利用全新数字体验吸引客户

打造一个多元化且获得充分授权的安全组织

AWS CISO Circle 计划创始人 Danielle Ruderman 访谈

安全领导者每天都面临复杂、高风险的挑战。当压力来临时,又难以找到正确的答案,求助于其他安全领导者社区可能是最好的解决办法。通过对 AWS CISO Circle 计划创始人 Danielle Ruderman 的采访,了解如何找到您所属的群体。

本次访谈也有音频版本。点击下面您常用的播放器图标收听播客,订阅 AWS 领导者访谈,以免错过任何一集。

在这段视频中,AWS 企业战略总监 Clarke Rodgers 采访了 Danielle,了解 CISO Circle 社区如何帮助安全领导者应对不断变化的威胁形势、打造更加多元化的团队以及通过人才培养弥补网络安全技能缺口。观看视频或查看对话内容,了解更多信息。

认识 AWS CISO Circle 的创始人 Danielle Ruderman

有助于树立客户信心的数字化体验

Clarke Rodgers [00:10]:
安全领导者每天都面临持续的威胁、复杂的挑战和高风险的影响。当压力来临时,又难以找到正确的答案,最好的解决办法可能是求助于安全领导者社区。

大家好,我是 AWS 企业战略总监 Clarke Rodgers,也是在“Executive Insights”上与 AWS 安全领导者进行的一系列对话的主持人。

我很高兴 AWS 全球安全专家组织负责人 Danielle Ruderman 加入我们。Danielle 在 AWS CISO Circle 计划的发起上起到了重要作用。与我们一起深入了解该计划的发起及其演变过程。

Clarke Rodgers [00:48]:
Danielle,非常感谢您今天能接受采访。

Danielle Ruderman [00:50]:
很高兴来到这里。

Clarke Rodgers [00:52]:
请自我介绍一下,然后跟我说说您为什么加入 AWS。

Danielle Ruderman [00:55]:
我领导的团队负责开展全球项目,帮助我们的客户和内部团队了解和讨论网络安全。有趣的是,可以这么说,我来到这里经过一番曲折。我认为,让人们知道这一点非常重要,在网络安全领域,可以从多个不同的方向担任这个角色。

我实际上是从 Visual Basic 程序员开始的。然后我一步步走来,最终成为了一名项目经理,我参与了软件开发生命周期的每个阶段。有了第一个孩子后,我的职业生涯发生了巨大的变化,我们稍后再详细谈谈这个。但当时我真的不得不退一步,重新思考如何平衡家庭责任。

我加入了 AWS Security,不是市场营销部门,而是在 AWS Security 工作,他们说:“帮我们想想如何向客户介绍网络安全”。 因此,我要做的第一件事就是帮助编写 AWS 的第一条安全消息。这就是我在 AWS 的经历,它让我深刻理解了我们所做的工作,以及我们如何让安全工作归零。

Clarke Rodgers [01:54]:
太棒了。那么,从您的背景来看,您是在什么时候开始接触网络安全漏洞的?我有点词穷。

Danielle Ruderman [02:02]:
我在美国红十字会工作时,才真正意识到这一点。当时我领导开展移动血液系统的现代化改造工作。如果您曾经献过血,应该知道,我们对这个系统进行了大规模的硬件和软件现代化改造。为了做到这一点,需要保护血液数据库中数十亿的献血者记录。这是一个非常重要的隐私和安全问题

在软件开发生命周期的各个阶段以及现场验证等方面,我们必须与红十字会的 CISO 和安全团队密切合作。虽然我本人不是安全从业者,但从事医疗器械软件工作,需遵守 FDA 规定,这确实让我意识到了它的重要性,因为这个问题非常严重。

Clarke Rodgers [02:47]:
据我所知,在目前的职位上,您负责开展的全球项目注重安全问题,我认为最受欢的是 AWS CISO Circle。您能谈谈 CISO Circle 吗?

CISO Circle 如何使安全领导者受益?

有助于树立客户信心的数字化体验

Danielle Ruderman [03:00]:
在 AWS,我们发起了 CISO Circle,这是一个全球性计划,现已扩展到世界各地,我们以小组的形式将客户聚集在一起,通常有 10 到 25 名 CISO。这个计划是保密的,客户受保密协议保护,我们要遵守 Chatham House 规定。对于客户来说,这是一个真正的机会,可以互相交流和学习,与我们的安全主管面对面。我想说的是,我们的服务团队领导层和 AWS 安全领导层对该计划的倾力支持让我无比感激。

这也是我希望客户听到的,我们的领导层和服务团队希望直接听取大家的意见。CISO Circle 为我们提供了一种途径,不仅能让客户相互学习和分享建议,还将为我们提供坦诚和直接的反馈。而这正是我们想要推动的,那就是让客户直接参与进来。

让高层领导以小组形式直接与所在地区的客户交谈是非常有效的。真正了解当地的情况、当地的市场、成熟度以及世界上不同地区对网络安全的关注;确实能让我们更好地了解客户面临的问题,从而帮助我们为每个人提供更好的产品。

Clarke Rodgers [04:09]:
可以想象,建立这样一个全球性的计划,邀请 CISO 加入,提供他们有兴趣知道和讨论的内容,必定不是一笔小投资。您是如何认识到它的必要性,然后在内部推广这个想法,使其成为现实的?

Danielle Ruderman [04:26]:
多年来,我们有不同的组织把 CISO 团体聚集在一起,因为他们看到了这种必要性。我们的客户希望彼此面对面,特别是他们希望与使用 AWS 的其他高管面对面,因为这些高管更了解情况。再说,我们看到人们将这些分散的群体聚集在一起,但是没有整体动作,要把这样的群体聚集起来很不容易。

我们先从一小批 CISO 开始。这是虚拟的,因为我们不能面对面聚在一起,但我们进行了非常精彩的讨论。我们邀请了一些 AWS Security 领导参与交流,并尝试让 CISO 在线讨论。在这次成功的基础上,我们从 2021 年开始,分成更多更小的区域化团队。我们从中学会了如何改进整个计划,我想您也参与过之前的计划。

CISO 最常讨论的话题是什么?

有助于树立客户信心的数字化体验

Danielle Ruderman [05:16]:
我们早期的一些话题确实引起了共鸣,我们讨论了诸如“如何在组织中建立安全文化?”或者“如何与董事会讨论安全问题?”这些话题不像 AWS 或特定于服务器的讨论。我们发现 CISO 确实面临着这些挑战,我们能够创造一个空间,让他们可以相互交流,然后我们也可以分享自己的知识。我们可以分享一些 Amazon 和 AWS 的安全文化,我认为我们传达了一些非常有力的信息,说明我们如何塑造现有组织并维护安全性。

Clarke Rodgers [05:47]:
您提到了 CISO Circle 里出现的几个话题,您认为去年在 CISO Circle 里反复出现的三个讨论点是什么?

Danielle Ruderman [05:57]:
我们会尽力回应客户的要求和最关心的问题,这样我们才能找到合适的演讲者,找到正确的资源,发起相关的讨论,使之成为真正有意义的体验。而且我们在增加主题方面比较灵活。

今年年初,当生成式人工智能出现在每个人脑海中时,我们进行了调查,猜猜全球排名第一的话题是什么? 生成式人工智能与安全然后,主动安全是目前第二大热门话题,包括 DevSecOps。而在当前的经济条件下,许多 CISO 都面临着不得不少花钱多办事的局面。主动安全的概念是实现这一目标的一种方法。

当然,排在榜单上的还有零信任,这是大家最喜欢的流行语。同样,这个概念正受到越来越多的关注,到处都能听到。而客户告诉我们,对于这个词的含义尚未达成共识。因此,他们会让董事会或同行高管问:“我们为零信任做了什么?” 我们首先要做的是,确定它对每个人来说究竟意味着什么? 然后谈谈它的好处以及能为组织带来什么。

还有一个引起共鸣的话题是 CISO 角色的演变。我想大家都知道,随着美国 SEC 新法规的出台,CISO 承受了很大的压力。角色是如何演变的,如何在组织中发挥最大的影响力? 这最终又回到了安全文化上,要考虑在组织中安全由谁负责以及如何将其扩展到业务部门。

Clarke Rodgers [07:28]:
让安全成为业务驱动力,对吗?

Danielle Ruderman [07:30]:
是的。业务推动力。

Clarke Rodgers [07:33]:
太棒了。Amazon 式的做法是,开展全球项目,收集数据,向领导汇报项目的成败,这样才能继续获得投资。那么如何汇报,如何向领导汇报成功?

Danielle Ruderman [07:50]:
如果我们只着眼于该计划的健康状况,我们想确保当我们审视在全球举办的活动和圈子时,是否能真正吸引人们的加入? 他们是否会对客户满意度打分,话题是否引起共鸣,演讲者是否激发共鸣? 所以,基本的理解是,我们希望看到分数比较高,我们希望看到回报率。我们希望看到,随着 CISO 队伍的不断发展和成熟,他们经常回到这里。

我们认为这是一个建立信任的计划。我们想看看这些 CISO,这些组织是否更愿意与 AWS 深入合作? 他们是否深入参与了这些讨论,是否向我们提供了反馈,帮助我们大力改善 AWS,以便为客户提供更好的服务? 我们正在研究这些指标,但我认为,归根结底,我们非常重视客户的参与度和他们的反馈,这才是最宝贵的。

Clarke Rodgers [08:42]:
听起来这个计划很棒。如果我是客户,该如何加入? 我想我必须勾选“我是 CISO”,然后注册并进一步了解这个计划,对吗?

必须是 CISO 才能加入 CISO Circle 吗?

提高转化率之路

Danielle Ruderman [08:52]:
显然,我们锁定的对象是首席信息安全官,但我们发现有些组织的结构图中并没有这个头衔。我们还发现,在一些不同的国家/地区,人们用不同的术语来称呼担任这一角色的人。我们一直在寻找合适的…如果您觉得,“我负责组织的安全工作。” 是的,我们想邀请您加入。

首先,联系您的客户团队。就地点或某些垂直领域而言,我们确实有很多选择,因此可以帮助您找到合适的选择。

Clarke Rodgers [09:24]:
听起来这个计划很棒。让我们换个话题。AWS 内部有一支庞大的团队。当您为团队招聘时,您看重的是什么?

在招聘安全人才时,您看重哪些特质?

提高转化率之路

Danielle Ruderman [09:37]:
我认为,很多招聘经理都会回到领导力原则上来,因为很明显,你的团队中有你需要的特定技能,我们的指导方针始终是这些领导力原则。我要说的是,对于从事安全领域的任何角色,我一直认为“好奇求知”是最高领导力原则。这是因为,你加入 AWS 时可能并不具备某个职位所需的特定技能,但如果你在职业生涯和业余爱好中表现出好奇心和钻研精神,这些都是我们希望听到的。即使你觉得自己不具备特定的技能,但如果你能在生活中其他方面真正体现出“好奇求知”,也是极为宝贵的。

另一个重要的领导力原则是“客户至上”,我们都很重视这一点,但我觉得最重要的是“赢得信任”。 当你开展全球项目,与世界各地的客户和内部领导者互动时,必须抱以谦逊的态度。我需要团队中的人能够赢得不同客户的信任,并在不同的文化中工作。这一点愈加重要,所以我们要找的是能够表现出同理心和谦逊的人。

“

你加入 AWS 时可能并不具备某个职位所需的特定技能,但如果你在职业生涯和业余爱好中表现出好奇心和钻研精神,这些都是我们希望听到的。”

Clarke Rodgers [10:45]:
员工加入之后,尤其是如果他们的职业资历较浅,您将如何指导他们,并为他们指明前进的道路,让他们看到三五年后的职业前景?

Danielle Ruderman [10:59]:
我们有正式的导师计划。当然,在 Amazon,我们有自己的机制和工具。你可以注册一个导师工具,它会帮助你在 Amazon 中找到导师。这是一种很好的方式,结识愿意提供指导的导师。

我们还会提供非正式的指导,我的团队成员会说:“我很想深入了解某个特定的话题。我想成为一名 Amazon 撰稿人,我想成为一名管理者,我怎样才能学到更多这方面的知识? 我想更好地培养我的‘好奇求知’技能,或者其他领导力原则。” 然后,我们可以共同努力,找到一个人,与他们一起工作一段时间,实现特定的目标。

我真的很喜欢这种在心中设定目标的方法。但在建立导师关系时,你不能只想着“我的经理告诉我需要一个导师。” 我会引导团队去思考:“你在自己的职业生涯中看到了哪些进步的机会,你的目标是什么?” 那么作为管理者,我们的职责就是引导他们,帮他们找到可以倾诉的对象。

在这里工作的一大好处是,我对团队非常透明。我们招聘你担任这个职位,但这并不是你在 Amazon 职业生涯的结束。我希望你,如果你在其他业务部门看到一些有趣的东西,我会为你提供帮助。我会帮助你培养实现目标所需的技能。

因此,导师制以及将员工与公司不同的人员、不同的领导者联系起来,对于在 Amazon 开启健康的职业生涯非常重要。

Clarke Rodgers [12:23]:
大家都知道,无论在哪个行业,即使是在 AWS,寻找安全人才都不容易。您如何看待您的角色和招聘中存在的网络安全技能缺口?

您如何寻找多样化的人才来填补网络安全技能缺口?

提高转化率之路

Danielle Ruderman [12:35]:
在整个行业,我们面临着技能缺口,我们无法招聘到足够的网络安全专业人员来满足所有不同组织的需求。AWS 也面临这样的挑战。我最近了解到一件非常有趣的事情,我去我儿子的学校演讲。我们有网络安全课,老师问我是否愿意到班上讲课。当然愿意,我去给七个不同的班级讲了课,大部分都是年轻人。

我很震惊,因为我认为我们在安全技术行业做了很多工作,试图吸引不同的性别加入,但来听我讲课的大部分都是男生。事后我和老师聊了聊,她说:“高中太晚了。已经错过了时机。”

Clarke Rodgers [13:18]:
哇!

Danielle Ruderman [13:18]:
对。她说:“你必须从中学开始,才能让女生感兴趣。” 这让我不禁要问:“如果这是一个从中学就开始存在的行业问题,我们该如何解决呢?”

另一件非常有趣的事情是,如果你想引进处于职业生涯中期的专业人士,我们会考虑如何让这些职位更吸引多样化的求职者,比如那些有家庭责任的求职者? 几年前,我在一个解决方案架构团队工作,他们甚至很难找到有女性申请这份工作。我们知道有女性,也知道她们拥有技能,但她们没有申请空缺职位。

团队经过调查发现,部分原因在于该职位的差旅要求。解决方案架构师经常要到客户那里出差。这个职位覆盖整个美国,这意味着需要经常出差。深入调查后,他们发现女性没有申请是因为她们无法从家庭责任中抽出那么多时间,因为即使在今天,照顾孩子的责任依然大部分落在女性肩上。

他们所做的是修改工作描述,更改职责范围,划定区域,缩小地理范围,从而得到更多女性的关注。所以说,这是用不同的方式思考挑战。

这就是问题所在,那些受我们所做决定影响的人,他们不会主动告诉你问题出在哪里,你必须深入调查。这真的教会了我,我们必须能够以不同的方式思考这些挑战。

最近有一些非常有趣的研究。Claudia Goldin 刚刚获得了 2023 年诺贝尔经济学奖,她是哈佛大学的经济学家,研究过男女薪酬差距问题。这个问题在科技领域尤为明显,对吧? 为什么男女薪酬存在差距? 她发现这不是技能差距,不是教育差距,也不是性别歧视。

事实上,他们注意到,女性在第一个孩子出生之后,工资会有所下降。这又回到了女性承担更多家庭责任的问题上。当承担家庭责任时,可能就无法担任需要更多时间、经常出差的高薪职位。

由于我本人的经历,这项研究确实引起了我的共鸣,因为我不得不辞去一份要求很高的工作。因为我们从事的是血液系统工作,必须随时待命。我无法满足这种工作要求,我的第一个孩子也出了很多状况,所以不得不在事业上后退一步。当我回顾自己的职业生涯轨迹时,我不得不彻底改变自己的工作,这非常艰难。我认为,关于这一点,我们谈论的还不够。

“

如果我们要增加技术和网络安全领域的女性或多元化求职者的数量,就必须考虑这些问题。我们如何帮助那些肩负着其他重担的人度过难关? 他们不会主动谈论这些事情,但我们必须知道这个问题确实存在。”

Clarke Rodgers [15:59]:
我们必须注意这些问题。

Danielle Ruderman [16:00]:
没错。必须设法让我们更容易承担这些角色,并对我们的组织产生影响。

人文视角下的技术领导力

提高转化率之路

Clarke Rodgers [16:06]:
我认为,作为领导者,您树立了一个榜样。最近开始了人文和技术方面的研究。您能否谈谈这一点,还有您认为这对您在 AWS 的工作有何帮助?

Danielle Ruderman [16:21]:
有个朋友给我发了一封邮件,说的是弗吉尼亚理工大学正在启动一个新项目。他们研究的课题是,“作为技术领导者,人文学科如何为我们的决策提供依据?” 然后我想,“天哪。”

我申请了这个项目,还要写一篇论文,我见到了项目发起人。这是一个令人着迷的实验,而且是前所未有的。其理念围绕着,“我们如何从人文思想中学习?”,那么你如何看待什么是人这个问题? 我认为,在当今生成式人工智能时代,这些问题对于我们如何看待技术与人类的结合非常重要。

我不知道我们是否静下心来去认真思考,在人类历史上,关于人类和存在于这个世界的意义,有无数的著作和观点。而技术又增加了另一个维度,可以说,这是我们人类进化的另一个阶段,我们应该谨慎地对待如何使用技术。尤其是作为技术领域的领导者,我们如何看待推理,如何看待它在我们生活中的地位,以及如何让我们所有人的生活变得更美好。

这些都是我们要讨论的问题。这是一种强大的体验,我想我还没有真正深刻地理解如何将它运用到我的工作中,我们还处于早期阶段。但它打开了很多思维方式。跟你说,当我告诉别人我在做这个项目时,他们说:“你能把你的书单发给我吗? 我想了解更多的内容。”

我认为我们这些从事技术工作的人身上有一种尚未开发的需求,那就是有时我们会沉浸于工作的技术方面。但是,当你开始运用人文思维,并深入思考我们为什么要这样做以及这样做对世界的影响时,就会对此充满渴望。我认为,我们需要创造空间来开展这些对话,并在组织的各个层面开展对话。

Clarke Rodgers [18:11]:
我很喜欢。听起来这是一门很棒的课程,希望您能在下次节目中深入探讨。非常感谢您今天的到来。

Danielle Ruderman [18:21]:
非常荣幸。

领导者简介

提高转化率之路

Danielle Ruderman
AWS 全球安全专家高级经理

Danielle Ruderman 是 AWS 全球安全专家组织的高级经理,她领导着一支由全球安全专家组成的团队。Danielle 自 2016 年以来一直在 AWS 工作。她的技术职业生涯已逾 20 年,曾服务于企业型公司、初创公司和政府组织。如今,Danielle 喜欢讨论如何构建加强安全控制的组织文化,以及如何设计能够“让正确的事情变得简单”的系统和机制,从而使安全成为业务推动力。

Clarke Rodgers
AWS 企业战略总监

作为具有丰富安全专业知识的 AWS 企业战略总监,Clarke 充满激情地帮助高管探索如何实现安全转型,并与他们一起找出正确的企业解决方案。Clarke 于 2016 年加入 AWS,但是他早在成为我们的团队成员之前就已开始利用 AWS Security 的优势。在一家跨国人寿再保险公司担任首席信息安全官期间,他负责监督战略部门全面地迁移到 AWS。

  • 发布日期
  • 字母顺序 (A-Z)
  • 字母顺序 (Z-A)
 我们无法找到与您的搜索匹配的任何结果。请尝试不同的搜索。

更进一步

AWS 高管简报
资源中心

创新

了解行业领导者如何持续创新,以发展他们的业务,并提供差异化的客户体验。

播客
播客

聆听和学习

聆听高管和 AWS 企业战略专家(均为前高管),讨论他们的数字化转型之旅。

云技术的商业价值
LinkedIn

持续关注

AWS Executive Connection 是业务和技术领导者的数字目的地,我们在这里共享信息、最佳实践和活动邀请。 

AWS 高管简报
资源中心

为业务领导者解锁生成式人工智能的价值

了解如何将生成式人工智能/机器学习集成到组织中。