高階主管中安全領導力的演變

與 Red Canary Co-Founder 暨 CTO Chris Rothe 的對話

安全已成為當今企業的策略優先要務,但情況並非向來如此。在本期安全領導者訪談中,我們與 Red Canary Co-Founder 暨 CTO 對談,以了解他對於近年來安全領導力如何演變的觀點。

聆聽 Chris 與 AWS 企業策略總監 Clarke Rodgers 坐下來分享他對於從高階主管的安全角色,到招聘安全人才,乃至於在企業中安全利用生成式 AI 等問題的想法。

認識 Red Canary Co-Founder 暨 CTO Chris Rothe

能建立客戶信心的數位體驗

Clarke Rodgers (00:09):
Chris,非常感謝您今天接受我的採訪。

Chris Rothe (00:11):
不用客氣,感謝您的邀請。

Clarke Rodgers (00:13):
能否請您先簡單介紹一下自己的背景,以及您在 Red Canary 的職位?

Chris Rothe (00:17):
我是 Red Canary 的 Co-Founder 及 CTO。我們專長在於偵測回應領域。在創辦公司前,我從事衛星資料處理,基本上就是「蒐集大量資料,然後用有趣的演算法分析」。 接著找出有趣的事物,呈現給分析師做決策。這流程其實和我們現在做的網路安全工作有點類似。

Clarke Rodgers (00:39):
您在網路安全產業工作很久了,我們常開玩笑說安全執行長 (CISO) 過去都流放邊疆待在地下室,現在卻能直達天聽,出席董事會會議。您怎麼看這種演變?

Chris Rothe (00:49):
我認為最大的變化是這個職位從技術角色變成技術含量較低、政治色彩更濃厚的角色。關鍵在於能否成為企業內部的安全推手,把安全融入組織文化當中。此外,對於像我們這樣的 SaaS 平台業者來說,也需要常常面對客戶,確保客戶相信我們有保護好他們的資料。 

界定安全的商業價值

能建立客戶信心的數位體驗

Clarke Rodgers (01:16):
以您的角色和客戶交談時,要怎麼闡述安全的商業價值呢?

Chris Rothe (01:21):
商業風險終歸是財務風險。只是這個風險在不同產業有不一樣的面貌。在金融服務業裡,這關乎您的商譽,要讓大家相信您能妥善保管他們的金錢。如果是製造業、醫療照護業之類的,就要關心營運風險,確保機器持續運作,以及在醫療保健業就是要讓人們健康地活著。

所以真正重點是,如果您能從財務角度出發,然後討論如何依照實際金額降低風險,那這類對話就會很成功。

有時,這並非客戶想談論的話題。他們希望談論技術細節,探討你能如何協助減少他們遭遇的安全事件,以及在我們這個領域內的相關問題。這也很棒。最終,這些事情都在某個時點回歸於金錢問題。

Clarke Rodgers (02:06):
那在 Red Canary 內部,您如何提高安全團隊的效率,確保連單兵作戰的開發人員都重視安全,在日常工作中把安全掛在心上呢?

Red Canary 的人員招募、培訓及安全文化建設

能建立客戶信心的數位體驗

Chris Rothe (02:22):
這對我們來說非常重要。我們是安全公司,理所當然會被用更高標準來檢視。因此,公司裡的每個人都必須重視公司業務和客戶業務的安全。為了確保安全能自然融入每個人的職位,這幾年我們採取了一些措施,像是在軟體開發生命週期中,每個敏捷團隊都會有產品安全專家。因此,他們也能參與衝刺計畫和前期規劃。我們的做法不是「我們先畫好設計,然後再去問安全部門可不可行」。 而是讓他們一路參與。這是非常重要的要素。

第二點是把安全偵測還有靜態分析之類的東西,融入開發人員習慣的工作環境中。把它融入 CICD 管道中。讓他們不用多想就能執行。在程式碼合併前,必須通過所有檢查。這種方式能夠迎合開發人員的需求,大多數時間裡它幾乎不會影響開發工作。

Clarke Rodgers (03:17):
安全人才難找是普遍現象。 所以,你得聘請這樣的人才,或者是留住他們,或者是自行培訓。你們在 Red Canary 使用了哪些策略來真正增強安全專業人員的實力?

Chris Rothe (03:31):
因此,我們的目標是讓我們團隊中的安全專業人員不必花太多時間重複處理簡單的事情,套句 AWS 的術語,就是「無差別化」的繁重工作。

Clarke Rodgers (03:40):
沒錯。

Chris Rothe (03:40):
一天之內,安全專業人員不必花多於 60% 的時間做重複性的工作。如果他們花的時間超過 60%,那就是他們開始厭倦重複性工作的神奇臨界點。因此,我們透過工具和自動化來協助他們把這些簡單的事處理掉,還有尋找重複模式然後開發工具(不論是機器學習或 AI)來他們完成無差別的繁重工作,這樣他們就能專注在更有趣的事情上。

如何在利用生成式 AI 同時將安全風險降低最低

能建立客戶信心的數位體驗

Clarke Rodgers (04:09):
您提到了工具和自動化。生成式 AI 最近很熱門,對吧? 身為安全專家,您怎麼看待這項技術帶來的風險?也就是說,「我要如何管理使用它的風險?」同時,身為企業主,您又如何看待它能為您帶來什麼優勢? 可以聊聊這方面嗎?

Chris Rothe (04:31):
從風險的角度來看,我認為我們的出發點是:「確保我們有正確的保護措施,這樣我們就不會用到不清楚誰擁有的 AI 所建立的內容。」 所以現在我們有一些防護機制來因應這個問題。

但整體來說,我們希望 Red Canary 團隊中的每個人都能根據自己的職位合理使用生成式 AI。假設您是業務人員,剛和客戶打完一通很棒的電話,需要寫封後續電子郵件,我們希望可以加速這個流程,提升溝通品質。因為到最後,這對客戶和您都更好,因為您能在五分鐘內做好原本可能要花一小時才能完成的事。所以我們現在的做法是,確保每個人都能安全地使用它。

但我也同意,這個技術還有太多我們需要學習的地方,像是「有哪些潛在的缺陷?」和「與此相關的挑戰是什麼?未來幾年可能會有什麼與生成式 AI 相關的法律議題?」方面,我們還處於早期階段。 就我們如何將其具體應用於安全領域而言,副駕駛的構想或理念是我們非常喜歡的。

多年來,我們一直將安全平台看成像是...這個比喻有點孩子氣,但有點像鋼鐵戰士的裝甲,讓一般的士兵穿上去,就突然有了火箭推進器,讓他們能跑得更快、跳得更高之類的。生成式 AI 提供我們一些很棒的新工具,能加快、更完整、更準確地進行調查,最終盡快發現與阻擋威脅。

這些就是我們正在關注的一些應用程式。安全界的一大挑戰是人手始終不夠。因此,AWS 在讓平台更安全以及逐步提升服務安全方面一步一腳印所做的工作非常重要。至於平台以外的部分,重要的是善用我們有限的安全人才,不能讓他們在瑣事上耗盡心力。要提供工具,讓他們能完成出色的工作。

使用多重雲端時的安全考量

能建立客戶信心的數位體驗

Clarke Rodgers (06:42):
同樣的脈絡下,您接觸過很多客戶,其中許多客戶都採用多重雲端環境。客戶詢問多雲環境安全相關的問題與挑戰時,您會提供什麼建議?

Chris Rothe (06:58):
通常我們會強調「確保在所有使用的平台上擁有相同的控制機制,並對資料與存取權保持高度掌握。不論是雲端或是內部部署都一樣。」 這是最基本的一層防護。重點在於要清楚地知道誰有存取權、可以存取哪些東西,以及當發生狀況時,我們要如何察覺到。

Clarke Rodgers (07:21):
而且我想他們對於安全成果的定義應該都相同吧?

Chris Rothe (07:25):
當然。如果在某個特定的雲端平台或其他系統上無法達成預期成果,或許應該要重新思考是否要採用它。如果連基本的控制機制都不完備,甚至做不到的話,為什麼還要把它放在您的架構中?

這類對話可能很不容易,畢竟人們對多重雲端策略投注了許多心力。但我認為,最終確保我們知道該設定哪些控制措施,以及最終該如何揪出壞人,才是我們的出發點。如果您無法回答這個問題,那我們就得重整架構或策略。

Clarke Rodgers (08:07):
很棒的觀點。Chris,非常感謝您今天抽空跟我一起討論。

Chris Rothe (08:12):
感謝您邀請我。不勝感激。

Chris Rothe,Red Canary Co-Founder & CTO

Chris Rothe
Co-Founder & CTO,Red Canary

Chris 在 2014 年共同創辦了 Red Canary,領導技術策略,並建立許多 Red Canary 用於取得與服務客戶的工具和團隊。在共同創辦 Red Canary 之前,Chris 曾領導軟體開發團隊,並為國防和情報界設計大型資料處理系統。

Clarke Rodgers
AWS 企業策略總監

身為具安全專業背景的 AWS 企業策略總監,Clarke 樂於協助高階主管探索雲端可以如何實現安全轉型,並且與這些主管攜手合作,找到最適合的企業解決方案。Clarke 在 2016 年加入 AWS,但在其加入團隊之前便已熟悉 AWS 安全的諸多優勢。他曾是一家跨國保險 / 再保險提供商的資訊安全執行長,並負責監管策略部門執行向 AWS 的全遷移工作。

  • 發布日期
  • 字母 (A~Z)
  • 字母 (Z~A)
 我們找不到任何與您的搜尋相符的結果。請改為搜尋其他內容。

邁出下一步

播客

聆聽與學習

聆聽高管們和 AWS 企業策略師 (均為前高階主管) 討論數位轉型之旅。

LinkedIn

掌握最新動態

AWS Executive Connection 是業務和技術領導者的數位目的地,我們在這裡分享各種資訊。

領導者活動

隨需觀看

透過這個獨特的國際網路,從同行獲得洞察並探索推動您的數位轉型之旅的新方法。

高階主管訪談

得到啟發

聆聽 AWS 和客戶領導者討論最佳實務、經驗教訓和變革性思維。