguém entendê-lo. O segundo ponto é descobrir quais são realmente as duas ou três métricas superimportantes que você quer transmitir sempre.

Não exagere nas métricas. Por exemplo, sempre relatamos sobre o gerenciamento de vulnerabilidades. É o controle de segurança fundamental mais importante que operamos e acho que qualquer pessoa opera e, no final das contas, descobrir as coisas que são complementos interessantes, que ajudam você a desenvolver o que devemos investir. Portanto, faça essa separação intencional entre os componentes do processo de geração de relatórios.

Clarke Rodgers:
E se investirmos aqui, reduzimos o risco ali?

Steve Schmidt:
Sim, é uma combinação de redução de risco atual e redução prospectiva, e a perspectiva futura é, na verdade, provavelmente a parte mais difícil de nosso trabalho como profissionais de segurança, porque não temos uma prova de existência para usar. Muitas pessoas olham para isso e dizem: isso é realmente necessário?

Temos que fazer isso agora? Temos que fazer isso nessa escala? Podemos reduzir o tamanho? Esses são os argumentos que todos nós precisamos ter. Precisamos ser capazes de construir esse tipo de base de conhecimento na diretoria ao longo do tempo e dizer: esses são os exemplos da exploração real de coisas semelhantes e achamos que isso se aplicará a nós nesse período. Portanto, temos que agir agora, em dois anos ou em três anos ou o que for.

Clarke Rodgers:
Entendi. Na Amazon, somos conhecidos por nossa inovação, trabalhamos de trás para frente, ouvindo nossos clientes etc. Como líder de segurança, você tem muitas opções, e isso pode se resumir ao fato de seus CISOs serem subordinados a você. Você tem muitas opções sobre quais ferramentas você compra versus quais ferramentas precisa criar. Muitas vezes, isso se resume à escala.

Portanto, o software comercial pronto para uso pode ou não ser escalado para a escala da Amazon, e você mesmo precisa criar algo. No último ano, conversamos publicamente sobre ferramentas como Madpot, Mithra e Sonaris. Como CSO, como você faz a proposta para conseguir fundos para realmente investir os recursos de engenharia em ferramentas como essa, e imagino que muitas outras ferramentas sobre as quais ainda não falamos. Como você faz a proposta para dizer que isso vale o investimento e que aqui está o valor que vamos receber dele?

Steve Schmidt:
Claro. Vamos primeiro diferenciar entre uma ferramenta comprada e uma que desenvolvemos. Acho que é um ponto de partida importante. Compraremos ferramentas quando elas forem um item básico. Por exemplo, a resposta de detecção de endpoints: nós a compramos em vez de criá-la nós mesmos. Por quê? Porque os laptops Mac, Windows e Linux que usamos são os mesmos que muitas outras pessoas também usam.

Talvez tenhamos um software um pouco diferente neles, mas isso realmente não diferencia nossos negócios. Por outro lado, somos os únicos que podem desenvolver um sistema de grande escala, como o Madpot, por exemplo. Onde podemos construir algo que ninguém mais pode é onde tendemos a investir.

A maneira como fazemos esse processo de investimento é como fazemos muitas outras coisas. Você faz um protótipo, experimenta, vê o que funciona. É garantido que não vai acertar na primeira vez. Você tem que reprojetar algo, alterar um pouco etc. O Madpot tem sido incrivelmente bem-sucedido, mas não apareceu da noite para o dia. É um investimento de muitos anos que começou com um único engenheiro que disse: eu realmente gosto dessa ideia. Vamos ver se conseguimos alguma coisa interessante.

Então ele é transformado nesse mecanismo que nos permite adquirir dados de inteligência de ameaças muito oportunos, que podemos extrair, processar e inserir nas ferramentas de segurança às quais todos os nossos clientes têm acesso. Acho que essa é a parte mais importante. Por exemplo, muitos de nossos clientes dizem: eu quero um feed bruto de inteligência de ameaças.

Bem, na verdade, você não quer isso. O que você realmente quer é o que é relevante para você no contexto em que você está operando agora. O resto é apenas ruído, e o volume agora é tão grande que é inútil tentar digerir tudo, a menos que você tenha um negócio como o nosso.

Por isso, muitos de nossos clientes descobriram que gostam muito de usar coisas como inteligência de ameaças e consumi-la como parte de um serviço gerenciado. Isso permite que eles não precisem perder tempo analisando pilhas muito grandes de dados ou contextos perdidos porque eles não foram aplicados em vários clientes.

E contexto é muito importante. É aí que a visibilidade centralizada — que só nós temos — realmente traz vantagem, voltando àquela questão inicial sobre a diferenciação entre soluções customizadas e soluções padronizadas.

Clarke Rodgers:
Acho que o argumento interno, por falta de uma palavra melhor, é: isso nos ajuda a proteger a AWS/Amazon e agrega benefícios aos nossos clientes. Quero dizer, é uma vitória.

Steve Schmidt:
Na linguagem típica da Amazon, começaremos com os clientes primeiro e diremos: isso ajuda todos os nossos clientes a se protegerem melhor. Ao mesmo tempo, isso nos ajuda em nossos negócios porque, de qualquer forma, a maioria de nossos negócios são clientes da Amazon AWS. Portanto, é benéfico em todos os aspectos.

Clarke Rodgers:
Isso é ótimo. Vamos mudar o assunto um pouco. O ano passado foi o ano da IA generativa. A maioria dos nossos clientes com quem falo tem se concentrado em proteger a IA generativa como uma ferramenta que as “empresas” (entre aspas) estão usando. Então, talvez seja uma ferramenta de terceiros, talvez eles estejam usando o Amazon Bedrock, ainda não sabemos. Mas vamos proteger a ferramenta. O que você está vendo ou talvez o que estamos fazendo na Amazon, realmente usando IA generativa como ferramenta de segurança ou como parte de sua cadeia de ferramentas de segurança?

Steve Schmidt:
O uso mais eficaz da IA generativa que vimos até agora foi no próprio processo de segurança de aplicações. Como você está familiarizado com a AWS, cada aplicação de atributos etc. lançada passa por uma análise de segurança antes de ser lançada. Outras empresas não tiveram esse luxo no passado porque é incrivelmente caro fazer isso, principalmente quando você considera que isso significa literalmente milhares de engenheiros de segurança focados nisso.

A maioria das empresas não tem o número de engenheiros de segurança que temos trabalhando no AppSec na Amazon. Portanto, a IA generativa nos dá uma enorme vantagem nesse espaço. Eu diria que ainda está no estágio científico, mas é muito promissor.

Acreditamos que, com o tempo, provavelmente veremos uma redução nas workloads humanas na área de segurança de aplicativos na faixa de 60 a 70%, o que significa que podemos fazer tudo mais rapidamente com custos mais baixos e melhor consistência em lugares como a AWS, que sempre investiu na avaliação de tudo e em áreas onde há mais oportunidades que nunca de analisar coisas que nunca foram avaliadas antes. Isso significa que podemos obter maior cobertura. Então, é uma espécie de vitória dupla.

Clarke Rodgers:
Então, você aproveitará as horas humanas que economizará com a IA generativa e as colocará em outros desafios de segurança cibernética.

Steve Schmidt:
Ah, na verdade, será analisar com mais profundidade os serviços que temos e examinar mais aplicações em todos os setores. A outra parte é que a IA generativa não será a solução completa para muitas coisas. Ela alcançará os objetivos mais fáceis e permitirá que nossos engenheiros se concentrem nos problemas realmente interessantes que só um humano pode solucionar.

As pessoas pensam que a IA generativa pode resolver todos os problemas, mas ainda não é assim. E acho que qualquer pessoa que acredita que isso pode acontecer na área de segurança provavelmente não está realmente entendendo o que está acontecendo. Sempre é preciso haver supervisão humana nesse espaço, pelo menos agora. E, o mais importante, é preciso que haja um julgamento humano sobre se a IA generativa tomou a decisão correta ou não.

Clarke Rodgers:
Falar ou ficar com humanos. O que é uma ótima contratação no setor segurança na Amazon ou na AWS?

Steve Schmidt:
Muita gente acha que é uma habilidade técnica específica, mas o que realmente buscamos nas contratações para o setor de segurança é curiosidade.

Clarke Rodgers:
Quero saber mais.

Steve Schmidt:
O que isso significa é alguém que não olha para um problema e diz: ah não tem jeito. Eles dizem: bem, por que isso aconteceu? Como chegamos até aqui? Por que não detectamos isso antes? Por que era algo que até um desenvolvedor poderia ter errado logo no começo? Esse é o tipo de pessoa que continua pesquisando e em quem estamos muito, muito interessados.

E você está realmente familiarizado com o processo de correção de erros que usamos, o COE, e que tem como resultado o quê? Cinco porquês. E a mesma coisa que ir até a raiz do problema, em vez de apenas abordar um sintoma dele.

Clarke Rodgers:
Então, a curiosidade é fundamental.

Steve Schmidt:
A curiosidade é fundamental. Pois é.

Clarke Rodgers:
Se eu lhe der uma bola de cristal...

Steve Schmidt:
Opa!

Clarke Rodgers:
Desculpe. Essa é a pergunta. Se você olhar para uma bola de cristal, qual será o foco de OSCs e CISOs no próximo ano?

Steve Schmidt:
Acho que a maioria das pessoas terá que se concentrar na IA generativa, porque suas empresas estão consumindo esses serviços em um ritmo incrível e precisarão fazer duas coisas. A primeira é simplesmente entender onde eles estão usando a IA generativa. Acho que estamos com sorte na Amazon e temos uma visibilidade centralizada que nos permite ver onde todos os nossos desenvolvedores estão usando a IA generativa.

A maioria das empresas não é assim e elas precisam entender isso. A segunda é que você precisará entender a IA generativa, como está fazendo o RAG e se está aplicando a autorização e a autenticação de forma adequada durante todo esse processo. Isso não é simples. É algo em que o mundo do software ainda nem entende totalmente.

É algo extremamente importante para conseguir usar a IA generativa de uma forma que apresente apenas os dados resultantes do prompt que a pessoa do outro lado tem autorização para acessar naquele momento, no local onde ela estiver e no equipamento que estiver utilizando. A maioria das pessoas ainda nem pensou nesse problema.

Mas, na realidade, se você observar nossos sistemas internos na Amazon agora, quando você está em seu laptop, medimos muitas coisas sobre você quando está usando nossos sistemas internos. Literalmente, seu laptop está no estado em que esperamos? Você aplicou o patch etc.?

Todos nós recebemos pequenos avisos que dizem que você ficará em quarentena se não fizer o patch. E onde você está no mundo? Qual é o seu trabalho? E coisas que a maioria das pessoas nem percebe que estamos monitorando, como: que dia da semana é hoje? Essa é a hora que você normalmente acessa ou é incomum? Esse tipo de coisa.

Clarke Rodgers:
Isso é normal para Clarke?

Steve Schmidt:
Isso mesmo. Isso é normal para Clarke e é normal para uma pessoa no trabalho de Clarke? Esses controles simplesmente não existem na maioria dos lugares. É por isso que a implementação de barreiras de proteção é tão importante. Não me importa qual sistema você usa para fazer isso, você só precisa ter barreiras de proteção instaladas.

Essas barreiras de proteção precisam evoluir constantemente à medida que o cenário de ameaças evolui ao seu redor, à medida que a ciência da IA generativa muda e sua empresa determina cada vez mais qual é o uso aceitável dos dados que estão inserindo em um sistema de IA generativa.

Clarke Rodgers:
Esse é um conselho fantástico! Veremos se suas previsões se concretizarão. Steve, você é o diretor de segurança de toda a Amazon. É um trabalho no mínimo muito estressante. O que você faz para não apenas manter a sanidade e desabafar, mas também se manter atualizado com o mundo, entrar em sintonia, desligar, e então como garantir que seus líderes estejam fazendo a mesma coisa e cuidando de si mesmos?

Steve Schmidt:
A primeira coisa em que me concentro com todos os nossos líderes, sejam eles novos ou permanentes na empresa, é: como você está fazendo algo para se separar do trabalho? Nosso trabalho é extremamente estressante. Há sempre algo que nunca está desconectado.

Ter uma maneira de transferir formalmente a responsabilidade entre as pessoas e dizer, tudo bem, Clark, nos próximos seis dias você estará de férias. Queremos que você desligue. Eu não quero você online. E nosso pessoal é incrivelmente dedicado. Houve momentos em que, literalmente, tive que ameaçar desligar os computadores das pessoas porque elas deveriam estar de férias. Parem de me mandar e-mails.

Agradeço sua dedicação, mas o problema é que você vai se esgotar. E essas são maratonas. Não são sprints. Então, criar esse mecanismo é muito importante. A segunda é ter algo que permita que você faça alguma coisa que seja importante para você individualmente. Alguns são músicos, outros escalam montanhas, outros vão pescar. Pessoalmente, sou bombeiro e paramédico voluntário.

Clarke Rodgers:
Uau!

Steve Schmidt:
É algo que, para mim, é exatamente o oposto do meu trabalho diário. Somos seres humanos. Gostamos de interagir com as pessoas. Estou falando com você aqui cara a cara. Sim, não em vídeo. Impressionante! Mas meu trabalho diário tem duas coisas muito diferentes disso.

Uma é que a maior parte do que eu faço no meu trabalho diário só tem efeito daqui a três, cinco, 10 anos. Portanto, não é uma recompensa imediata. A segunda é que são todos computadores com algumas pessoas inseridas e aquelas pessoas que eu nem consigo ver ou tocar. Então, com a parte divertida da minha vida, o lado de bombeiro e paramédico, se eu fizer bem meu trabalho individual, posso ajudar uma pessoa que eu possa contatar para que tenha um dia melhor. Isso me dá o feedback imediato que eu desejo como ser humano. Segundo, é muito físico, ao contrário de algo puramente lógico.

Clarke Rodgers:
Um tipo diferente de estresse, mas provavelmente mais saudável, talvez.

Steve Schmidt:
De fato. A ironia é que existem vários estudos de que pessoas que estão no corpo de bombeiros há muito tempo na verdade têm sua pulsação baixa quando as sirenes estão ligadas porque é onde se sentem felizes e estão se divertindo. Convenhamos, quem não gosta de andar por uma estrada com sirenes e luzes em um caminhão? É muito divertido.

Clarke Rodgers:
Impressionante! Imagino e adoraria ouvir mais, como CSO, você se depara com decisões muito críticas todos os dias. Você é um paramédico ou bombeiro com classificação mais alta ou inferior, o que significa que outra pessoa está tomando decisões difíceis e você está apenas se concentrando no seu dia?

Steve Schmidt:
Ironicamente, na verdade, sou chefe assistente na organização, mas isso tem mais a ver com habilidades de liderança do que com perspicácia técnica em outros espaços. Mas eu faço isso há 38 anos.

Clarke Rodgers:
Ah, isso é fantástico!

Steve Schmidt:
Eu acumulei alguma experiência.

Clarke Rodgers:
Ótimo. Steve, muito obrigado pela sua participação.

Steve Schmidt:
Agradeço. Foi ótimo estar aqui.

Ouça agora

Ouça agora

Ouça agora