透過營收情報公司 People.ai 資安長 Aman Sirohi 的這些領導技巧和安全預測,領略資安長的思維模式。
在這段安全領導者影片中,AWS 企業策略總監 Clarke Rodgers 採訪了 Aman,全面了解他對威脅情報報告、生成式 AI 及未來安全等課題的觀點。觀看上述影片或在下面查看他們的詳細對話,了解 Aman 對於如何贏得客戶和董事會的信任,如何吸引和留住安全人才,如何平衡安全性與敏捷性等問題的想法。
與 People.ai 資安長 Aman Sirohi 的對話
Clarke Rodgers (00:08):
非常感謝您參加我們今天的訪談。
Aman Sirohi (00:10):
非常榮幸,謝謝您。真是美好的一天。
Clarke Rodgers (00:11):
可否請您介紹一下您的背景以及在 People.ai 從事的工作。
Aman Sirohi (00:16):
沒問題。我們是一家收入情報公司。因此,我們助力銷售領導者利用資料更快地制定決策。安全性是我們所有員工的首要任務,因為我們會擷取客戶的資料並提供相關資料以制定分析決策。
Clarke Rodgers (00:30):
在與許多資安長交談時,我們談到資安長的角色會隨著時間不斷演變。 長久以來,人們將資安長視為「技術安全專家」,只有在組織內發生安全事件時才會現身採取行動。但如今,我們看到大多數成功的資安長最常擔任企業領袖,其次才可能是安全從業者。您可以談一下如何看待此角色的演變以及您自身的體驗嗎?
Aman Sirohi (01:05):
是的,當然可以。我認為,如果倒退回去 5 年、10 年,人們對於資安長角色的理解實際上非常準確。我們的任務就是保護公司。我們是安全專家,我們身處後台和幕後,並且從當今和未來著眼,安全性在所有產業的任何人心目中都應佔據重要地位。實際上,我們需要提前應對安全。 因此,我總是在公司裡說:「將安全性帶到最前線。不要被動防禦。要告訴客戶安全性的含義。告訴他們安全性對公司的重要意義。」 因為只有這樣,客戶才會關注您並表示:「看來您很了解正在談論的內容。」 他們只是與您交談就會感到更安全,因為您主動採取措施。
Clarke Rodgers (01:43):
贏得信任很重要。
資安長如何贏得公司領導者的信任?
Aman Sirohi (01:43):
您想要培養信任感,而這種信任感是一層層建立的。在您會見執行委員會時,他們會探聽一些相關訊息。務必記住,這些董事會成員 (最高決策層) 彼此是朋友,他們會相互詢問:「你聽說過這個駭客事件嗎? 你聽說過這件事嗎?」
因此,我實際上會談論整體安全性。我們的工作場所內發生了哪些問題? 無論是否受到影響,在這些會議中將安全性放在首要位置都是不錯的舉措,因為在董事會成員的腦海裡會出現這些訊息:「我的朋友和我提過這次駭客事件,業界發生了類似事情,但這也是我們沒有受到影響的原因。」
會議重點是講故事、倡導觀念、形成關聯,並將彼此的思想和想法聯繫起來,我認為這可讓安全性更加受到重視。
Clarke Rodgers (02:29):
非常有趣。在進行這些董事會層級的對話並講述這些故事時,您是會說:「我們有 X 個漏洞,我們能夠在這段時間內修補這些問題」,還是會談論企業損益相關的風險?
Aman Sirohi (02:45):
如果了解不同的董事會 (我有幸在幾家不同的公司任職),每個董事會的關注點總是有所區別。有些董事會更加關注:「請為我們指點迷津。」 另外,還有一些成員精明能幹的董事會,這些成員可能不是安全從業者,但充分了解公司的狀況。因此,我的應對方式是先提問:「我們在產業中做什麼? 我們所屬的產業在做什麼? 安全性對大家來說代表什麼?」 然後,我會深入研究與企業核心利益相關的業務價值或能力。
我會告訴企業,始終需要擁有資料來支援自己的安全狀態。安全事件可能會激增,例如,假設上個月網路釣魚攻擊事件已達之前的 10 倍。您不能直接對著董事會說:「我們如何應對網路釣魚活動?」「我之後再來回覆各位。」 這並非合適的答案。
您必須準備好相關資料。您可以說:「投影片第 54 頁實際上顯示目前與最近情況的對比……」歸根究底,我常常認為,如果董事會成員提問,請讓他們感到輕鬆。
Clarke Rodgers (03:42):
確實如此。
Aman Sirohi (03:42):
讓問題變得簡單。讓董事會成員輕鬆消化資訊。然後,您的工作會變得更容易,每個人都有著相同的目標。
Clarke Rodgers (03:49):
讓董事會感到輕鬆是一方面,但如果我們切換到公司內部,您還希望讓產品和開發團隊輕鬆地以正確、安全的方式完成任務。您能否談談為實現這一目標而建立的一些機制?
Aman Sirohi (04:07):
我會討論一種機制,但也許過於簡單:就是進行對話。如果您實際進行對話,則會與技術長、首席工程師或首席架構師坐下來聊聊,當中很多人都會談到「左移」。 我曾經在組織中表示:「我需要解決此漏洞,並且需要您轉變衝刺目標。」 大多數產品開發人員都會說:「我需要推出這項功能。」 功能可讓他們盈利,因此他們更加專注於功能的推出。
因此,如果您與他們對話並表示:「我們需要減慢功能的推出。也許不是在此次衝刺,而是在下一次衝刺,並且我們需要採取這些安全機制來確保正在推出安全的程式碼。」 因此,依據 NIST SSDF 模型,我會說:「如果您前往客戶那邊並說『客戶 X,我是否可以爭取額外的一週時間來製作一款安全的軟體?』 他們總會說:『可以。』」沒有客戶會不同意,對吧? 我始終會強調保持開放、溝通的基本原則。
我們一直以來都被認為是「監視者」,就像是警察一樣。我們並非警察,我們確實不是。如果您採取不同的方式,則可能會說:「好的,不是此次衝刺,而是下一次衝刺。聽起來沒問題。」 可能需要產品長簽署文件以同意延期,但至少現在您正在達成共識,明確延期的原因,而不需要表示:「安全性迫使我們做某些事情。」
您如何尋求安全性和敏捷性之間的平衡?
Clarke Rodgers (05:23):
這太妙了。身為資安長,您的責任是保護組織,並採用所有不同的安全計劃和機制,以使其盡可能安全地開展業務。但是,您也負責實現公司創新。 如何平衡這兩者?
Aman Sirohi (05:43):
這是非常精細的任務。作為一家新創公司,速度和可擴展性是當務之急。客戶需求也是……您擁有現成的產品和相應的功能,而客戶 X 和 Y 想要不同的產品和功能。 因此,公司重新研究產品路線圖。作為資安長,針對任何類型的安全狀態,您必須加入產品路線圖的討論。
在這些討論期間,您可以與最高決策層探討下一個季度和來年的具體規劃。我認為您可以從中得到創新理念,即使再退一步,身為資安長,您也可能會學到一些需要轉變的安全知識,因為某些產品創新正在進行,您需要簡化其中的任務。 當然有人會說,「哦,可以簡化 MFA。」 我會表示:「不,這是不該協商的。」 每個人都必須採用 MFA。這種情況確實會發生,對吧? 但是,作為安全從業者,我們可採用一些方法簡化開發人員的工作,讓他們不必經歷各種曲折就可完成工作。
Clarke Rodgers (06:48):
這是非常酷的事情。雖然並非許多資安長都會面臨挑戰,但是組織內的安全人員有限,並且他們一直在努力尋找方法來提高安全團隊對組織非安全部分的效能和影響力。因此,可能涉及開發人員和服務團隊,也許是會計,也許是財務、人力資源人員,具體視情況而定。您如何看待這一點,然後如何定位組織中的安全文化,以確保每個人都承擔安全任務?
Aman Sirohi (07:27):
這很艱難。並不容易達成,因為行銷團隊希望有不同的目標。財務部門也需要達成不同的目標。銷售人員在不同國家/地區和不同州之間旅行,他們想要實現輕鬆的商務。
特別是在目前的經濟時代,我們的人員和資金都相對匱乏,但我們的職責並沒有改變。因此,在維持現有職責的前提下,我們基本上必須尋求創造性的方法來達成目標。我認為在上一家公司和這家公司任職期間真正有意義的方式之一是,當團隊成員提前與同行團隊或組織面談,討論安全問題,並且再次回到教育、溝通的主題時,我並不會加入。我不加入的原因是不希望有人會說:「安全長在這裡,」或者-
Clarke Rodgers (08:16):
真有趣。
Aman Sirohi (08:16):
「領導層在這裡,我們必須傾聽領導者的意見。」 我讓團隊成員溝通,建立和培養這些關係。 然後,他們與同行和同事交談。因此,當您開始在公司中部署安全性時,它會更加順暢地運轉,因為您實際上已完成準備工作和盡職調查。
Clarke Rodgers (08:37):
您培養了一些盟友。
Aman Sirohi (08:38):
您培養了一些盟友,但以不在場的方式完成。因為如果安全領導者或領導層在現場,則會以完全不同的方式展開對話。「主管在這裡,因此我們得討論這個主題。我要聽主管的意見。」 但我認為,必須讓他人也展開對話。確實很難實現,但我認為您必須建立這種生態系統,讓個別團隊成員能夠接過指揮棒,並成為每個人的安全執業者。
Clarke Rodgers (09:08):
這太妙了。在安全團隊中,當聘請安全人員時,您需要其具備什麼樣的技能、特徵或背景?
在招聘安全人才時,您要注意的關鍵特徵是什麼?
Aman Sirohi (09:20):
首要特徵是好奇心;我無法教導您保持好奇心。
Clarke Rodgers (09:25):
真有趣。
Aman Sirohi (09:25):
我可以教導您安全性。我可以為您提供 X、Y、Z 培訓。我可以提供大學的課程,但我無法讓您充滿好奇。但我們所有人都同意,每天都要處理不同的安全事件。安全性不斷變化和推進。因此,如果充滿好奇心,您就能夠適應不同的應對方式。某一天您會遇到一個漏洞 X,但明天同樣的漏洞不會是 X,而是 Y。如果您充滿好奇並心想:「我可以深入探索並按一下這個按鈕」,然後您就能夠展開行動。對我來說,好奇心是首要原因。
因此,我在僱用人才時使用了一個非常有趣的測試。我給面試者三個字詞 (渴望、謙虛、聰明),並要求他們依據自身特質排名:是渴望第一,還是謙虛或聰明?並且,我始終想要了解您會給討論帶來什麼樣的動力。因為如果我擁有完全由聰明人組成的團隊,並且所有團隊成員都在一個房間裡討論,那麼什麼工作都無法完成,因為每個人都認為自己比旁邊的人聰明。 如果團隊中只有謙虛的成員,那麼討論中不會有冒犯的言語,但卻不可能制定安全措施,因為我們只會說:「哦,好的。今天不行? 我們明天再討論。明天也不行? 那我們之後再說。」 如果您擁有充滿渴望的團隊成員,而且每個人的首要特質都是「渴望優先」,那麼不可能每次都提拔所有人。
因此在面談時,我們會坐下來,然後我做的第一件事是:「各位,請向我展示你們的渴望、謙虛和聰明。你們對這些字詞是什麼看法?」 因此,您想要打造由合適成員組成的團隊。您希望確保團隊的均衡性,並且依據自己所在的生態系統 (無論您是金融、零售、SaaS,還是加密貨幣產業),可能需要增加具備特定特質的成員。相反,在某些產業中,您可能需要減少具備特定特質的成員。這就是我看待在安全組織中建立團隊或招聘團隊的方式。
Clarke Rodgers (11:18):
聽起來團隊成員的多元化是關鍵要素?
Aman Sirohi (11:23):
絕對是。我在加拿大有一名團隊成員,在美國東岸也有一位團隊成員,還有一位國際團隊成員。我會希望他們都在灣區或同一間辦公室工作嗎? 當然會,但這並不可行。我認為 COVID 疫情教會了我們這些知識,只有在您找到有不同想法的人時,多元化、不同的經驗和好奇心才會出現。
Clarke Rodgers (11:45):
聽到這種觀點真是太棒了。截至最近,生成式 AI 工具經常出現在新聞中。隨著越來越多的人 (我設想公司也是) 正在利用其中一些工具,從安全角度來看,您有何想法?
您認為生成式 AI 將對企業未來前景產生什麼影響?
Aman Sirohi (12:04):
我認為這將是我們尚未做好準備的創新。由於工具的創新性和快速推出,我們將需要大量創新並融入諸多安全機制。
我們正嘗試大規模發展業務、開放原始碼工具,而要做的事不斷增加。我認為我們會很快會面臨 AI 風險。您的公司和客戶面臨何種風險?
據我所知,每一份合約都規定第三方資料不能離開您的環境並進入第三方來源。現在,無論您想使用何種 AI 模型,這些資料都會離開您的環境,轉到第三方來源,然後傳回一些答案。因此,我認為法律層面的觀點以及客戶和公司承擔風險的方式將會有很大的變化。我認為在此領域會有很多創新。
Clarke Rodgers (13:08):
是圍繞這些服務的「黑盒子」風險,還是值得關注的具體風險?
Aman Sirohi (13:17):
我會說兩者。我的意思是,我認為這是一個黑盒子,因為我們不知道其中具體的內容。
Clarke Rodgers (13:22):
確實如此。
Aman Sirohi (13:23):
我們可能都同意的一件有趣的事情是,一旦教導模型一些內容,就無法回頭說要「刪除」。 回頭將內容從模型中刪除的成本非常高昂。因此,這是您必須處理的難題,因為您會得到錯誤的資訊,它將破壞模型的平衡性,而您將不得不解決此問題。
我認為風險在於公司會擔心他們向此 AI 工具提供哪些資料。此 AI 工具目前是公開的嗎? 我們都會在公司內部採用 AI 嗎? 我認為所有這些問題都需要得到解決。
問題將以我們沒有準備好的速度不斷演變。從公司的角度來看,隨之而來的風險是什麼? 我要說的一件事情是,從監管方面來看,我根本毫無頭緒。這會是……我甚至不知道從法規層面如何解決此問題,因為必須尋求一種方法來妥善安排一些防護機制。否則,情況將會混亂不堪。
Clarke Rodgers (14:27):
從根本上來說,領導者必須了解,如果他們同意將這些工具作為業務的一部分,則將要承擔哪些風險。
Aman Sirohi (14:35):
是的,您如何控制不同部門的某個人下載其中一款工具,並開始向其提供資訊? 這些資訊流往何處? 目前是否有一種工具可以提醒您或我,表明有人向該 AI 模型提供了違反政策的資訊?
Clarke Rodgers (14:55):
或許其中存在安全機會?
Aman Sirohi (14:58):
是的,我實際上認為會有許多不同的安全機會。我確實認為這也有益於環境。
Clarke Rodgers (15:05):
沿著同樣的思路,如果五年後進行這次對話,我們會談論什麼內容?
五或十年之後,資安長又會談論哪些內容?
Aman Sirohi (15:13):
我想我們會討論如何實際地完成所有辛勞、平凡的工作。我最近閱讀了一篇文章,其中有人找到其中一款這種工具,並說:「我想規劃一場旅行,到生產葡萄酒的國家走走。需要方便帶孩子前往。需要符合我的預算,以及 X、Y 和 Z。」 該工具完成了所有任務,找到一個可以玩地擲球的地點,傳送了一封電子郵件,預訂了相關行程,並且將其放在行事曆上。
而在以前,有人會打電話給不同的酒莊,或者在 Google 上搜尋不同的酒莊,又或者使用某種搜尋引擎來找出答案,而現在這一切都由工具完成。因此,我認為五年後我們關注的重點將會非常有趣。我認為將由人工方式來解釋這些資料,因此它不僅是自動化的,而且完全免費。我認為我們必須在每個關鍵步驟中進行一些人為互動,以確保不會產生錯誤的理解。
Clarke Rodgers (16:19):
您要如何與董事會展開這種對話? 您覺得對話現場會如何?
Aman Sirohi (16:24):
我們已經開始在內部進行對話。我們制定了相應政策,建立了妥善的原則,但絕對不容易。需要花費一些時間。我對此沒有合適的答案,但要保持非常透明,而且我認為應該就此問題進行更多對話。我們應該具備資安長的思維,也就是:「您如何解決此問題? 您要如何監管此類風險?」 因為我認為我們越多談論,就會更容易保護彼此並阻擋對手,因為對手也會利用此類風險。
Clarke Rodgers (16:57):
這是每個人手中的機會。
Aman Sirohi (16:58):
是的,確實如此。
Clarke Rodgers (17:00):
最後,您對其他資安長有什麼建議嗎?
您對其他資安長的最佳建議是什麼?
Aman Sirohi (17:03):
我很喜歡他們提出的建議。我想說的是,我從諸位同行身上學到的一件事就是要更加貼近自己的業務。您必須與財務長、風險長、產品長和戰略長進行對話。您必須更接近他們,因為這將幫助您意識到哪些因素正在推動利潤,哪些因素可保護公司。
然後,如果您能夠參與對話並利用自身的能力協助他們達成目標,那麼您獲得的客戶就會越多。當您回過頭來尋求資助時,其他人會理解具體的原因。因此,我的建議是更接近領導層,了解他們的業務以及推動因素,這可讓資安長更輕鬆地達成目標。
Clarke Rodgers (17:55):
對我來說,這聽起來是很不錯的建議。
Aman Sirohi (17:57):
我一直在嘗試,但不知道是否有效。有些時候我取得成功,但其他時候以失敗告終,因此讓我們拭目以待。
Clarke Rodgers (18:03):
太棒了。Aman,非常感謝您今天抽出寶貴時間。
Aman Sirohi (18:05):
我很感謝您的邀請,非常謝謝您。
領導者簡介
Aman Sirohi
People.ai 資安長
Aman Sirohi 是 People.ai 的資安長。他擁有豐富的經驗,可在全球技術、諮詢零售、金融科技和供應鏈等產業複雜的多利害關係人環境中設想和提供廣泛的安全解決方案。Aman 對打造安全性充滿熱情,協助組織與客戶、員工和合作夥伴建立深厚的信任關係。這種熱情促使他建立高效能團隊,為客戶和合作夥伴提供轉型成果。Aman 是以人為本的領導者,擁有多元業務經驗,一直被認為是值得信賴的顧問和戰略問題解決者,可讓企業提高安全標準,同時為客戶提供更妥善的服務。
Clarke Rodgers
AWS 企業策略師
作為一名 AWS 企業安全策略師,Clarke 熱衷於協助高管探索雲端可如何實現安全轉型,並且與這些高管攜手合作,找到最適合的企業解決方案。Clarke 在 2016 年加入 AWS,但在其成為加入團隊之前便已開始利用 AWS 安全的諸多優勢功能。他曾是一家跨國保險/再保險提供商的資訊安全執行長,並負責監管策略部門執行向 AWS 的全遷移工作。
邁出下一步