การปรับขนาดความปลอดภัยที่เหมาะสมทั้งทั่งธุรกิจของ Amazon

Clarke Rodgers:
Steve ขอบคุณมากนะที่มาร่วมงานกันในวันนี้

Steve Schmidt:
ยินดีมากที่ได้มาที่นี่ครับ ขอบคุณครับ

Clarke Rodgers:
ผ่านไปสักพักแล้วตั้งแต่ครั้งสุดท้ายที่เราคุยกัน จริงๆ แล้ว ผมก็กำลังคำนวณอยู่เมื่อคืนนี้ มันเป็นเวลาประมาณสี่ปีที่ผ่านมา

Steve Schmidt:
ว้าว

Clarke Rodgers:
เมื่อเราคิดถึงสิ่งที่เกิดขึ้นเมื่อสี่ปีที่แล้ว การระบาดใหญ่กำลังเกิดขึ้นตอนนั้น คุณและผมสัมภาษณ์กันจากระยะไกลและคุณอยู่ในบทบาทที่แตกต่างกันกับตอนนี้ ใช่มั้ย คุณเป็นประธานเจ้าหน้าที่รักษาความปลอดภัยสารสนเทศที่ AWS ไม่นานหลังจากการสัมภาษณ์นั้น Andy ก้าวไปดำรงตำแหน่ง CEO ของ Amazon และหนึ่งในสิ่งแรกที่เขาทำคือนำคุณมาเป็นประธานเจ้าหน้าที่รักษาความปลอดภัย คุณช่วยบอกผมหน่อยได้ไหมว่าทำไมเขาถึงทำอย่างนั้น

Steve Schmidt:
ได้เลย สิ่งหนึ่งที่ Andy ให้ความสำคัญจริง ๆ คือการเข้าใจว่าเราปกป้องข้อมูลของลูกค้าอย่างไร และนั่นก็เติบโตมาจากความจำเป็นใน AWS ที่เป็นรากฐานของธุรกิจนั่นเอง คุณไม่สามารถทำธุรกิจแบบ AWS ได้ หากคุณไม่ได้ดูแลการรักษาความปลอดภัยให้ดี

และเมื่อเขาก้าวเข้าสู่ตำแหน่งใหม่ เขาต้องการนำกรอบความคิดแบบเดียวกันนี้มาใช้กับลูกค้าของเราในธุรกิจที่หลากหลายเหลือเชื่อที่ Amazon ดำเนินการอยู่ในปัจจุบัน และเขายังอยากรู้ด้วยว่ามีคนที่ทำงานประจำวันทุกวันกำลังจับตาดูสิ่งเหล่านั้น ดังนั้นเขาจึงขอให้ผมก้าวขึ้นมาและรับมือเรื่องนั้น

Clarke Rodgers:
ในฐานะประธานเจ้าหน้าที่รักษาความปลอดภัย มีคำหนึ่งที่หายไปจากที่นั่นคือข้อมูล ใช่มั้ย คุณเป็น CSO เรามีการสัมภาษณ์ลูกค้าสองสามครั้งโดยที่พวกเขาได้ใส่เครื่องหมายคำพูด ฉัน ไว้ด้วย คุณช่วยบอกฉันหน่อยได้ไหมว่าเหตุใดการเป็นประธานเจ้าหน้าที่รักษาความปลอดภัยจึงมีความสำคัญ ไม่ใช่ให้ข้อมูลโดยเฉพาะ

Steve Schmidt:
ได้เลย ดังนั้น เมื่อคุณพิจารณาถึงการปกป้องข้อมูล ซึ่งถือเป็นสิ่งที่สำคัญอย่างแท้จริงในอาณาจักรของเรา นั่นคือสิ่งที่มีองค์ประกอบเชิงตรรกะที่ผู้คนคุ้นเคยกับงาน CISO อย่างแน่นอน แต่ศัตรูของเรากลับใช้มนุษย์เพื่อติดตามข้อมูลที่เข้าถึงได้ยากจากมุมมองเชิงตรรกะมากขึ้น

มีการแกว่งลูกตุ้มแบบนี้ในอุตสาหกรรม และมันนานมาแล้ว ถ้าคุณลองคิดดู ผู้คนต่างก็มีสายลับ สายลับทางกายภาพ ที่จะเข้าไปหยิบสำเนาเอกสารหรืออะไรทำนองนั้น เมื่อเราออนไลน์ด้วยระบบคอมพิวเตอร์ โอ้ โอกาสใหม่มาถึงแล้ว ไปเจาะเข้าไปในสิ่งเหล่านั้นจากระยะไกลกันเถอะ เป็นต้น เมื่อธุรกิจต่าง ๆ พัฒนาวิธีการรักษาความปลอดภัยของข้อมูลให้ดีขึ้น ไม่ว่าจะเป็นในองค์กรหรือที่อื่น ปรากฏว่าผู้คนก็หันกลับมาทำหน้าที่สายลับอีกครั้ง

ดังนั้นเราจึงต้องบูรณาการการป้องกันทั้งทรัพย์สินทางกายภาพและทรัพย์สินข้อมูลของเรา ทรัพย์สินทางลอจิคัลของเรา เพื่อให้ได้ภาพรวมที่สมบูรณ์เกี่ยวกับสิ่งที่เรากำลังทำกับข้อมูลของลูกค้า และวิธีที่เราปกป้องมัน และข้อมูลทางธุรกิจของเราด้วย เพราะในปัจจุบัน ศัตรูของรัฐชาติของเรามักไม่เพียงแค่มุ่งเน้นที่การเข้าถึงข้อมูลที่ลูกค้าของเรามีเท่านั้น แต่ยังมุ่งเน้นถึงข้อมูลเกี่ยวกับแนวทางการดำเนินธุรกิจต่อไปของเราด้วย

เราจะสร้างผลิตภัณฑ์และบริการที่น่าสนใจชุดต่อไปได้อย่างไร ไม่ว่าจะเป็นดาวเทียมหรือยานยนต์แบบหุ่นยนต์ สิ่งเหล่านี้มีมูลค่าอย่างเหลือเชื่อสำหรับประเทศทั่วโลก แต่ยังรวมถึงธุรกิจที่พวกเขาสนับสนุน ในฐานะผู้เชี่ยวชาญด้านความปลอดภัย เราจำเป็นต้องพิจารณาภาพรวมว่าศัตรูคือใคร และเราจะปกป้องพวกเขาจากพวกเขาได้อย่างไร

Clarke Rodgers:
แน่นอน เมื่อคุณก้าวเข้าสู่บทบาทของ CSO และตอนนี้คุณต้องรายงานเรื่องการรักษาความปลอดภัยทางกายภาพให้หัวหน้าฝ่ายรักษาความปลอดภัย ผมนึกภาพออกว่าภาษาที่ผู้เชี่ยวชาญด้านการรักษาความปลอดภัยของข้อมูลใช้กับการรักษาความปลอดภัยทางกายภาพ และภาษาที่เจ้าหน้าที่ฝ่ายรักษาความปลอดภัยทางกายภาพพูดอาจอยู่ในสองระนาบที่แตกต่างกัน คุณจะผสานรวมทั้งสองอย่างเพื่อให้พวกเขาพูดภาษาเดียวกันและสามารถทำงานร่วมกันได้อย่างมีประสิทธิภาพได้อย่างไร

Steve Schmidt:
ได้เลย มันไม่ค่อยเกี่ยวกับคำศัพท์ที่เลือกใช้มากนัก เพราะพวกเขามีภาษาเฉพาะของตัวเอง คุณพูดถูก สิ่งที่สำคัญที่สุดคือการทำความเข้าใจว่าเป้าหมายสุดท้ายของพวกเขาคืออะไร คุณจะวัดความก้าวหน้าของคุณไปสู่เป้าหมายนั้นอย่างไร และเพื่อระบุสิ่งที่สำคัญที่สุดคือจุดส่งมอบหรือช่องว่างระหว่างโลกทางกายภาพและโลกตรรกะ

ลองคิดดูแบบนี้ ถ้าผมอยู่ในโลกแห่งกายภาพ ฉผมจะป้องกันไม่ให้ผู้คนเข้าไปในอาคาร และป้องกันไม่ให้ศัตรูของเราได้รับการว่าจ้างจากบริษัท แต่ถ้าศัตรูเข้าไปในอาคาร นั่นน่าสนใจสำหรับด้านการรักษาความปลอดภัยของสารสนเทศหรือไม่ ถ้าพวกเขายืนอยู่ในล็อบบี้ นั่นเป็นเรื่องหนึ่ง หากอยู่ในตู้ที่มีสวิตช์เครือข่ายหลายตัว นั่นจะเป็นเรื่องที่แตกต่างไปโดยสิ้นเชิง ดังนั้นเราจึงต้องเชื่อมโยงทั้งสองเข้าด้วยกันเพื่อให้ได้ภาพที่เหมาะสมเกี่ยวกับสิ่งที่เกิดขึ้น

Clarke Rodgers:
คุณต้องสร้างเครื่องมือใด ๆ เพื่อข้ามสะพานเหล่านี้ไปหรือไม่

Steve Schmidt:
ครับ มันเป็นทั้งการผสมผสานระหว่างเครื่องมือและกระบวนการที่เราจัดทำร่วมกัน การสร้างเครื่องมือจึงเป็นวิวัฒนาการอย่างต่อเนื่อง ในทางทฤษฎี เราจะพัฒนาทักษะในการรวบรวม วิเคราะห์ และใช้ข้อมูลได้ดีขึ้นอยู่เสมอ สิ่งที่น่าสนใจและยากขึ้นในความเป็นจริงคือการพิจารณาว่าคุณจะส่งมอบสิ่งนั้นระหว่างส่วนต่าง ๆ ของธุรกิจได้อย่างไร และคุณจะแน่ใจได้อย่างไรว่าพวกเขาสามารถเข้าถึงสิ่งที่จำเป็นสำหรับ ... เพื่อทำงานของพวกเขาได้ แต่อย่าให้ข้อมูลมากเกินไปจนพวกเขาไม่สามารถค้นหาชิ้นส่วนสำคัญในกองข้อมูลขนาดมหึมาที่เรารวบรวมได้

และนั่นคือที่มาขององค์ประกอบของกระบวนการ มักเป็นเรื่องของการผุดขึ้นมาของสิ่งต่าง ๆ ที่อาจเป็นเรื่องละเอียดอ่อน อ่อนไหว และการค้นหาวิธีเพื่อให้แน่ใจว่าสิ่งเหล่านั้นได้รับการเปลี่ยนผ่านจากส่วนหนึ่งขององค์กรไปสู่อีกส่วนหนึ่งแล้ว และนั่นต้องอาศัยคนที่มีความสามารถในการปรับเทียบสูงจริง ๆ ต้องเป็นมนุษย์ที่รู้ว่า เอาล่ะ นี่อาจดูไม่มีอันตรายในตัวของมันเอง แต่เมื่อรวมกับสิ่งอื่นที่เราเห็น มันน่าสนใจจริง ๆ และน่าเสียดายที่ยังไม่มีระบบที่สามารถทำได้ บางทีหากมีการฝึก AI ในอนาคต เราอาจสามารถทำได้ แต่ในขณะนี้ยังไม่เพียงพอ

Clarke Rodgers:
นั่นเป็นสิ่งที่น่าสนใจมาก ๆ คุณได้เริ่มต้นโปรแกรมความปลอดภัยที่ AWS ดังนั้นคุณจึงมีความรู้เกี่ยวกับ AWS อย่างละเอียดถี่ถ้วน วิธีรักษาความปลอดภัย ภัยคุกคามที่อาจเกิดขึ้น ความเสี่ยงที่ยอมรับได้เป็นต้น เมื่อคุณย้ายไปยังบทบาท CSO ตอนนี้คุณจะได้เรียนรู้เกี่ยวกับ amazon.com หรือสิ่งที่เราเรียกว่าร้านค้าภายใน Whole Foods, Prime Video, MGM, Twitch และองค์กรต่าง ๆ เหล่านี้

ประการแรก คุณทำความคุ้นเคยกับโปรไฟล์ด้านการรักษาความปลอดภัยของแต่ละธุรกิจและระดับความเสี่ยงที่ยอมรับได้อย่างไร แล้วคุณรวบรวมทุกอย่างเข้าด้วยกันได้อย่างไร ดังนั้นเงื่อนไขร่วมกัน คือ กระจกบานเดียวที่คุณรู้สึกสบายใจว่าโปรไฟล์ความเสี่ยงสำหรับ Whole Foods นั้นเหมาะสม กระจกสำหรับ AWS ก็เหมาะสมกับ AWS เช่นกัน คุณคิดหาคำตอบทั้งหมดนี้ได้อย่างไร

Steve Schmidt:
ครับ ก่อนอื่นเลย สิ่งที่ผมชอบเกี่ยวกับงานของผมคือความหลากหลายของธุรกิจ ผู้คนมักจะบอกว่าคุณอยู่ในตำแหน่งของคุณมานาน 16 ปี นั่นเป็นเรื่องแปลกมากสำหรับใครบางคนในอุตสาหกรรมรักษาความปลอดภัย เพราะเหตุใดจึงเป็นเช่นนั้น เพราะความหลากหลายของงานที่บริษัทนี้มี มันเป็นโอกาสที่จะเรียนรู้ต่อไป นั่นคือสิ่งที่ผมชอบมัน

ผมไม่ใช่เด็กขนาดนั้น ผู้คนมักจะพูดว่าคุณจะทำงานต่อไปได้นานแค่ไหน คุณกำลังจะเกษียณใช่มั้ย หรือยังไง และผมก็รู้สึกว่าผมสนุกกับตัวเอง ไม่ ผมไม่อยากเกษียณ นี่เป็นเรื่องสนุกมาก เนื่องจากคุณเริ่มจากการสร้างผู้ให้บริการระบบคลาวด์ที่ใหญ่ที่สุดในโลก ไปจนถึงการส่งดาวเทียมขึ้นอวกาศและการบริหารร้านขายของชำและความหลากหลายในที่นั้น ถือเป็นความท้าทายอย่างเหลือเชื่อจากมุมมองทางธุรกิจ แต่ยังเป็นโอกาสที่น่าสนใจในการใช้ประโยชน์จากการปรับขนาดของบริษัทเพื่อทำให้การดำเนินการต่าง ๆ มีต้นทุนน้อยลงอีกด้วย

เมื่อคุณมองไปที่องค์กรที่ดำเนินงานด้านการรักษาความปลอดภัย จะเห็นว่าพวกเขาไม่ได้มีค่าใช้จ่ายที่ถูกเลย แต่เมื่อคุณสามารถปรับขนาดได้ในธุรกิจขนาดใหญ่เท่าของ Amazon แสดงว่าต้นทุนต่อหน่วยสามารถลดลงได้

Clarke Rodgers:
แน่นอน

Steve Schmidt:
ดังนั้นธุรกิจทุกธุรกิจจึงได้รับประโยชน์จากขนาดของธุรกิจอื่น ดังนั้นการหาแนวทางที่ร้านขายของชำสามารถใช้ประโยชน์จากระบบรักษาความปลอดภัยแบบเดียวกับที่ธุรกิจดาวเทียมทำได้ ซึ่งทำได้ในหลาย ๆ ด้าน เช่น การจัดการช่องโหว่ ไม่ว่าคุณจะติดตั้งแพตช์ในระบบคอมพิวเตอร์แล้วหรือไม่ ก็ไม่ได้แตกต่างกันอย่างแท้จริงเมื่อคุณสร้างดาวเทียมเทียบกับการบริหารร้านขายของชำ

และนั่นทำให้เราสามารถทำสิ่งต่าง ๆ ในระดับที่ธุรกิจแบบสแตนด์อโลนไม่สามารถทำได้ และช่วยยกระดับมาตรฐานให้กับทุกคน และนั่นเป็นส่วนหนึ่งของงานของฉันที่นี่คือการทำให้แน่ใจว่าเรามีแถบมาตรฐานทั่วทั้งบริษัท ไม่ว่าจะเป็นการจัดการช่องโหว่ หรือการตอบสนองต่ออุบัติการณ์ หรือองค์ประกอบอื่น ๆ ที่เกี่ยวข้องกับองค์กรรักษาความปลอดภัยทั่วไป

จากนั้นจึงพิจารณาว่ามีส่วนประกอบเฉพาะใดบ้างที่จำเป็นต้องนำมาใช้กับธุรกิจแต่ละแห่งเนื่องจากสถานการณ์เฉพาะของแต่ละธุรกิจ ด้วยวิธีนี้ เราจะไม่พยายามใช้วิธีการแบบเดียวกันสำหรับทุกคน เพราะจะยิ่งทำให้ต้นทุนสูงขึ้นอย่างรวดเร็ว หากคุณลองดูธุรกิจขายของชำ จะเห็นว่าการสูญเสียหน่วยงานนั้นมีมูลค่าลดลงเมื่อเทียบกัน ในขณะที่การสูญเสียในธุรกิจดาวเทียมนั้นตรงกันข้าม

Clarke Rodgers:
แน่นอน

Steve Schmidt:
ดังนั้นเราจะต้องปรับแต่งสถานการณ์ด้านการรักษาความปลอดภัยให้กับส่วนประกอบแต่ละชิ้น

Clarke Rodgers:
คุณทำยังไง ... ผมจะสนับสนุน คุณมีเจ้าหน้าที่รักษาความปลอดภัยข้อมูลระดับสูงคอยควบคุมดูแลโครงการรักษาความปลอดภัยให้กับธุรกิจอื่น ๆ เหล่านี้ คุณทำให้พวกเขาต้องรับผิดชอบในการดำเนินธุรกิจรักษาความปลอดภัยของพวกเขาอย่างไร

Steve Schmidt:
สิ่งหนึ่งที่ Amazon ให้ความสำคัญเป็นอย่างมากทั่วทั้งบริษัทก็คือแนวคิดเรื่องเจ้าของแบบเธรดเดียว ดังนั้นใครบางคนที่มีหน้าที่เพียงมุ่งความสนใจไปที่องค์ประกอบหนึ่งของบางสิ่งบางอย่าง และในด้านการรักษาความปลอดภัย นั่นคือเหตุผลที่เรามี CISO สำหรับแต่ละธุรกิจเป็นเพราะสองสิ่ง

สิ่งหนึ่งคือ ผมต้องการใครสักคนที่จะมุ่งเน้นไปที่สิ่งนั้นทุกวัน ไม่ว่าจะเป็น Amy Herzog ที่อยู่ในสายอุปกรณ์และ Kuiper หรือจะเป็น Chris Betz ที่ดูแล AWS ก็ตาม แต่ในเวลาเดียวกัน ผมใช้การวัดทั่วไปในทุกสิ่งเหล่านั้น ตัวอย่างเช่น z,ดูการทบทวนธุรกิจรายเดือนเกี่ยวกับการจัดการช่องโหว่ซึ่งครอบคลุมทั้งบริษัท และใช้ตัวเลขเดียวกัน วิธีการเดียวกัน วิธีการนำเสนอเดียวกัน เป็นต้น

ดังนั้นเราจึงได้รับมุมมองร่วมกันที่สอดคล้องกันในทุกธุรกิจเหล่านี้ และมันช่วยให้เราทำสองสิ่งได้ ข้อที่หนึ่งคือการตรวจสอบให้แน่ใจว่าเรากำลังปฏิบัติตามมาตรฐานที่เราต้องการ และข้อที่สองคือเพื่อให้แน่ใจว่าเราใช้การมองเห็นที่เราต้องการในทุกมุมของธุรกิจ เพราะบ่อยครั้งที่ผู้คนประสบปัญหา พวกเขามักคิดว่า นี่ไม่ใช่เรื่องสำคัญ มันเป็นเพียงเรื่องเล็ก ๆ น้อย ๆ ฯลฯ

และนั่นคือจุดที่คนร้ายเข้ามาและเราทุกคนก็โดนโจมตี การให้การดูแลแบบครอบคลุมทุกอย่างเรียกได้ว่านับ 10000 ฟุตเช่นนี้ จะทำให้เรามั่นใจได้ว่าเราทำสิ่งต่าง ๆ ที่จำเป็นต้องทำในทุกส่วนของบริษัท

Clarke Rodgers:
จากนั้นคุณจะมีระบบรวมศูนย์ภายใต้ระบบรักษาความปลอดภัยของ Amazon หรือ AMSEC ที่ทุกคนสามารถใช้ประโยชน์ได้

Steve Schmidt:
ดังนั้นจึงมีหลายสิ่งหลายอย่างที่เหมือนกันโดยพื้นฐานในทุกธุรกิจของเรา วิธีที่คุณรวบรวมข้อมูลบางประเภท วิธีที่คุณวิเคราะห์ข้อมูลนั้นหรือรายงานเกี่ยวกับข้อมูลนั้น และแทนที่จะให้ทุกธุรกิจทำสิ่งเดียวกันซ้ำแล้วซ้ำเล่า เราตัดสินใจที่จะย้ายข้อมูลเหล่านั้นไปไว้ที่จุดเดียว ซึ่งช่วยให้เราประหยัดบางอย่าง เช่น เวลาของนักพัฒนา

ดังนั้น หากคุณคิดที่จะดำเนินงานในระดับขนาดใหญ่ เราจะย้อนกลับไปที่การจัดการช่องโหว่ เครื่องมือรวบรวมข้อมูล สำหรับสิ่งนั้น คุณต้องมีวิศวกรที่พร้อมให้บริการตลอดเวลา หากคุณเคยบริหารองค์กรที่ต้องรับสายตลอดเวลา ซึ่งคุณมีอยู่แล้ว คุณคงคิดว่าต้องมีคนรับสายอย่างน้อยหนึ่งคน ดังนั้นจะต้องมีคนประมาณเจ็ดคนจึงจะสามารถทำงานได้อย่างมีประสิทธิภาพเพื่อรองรับการลา การพักร้อน และงานอื่น ๆ ทั้งหมด

Clarke Rodgers:
เราต้องการให้ผู้คนไปเที่ยวพักผ่อน

Steve Schmidt:
ใช่มั้ย ดังนั้นการกระจายการดำเนินการดังกล่าวไปยังธุรกิจต่าง ๆ มากมายจากที่เดียว จะทำให้เราทำงานได้อย่างมีประสิทธิภาพมากขึ้น เนื่องจากเรามีเครื่องมือที่ดีขึ้นจากศูนย์กลาง และมีต้นทุนต่ำลง

Clarke Rodgers:
คุณได้พัฒนาหรือปฏิบัติตามแนวทางปฏิบัติใดบ้างในการรายงานสถานะความปลอดภัยในทุกธุรกิจที่แตกต่างกันเหล่านี้ไปยังคณะกรรมการของ Amazon

Steve Schmidt:
ก่อนอื่นคณะกรรมการของ Amazon น่าสนใจจริง ๆ มีคณะกรรมการเพียงไม่กี่คนเท่านั้นที่เชี่ยวชาญด้านเทคนิคในระดับเดียวกันกับคณะกรรมการของ Amazon แต่ Amazon เองก็เลือกที่จะจัดตั้งคณะอนุกรรมการด้านการรักษาความปลอดภัยเมื่อหลายปีก่อนเช่นกัน ซึ่งแตกต่างจากสถานที่อื่น ๆ หลายแห่งที่ฝ่ายรักษาความปลอดภัยอาจรายงานต่อคณะกรรมการตรวจสอบ เช่น มีกลุ่มบุคคลเฉพาะกลุ่มหนึ่งที่มีหน้าที่ดูแลการรักษาความปลอดภัยของคณะกรรมการ Amazon เท่านั้น

นั่นเยี่ยมมาก และยังหมายความว่ามีการตรวจสอบเรามากมายในกระบวนการนี้ด้วย เราจึงจำเป็นต้องสร้างกลไกการรายงานซึ่งมีการพัฒนาไปตามกาลเวลาเนื่องจากเหตุผลสองประการ ประการหนึ่งคือเพราะเราทำหน้าที่รายงานได้ดีขึ้น และประการที่สองคือคณะกรรมการจะได้รับข้อมูลที่ดีขึ้นตามกาลเวลา พวกเขาถามคำถามที่เจาะจงมากขึ้นและต้องการทราบรายละเอียดที่เฉพาะเจาะจงมากขึ้นเกี่ยวกับช่องทางในธุรกิจ โดยทั่วไปแล้วเราพบว่าการรายงานส่วนประกอบที่เจาะจงของธุรกิจให้พวกเขาทราบที่เราพูดคุยทุกครั้งเป็นสิ่งสำคัญ เราพบกับมาตรฐานรักษาความปลอดภัยของเราในบางสถานที่หรือไม่

นอกจากนี้ พวกเขายังมีสิ่งที่พวกเขาสนใจจริง ๆ บอกเราเกี่ยวกับส่วนนี้ของธุรกิจโดยเฉพาะ หรือสิ่งที่เรากำลังเผชิญอยู่ ซึ่งเราคิดว่ามีความเสี่ยงมากมาย ดังนั้น บอกเราคร่าว ๆ หน่อย ซึ่งทำให้เรามีส่วนประกอบที่สอดคล้องกัน ส่วนประกอบที่แปรผันตามความสนใจของพวกเขา

จากนั้นเราตัดสินใจที่จะใส่สิ่งที่เรียกว่าเหตุการณ์ปัจจุบันในตอนท้าย โดยเราจะนำเนื้อหาทั้งหมดที่คุณเห็นในข่าว มากลั่นกรองจนถึงสิ่งที่เราคิดว่ามีบทเรียนหรือประเด็นเฉพาะสำหรับเรา และนำเสนอต่อคณะกรรมการในฐานะองค์ประกอบข้อมูลในตอนท้าย นี่คือสิ่งที่เกิดขึ้นในอุตสาหกรรม นี่คือเหตุผลว่าทำไมเราไม่ได้รับผลกระทบ

นี่คือการลงทุนที่ทำให้เราไม่ได้รับผลกระทบ และผมคิดว่ามันมีคุณค่าอย่างมากสำหรับคณะกรรมการ อันดับหนึ่ง พวกเขาเข้าใจว่าเราอยู่ในจุดที่ดี แต่อันดับสอง มันช่วยให้ทราบการตัดสินใจลงทุนในอนาคต ดังนั้น เมื่อเราก้าวออกมาข้างหน้าและบอกว่าเราลงทุนในการรับรองความถูกต้องแบบหลายปัจจัยเมื่อแปดปีที่แล้ว หรือ 10 ปีที่แล้ว และนั่นป้องกันไม่ให้ผู้คุกคามรายนี้ที่เข้ามาในบริษัทขนาดใหญ่แห่งนี้ ไม่ให้ส่งผลกระทบต่อเรา พวกเขาบอกว่า โอเค เยี่ยมมาก การลงทุนอื่น ๆ ที่เราควรวางแผนตอนนี้คืออะไรที่จะช่วยให้เราหลีกเลี่ยงปัญหาต่อไปในอีก 10 ปี

Clarke Rodgers:
ลูกค้า CISO ของเราจำนวนมาก พวกเขามุ่งเน้นไปที่คณะกรรมการเป็นอย่างมาก บางคนไม่ค่อยได้รับ FaceTime เท่าคนอื่น ๆ และคุณได้ออกมาประกาศแล้วว่าคณะกรรมการของเรามีความพิเศษเพราะความรู้เรื่องความปลอดภัย คุณจะให้คำแนะนำอะไรกับเพื่อน CISO หรือเพื่อน CSO ที่รายงานต่อคณะกรรมการ เพื่อช่วยขับเคลื่อนประเด็นต่างๆ ของพวกเขา พูดภาษาเดียวกับคณะกรรมการ เป็นต้น

Steve Schmidt:
สิ่งแรกที่ผมได้ยินจากสมาชิกคณะกรรมการว่าทำไมพวกเขาถึงชอบวิธีที่เราทำสิ่งต่าง ๆ ก็คือเราระมัดระวังอย่างยิ่งที่จะหลีกเลี่ยงศัพท์เฉพาะ ผู้คนจำนวนมากในตำแหน่ง CISO มักเป็นผู้เชี่ยวชาญทางเทคนิค และต้องการรายงานเกี่ยวกับสิ่งต่าง ๆ ในรูปแบบที่...

Clarke Rodgers:
เป็นบิตและไบต์

Steve Schmidt:
แน่นอนว่าสะท้อนถึงวิธีที่พวกเขาคิดเกี่ยวกับเรื่องนี้ แต่เราต้องจำไว้ว่าคณะกรรมการคือลูกค้าที่นี่ ดังนั้นเมื่อเรานำเสนอให้พวกเขาฟัง เราต้องพูดภาษาของพวกเขา และเราต้องหาวิธีอธิบายสิ่งต่าง ๆ ในบริบทที่คณะกรรมการนั้น ๆ เข้าใจได้

ข้อที่หนึ่งคือการค้นหาวิธีการรายงานที่สอดคล้องแทนที่จะเปลี่ยนแปลงไปในแต่ละครั้ง เพราะนั่นจะทำให้คนอื่นเข้าใจได้ยากขึ้น ข้อที่สองคือค้นหาว่าอะไรคือตัววัดที่สำคัญสองหรือสามตัวที่คุณต้องการรับในทุกครั้ง

อย่าทำให้ผู้คนจมอยู่กับตัววัด ตัวอย่างเช่น เรารายงานการจัดการช่องโหว่เสมอ นี่เป็นการควบคุมความปลอดภัยพื้นฐานที่สำคัญที่สุดที่เราปฏิบัติอยู่ และผมคิดว่าทุกคนต่างก็ปฏิบัติกัน จากนั้นก็ค่อย ๆ พิจารณาดูว่ามีสิ่งใดบ้างที่น่าสนใจและเป็นส่วนเสริมที่ช่วยให้คุณพัฒนาสิ่งที่ควรลงทุน ดังนั้น จงแยกส่วนประกอบต่าง ๆ ของกระบวนการรายงานออกจากกันโดยเจตนา

Clarke Rodgers:
และถ้าเราลงทุนที่นี่ เราจะลดความเสี่ยงตรงโน้นหรือไม่

Steve Schmidt:
ครับ มันเป็นการผสมผสานระหว่างการลดความเสี่ยงในปัจจุบันและการลดความเสี่ยงโดยคาดการณ์ล่วงหน้า และการคาดการณ์ล่วงหน้าอาจเป็นส่วนที่ยากที่สุดของงานของเราในฐานะผู้เชี่ยวชาญด้านการรักษาความปลอดภัย เนื่องจากเราไม่มีหลักฐานการมีอยู่ที่จะใช้ และหลายคนมองดูมันและพูดว่านั่นจำเป็นจริงหรือ

เราต้องทำตอนนี้หรือไม่ เราต้องทำมันใหญ่ขนาดนั้นหรือไม่ เราสามารถทำเล็กลงได้ไหม สิ่งเหล่านี้คือข้อโต้แย้งที่เราทุกคนต้องมี และเราจำเป็นต้องสามารถสร้างฐานความรู้ประเภทนั้นบนกระดานเมื่อเวลาผ่านไป และพูดว่า นี่คือตัวอย่างของการแสวงหาผลประโยชน์ในโลกแห่งความเป็นจริงจากสิ่งต่าง ๆ ที่มีลักษณะเช่นนี้ และเราคิดว่ามันจะนำไปใช้กับเราในช่วงเวลานี้ ดังนั้น เราจะต้องดำเนินการทันที หรือในสองปี หรือในสามปี หรืออะไรก็ตาม

Clarke Rodgers:
เข้าใจแล้วครับ ที่ Amazon เราเป็นที่รู้จักในเรื่องนวัตกรรม การทำงานย้อนกลับ การรับฟังลูกค้า และอื่น ๆ ในฐานะผู้นำด้านการรักษาความปลอดภัย คุณมีทางเลือกมากมาย และนี่อาจขึ้นอยู่กับ CISO ที่รายงานถึงคุณ คุณมีตัวเลือกมากมายเกี่ยวกับเครื่องมือที่คุณจะซื้อเทียบกับเครื่องมือที่คุณต้องสร้าง บ่อยครั้งที่มันขึ้นอยู่กับขนาด

ดังนั้นซอฟต์แวร์ที่มีจำหน่ายทั่วไปเชิงพาณิชย์อาจหรืออาจไม่ปรับขนาดตามขนาดของ Amazon และคุณจำเป็นต้องสร้างบางสิ่งขึ้นมาเอง ในปีที่ผ่านมา เราได้พูดคุยต่อสาธารณะเกี่ยวกับเครื่องมือเช่น Madpot และ Mithra และ Sonaris ในฐานะ CSO คุณจะนำเสนอวิธีการต่าง ๆ เพื่อให้ได้เงินมาจัดสรรทรัพยากรด้านวิศวกรรมสำหรับเครื่องมือต่าง ๆ อย่างไร และผมนึกถึงเครื่องมืออื่น ๆ อีกมากมายที่เราไม่ได้พูดถึง คุณจะนำเสนอวิธีการต่าง ๆ อย่างไรเพื่อให้มั่นใจได้ว่าเครื่องมือเหล่านี้คุ้มค่ากับการลงทุน และเราจะได้รับคุณค่าจากเครื่องมือเหล่านี้

Steve Schmidt:
ได้เลย ก่อนอื่นเรามาแยกความแตกต่างระหว่างเครื่องมือที่ซื้อมากับสิ่งที่เราสร้าง ผมคิดว่านั่นเป็นจุดเริ่มต้นที่สำคัญ เราจะซื้อเครื่องมือต่าง ๆ เมื่อเป็นสินค้าโภคภัณฑ์ ตัวอย่างเช่นการตอบสนองการตรวจจับตำแหน่งข้อมูล เราซื้อสิ่งนั้นตรงกันข้ามกับการสร้างมันขึ้นมาเอง เพราะเหตุใด เนื่องจากแล็ปท็อป Mac, แล็ปท็อป Windows, แล็ปท็อป Linux ที่เราใช้ก็เป็นแบบเดียวกับที่คนอื่น ๆ ใช้เช่นกัน

เราอาจมีซอฟต์แวร์ที่แตกต่างกันเล็กน้อย แต่มันไม่ได้ทำให้ธุรกิจของเราแตกต่างกันจริง ๆ ในขณะที่เราเป็นเพียงผู้เดียวที่สามารถสร้างระบบในระดับใหญ่ได้เช่น Madpot เป็นต้น เรามักจะลงทุนในสิ่งที่ไม่มีใครสามารถสร้างได้

วิธีที่เราทำกระบวนการลงทุนนั้นก็เหมือนกับสิ่งอื่น ๆ มากมาย คุณสร้างต้นแบบ คุณลองดู คุณดูว่าอะไรได้ผล คุณรับประกันได้ว่าคุณจะทำได้ไม่ถูกต้องตั้งแต่ครั้งแรก ดังนั้นคุณต้องไปและสร้างบางอย่างขึ้นใหม่ เปลี่ยนแปลงมันเล็กน้อย เป็นต้น ในตอนนี้ Madpot ประสบความสำเร็จอย่างมาก แต่ไม่ได้เกิดขึ้นในชั่วข้ามคืน มันเป็นการลงทุนหลายปี ที่เริ่มต้นด้วยวิศวกรคนเดียวที่พูดว่า ฉันชอบไอเดียนี้จริง ๆ ไปดูกันว่ามันสามารถมีอะไรที่น่าสนใจหรือไม่

จากนั้นจะกลายเป็นเครื่องมือที่ช่วยให้เรารวบรวมข้อมูลข่าวกรองด้านภัยคุกคามอย่างทันท่วงทีและสามารถนำออกมาประมวลผลและป้อนข้อมูลเข้าสู่เครื่องมือด้านความปลอดภัยที่ลูกค้าของเราทุกคนสามารถเข้าถึงได้ และผมคิดว่านั่นคือส่วนที่สำคัญที่สุด ตัวอย่างเช่น ลูกค้าของเราจำนวนมากพูดว่า โอ๊ะ ผมต้องการฟีดข่าวกรองด้านภัยคุกคามแบบดิบ ๆ

และเหมือนกับว่า จริงๆ แล้ว ไม่ คุณไม่ได้ต้องการ สิ่งที่คุณต้องการจริง ๆ คือสิ่งที่เกี่ยวข้องกับคุณในบริบทที่คุณดำเนินการในขณะนี้ ที่เหลือก็แค่เสียงรบกวน และตอนนี้ปริมาณของมันใหญ่มากจนไม่มีประโยชน์ที่จะพยายามแยกแยะทั้งหมด เว้นแต่คุณจะมีธุรกิจที่เหมือนกับเรา

ลูกค้าหลายรายของเราพบว่าพวกเขาชอบนำข้อมูลอย่างข่าวกรองด้านภัยคุกคามมาใช้งานเป็นส่วนหนึ่งของบริการที่ได้รับการจัดการ ซึ่งช่วยให้พวกเขาไม่ต้องเสียเวลาแยกแยะข้อมูลจำนวนมากหรือขาดบริบทเนื่องจากข้อมูลเหล่านั้นไม่ได้ถูกนำไปใช้กับลูกค้าหลายราย

และสิ่งบริบทนั้นมีความสำคัญ นั่นคือจุดที่การมองเห็นแบบรวมศูนย์ที่เรามีเพียงเพื่อย้อนกลับไปยังส่วนเดิมเกี่ยวกับการแปลงเป็นสินค้าโภคภัณฑ์เทียบกับการสร้างแบบกำหนดเองนั้นสร้างประโยชน์ได้จริง

Clarke Rodgers:
แล้วฉันก็เดาว่าเป็นการนำเสนอแนวคิดภายในนั้น ถ้าจะหาคำที่ดีกว่านี้มาใช้ก็คงจะดี เพราะสิ่งนี้ช่วยให้เราปลอดภัยจาก AWS และ Amazon และเพิ่มประโยชน์ให้กับลูกค้าของเรา ผมหมายความว่ามันคือชัยชนะ

Steve Schmidt:
ในภาษาพูดทั่วไปของ Amazon เราจะเริ่มจากลูกค้าก่อนและบอกว่าสิ่งนี้จะช่วยให้ลูกค้าของเราทุกคนรักษาความปลอดภัยให้กับตัวเองได้ดีขึ้น และในเวลาเดียวกันมันช่วยเราในธุรกิจของเราเพราะธุรกิจส่วนใหญ่ของเราเป็นลูกค้า Amazon AWS อยู่แล้ว ดังนั้นจึงเป็นประโยชน์ทุก ๆ ด้าน

Clarke Rodgers:
นั่นยอดเยี่ยมมาก มาเปลี่ยนเรื่องกันหน่อยดีกว่า ปีที่ผ่านมาเป็นปีของ AI ช่วยสร้าง ลูกค้าส่วนใหญ่ที่ฉันพูดคุยด้วยมุ่งเน้นไปที่การรักษาความปลอดภัย AI ช่วยสร้างเป็นเครื่องมือที่ธุรกิจต่าง ๆ กำลังใช้ ดังนั้นบางทีมันอาจเป็นเครื่องมือของบุคคลที่สาม หรือบางทีพวกเขาอาจใช้ Amazon Bedrock ไม่ว่าจะเป็นอย่างไรก็ตาม แต่มารักษาความปลอดภัยเครื่องมือกันดีกว่า คุณเห็นอะไรบ้าง หรือบางทีเราอาจกำลังทำอะไรอยู่ภายใน Amazon โดยใช้ AI ช่วยสร้างเป็นเครื่องมือรักษาความปลอดภัยหรือเป็นส่วนหนึ่งของชุดเครื่องมือรักษาความปลอดภัยของคุณ

Steve Schmidt:
การใช้ AI ช่วยสร้างที่มีประสิทธิผลสูงสุดที่เราเคยเห็นมาอยู่ในกระบวนการรักษาความปลอดภัยของแอปพลิเคชันเอง คุณคงคุ้นเคยกับ AWS ดีอยู่แล้วว่าแอปฟีเจอร์ต่าง ๆ ทุก ๆ แอปที่เผยแพร่ออกไปจะต้องผ่านการตรวจสอบความปลอดภัยก่อนเปิดตัว ธุรกิจอื่น ๆ ไม่เคยมีความหรูหราเช่นนั้นมาก่อน เนื่องจากการทำเช่นนั้นมีค่าใช้จ่ายสูงมาก โดยเฉพาะอย่างยิ่งเมื่อคุณพิจารณาว่าต้องใช้วิศวกรด้านความปลอดภัยจำนวนหลายพันคนที่เน้นในด้านนี้

บริษัทส่วนใหญ่ที่มีอยู่มีจำนวนวิศวกรด้านความปลอดภัยไม่มากเท่ากับที่เราเพิ่งทำงาน AppSec ที่ Amazon ดังนั้น AI ช่วยสร้างจึงทำให้เราใช้ประโยชน์อย่างมากในหัวข้อนั้น ผมจะบอกว่ามันยังอยู่ในขั้นตอนทางวิทยาศาสตร์ แต่มันก็มีความหวังมากมาย

เราคิดว่าเมื่อเวลาผ่านไป เราจะเห็นเวิร์กโหลดของมนุษย์ลดลงในหัวข้อด้านความปลอดภัยของแอปพลิเคชันประมาณ 60 ถึง 70% ซึ่งหมายความว่าเราสามารถทำงานต่าง ๆ ได้เร็วขึ้นด้วยต้นทุนที่ต่ำลง พร้อมความสม่ำเสมอที่ดีขึ้นในสถานที่อย่าง AWS ซึ่งมีการลงทุนในการประเมินทุกสิ่งมาโดยตลอด และในพื้นที่ที่มีโอกาสตรวจสอบสิ่งที่ไม่เคยมีการประเมินมาก่อนมากขึ้น หมายความว่าเราจะได้รับการครอบคลุมมากขึ้น ดังนั้นมันจึงเป็นชัยชนะสองต่อ

Clarke Rodgers:
คุณจะนำชั่วโมงมนุษย์ที่คุณประหยัดได้จากการใช้ AI ช่วยสร้างไปใช้กับความท้าทายด้านความปลอดภัยทางไซเบอร์อื่น ๆ

Steve Schmidt:
โอ้ จริงๆ แล้วจะต้องพิจารณาบริการที่เรามีให้ลึกซึ้งยิ่งขึ้น และตรวจสอบแอปพลิเคชันอื่น ๆ ในทุกด้าน อีกส่วนหนึ่งก็คือ AI ช่วยสร้างไม่ใช่โซลูชันทั้งหมดสำหรับปัญหาเหล่านี้ สิ่งที่มันจะทำคือมันจะผลิดอกออกผลสุกพร้อมกินจำนวนมาก หากคุณต้องการ และปล่อยให้วิศวกรของเรามุ่งความสนใจไปที่ปัญหาที่น่าสนใจจริง ๆ ที่มนุษย์เท่านั้นที่สามารถเผชิญได้

ผู้คนคิดว่า โอ้ AI ช่วยสร้างสามารถแก้ปัญหาทั้งหมดได้ แต่ยังไม่ใช่ และผมคิดว่าใครก็ตามที่บอกคุณว่าทำได้ในหัวข้อด้านการรักษาความปลอดภัยอาจไม่เข้าใจว่าเกิดอะไรขึ้น ต้องมีการกำกับดูแลของมนุษย์ในหัวข้อนั้นเสมอ อย่างน้อยก็ตอนนี้ และที่สำคัญกว่านั้น ต้องมีการตัดสินของมนุษย์ว่า AI ช่วยสร้างได้ตัดสินใจที่ถูกต้องหรือไม่

Clarke Rodgers:
พูดถึงการยังต้องพึ่งพามนุษย์ อะไรทำให้การจ้างบุคลากรรักษาความปลอดภัยที่ยอดเยี่ยมที่ Amazon หรือ AWS

Steve Schmidt:
ผมจะบอกว่าสิ่งอันดับหนึ่งที่เรามองหาในการจ้างงานด้านความปลอดภัยของเรา และคนส่วนใหญ่คิดว่าคือความสามารถทางเทคนิคโดยเฉพาะ ไม่ใช่ความอยากรู้อยากเห็น

Clarke Rodgers:
เล่าให้ผมเพิ่มเติมหน่อยครับ

Steve Schmidt:
ความหมายก็คือผู้ที่ไม่มองปัญหาแล้วบอกว่า โอเค นี่แหละคือปัญหา พวกเขาพูดว่า ทำไมมันถึงเกิดขึ้น ทำไมมันถึงไปอยู่ในที่นั้นตั้งแต่แรก ทำไมเราไม่ตรวจพบให้เร็วขึ้น ทำไมมันถึงเป็นสิ่งที่ผู้สร้างสามารถทำผิดได้ตั้งแต่แรก นั่นคือคนที่ขุดค้นอย่างต่อเนื่องที่เราสนใจจริง ๆ

แล้วคุณคุ้นเคยกับกระบวนการแก้ไขข้อผิดพลาดที่เราใช้กันดีไหม COE และมีอะไรบ้างที่ด้านล่าง ห้าคำถามว่าทำไม และสิ่งเดียวกันก็คือการลงไปที่รากของปัญหาจริง ๆ ซึ่งตรงกันข้ามกับการแก้ไขอาการของปัญหาที่ด้านบน

Clarke Rodgers:
ความอยากรู้อยากเห็นจึงสำคัญที่สุด

Steve Schmidt:
ความอยากรู้อยากเห็นสำคัญที่สุด ใช่

Clarke Rodgers:
ถ้าผมให้ลูกแก้วกับคุณ

Steve Schmidt:
โอ้ะ โอ

Clarke Rodgers:
ขอโทษครับ มันเป็นคำถาม หากคุณมองดูลูกแก้วนี้ CSO และ CISO จะมุ่งเน้นไปที่อะไรในปีหน้าหรือประมาณนั้น

Steve Schmidt:
ผมคิดว่าคนส่วนใหญ่จะต้องมุ่งเน้นที่ AI ช่วยสร้าง เนื่องจากธุรกิจของพวกเขาใช้บริการเหล่านี้ในอัตราที่รวดเร็วมาก และพวกเขาต้องทำสองสิ่ง ข้อที่หนึ่งคือทำความเข้าใจว่าพวกเขาใช้ AI ช่วยสร้างที่ไหน ฉันคิดว่าเราอยู่ในจุดที่โชคดีใน Amazon และเรามีการมองเห็นแบบรวมศูนย์ที่ช่วยให้เราเห็นได้ว่าผู้สร้างของเราทุกคนกำลังใช้ AI ช่วยสร้างที่ไหนบ้าง

บริษัทส่วนใหญ่ไม่ได้เป็นแบบนั้น และพวกเขาต้องหาทางออกเอง ส่วนที่สองคือคุณจะต้องพิจารณาสำหรับ AI ช่วยสร้าง คุณทำ RAG อย่างไร และคุณกำลังบังคับใช้การอนุญาตและการตรวจสอบความถูกต้องอย่างเหมาะสมตลอดกระบวนการนั้นหรือไม่ นั่นไม่ใช่เรื่องเล็ก เป็นสิ่งที่โลกของซอฟต์แวร์ยังไม่สามารถทำสำเร็จได้อย่างสมบูรณ์

และเป็นสิ่งที่สำคัญอย่างไม่น่าเชื่อ ที่จะสามารถใช้ AI ช่วยสร้างในลักษณะที่นำเสนอเฉพาะข้อมูลที่เป็นผลมาจากพร้อมท์ที่บุคคลนั้นที่ปลายอีกด้านหนึ่งได้รับอนุญาตให้เข้าถึงในช่วงเวลานั้นจากสถานที่ที่พวกเขานั่งอยู่บนชิ้นส่วนของอุปกรณ์ที่พวกเขากำลังใช้งานอยู่ คนส่วนใหญ่ยังไม่ได้คิดเกี่ยวกับปัญหานั้น

แต่ในความเป็นจริง หากคุณดูระบบภายในของเราที่ Amazon ตอนนี้เมื่อคุณใช้แล็ปท็อปของคุณ เราจะวัดสิ่งมากมายเกี่ยวกับคุณเมื่อคุณใช้ระบบภายในของเรา ที่จริง แล็ปท็อปของคุณอยู่ในสภาพที่เราคาดหวังไว้หรือไม่ คุณแก้ไขแล้วหรือยัง

เราทุกคนคงเคยได้รับข้อความเล็ก ๆ น้อย ๆ ที่โผล่ขึ้นมาว่าหากคุณไม่แพทช์ คุณจะถูกกักกัน และคุณอยู่ที่ไหนในโลก งานของคุณคืออะไร และสิ่งที่คนส่วนใหญ่ไม่รู้ด้วยซ้ำว่าเรากำลังดูอยู่ เช่น วันไหนของสัปดาห์ และนี่เป็นชั่วโมงที่คุณเข้าถึงปกติหรือคุณมาจากสถานที่ที่ผิดปกติหรือไม่ และอะไรต่าง ๆ ประเภทนั้น

Clarke Rodgers:
นี่เป็นเรื่องปกติสำหรับ Clarke หรือไม่

Steve Schmidt:
ใช่มั้ย นี่เป็นเรื่องปกติสำหรับ Clarke และเป็นเรื่องปกติสำหรับคนในงานของ Clarke หรือไม่ และการควบคุมเหล่านั้นก็ไม่มีอยู่จริงในสถานที่ส่วนใหญ่ นั่นเป็นเหตุผลว่าทำไมการใช้กฎควบคุมระบบจึงมีความสำคัญ ผมไม่สนใจว่าคุณจะใช้ระบบอะไรในการทำมัน คุณเพียงแค่ต้องมีกฎควบคุมระบบอยู่

และกฎควบคุมระบบเหล่านั้นจะต้องพัฒนาอย่างต่อเนื่องตามภูมิทัศน์ของภัยคุกคามที่พัฒนาขึ้นรอบตัวคุณ ตามการเปลี่ยนแปลงของวิทยาศาสตร์ด้าน AI ช่วยสร้าง และตามการเปลี่ยนแปลงของธุรกิจของคุณ กำหนดมากขึ้นเรื่อย ๆ ว่าการใช้งานข้อมูลที่ป้อนเข้าสู่ระบบ AI ช่วยสร้างนั้นเหมาะสมหรือไม่

Clarke Rodgers:
นั่นเป็นคำแนะนำที่น่าทึ่งมาก เราจะดูว่าการคาดการณ์ของคุณเป็นจริงหรือไม่ Stebe คุณเป็นประธานเจ้าหน้าที่รักษาความปลอดภัยของ Amazon ทั้งหมด พูดได้เลยว่าเป็นงานที่มีความเครียดสูง คุณทำอย่างไรเพื่อให้ไม่เพียงแต่ตัวเองมีสติและผ่อนคลายความเครียด แต่ยังคอยติดตามโลกอยู่เสมอ พยายามปรับตัวกับบางอย่างและไม่สนใจบางอย่าง แล้วคุณจะมั่นใจได้อย่างไรว่าผู้นำของคุณก็ทำแบบเดียวกันและดูแลตัวเองด้วย

Steve Schmidt:
สิ่งแรกที่ผมมุ่งเน้นไปที่ผู้นำทุกคน ไม่ว่าพวกเขาจะเป็นพนักงานใหม่หรือพนักงานประจำในบริษัท ก็คือ คุณทำอะไรเพื่อแยกตัวเองออกจากงานได้บ้าง งานของเรามีความเครียดสูงอย่างไม่น่าเชื่อ มีบางอย่างที่ไม่มีวันหยุดทำงานอย่างมีประสิทธิภาพ

การหาทางมอบความรับผิดชอบระหว่างคนอย่างเป็นทางการ และพูดว่า โอเค Clark คุณจะไปพักร้อนในอีกหกวันข้างหน้า ฉันไม่อยากได้ยินคุณ ผมไม่ต้องการให้คุณออนไลน์ และคนของเราทุ่มเทอย่างไม่น่าเชื่อ มีสถานที่หลายแห่งที่ผมต้องขู่ว่าจะปิดคอมพิวเตอร์ของพวกเขา เพราะคุณควรไปพักร้อน หยุดส่งอีเมลถึงผม

ผมขอบคุณการทุ่มเทของคุณ แต่ปัญหาคือคุณจะหมดไฟ และนี่คือการทำงานแบบมาราธอน งานเหล่านี้ไม่ใช่แค่การวิ่งระยะสั้น ดังนั้นการสร้างกลไกนั้นจึงสำคัญมาก สิ่งที่สองคือการมีบางอย่างที่ทำให้คุณสามารถทำสิ่งที่มีคุณค่าต่อตัวคุณเอง บางคนเป็นนักดนตรี บางคนปีนภูเขา บางคนไปตกปลา โดยส่วนตัวผมเป็นนักดับเพลิงและพยาบาลอาสาสมัคร

Clarke Rodgers:
โอ้ ว้าว

Steve Schmidt:
มันเป็นสิ่งที่สำหรับผม เป็นสิ่งที่ตรงกันข้ามกับงานประจำวันของผม เพราะเราเป็นมนุษย์ เราชอบโต้ตอบกับผู้คน ผมกำลังพูดคุยกับคุณที่นี่แบบตัวต่อตัว ใช่ ไม่ใช่ตอบโต้กับวิดีโอ นั่นเยี่ยมมาก แต่งานประจำวันของผมเป็นสองสิ่งที่แตกต่างจากอะไรพวกนี้มาก

อีกอย่างหนึ่งคือสิ่งที่ผมทำในงานประจำส่วนใหญ่จะส่งผลในอีกสาม, ห้าหรือ 10 ปีข้างหน้า ดังนั้นมันจึงไม่ใช่รางวัลที่เห็นผลทันที ข้อที่สองคืองานทั้งหมดทำกับคอมพิวเตอร์ มีคนอยู่ด้วยไม่กี่คน และผมไม่สามารถเห็นหรือจับต้องคนเหล่านั้นได้ด้วยซ้ำ ด้วยส่วนที่สนุกสนานในชีวิตของผม การเป็นนักดับเพลิงและพยาบาลอะไรพวกนี้ หากผททำหน้าที่ของตัวเองได้ดี ผมสามารถช่วยคนที่ผมเอื้อมมือไปสัมผัสได้ มีวันที่ดีขึ้นได้ และนั่นทำให้ฉันได้รับผลตอบรับทันที ซึ่งเป็นสิ่งที่ฉันกระหายอยากในฐานะมนุษย์คนหนึ่ง และข้อที่สอง มันเป็นเรื่องทางกายภาพมากซึ้งตรงกันข้ามกับสิ่งที่เป็นตรรกะล้วน ๆ

Clarke Rodgers:
มันความเครียดที่แตกต่างกัน แต่อาจจะเป็นความเครียดที่ดีต่อสุขภาพ

Steve Schmidt:
เป็นแบบนั้นจริง ๆ เรื่องที่เป็นตลกร้ายก็คือมีการศึกษาวิจัยมากมายที่ระบุว่า ผู้ที่ทำงานดับเพลิงมาเป็นเวลานานมักจะมีอัตราชีพจรเต้นลดลงเมื่อได้ยินเสียงไซเรน เนื่องจากนั่นคือสถานที่แห่งความสุขของพวกเขาและพวกเขาก็สนุกกับมัน และมาเผชิญกับความจริงกันเถอะ ใครจะไม่ชอบขับรถไปตามถนนที่มีเสียงไซเรนและไฟบนรถล่ะ มันสนุกมาก

Clarke Rodgers:
นั่นเยี่ยมมาก และผมก็จินตนาการและอยากได้ยินมากกว่านี้ในฐานะ CSO คุณต้องเผชิญกับการตัดสินใจและการตัดสินใจที่สำคัญมากทุกวัน คุณเป็นพยาบาลหรือเจ้าหน้าที่ดับเพลิงที่มีอันดับสูงกว่าหรือต่ำกว่า ซึ่งหมายถึงมีคนอื่นที่ต้องตัดสินใจครั้งสำคัญและคุณก็แค่โฟกัสกับวันของคุณเท่านั้น

Steve Schmidt:
น่าประหลาดใจที่จริงผมเป็นผู้ช่วยหัวหน้าในองค์กร แต่นั่นเป็นเรื่องเกี่ยวกับทักษะความเป็นผู้นำมากกว่าเกี่ยวกับความฉลาดทางเทคนิคในหัวข้ออื่น ๆ แต่ผมทำมันมาแล้ว 38 ปี

Clarke Rodgers:
โอ้ นั่นน่าทึ่งมาก

Steve Schmidt:
ผมก็เลยได้ประสบการณ์เล็ก ๆ น้อย ๆ มาบ้าง

Clarke Rodgers:
เยี่ยม ครับ Steve ขอบคุณมากนะที่มาร่วมงานกันในวันนี้

Steve Schmidt:
ขอบคุณ มันยอดเยี่ยมมากที่ได้มาที่นี่

ฟังเลย

ฟังเลย

ฟังเลย