Aufbau einer Sicherheitskultur mit AWS

Aufbau einer Sicherheitskultur mit AWS

Ein Gespräch mit Steve Schmidt, VP of Security Engineering und Chief Information Security Officer (CISO), und Jenny Brinkley, Senior Manager für AWS-Sicherheit bei AWS.

In diesem Spotlight konzentrieren wir uns auf das Thema Sicherheit, insbesondere auf die Entwicklung einer positiven Sicherheitskultur in Ihrem Unternehmen. Ausserdem werden wir den Vorhang lüften, um Ihnen unseren Ansatz bei AWS zur Implementierung und Aufrechterhaltung einer positiven Sicherheitskultur zu zeigen und wie Sie dies tun können, auch wenn Sie nicht in der Sicherheitsorganisation sitzen.

Zitat

„Nicht nur sind wir dabei, eine Sicherheitsorganisation aufzubauen und zu betreiben, die in einer Größenordnung operiert, die niemand je zuvor gesehen hat, sondern auch eine Kultur aufzubauen und zu betreiben, die in der Welt der Sicherheit äußerst ungewöhnlich ist. Und das ist das, worauf ich am meisten stolz bin, nämlich die richtige Kultur in der Organisation aufzubauen.“

Die Rolle der Zielsetzung beim Aufbau einer positiven Sicherheitskultur

Die Rolle der Zielsetzung beim Aufbau einer positiven Sicherheitskultur

Wir glauben fest an den schrittweisen Fortschritt. Anstatt ein Programm mit einem großen Knall zu starten, das erst nach vielen Jahren abgeschlossen ist, versuchen wir, unsere Teams in einem sehr kurzen Zeitraum etwas Bedeutendes erreichen zu lassen. Wir streben schrittweise die Dinge an, die progressiv und messbar sind und – was noch wichtiger ist – in einem relativ kurzen Zeitraum, etwa ein paar Monaten, erreicht werden können.

Progressivität bedeutet, dass wir stets Fortschritte in Richtung der Ziele machen, die unsere Serviceteams und unsere Kunden erreichen wollen. Diese Denkweise ist aus zwei Gründen wichtig. Erstens: So entwickeln sich die Unternehmen weiter und so werden unsere Dienstleistungen für unsere Kunden eingeführt. Zweitens ist es eine Möglichkeit, die Serviceteams zu ermutigen, mit uns zu sprechen, anstatt uns als Hindernis für die Einführung von Dienstleistungen oder Produkten zu betrachten.

Zitat

„Dabei geht es nicht darum, was das Sicherheitsteam selbst tun will, sondern darum, dass wir unseren Kundenteams und unseren internen Teams dabei helfen, Fortschritte bei ihren eigenen Zielen und Erfolgen zu machen.“

Der Weg zum Herzen des Kunden führt über die Identifizierung des Problems

Der Weg zum Herzen des Kunden führt über die Identifizierung des Problems

Beginnen wir mit der Definition des Wortes Eskalation. Eskalation ist der Prozess, der sicherstellt, dass die richtigen Personen zum richtigen Zeitpunkt von einem Problem erfahren und ist für die Effizienz von AWS von grundlegender Bedeutung. Eskalation ist das Konzept, bei dem jemand etwas sieht, das ihn zu der Frage veranlasst: „Ist es das Richtige?“ Und dann sorgen wir dafür, dass die richtigen Leute davon erfahren, anstatt darauf zu sitzen.

Eskalation ist einer unserer Unternehmenswerte, nämlich die Tatsache, dass Führungskräfte tief eintauchen und Eigentümer tief in die Details der Geschäftsabläufe eindringen. Ohne sämtliche Details zu kennen, können Sie keine guten Entscheidungen über die Vorgänge und die effektive Führung Ihres Unternehmens treffen.

In der alten Welt der Sicherheit gab es die Redewendung „den Boten erschießen“, wenn ein Problem erkannt wurde, was die Leute davon abhielt, etwas zu melden. Meine Aufgabe als Führungskraft ist es, denjenigen zu danken, die Dinge erkannt und uns zur Kenntnis gebracht haben. Wir belohnen den Boten und bringen es dann in Ordnung.

Was ist „Zero Trust“, und wie kann es die Dinge verbessern?

Was ist „Zero Trust“, und wie kann es die Dinge verbessern?

Für uns bedeutet Zero Trust, dass Sie sich nicht mehr auf einen Netzwerkrand als primären Verteidigungspunkt verlassen. Verkleinerung des Sicherheitsumfangs auf die kleinstmögliche Komponente, idealerweise einzelne Datenelemente, wenn man bis zu diesem Punkt vordringen kann. Umgekehrt betrachtet bedeutet dies, dass der Zugriff auf diese einzelnen Datenelemente von jedem beliebigen Ort aus möglich ist, an dem sich der berechtigte Benutzer befindet. Es geht also nicht mehr darum, dass ich zum Beispiel ein VPN benutzen muss, sondern darum, dass das Telefon vielleicht einen Agenten hat, der unser Authentifizierungs- und Autorisierungssystem darüber informiert, dass mein Telefon in einem genehmigten Zustand für ein Patching ist.

Und die Verankerung dieses Vertrauens in Hardware-Komponenten, die eine große Wiederholbarkeit in ihrer Fähigkeit haben, zu erkennen: Ist das die richtige Person? Bei Zero Trust geht es für uns also darum, eine Reihe von Kontrollmechanismen zu entwickeln, die es uns ermöglichen, den Zugriff auf einzelne Datenkomponenten für einzelne Personen zuzulassen oder zu verweigern, und zwar auf der Grundlage ihrer Arbeit, ihres Aufenthaltsortes, des Geräts, mit dem sie auf das Gerät zugreifen, der Tageszeit, des Wochentags und des Standorts, an dem sie sich in der Welt befinden. Und es ermöglicht eine wesentlich bessere, feinkörnigere Kontrolle der Informationen, wenn es richtig gemacht wird.

Fragen an Kunden und Mitarbeiter zur Schaffung einer positiven Kultur

  1. Sind Sie zufrieden mit der Interaktion, die Sie gerade hatten?
  2. Habe ich Ihr Problem in einer angemessenen Zeitspanne gelöst?
  3. Habe ich Ihnen die Werkzeuge an die Hand gegeben, mit denen Sie Ihre Arbeit effektiver und einfacher erledigen können?

All diese Fragen stellen wir uns und unseren Kunden, um sicherzustellen, dass wir wissen, wie wir von innen und außen wahrgenommen werden.

Erinnern Sie sich an Ihr „Warum?“ für Kunden und Personal

Erinnern Sie sich an Ihr „Warum?“ für Kunden und Personal

Das Wichtigste, was wir den Menschen heute mit auf den Weg geben möchten, ist, dass das Geschäft positiv sein sollte. Es sollte darum gehen, wie wir das Leben der Menschen besser machen können. Wie können wir sie bei ihrer Arbeit effektiver und effizienter machen? Und wie können wir sicherstellen, dass wir jeden Tag schrittweise Fortschritte in Richtung unserer Ziele machen, anstatt auf den großen Knall zu warten.

Für diejenigen, die nicht in der Sicherheitsorganisation sitzen: Wir möchten Sie ermutigen, ein virtuelles Treffen zu vereinbaren, um ihre Geschäftsziele zu verstehen und Wege für eine effektivere Kommunikation zu finden. Weitere Informationen über die AWS-Sicherheitsmaßnahmen finden Sie im AWS-Sicherheitsblog. Bei BP versuchen wir, bei allem, was wir tun, die Besten in unserer Klasse zu sein. Nach so langer Zeit im Handel wird einem klar, wie schnell sich die Dinge auf dem Markt ändern, wie schnell die Margen steigen, und dass die einzige Möglichkeit, dies zu erreichen, darin besteht, digitale Technologien zu nutzen, zu automatisieren und so effizient, schlank und effektiv wie möglich zu sein.

Zitat

„Sie möchten den Menschen die Werkzeuge, Regeln und Anweisungen an die Hand geben, wie sie es richtig machen, und es ihnen leicht machen, das Richtige zu tun. Das Ergebnis ist, dass Sie als Sicherheitsexperte zufriedener sind und auch Ihre Kunden zufriedener sind, weil sie ihre Arbeit leichter erledigen können.“

Diese Geschichte teilen


Investitionen in Teams verändern eine Organisation
Gespräche mit Führungskräften
Investitionen in Teams verändern eine Organisation
Ein Gespräch mit Sheri Rhodes, Chief Information Officer (CIO) bei Workday
Weitere Informationen 
Geschäftsergebnisse mithilfe von Technologie fördern
Gespräche mit Führungskräften
Förderung von Geschäftsergebnissen durch Technologie
Ein Gespräch mit Jo-ann Olsovsky, Executive Vice President und Chief Information Officer von Salesforce
Weitere Informationen 
Eine 50 Jahre alte Unternehmenskultur neu erfinden
Gespräche mit Führungskräften
Eine 50 Jahre alte Unternehmenskultur neu erfinden
Ein Gespräch mit Su Shan Tan, Group Head of Institutional Banking, DBS
Weitere Informationen 

Machen Sie den nächsten Schritt

PODCAST

Zuhören und lernen

Hören Sie sich an, wie Führungskräfte und AWS-Enterprise-Strategen, allesamt ehemalige leitende Führungskräfte, über ihre Erfahrungen mit der digitalen Transformation sprechen.

LinkedIn

Bleiben Sie in Verbindung

AWS Executive Connection ist ein digitaler Ort für Geschäfts- und Technologieführungskräfte, an dem wir Informationen teilen.

EXEKUTIVE VERANSTALTUNGEN

On-Demand ansehen

Erhalten Sie Einblicke von Kollegen und entdecken Sie neue Wege, um Ihre Reise zur digitalen Transformation durch dieses exklusive internationale Netzwerk voranzutreiben.

C-Suite-Gespräche

Lassen Sie sich inspirieren

Hören Sie zu, wenn Führungskräfte von AWS und Kunden bewährte Methoden, Lektionen und transformatives Denken diskutieren.