與 AWS 一起營造安全文化
與安全工程副總裁兼資訊安全長 (CISO) Steve Schmidt 和 AWS 的 AWS 安全資深經理 Jenny Brinkley 的訪談。
在此焦點訪談中,我們關注安全,特別是關於如何在企業中營造積極的安全文化。我們還將公開我們在 AWS 實作和維護積極安全文化的方法,以及即便您不是來自安全組織,如何仍能夠做到這一點。
我們不僅在建立和營運以前所未有之規模運作的安全組織,而且還在營造和踐行一種在安全領域非常不尋常的文化。在組織中營造正確的文化是我最引以為豪的事情。」
目標設定在營造積極安全文化中的作用
我們堅信循序漸進的方法。我們嘗試讓我們的團隊在很短的時間間隔內完成一些重要的事情,而不是嘗試進行耗費許多年都無法完成的超大型計劃。我們的目標是漸進的、可衡量的,更重要的是,在相對較短的時間內 (如幾個月) 可以實現的增量改進。
漸進意味著我們始終朝著服務團隊和客戶希望實現的目標前進。這種心態很重要,原因有二。一,這就是企業的發展方式以及我們向客戶推出服務的方式。二,這是一種鼓勵服務團隊與我們溝通的方式,讓他們不會將我們視為他們推出服務或產品的障礙。
這與安全團隊本身想要做什麼無關,而是確保我們始終協助我們的客戶團隊、內部團隊朝著他們自己的目標和成就邁進。」
打動客戶的方法就是找出問題所在
讓我們從定義呈報這個詞講起。呈報是確保適當的人員在適當的時間知曉問題的程序,這是 AWS 實現效率的基礎。呈報是某個人在看到某事之後質疑這是否正確的過程。 然後,我們不是視而不見,而是確保適當的人員知曉它。
呈報包含我們的企業價值觀之一,即領導者和負責人深入了解公司營運方式的細節。如果沒有這些細節,您就無法就正在發生的事情以及如何有效地經營公司做出正確的決定。
在過去的安全文化中,當發現問題時,我們會說「殺了傳遞消息的人」,而這會讓大家不敢提出問題。作為領導者,我的工作是感謝那些發現問題並將其提請我們注意的人。我們獎勵信使,然後修復問題。
什麼是「零信任」?它如何讓我們實現改善?
對我們而言,零信任意味著不再依賴網路邊界作為主要防禦點。將安全邊界向下推到盡可能小的元件,如果可以的話,最好是單個資料元素。與之相反,向無論身處何處但取得授權的使用者開放對這些單個資料元素的存取。例如,不再必須使用 VPN,而是可能在手機上有一個代理程式,它可以告知我們的身分驗證和授權系統該手機處於核准狀態,可進行修補。
並將這種信任內嵌到具備高度可重複識別功能的硬體元件上,以確定某人是否與其聲稱的身分相符? 因此,對我們而言,零信任是建立一套控制措施,允許我們根據個人的工作、所處位置、用來存取的裝置、一天中的時間、一周中的哪一天和地理位置,來允許或拒絕對資料個別元件的存取。如果執行得當,我們就能夠更好、更精細地控制資訊。
用於向客戶和員工提問以營造積極文化的問題
- 您對剛才的互動滿意嗎?
- 我是否在合理的時間內解決了您的問題?
- 我是否為您提供了更輕鬆有效完成工作所需的工具?
這些是我們問自己和我們客戶的問題,以確保我們了解內部和外部對我們的看法。
為客戶和員工謹記初心
今天,我們最希望人們認識到的是,企業應該是積極的。它應該是關於我們如何讓人們的生活變得更好, 如何讓他們在工作中更有效率, 以及我們如何確保每天朝著我們的目標逐步前進,而不是等待巨大的成功。
因此,對於那些不在安全部門工作的人,我們鼓勵您安排一次虛擬咖啡會議,了解他們的業務目標,並找到更有效的溝通方式。您可以透過 AWS 安全部落格進一步了解 AWS 安全團隊的最新動向。在 BP,我們努力在所做的所有工作上成為一流。在貿易領域工作很長時間後,您會開始意識到市場在變化,更加以利潤為導向,因而要做到這一點的唯一方法是善用數位技術、自動化,並盡可能追求高效、精益和有效。
您希望為人們提供有關如何正確做事的工具、規則和指示,並讓他們可以輕鬆做正確的事。這樣,您才會成為一名更開心的安全專家,而您的客戶也會因為可以更輕鬆地完成工作而更加開心。」
分享這個故事
推薦閱讀
邁出下一步