Cómo la alta dirección establece el estándar para la cultura de seguridad

Clarke Rodgers:
Solemos decir que la seguridad es nuestra prioridad principal en AWS. Sin embargo, ¿cómo nos aseguramos de que realmente lo sea? Todo comienza en la implicación de la alta dirección para luego crear una cultura de seguridad en toda la organización.

Soy Clarke Rodgers, director de Enterprise Strategy de AWS y su guía para una serie de conversaciones con líderes de seguridad de AWS aquí en Executive Insights.

Hoy nos acompaña Sara Duffer. Gracias a su anterior puesto como asesora técnica del director ejecutivo de Amazon, Sara tiene un conocimiento exhaustivo poco común sobre la seguridad de Amazon. Acompáñenos mientras Sara comparte lo que aprendió durante su experiencia como líder de seguridad y asesora técnica. Espero que lo disfruten.

Clarke Rodgers:
Sara, muchas gracias por acompañarme hoy.

Sara Duffer:
Gracias. Es un placer estar aquí.

Clarke Rodgers:
Me encantaría que nos cuentes un poco sobre tu trayectoria profesional y tu puesto actual en AWS.

Sara Duffer:
Bueno, hace 13 años que trabajo en AWS. Comencé en el equipo de infraestructura de AWS, donde pasé mucho tiempo en nuestros centros de datos. Poco después, pasé a formar parte de nuestro pequeño equipo de cumplimiento, que se convirtió en nuestro equipo de control de seguridad.

Clarke Rodgers:
¿Siempre te has dedicado a la seguridad o empezaste a trabajar en este campo cuando llegaste a AWS?

Sara Duffer:
Siempre trabajé en el área de seguridad. Comencé mi carrera profesional al finalizar la universidad, me dediqué de forma directa al trabajo de ataque, penetración y seguridad física, y empecé a entrar legalmente en las organizaciones. Luego, me dediqué más a la implementación de soluciones de seguridad. Es decir, a solucionar los problemas que encontraba, que era un espacio divertido en el que trabajar y, en última instancia, trabajar en AWS.

Clarke Rodgers:
Tu experiencia en seguridad es bastante impresionante, pero también desempeñabas una función bastante única en AWS, la de asesora técnica. ¿Podrías explicarnos un poco qué es y qué hace un asesor técnico?

Sara Duffer:
Empecé a trabajar como asesora técnica en noviembre de 2020. Le proporcionaba asesoría técnica a Andy Jassy, que en ese momento era el director ejecutivo de AWS. Por supuesto, más tarde lo ascendieron a director ejecutivo de Amazon, y yo era la asesora técnica de Andy también en ese puesto. Ser asesor técnico es, en esencia, una función docente. Por lo tanto, se trata de poder enseñarle a un líder sobre escalar y ejecutar a un ritmo que no se ha visto antes. Fue una experiencia absolutamente fantástica.

Clarke Rodgers:
¿Has aprendido alguna lección importante de tu experiencia como asesora técnica?

Sara Duffer:
Todos los días aprendía lecciones. Una de las primeras cosas que hice cuando asumí el puesto de asesora técnica fue una lista de lo que yo llamo mis lecciones aprendidas de una línea, que me comprometí a completar semanalmente. Rápidamente me encontré agregando a diario observaciones de grandes líderes sobre cómo trabajan y se comprometen. Por lo tanto, hubo muchas lecciones. Creo que hay tres cosas que realmente me llaman la atención, y las he aprendido al observar a Andy y colaborar con él. La primera es que el tiempo es un recurso muy valioso y debes pensar muy bien en qué lo inviertes.

Eso está muy relacionado con la siguiente: cuando dices “sí”, tiene que ser un “sí” rotundo. Tienes que decirlo en serio y pensar en tu futuro yo, no solo en tu yo actual. Él dice: “Claro, puedo hacerlo en algún momento en el futuro”. Y eso que parece tan sencillo en realidad es mucho más difícil de ejecutar. Esas son dos de las principales.

La siguiente, que la he visto en muchos líderes increíbles, pero en la que obviamente Andy es excepcional, es la curiosidad insaciable. Y es esa manera de hacer de preguntas que es en principio constructiva, pero que también sirve para entender los fundamentos básicos de la reunión en la que se encuentre o cuáles son esos bloques básicos de aprendizaje, cómo está pensando el equipo, chequeando e impulsando a un equipo para asegurarse de que su forma de pensar está alineada con nuestra forma de pensar desde la perspectiva de Amazon y qué cosas podemos aprender del equipo. Esa curiosidad insaciable se manifiesta de manera constante en todos los líderes de Amazon.

Clarke Rodgers:
Eso es fantástico. Cambiemos de tema y hablemos de tu puesto actual. Uno de los temas que sigue surgiendo en nuestros círculos de directores de seguridad de la información de AWS es la criptografía poscuántica. ¿Qué opinas al respecto?

Sara Duffer:
Bueno, en los esquemas actuales de criptografía de clave pública, se aprovechan los problemas matemáticos para factorizar logaritmos discretos y la criptografía de curva elíptica. Por lo tanto, estamos en los albores de la computación cuántica y esto va a beneficiar mucho a la sociedad. Uno de los beneficios es la capacidad de ser mucho más rápidos en la resolución de problemas computacionales difíciles, con las consecuencias imprevistas de que en el futuro podría haber una computadora cuántica capaz de romper nuestros esquemas de criptografía de clave pública actuales. Por lo tanto, hoy se habla mucho sobre la criptografía poscuántica (PQC) y de los esquemas que podemos empezar a pensar en poner en marcha para seguir protegiendo nuestros datos en un posible futuro en el que veremos llegar la computación cuántica.

En la actualidad, AWS trabaja mucho en este ámbito. Disponemos de criptógrafos que han contribuido realmente con acuerdos de clave PQ y esquemas de firma PQ. Y no se trata solo de teoría. Hay mucha teoría al respecto y el NIST, por ejemplo, está trabajando mucho en este campo, a lo que nosotros también contribuimos. Pero también existe la realidad, y nosotros hemos implementado PQ para nuestros puntos de enlace TLS 1.3, dentro de AWS Secrets Manager, nuestro servicio KMS y nuestro servicio de administración de certificados. Es algo que las personas pueden probar hoy, lo cual es genial.

Clarke Rodgers:
En el último año, la IA generativa ha tomado al mundo por sorpresa en todo tipo de formas y maneras. ¿Qué opinas de ello en el ámbito criptográfico? ¿Será útil? ¿Será un obstáculo? ¿Es demasiado pronto?

Sara Duffer:
Creo que desde la perspectiva de la IA generativa, escuchamos muchas discusiones sobre esta preocupación por la divulgación de la propiedad intelectual. Por ello, cada vez se habla más de las técnicas de preservación de la privacidad que permiten, por ejemplo, entrenar grandes volúmenes de datos y preservar la propiedad intelectual asociada a ellos. Así que este es un ámbito en el que el equipo está muy centrado y en el que piensa mucho, incluso cuando examinamos internamente las soluciones que tenemos.

Clarke Rodgers:
Las tendencias y predicciones en materia de seguridad son de gran interés para nuestros clientes. ¿Qué crees que ocurrirá en el ámbito de la seguridad en los próximos, no sé, tres o cinco años?

Sara Duffer:
En mi caso, hay dos ámbitos que me interesan mucho ahora mismo. Uno de ellos, que es muy incipiente, pero creo que va a ser cada vez más importante para los directores de seguridad de la información, es el concepto de computación criptográfica. La computación criptográfica es una forma de utilizar medios criptográficos para permitir que varias partes compartan información de forma que esa información se mantenga privada. Un ejemplo de ello en la actualidad es AWS Clean Rooms, un servicio que permite a nuestros clientes colaborar, compartir información y obtener conocimientos. De hecho, hay una parte de eso que se llama computación criptográfica para Clean Rooms. Esto permite a los clientes poder compartir información por medios criptográficos. Aún es pronto y no se oye hablar mucho de eso, pero cada vez se oirá hablar más de la computación criptográfica en torno al concepto de preservación de la privacidad.

Entonces, el mundo actual se orienta cada vez más hacia el análisis de datos y hacia cómo podemos compartir, aprender más y entrenar datos, etcétera. Y nos preguntaremos cada vez más cómo tener técnicas de preservación de la privacidad. El uso de la computación criptográfica es una de las formas.

La otra forma es muy importante para mí y se trata de un nuevo servicio que lanzó nuestro equipo este año, AWS Payment Crypto. Lo que me parece fascinante de lo que está haciendo este equipo es que, en los pagos actuales, para permitir el tipo de cifrado de extremo a extremo que se requiere, los grandes procesadores principales tienen que seguir manteniendo un tipo de HSM local. Gracias a AWS Payment Crypto, las organizaciones pueden aprovechar la nube de AWS para realizar esas funciones de administración de claves y criptografía que tradicionalmente se habrían realizado con ese tipo de HSM local.

Todavía es muy pronto para este servicio. También es muy nuevo. Además, lo más importante de este servicio es que también cumple con los requisitos de cumplimiento de la PCI PIN, lo que es absolutamente fundamental. Creo que hay mucho que observar en este ámbito, ya que se puede seguir ayudando y permitiendo a los clientes pasar de su entorno local a la nube. Y ese es un ámbito emocionante al que, sin duda, presto atención.

Clarke Rodgers:
Cambiando un poco de tema hacia una perspectiva más de desarrollo. Llevamos años diciendo “asegurémonos de incorporar la seguridad desde el diseño a las aplicaciones”, y de ahí pasamos al cumplimiento desde el diseño y a la privacidad desde el diseño. ¿Cómo se incentiva a los equipos de desarrollo para que piensen de esa manera? Lo ideal sería que en esa fase de iteración se dijera: “Esto es lo que quiero crear, deben considerar todas estas cosas”, pero ¿cómo se configura mecánicamente?

Sara Duffer:
Todo gira en torno a la cultura, que comienza desde arriba. Ya se ha repetido varias veces, pero realmente comienza en la alta dirección. La seguridad, la privacidad y el cumplimiento, este es realmente el trabajo principal. Eso se percibe como parte de la cultura de cada uno de nuestros creadores de AWS. Y creo que ese es probablemente el principal punto de partida. Sin embargo, lo que también es realmente importante para cualquiera de nuestros creadores, y para cualquier equipo, e incluso para nuestros clientes, que crean servicios internos desde una perspectiva de seguridad o privacidad para los miembros del equipo, es reunirse con los desarrolladores en donde se encuentran.

Creo que lo que se ve a veces, en muchos casos, es una falta de medición, incluso en esos elementos tácticos, de la cantidad de trabajo que cada ingeniero tiene que hacer y, luego, de medir de manera colectiva cuántos de esos elementos tácticos se destinan a esos creadores. Debido al impacto global de poder responder tácticamente a todas estas preguntas puntuales, de repente te das cuenta de que es una carga importante que los ingenieros asumen como parte de su trabajo diario.

Existen varias formas de resolver ese problema, pero tal vez eso te haga avanzar más rápido para poder identificar: “¿Hay formas proactivas de resolver este problema en particular, como en las canalizaciones o lo que sea, para evitar que ese problema necesite siquiera involucrar a un ingeniero?”. Lo que será aún mejor. Creo que ese es uno de los aspectos fundamentales, además de comenzar desde arriba y asegurarse de que se cuenta con las políticas necesarias para definir lo que hay que hacer. Luego, tienes la ejecución diaria y la identificación de los problemas.

En esa parte de la gestión de problemas, combinada con la parte de la gestión de cambios, poder identificar realmente lo que significa reunirse con el desarrollador en el lugar en el que se encuentra y abordar ese tema, como un problema de gravedad dos o muy alta que tenemos que solucionar. Y, al mismo tiempo, abordar todos los demás puntos que pedimos que solucionen. ¿Hay otras formas de hacerlo y solucionarlo de manera diferente y oportuna? Creo que es uno de los aspectos más interesantes que hemos estudiado como organización a lo largo del tiempo: cómo reducir la carga de trabajo de los ingenieros y la fricción asociada a la resolución de problemas de manera constante.

Clarke Rodgers:
Una parte importante de eso, como dijiste, es la cultura y la propiedad. Esa seguridad, aunque no aparezca en mi insignia, forma parte de mi trabajo.

Sara Duffer:
Exactamente. En gran medida.

Clarke Rodgers:
Sé que, a lo largo de tu carrera, la tutoría ha sido muy importante para ti. ¿Qué tipo de mecanismos estableciste para asegurarte de que ayudabas a los que realmente querían acercarse y aprender de ti?

Sara Duffer:
He sido muy afortunada en mi recorrido hasta llegar a AWS, así como también en AWS, ya que siempre he tenido mentores y guías increíbles que siempre han estado dispuestos a intervenir y entablar conversaciones conmigo en cualquier momento, a animarme, a defenderme cuando no estaba presente. Creo que una de las cosas interesantes para mí es que, cuando pasé a desempeñar la función de asesora técnica, fue increíble. Sí, mis correos electrónicos aumentaron, pero lo que ocurrió en realidad fue que se redujo el número de personas que solo se ponían en contacto para obtener más información e identificar oportunidades. Creo que fue un caso en el que las personas se sintieron un poco intimidadas.

Creo que uno de los mecanismos más valiosos que utilizo hoy en día es que siempre he tenido la regla de que a cualquier persona que se ponga en contacto conmigo, independientemente del lugar que ocupe en la organización, le concedo 30 minutos. Entonces, cuando yo trabajaba como asesora técnica, una de las mejores cosas que ofrecía era la posibilidad de que los miembros más jóvenes de la organización, de nuestra comunidad de creadores o de nuestros centros de cumplimiento, lleguen a la alta dirección para una reunión 30 minutos para aprender más.

También me aseguro de destinar cierta cantidad de tiempo al mes específicamente a la tutoría. Por lo general, tengo cuatro espacios y tú tienes cuatro espacios, cuatro semanas o cuatro reuniones para poder participar. Y, al final, tomamos una decisión: ¿continuamos o no continuamos? En cierto modo, esto permite a las personas tener también un plan de salida o una rampa de salida en algunas de las mentorías.

Clarke Rodgers:
Eso es fantástico. Seguro que aprecian la oportunidad. Sara, muchas gracias por acompañarme hoy.

Sara Duffer:
Muchísimas gracias. Esto ha sido genial.