在谈话的第二部分,AWS 企业战略分析师 Clarke Rodgers 向 Chad 讲述了在过去几年中,安全与合规组织在人员招聘、团队建设、审计和维护方面都有哪些变化,以及他的 AWS 团队如何继续创新。 在此观看他们讨论的第一部分内容。
对话详细信息
Clarke:(00:05)
Chad,非常感谢您今天能够参与讨论。
Chad:(00:07)
很高兴来到这里。
Clarke:(00:09)
那么,能谈谈您的背景吗?是什么吸引您来到 AWS 的?
Chad:(00:13)
好啊。我在 AWS 工作了将近 11 年,从 2010 年开始就一直从事安全和合规方面的工作。我来自 EY,在那里,我们主要提供安全咨询,还有业务连续性咨询服务。这一背景对我今天的工作,也就是从事 AWS 的安全合规性相关事务,很有帮助。
Clarke:(00:43)
作为 AWS 的安全保障主管,您的主要职责是什么?
Chad:(00:50)
我们的主要目标和任务是帮助我们的客户将受监管的、真正敏感的数据迁移到云,以及处理随之而来的许多相关事务。您需要能够在内部证明您的环境是安全的。您还必须审核 AWS,确保您的供应商 AWS 是安全的。这就是我们要做的,我们要通过审计、认证以及其他直接的审计工作来证明,我们在后台做的工作,也就是客户不能直接看到的内容,是安全的,并且符合我们遵守的各种不同类型的法规和认证标准。
Clarke:(01:34)
所以,您有内部团队,内部合规团队来确保 AWS 服务达到特定标准。我猜您也和外部第三方审计师和监管机构合作吧?
Chad:(01:47)
是的,没错。我们的大部分工作会对外涉及外部审计师、监管机构、监管机构审查员以及对 AWS 进行审计和执行尽职调查的客户。
Clarke:(02:03)
从广义的角度看,在安全领域,对优质人才的物色、招聘、培训以及如何留住人才这一过程是十分困难的。我想,对于安全保障和合规性专业人才来说,情况也是如此。
Chad:(02:18)
您说的非常对。是这样的。
我们通过审计、认证以及其他直接的审计工作来证明,我们在后台做的工作,即客户不能直接看到的内容,是安全的,并且符合我们遵守的各种不同类型的法规和认证标准。
Clarke:(02:20)
您能谈一谈,您是如何培养新员工,如何让他们全身心投入,对自己的工作保持热情和激情,以及如何让安全保障工作成为他们的理想工作?
Chad:(02:33)
好的。退一步说,如今招聘真正优秀的技术安全人员的困难在于,我们是与一些相当强大的对外服务竞争。我们寻求的人才相同,比如开发人员和系统设计师之类。所以,我们不得不与之竞争。
Chad:(03:00)
很多时候,虽然感觉是完成了一项相当棒的工作,可是什么都没有改变,对吗? 比如没有违规,没有升级,什么都没有发生。但是,当在服务方面做得非常好时,就会带来一些改变。他们发布了一款产品,所有人都很兴奋,因为这会带来利润,也会受到客户的喜欢。我们是在这些方面竞争。但是,我们所拥有的,安全专家所拥有的才是作为企业真正优秀的一面,而不是像企业公民。就像真正成为整个行业安全的一个好的贡献者一样。
Chad:(03:49)
因此,我们所做的就是,开发我们的内部流程和内部服务并将其延伸至外部,帮助我们所有的客户群更好地做到安全和合规。因此,这也是它的一个方面。那些真正重视这一点的人在我们的团队中表现得非常好,并且非常热爱从事合规相关工作。其实,没有人会在上大学时想到要成为一名审计师,或者要成为一名合规工程师。没有人想得到,但是当他们加入我们的团队,真正了解到我们在做什么,以及我们如何帮助客户后,这对我们所有的客户群来说都是一个非常广泛的价值主张,而不仅仅是那些使用特定服务的客户。这就是我们所做的事。
Chad:(04:40)
因此,当我们雇用员工时,往往不会雇用那些从事过传统合规工作的人,也许是因为他们对服务团队或开发人员总会有些抵触。我们实在不想出现这样的情况。我们要避免这样的情况。所以符合我们要求的人并不多。也有一些极具激情的人在做这个事情,并且这个群体正在不断扩大,但与以往一样,他们可能还是不太懂技术。因此,这也不是很适合我们。
Chad:(05:21)
但如果遇到了合适的人才,他们也需要符合 Amazon 的两条领导原则才行。第一是善于学习和充满好奇心。他们需要有好奇心,要了解开发人员的工作流程,了解他们使用的工具。就像我说的,要了解他们是如何工作的。这需要对技术充满好奇,钻研它,才能把它做好。
Chad:(05:54)
第二个领导原则是创新和简化,因为我们正致力于探寻一些以前没有人尝试过的合规方式。我知道,在我们询问同事或者在其他论坛和会议之类的场合询问时,别人可能不需要处理我们要面对的规模。因此,我们必须专门为开发人员开发出我们自己的产品,我们自己的工具以及我们自己的服务。所以我想说,这是我们真正需要的两条领导原则。
Chad:(06:29)
当我们引进人才时,我们会从各地招揽。我最优秀的员工之一是一名电气工程师。他在学校获得了电气工程学位,并从事了电气工程方面的一些其他工作。后来,他加入了我们公司,因为他对我们当时做的工作极度好奇,非常符合我们的价值主张。他确实是我们最优秀的人才之一。这就是我们所青睐的。
Chad:(06:57)
我们喜欢教育背景和企业背景的多样性。我的意思是,我们要有一个非常多元化的团队,团队成员的背景和想法,来自哪里,所在地点,所有这些都可以截然不同。这对公司的发展确实有好处,因为我们可以跳出思维定势。我们可以思考如何扩大规模。我让我的团队参与得越多,他们发挥的能量就越大,他们可以在这些方面为行业领先的事业做出贡献,以前所未有的速度扩展不同的活动和不同的流程。他们对此感到兴奋。就像我们所有人一样。我也同样如此,而且我们也正在积极准备,切实践行这一思维领导力。
Chad:(07:45)
而另一件令人兴奋的事情是,它也确实适用于我们的许多客户。我认为,我们让客户受益的事情比人们意识到的要多很多。我们不仅致力于开发流程、工具以及其他促进因素,而且我们还试图通过我们的其他服务将其延伸至外部,帮助我们的客户利用我们的经验教训从而不重蹈覆辙。
我们开发内部流程和内部服务并将其延伸至外部,帮助我们所有的客户群更好地做到安全和合规。
Clarke:(08:14)
Chad,过去的 18 个月、24 个月,对每个人来说都很艰难,因为疫情原因,人们不得不在家和咖啡馆等地方进行线上工作。这种远程工作对您的团队及其日常工作能力有什么影响,是否增加了一些功能和服务来帮助支持不同的开发团队?
Chad:(08:35)
从传统意义上来说,某些方面的审计工作没有意义,比如走访数据中心。在许多方面,审计师走访数据中心主要是为了能够在表面上完成这项工作。或者,他们亲自走访是为了能够勾选方框表明完成了这项任务,而实际上他们可以从其他方面获得他们所需要的信息。就像数据中心访查,我们的数据中心仪器化程度很高,我们可以远程收集所需的任何证据,包括摄像头的覆盖情况。所以为什么需要走访数据中心呢? 实际上走访数据中心并不能为您提供帮助。
Chad:(09:12)
所以在疫情之前,我们会有各种各样的工作,这些工作实际上并没有必要做,而且花费了很多时间,尤其是走访世界各地的数据中心。当我们要去走访位于新加坡的一个数据中心时,就需要占用整个小组、审计师以及我们自己一整个星期的时间。
Chad:(09:40)
疫情发生后,我们就无法这样做了。起初,审计师确实很难开口说,好吧,我不去数据中心了。但我们的处理是,我们和他们一起工作,但会表达说我们工作的方式是多么的工具化。 是这样的。我们可以通过虚拟阅览室、查看文件和视频会议进行访谈等方式,远程完成通常需要亲自走访才能完成的所有工作。对抽样调查来说,审计师不需要前往数据中心,便能让我们下载包含需要审查内容的系统表。我们可以通过这种安全的方式向审计师提供数据,并展示我们如何下载数据以保证安全的监管链和所有相关内容。
Chad:(10:31)
疫情原因迫使所有人都以这样的方式工作,因此所有的审计工作都变得更有效率。我们能够提高审计的效率。我们不仅能更快、更有效率地完成审计工作,而且我们还能同时完成许多其他的工作。而在之前,通常情况下,我们必须协调好差旅行程才能依次完成全部工作。所以这种方式对审计工作本身带来了很多好处。
Chad:(10:56)
另外,我们已经能够真正地重新思考什么才是真正必要的,以便验证控制语句或控制过程。疫情在很多方面使我们放慢脚步,使审计师们放慢脚步,重新思考他们如何在我们的环境中真正获得保障。
Chad:(11:26)
我们花时间构建了更多的工具。我们有不同的方式来展示一个数据中心的走访。现在有一个线上的数据中心走访之旅。还有,我提到过数字审计研讨会,这种方式不需要让人们亲身聚集到在一个房间里,而是在一个虚拟的场景中,通过视频之类的形式来实现。这样他们就可以在自己的时区按需进行,我们不需要联系服务团队的领导和总经理,以便让他们到现场一遍又一遍地向客户展示基本上相同的信息。这种形式使我们的其他审计、其他工作以及培训活动更加有效。
Clarke:(12:17)
这听起来就是审计成为了一种服务?
Chad:(12:21)
审计成为了一种服务,或只是真正专注于那些重要的事情。我们之前 20 年里做的传统工作,是真正需要的吗? 有些不需要。我们现在能够做正确的事情,执行适当的程序以及评估合理的控制。
Clarke:(12:44)
太棒了。如果我们稍微换个角度,从客户的角度出发。假如我是客户,我将启动一个安全保障计划。显然,我不会从 AWS 的级别和规模开始着手,但客户如何获得对他们自己内部安全保障程序的支持呢? 您说过要有开发团队。这在我们的客户中并不是“标准操作”。一些规模较大的客户开始有这方面的考虑。但客户要如何说服领导,让其意识到这项工作的重要性以及意识到这是公司应该投入的投资。
Chad:(13:24)
这是个好问题,但我认为不同的客户有不同处理方法。大多数客户在其业务中都存在各自不同的情况,因而安全与合规的价值主张也各不相同。
Chad:(13:38)
总的来说,在许多方面,安全显然很重要,合规性也是绝对必要的。因此,建立相关计划必不可少。每个人都需要安全计划。每个人都需要合规计划,无论是安全合规还是法律合规,如果您想继续运营,就必须遵守法律,对吧?
Chad:(14:05)
但我想说的是……首先,要向领导层介绍安全和合规计划的价值,我认为这应该是一个商业决策,对吗? 并不是说,这是某人的义务或工作,要去说服整个领导团队,告诉他们确保安全的重要性。这应该是 CEO 级别管理层的决策,表示要认真对待安全问题。
Chad:(14:46)
一旦做出了决策并且理解了它的价值,如果想进行投资,该如何做呢? 我想说的是,就像我们刚才谈到的了解开发人员的实际工作流程一样。这可能是您必须真正关注的头等大事。大多数人一开始会问,“我们拥有哪些控制框架?” “我们需要遵守哪些控制措施?”首先需要先记录下这些控制措施,然后告诉企业他们需要做这些事情或实现这些目标。
Chad:(15:25)
如果您真正深入了解您的企业是如何运作的,不管它是什么企业。我们需要面对的是一群开发人员,对吧? 他们是如何工作的,他们是如何完成工作的,他们使用什么工具,所有这些都是非常重要的,因为我们必须在引入任何新东西之前深入了解它。很多时候,我们不需要引入任何新的东西,因为工作已经完成了。或者我们会解释控制框架是如何工作的。无论您从事什么行业,把他们实际在做的事情、工作方式与要求以及可能需要对企业进行的解释相结合,这些工作是最重要的。
Chad:(16:24)
为了在合规团队、安全团队和企业之间建立真正的良好伙伴关系,您需要做的第一件事可能就是这样。很多时候,我们把这一点搞反了。我认为这确实是我们成功的关键,不仅是在开始的时候是这样,而且始终都是如此。我们成功的唯一原因是,我们对 AWS 开发人员设计、开发、部署和维护软件的方式非常熟悉,其他一切都围绕着这一点。
Clarke:(16:59)
Chad,非常感谢您今天能够参与讨论。
Chad:(17:01)
很高兴来到这里。谢谢您,Clarke。
关于领导者
Chad Woolf
Amazon AWS 安全副总裁
Chad 于 2010 年加入 Amazon,从头开始构建 AWS 合规功能,包括审计和认证、隐私、合同合规、控制自动化工程和安全流程监控。Chad 的工作还包括支持公共部门和受监管的行业采用 AWS Cloud,并领导 AWS 贸易和产品合规团队。
Clarke Rodgers
AWS 企业战略分析师
作为 AWS 企业安全战略分析师,Clarke 充满激情地帮助高管搜索如何实现安全转型,并与他们一起找出正确的企业解决方案。Clarke 于 2016 年加盟 AWS,但是他早在成为我们的团队成员之前就已开始利用 AWS 安全的优势。在一家跨国人寿再保险公司担任 CISO 期间,他负责监督战略部门全面地迁移到 AWS。
更进一步