卓有成效的领导者认识到,追求安全不能脱离实际,而是要发挥集体力量。在这次采访中,聆听 AWS CISO Circle 项目负责人 Danielle Ruderman 讲述 AWS 如何帮助安全领导者建立一个知识共享和支持的全球社区。
CISO Circle 活动为安全领导者提供了空间,让他们可以从世界各地聚集在一起,讨论安全领域的热门话题、挑战和新兴威胁。观看对 Danielle Ruderman 和 AWS 企业战略总监 Clarke Rodgers 的采访,了解有关该项目以及如何参与您附近的 CISO Circle 的更多信息。
为首席信息安全官开发一个有价值的社区
Clarke Rodgers (00:10):
Danielle,非常感谢您今天能接受采访。
Danielle Ruderman (00:11):
感谢您的邀请。
Clarke Rodgers (00:13):
那么,能否请您介绍一下您的背景以及是什么让您加入 AWS?
Danielle Ruderman (00:17):
当然!我的背景是,我最初是从计算机程序员开始从事信息技术工作的,然后转向了程序和项目管理。随着时间的推移,开始与一些安全客户合作。大约三年半后,我进入了全球安全专家组织,担任面向客户的职位,直至今天。
我们创建了这个名为 CISO Circles 的项目。这是一个将来自世界各地的客户聚集在一起的机会,他们可以互相交流,讨论对他们来说很重要的话题,还可以与来自 AWS Security 的领导者会面。
这确实使我们有机会深入了解首席信息安全官的担忧,以及哪些话题真正引起了他们的共鸣,并找到合适的方法来策划可以鼓励对话和鼓励开放分享的活动。
Clarke Rodgers(01:00):
您做了哪些工作来真正促进客户与其他客户会面和谈论安全问题?
Danielle Ruderman (01:07):
我们注意到的一件事是,有机会将我们的客户聚集在一起,相互学习和会面。在疫情期间,我认为 AWS 和我们的客户都在寻找更好的互动方式和更好地共享资源和信息的方法。
促成这一点的一些因素是为所有人制定了保密协议,并遵守了查塔姆大厦规则。当把一群首席信息安全官聚集在一起时,我们真诚希望每个人都畅所欲言。您需要准备好这些东西才能为对话提供一个安全的空间。
CISO Circle 的
独特属性:
- 事先签署了保密协议
- 查塔姆大厦规则生效
- 鼓励坦诚对话
- 由 AWS Security 的领导者主持
- 成员选择讨论话题
Clarke Rodgers (01:34):
那成功了吗?
Danielle Ruderman (01:35):
绝对成功了。查塔姆大厦规则的原则是,您可以使用在闭门讨论会议中听到的信息,但不能注明出处。这确实让每个人都可以自由地分享、坦率地发言——我认为这在安全行业非常重要,我们可以坦率地发言——然后获取并按照自己认为合适的方式使用这些信息。
Clarke Rodgers (01:55):
最近有几个热门的安全话题。包括零信任、生成式人工智能和安全性——CISO Circles 中有没有提到过这些话题?
查塔姆大厦规则
与会者可以自由使用会议期间收集的信息,但不得透露发言人或任何其他与会者的身份或隶属关系。
CISO Circle 中通常讨论的话题有哪些?
Danielle Ruderman (02:06):
我们发现,零信任是首席信息安全官长期特别关注的领域。他们的董事会和同行高管提出了许多相关问题。这是一种行业趋势,因此我们非常倾向于并围绕零信任举办了一些会议和小组讨论。比如我们如何解决零信任问题?
当然,最近我们在调查和讨论中肯定看到,人们对安全和人工智能的兴趣有所增加,因此我们也才刚刚开始关注这个话题。其他一些问题是关于“AWS 在新兴威胁形式中看到了什么? 我们可以分享哪些信息,帮助客户就如何保护环境做出可行的决策?”
一些最开诚布公的讨论所围绕的话题是勒索软件的影响、Log4j 和客户经历的事件,以及为首席信息安全官提供一个安全的场所,让他们切实探讨对其业务的影响、他们的高管如何处理其中一些问题,以及他们的董事会如何应对。也就是说,以闭门会议方式探讨真正发生的事情,并互相给出建议。大家都知道,在某些时候,我们会发现自己处于不幸的境地,而知道自己受到同行社区的支持非常非常重要。
2023 年最受欢迎的话题:
- 人工智能在安全领域的应用
- 主动安全
- 威胁情报报告
- 零信任
- 数据隐私/数字主权
Clarke Rodgers (03:11):
非常好。然后,关于话题呢? CISO Circle 的话题是如何确定的?
Danielle Ruderman(03:18):
对于我们举办的每项活动,我们都会做两件事情。我们会做一项书面调查,因此我们实际上列出了一些话题,要求首席信息安全官做出回应,并在需要时补充这些话题,但我们也将其作为每次讨论的一部分,在会议结束时,我们会公开讨论这些话题。这使得我们有机会真正深入了解我们的首席信息安全官感兴趣的话题及其原因,然后会让我们了解到我们可能没有考虑的内容,这非常有帮助。
因此,我们努力创造一个让客户可以互相学习的环境,但这也是 AWS 向客户学习的机会,我们非常重视这一点。每当我们收到有关我们的服务、我们开展业务的方式以及任何与 AWS 有关的反馈时,我们都会切实向领导层反映这些问题。同样,根据查塔姆大厦规则,我们不说明其来源,但我们会跟踪需要重点关注的方面,然后我们可以根据这些反馈来做出调整,让我们的服务更适合所有客户,而这确实是该项目的主要目标。
因此,一旦我们收到这些数据,我们就可以在整个项目中全面了解到哪些话题引起了客户的共鸣,但它也使我们能够更好地了解哪些话题在不同的垂直领域或不同地区引起了共鸣。然后,我们利用这些信息,在制定虚拟活动的日程表时,坚持只讨论一个主题,对吧,因为我们知道,人们不希望在网上看着屏幕的时间超过 1 小时或 90 分钟。
CISO Circle 现场活动的预期结果是什么
Danielle Ruderman (04:41):
对于现场活动,我们有机会真正地详细讨论,因此活动内容不限,时间可以从半天到一整天,我们将讨论引起客户共鸣的话题,我们可以从中选择几个话题。我们要做的就是确保每个话题至少有一小时的时间可以讨论。
因此,通常情况下,我们会就一小时活动开始时谈论的特定话题邀请一位 AWS 专家,做开场会话,接着与会者参与讨论。我们以这种形式开展了一些非常热烈和非常积极的讨论。另一件非常受欢迎的事情是进行小组讨论。有时,我们会与 AWS 领导者和客户负责人组成一个综合小组。
Clarke Rodgers (05:19):
这太酷了。
Danielle Ruderman (05:20):
或者,我们会就特定话题开展整个客户小组的讨论会。这确实使我们的首席信息安全官能够直接听取同行的意见,向他们提出质疑,提出问题,并再次引发这种畅所欲言的对话。
Clarke Rodgers (05:30):
CISO Circles 是如何划分的? 是融合所有金融服务首席信息安全官,还是按全球地区划分后结合在一起?
2023 年设有现场
CISO Circles 的地区:
Danielle Ruderman (05:20):
实际上,我们做了以上所有事情。因此,随着时间的推移,我们开始专注于不同的垂直领域。例如,我们实际上已经为能源领域举办了几次 CISO Circles 活动。我们正在向汽车行业、金融服务行业靠拢,因此未来还会有更多类似的行业出现。
各行各业的许多问题都非常相似,这也是我们在这些混合群体中取得成功的原因之一。但是,在某些行业中,例如,能源行业。我们最近开展了一些能源领域的 CISO Circles 活动,当然,其中提到了关键基础设施的话题。因此,确保我们的发言者能够谈论 AWS 如何解决其中一些挑战,并让其他专家真正了解这些特定问题,这非常有帮助。因此,尽管一般主题是相同的——我们都关注勒索软件,我们都关心身份问题,但我们可以涵盖的一些行业存在这些非常具体的细微差别。
我认为这种结合是件好事,因为有时不同的行业互相学习是件好事,或者他们想与志同道合的人交谈,但我们也看到不同行业、小客户和大客户之间存在很好的交互影响作用。这是每个人学习新事物或获得意外收获的真正机会。
Clarke Rodgers (06:54):
您还负责安全组织其他方面的工作吗,比如安全工程师、安全开发人员之类的工作?
要加入 CISO Circle,一定要先成为一名首席信息安全官吗?
Danielle Ruderman (07:02):
这是个好问题。我们的首席信息安全官都非常喜欢这个项目,他们说:“哇,我希望我的团队能够体验到这样的事情”,于是诞生了姊妹项目 Security Builders Circle,我们以非常相似的形式创建了这个项目。同样,我们希望遵守保密协议以及查塔姆大厦规则,让首席信息安全官领导下的安全领导者也有同样的机会聚在一起,相互讨论这些话题。
对于这些圈子,我们倾向于更深入地研究技术,更深入地研究服务。这确实使我们有机会了解我们的安全领导者如何实施我们的服务并解决他们的挑战,AWS 面临的困难以及我们如何才能做得更好。因此,对于我们的客户来说,这是另一个相互学习的机会,也是我们向他们学习并确保我们真正满足他们的需求的机会。
Clarke Rodgers (07:49):
对于其他安全或合规从业者来说,还有其他问题吗?
您如何看待 CISO Circle 项目在未来几年的发展?
Danielle Ruderman (07:54):
基于该项目的成功,我们正在考虑其他一些方法来支持我们的客户。其中一项计划是扩展到风险与合规领域。
因此,我们将创建专门关注治理、风险和合规的圈子,这样我们就可以让主题专家和高管再次聚集在一起,专注于对他们来说真正重要的问题。我们关注的另一点是新兴领导者,他们都是非常有志向的首席信息安全官。
首席信息安全官团队中有副首席信息安全官或其他高级领导者,他们会思考:“我怎样才能扮演这个角色?” 我们可以做很多事情来支持他们,并将他们团结起来。他们是如何学习和为未来的角色做准备的? 这在安全性方面非常重要。我们需要不断培养未来的领导者。
然后,我们也进行了一些关于安全圈中女性的讨论,女性首席信息安全官、有志向的女性领导者等话题,再次将这些群体聚集在这种环境中。
如何注册我附近的 CISO Circle?
Clarke Rodgers (08:47):
那么,如果我是客户,并且有兴趣进一步了解 CISO Circles,我该怎么做?
Danielle Ruderman (08:54):
我们建议您联系您的客户经理,他们可以了解您所在地区和您所在行业中是否有群组,并告知您何时会有群组。如果在您附近没有这种群组,那么我们很乐意讨论如何创建一个群组。
Danielle Ruderman
AWS 全球安全专家高级经理
Danielle Ruderman 是 AWS 全球安全专家组织的高级经理,她领导着一支由全球安全专家组成的团队。Danielle 自 2016 年以来一直在 AWS 工作。她的技术职业生涯已逾 20 年,曾服务于企业型公司、初创公司和政府组织。如今,Danielle 喜欢讨论如何构建加强安全控制的组织文化,以及如何设计能够“让正确的事情变得简单”的系统和机制,从而使安全成为业务推动力。
Clarke Rodgers
AWS 企业战略总监
作为具有丰富安全专业知识的 AWS 企业战略总监,Clarke 充满激情地帮助高管探索如何实现安全转型,并与他们一起找出正确的企业解决方案。Clarke 于 2016 年加入 AWS,但是他早在成为我们的团队成员之前就已开始利用 AWS Security 的优势。在一家跨国人寿再保险公司担任首席信息安全官期间,他负责监督战略部门全面地迁移到 AWS。
更进一步
获取更多信息
想了解有关 CISO Circle 计划的更多信息吗? 填写表格,让我们知道您对此感兴趣。我们的团队将联系您,回答您可能有的任何问题,并帮您与所在地区与您距离最近的 CISO Circle 群组取得联系。