Atraer clientes con nuevas experiencias digitales

Cómo la alta dirección establece el estándar para la cultura de seguridad

Conversación con Sara Duffer, directora de Security Assurance de AWS

La cultura y la capacitación del personal son elementos clave de la preparación de una organización en materia de seguridad. Al fin y al cabo, muchos agentes malintencionados siguen recurriendo a esquemas básicos de phishing. Únase a nuestra conversación con Sara Duffer, directora de Security Assurance de AWS y antigua asesora técnica del director ejecutivo de Amazon. Abordaremos la importancia de la cultura de seguridad y del papel que desempeña el director ejecutivo en la creación y el refuerzo de los estándares de seguridad.

Parte de esta entrevista también está disponible en formato de audio. Escuche el pódcast haciendo clic en el ícono de su reproductor favorito y suscríbase al pódcast Conversaciones con líderes de AWS para no perderse ningún episodio. 

Gracias a su anterior puesto como asesora técnica del director ejecutivo, Sara ha tenido más visibilidad que la mayoría sobre cómo Amazon ha establecido y sigue reforzando su cultura de seguridad. Escuche a Clarke Rodgers, director de Enterprise Strategy de AWS, entrevistar a Sara sobre las observaciones y la sabiduría que adquirió al trabajar con el director ejecutivo, incluida la forma en que la alta dirección establece el estándar para la cultura de seguridad.

Conozca a Sara Duffer, directora de Security Assurance de AWS

Experiencias digitales que generan confianza en los clientes

Clarke Rodgers:
Solemos decir que la seguridad es nuestra prioridad principal en AWS. Sin embargo, ¿cómo nos aseguramos de que realmente lo sea? Todo comienza en la implicación de la alta dirección para luego crear una cultura de seguridad en toda la organización.

Soy Clarke Rodgers, director de Enterprise Strategy de AWS y su guía para una serie de conversaciones con líderes de seguridad de AWS aquí en Executive Insights.

Hoy nos acompaña Sara Duffer. Gracias a su anterior puesto como asesora técnica del director ejecutivo de Amazon, Sara tiene un conocimiento exhaustivo poco común sobre la seguridad de Amazon. Acompáñenos mientras Sara comparte lo que aprendió durante su experiencia como líder de seguridad y asesora técnica. Espero que lo disfruten.

Clarke Rodgers:
Sara, muchas gracias por acompañarme hoy.

Sara Duffer:
Gracias. Es un placer estar aquí.

Clarke Rodgers:
Me encantaría que nos cuentes un poco sobre tu trayectoria profesional y tu puesto actual en AWS.

Sara Duffer:
Bueno, hace 13 años que trabajo en AWS. Comencé en el equipo de infraestructura de AWS, donde pasé mucho tiempo en nuestros centros de datos. Poco después, pasé a formar parte de nuestro pequeño equipo de cumplimiento, que se convirtió en nuestro equipo de control de seguridad.

Clarke Rodgers:
¿Siempre te has dedicado a la seguridad o empezaste a trabajar en este campo cuando llegaste a AWS?

Sara Duffer:
Siempre trabajé en el área de seguridad. Comencé mi carrera profesional al finalizar la universidad, me dediqué de forma directa al trabajo de ataque, penetración y seguridad física, y empecé a entrar legalmente en las organizaciones. Luego, me dediqué más a la implementación de soluciones de seguridad. Es decir, a solucionar los problemas que encontraba, que era un espacio divertido en el que trabajar y, en última instancia, trabajar en AWS.

Explorar la función de un asesor técnico en AWS

Experiencias digitales que generan confianza en los clientes

Clarke Rodgers:
Tu experiencia en seguridad es bastante impresionante, pero también desempeñabas una función bastante única en AWS, la de asesora técnica. ¿Podrías explicarnos un poco qué es y qué hace un asesor técnico?

Sara Duffer:
Empecé a trabajar como asesora técnica en noviembre de 2020. Le proporcionaba asesoría técnica a Andy Jassy, que en ese momento era el director ejecutivo de AWS. Por supuesto, más tarde lo ascendieron a director ejecutivo de Amazon, y yo era la asesora técnica de Andy también en ese puesto. Ser asesor técnico es, en esencia, una función docente. Por lo tanto, se trata de poder enseñarle a un líder sobre escalar y ejecutar a un ritmo que no se ha visto antes. Fue una experiencia absolutamente fantástica.

Cita

“Ser asesor técnico es, en esencia, una función docente. Por lo tanto, se trata de poder enseñarle a un líder sobre escalar y ejecutar a un ritmo que no se ha visto antes”.

Clarke Rodgers:
¿Has aprendido alguna lección importante de tu experiencia como asesora técnica?

Sara Duffer:
Todos los días aprendía lecciones. Una de las primeras cosas que hice cuando asumí el puesto de asesora técnica fue una lista de lo que yo llamo mis lecciones aprendidas de una línea, que me comprometí a completar semanalmente. Rápidamente me encontré agregando a diario observaciones de grandes líderes sobre cómo trabajan y se comprometen. Por lo tanto, hubo muchas lecciones. Creo que hay tres cosas que realmente me llaman la atención, y las he aprendido al observar a Andy y colaborar con él. La primera es que el tiempo es un recurso muy valioso y debes pensar muy bien en qué lo inviertes.

Eso está muy relacionado con la siguiente: cuando dices “sí”, tiene que ser un “sí” rotundo. Tienes que decirlo en serio y pensar en tu futuro yo, no solo en tu yo actual. Él dice: “Claro, puedo hacerlo en algún momento en el futuro”. Y eso que parece tan sencillo en realidad es mucho más difícil de ejecutar. Esas son dos de las principales.

La siguiente, que la he visto en muchos líderes increíbles, pero en la que obviamente Andy es excepcional, es la curiosidad insaciable. Y es esa manera de hacer de preguntas que es en principio constructiva, pero que también sirve para entender los fundamentos básicos de la reunión en la que se encuentre o cuáles son esos bloques básicos de aprendizaje, cómo está pensando el equipo, chequeando e impulsando a un equipo para asegurarse de que su forma de pensar está alineada con nuestra forma de pensar desde la perspectiva de Amazon y qué cosas podemos aprender del equipo. Esa curiosidad insaciable se manifiesta de manera constante en todos los líderes de Amazon.

Anticipar las tendencias en la criptografía poscuántica y la IA generativa

Experiencias digitales que generan confianza en los clientes

Clarke Rodgers:
Eso es fantástico. Cambiemos de tema y hablemos de tu puesto actual. Uno de los temas que sigue surgiendo en nuestros círculos de directores de seguridad de la información de AWS es la criptografía poscuántica. ¿Qué opinas al respecto?

Sara Duffer:
Bueno, en los esquemas actuales de criptografía de clave pública, se aprovechan los problemas matemáticos para factorizar logaritmos discretos y la criptografía de curva elíptica. Por lo tanto, estamos en los albores de la computación cuántica y esto va a beneficiar mucho a la sociedad. Uno de los beneficios es la capacidad de ser mucho más rápidos en la resolución de problemas computacionales difíciles, con las consecuencias imprevistas de que en el futuro podría haber una computadora cuántica capaz de romper nuestros esquemas de criptografía de clave pública actuales. Por lo tanto, hoy se habla mucho sobre la criptografía poscuántica (PQC) y de los esquemas que podemos empezar a pensar en poner en marcha para seguir protegiendo nuestros datos en un posible futuro en el que veremos llegar la computación cuántica.

En la actualidad, AWS trabaja mucho en este ámbito. Disponemos de criptógrafos que han contribuido realmente con acuerdos de clave PQ y esquemas de firma PQ. Y no se trata solo de teoría. Hay mucha teoría al respecto y el NIST, por ejemplo, está trabajando mucho en este campo, a lo que nosotros también contribuimos. Pero también existe la realidad, y nosotros hemos implementado PQ para nuestros puntos de enlace TLS 1.3, dentro de AWS Secrets Manager, nuestro servicio KMS y nuestro servicio de administración de certificados. Es algo que las personas pueden probar hoy, lo cual es genial.

Clarke Rodgers:
En el último año, la IA generativa ha tomado al mundo por sorpresa en todo tipo de formas y maneras. ¿Qué opinas de ello en el ámbito criptográfico? ¿Será útil? ¿Será un obstáculo? ¿Es demasiado pronto?

Sara Duffer:
Creo que desde la perspectiva de la IA generativa, escuchamos muchas discusiones sobre esta preocupación por la divulgación de la propiedad intelectual. Por ello, cada vez se habla más de las técnicas de preservación de la privacidad que permiten, por ejemplo, entrenar grandes volúmenes de datos y preservar la propiedad intelectual asociada a ellos. Así que este es un ámbito en el que el equipo está muy centrado y en el que piensa mucho, incluso cuando examinamos internamente las soluciones que tenemos.

Clarke Rodgers:
Las tendencias y predicciones en materia de seguridad son de gran interés para nuestros clientes. ¿Qué crees que ocurrirá en el ámbito de la seguridad en los próximos, no sé, tres o cinco años?

Sara Duffer:
En mi caso, hay dos ámbitos que me interesan mucho ahora mismo. Uno de ellos, que es muy incipiente, pero creo que va a ser cada vez más importante para los directores de seguridad de la información, es el concepto de computación criptográfica. La computación criptográfica es una forma de utilizar medios criptográficos para permitir que varias partes compartan información de forma que esa información se mantenga privada. Un ejemplo de ello en la actualidad es AWS Clean Rooms, un servicio que permite a nuestros clientes colaborar, compartir información y obtener conocimientos. De hecho, hay una parte de eso que se llama computación criptográfica para Clean Rooms. Esto permite a los clientes poder compartir información por medios criptográficos. Aún es pronto y no se oye hablar mucho de eso, pero cada vez se oirá hablar más de la computación criptográfica en torno al concepto de preservación de la privacidad.

Entonces, el mundo actual se orienta cada vez más hacia el análisis de datos y hacia cómo podemos compartir, aprender más y entrenar datos, etcétera. Y nos preguntaremos cada vez más cómo tener técnicas de preservación de la privacidad. El uso de la computación criptográfica es una de las formas.

La otra forma es muy importante para mí y se trata de un nuevo servicio que lanzó nuestro equipo este año, AWS Payment Crypto. Lo que me parece fascinante de lo que está haciendo este equipo es que, en los pagos actuales, para permitir el tipo de cifrado de extremo a extremo que se requiere, los grandes procesadores principales tienen que seguir manteniendo un tipo de HSM local. Gracias a AWS Payment Crypto, las organizaciones pueden aprovechar la nube de AWS para realizar esas funciones de administración de claves y criptografía que tradicionalmente se habrían realizado con ese tipo de HSM local.

Todavía es muy pronto para este servicio. También es muy nuevo. Además, lo más importante de este servicio es que también cumple con los requisitos de cumplimiento de la PCI PIN, lo que es absolutamente fundamental. Creo que hay mucho que observar en este ámbito, ya que se puede seguir ayudando y permitiendo a los clientes pasar de su entorno local a la nube. Y ese es un ámbito emocionante al que, sin duda, presto atención.

Security by Design en AWS

El camino hacia mejores conversiones

Clarke Rodgers:
Cambiando un poco de tema hacia una perspectiva más de desarrollo. Llevamos años diciendo “asegurémonos de incorporar la seguridad desde el diseño a las aplicaciones”, y de ahí pasamos al cumplimiento desde el diseño y a la privacidad desde el diseño. ¿Cómo se incentiva a los equipos de desarrollo para que piensen de esa manera? Lo ideal sería que en esa fase de iteración se dijera: “Esto es lo que quiero crear, deben considerar todas estas cosas”, pero ¿cómo se configura mecánicamente?

Sara Duffer:
Todo gira en torno a la cultura, que comienza desde arriba. Ya se ha repetido varias veces, pero realmente comienza en la alta dirección. La seguridad, la privacidad y el cumplimiento, este es realmente el trabajo principal. Eso se percibe como parte de la cultura de cada uno de nuestros creadores de AWS. Y creo que ese es probablemente el principal punto de partida. Sin embargo, lo que también es realmente importante para cualquiera de nuestros creadores, y para cualquier equipo, e incluso para nuestros clientes, que crean servicios internos desde una perspectiva de seguridad o privacidad para los miembros del equipo, es reunirse con los desarrolladores en donde se encuentran.

Creo que lo que se ve a veces, en muchos casos, es una falta de medición, incluso en esos elementos tácticos, de la cantidad de trabajo que cada ingeniero tiene que hacer y, luego, de medir de manera colectiva cuántos de esos elementos tácticos se destinan a esos creadores. Debido al impacto global de poder responder tácticamente a todas estas preguntas puntuales, de repente te das cuenta de que es una carga importante que los ingenieros asumen como parte de su trabajo diario.

Existen varias formas de resolver ese problema, pero tal vez eso te haga avanzar más rápido para poder identificar: “¿Hay formas proactivas de resolver este problema en particular, como en las canalizaciones o lo que sea, para evitar que ese problema necesite siquiera involucrar a un ingeniero?”. Lo que será aún mejor. Creo que ese es uno de los aspectos fundamentales, además de comenzar desde arriba y asegurarse de que se cuenta con las políticas necesarias para definir lo que hay que hacer. Luego, tienes la ejecución diaria y la identificación de los problemas.

Cita

Todo gira en torno a la cultura, que comienza desde arriba. Ya se ha repetido varias veces, pero realmente comienza en la alta dirección. La seguridad, la privacidad y el cumplimiento, este es realmente el trabajo principal”.

En esa parte de la gestión de problemas, combinada con la parte de la gestión de cambios, poder identificar realmente lo que significa reunirse con el desarrollador en el lugar en el que se encuentra y abordar ese tema, como un problema de gravedad dos o muy alta que tenemos que solucionar. Y, al mismo tiempo, abordar todos los demás puntos que pedimos que solucionen. ¿Hay otras formas de hacerlo y solucionarlo de manera diferente y oportuna? Creo que es uno de los aspectos más interesantes que hemos estudiado como organización a lo largo del tiempo: cómo reducir la carga de trabajo de los ingenieros y la fricción asociada a la resolución de problemas de manera constante.

Clarke Rodgers:
Una parte importante de eso, como dijiste, es la cultura y la propiedad. Esa seguridad, aunque no aparezca en mi insignia, forma parte de mi trabajo.

Sara Duffer:
Exactamente. En gran medida.

Mecanismos de tutoría para capacitar a la próxima generación de grandes líderes

El camino hacia mejores conversiones

Clarke Rodgers:
Sé que, a lo largo de tu carrera, la tutoría ha sido muy importante para ti. ¿Qué tipo de mecanismos estableciste para asegurarte de que ayudabas a los que realmente querían acercarse y aprender de ti?

Sara Duffer:
He sido muy afortunada en mi recorrido hasta llegar a AWS, así como también en AWS, ya que siempre he tenido mentores y guías increíbles que siempre han estado dispuestos a intervenir y entablar conversaciones conmigo en cualquier momento, a animarme, a defenderme cuando no estaba presente. Creo que una de las cosas interesantes para mí es que, cuando pasé a desempeñar la función de asesora técnica, fue increíble. Sí, mis correos electrónicos aumentaron, pero lo que ocurrió en realidad fue que se redujo el número de personas que solo se ponían en contacto para obtener más información e identificar oportunidades. Creo que fue un caso en el que las personas se sintieron un poco intimidadas.

Creo que uno de los mecanismos más valiosos que utilizo hoy en día es que siempre he tenido la regla de que a cualquier persona que se ponga en contacto conmigo, independientemente del lugar que ocupe en la organización, le concedo 30 minutos. Entonces, cuando yo trabajaba como asesora técnica, una de las mejores cosas que ofrecía era la posibilidad de que los miembros más jóvenes de la organización, de nuestra comunidad de creadores o de nuestros centros de cumplimiento, lleguen a la alta dirección para una reunión 30 minutos para aprender más.

También me aseguro de destinar cierta cantidad de tiempo al mes específicamente a la tutoría. Por lo general, tengo cuatro espacios y tú tienes cuatro espacios, cuatro semanas o cuatro reuniones para poder participar. Y, al final, tomamos una decisión: ¿continuamos o no continuamos? En cierto modo, esto permite a las personas tener también un plan de salida o una rampa de salida en algunas de las mentorías.

Clarke Rodgers:
Eso es fantástico. Seguro que aprecian la oportunidad. Sara, muchas gracias por acompañarme hoy.

Sara Duffer:
Muchísimas gracias. Esto ha sido genial.

Sobre los líderes

El camino hacia mejores conversiones

Sara Duffer
Directora de Security Assurance de AWS

Clarke Rodgers
Director, AWS Enterprise Strategy

Como Director of Enterprise Strategy de AWS con amplia experiencia y habilidades en seguridad, a Clarke le apasiona ayudar a los ejecutivos a explorar la forma en que la nube puede transformar la seguridad, además de trabajar con ellos para encontrar las soluciones empresariales adecuadas. Clarke se incorporó a AWS en 2016, pero su experiencia con las ventajas de seguridad de AWS comenzó mucho antes de formar parte del equipo. En su papel de CISO de un proveedor multinacional de reaseguros de vida, supervisó la migración total de una división estratégica a AWS.

  • Fecha de publicación
  • Orden alfabético (A-Z)
  • Orden alfabético (Z-A)
 No pudimos encontrar ningún resultado que coincida con su búsqueda. Intente realizar una búsqueda diferente.

Dé el siguiente paso

AWS Executive Briefing
CENTRAL DE RECURSOS

Innovación

Descubra la forma en que los líderes del sector mantienen una innovación continua que hace crecer sus negocios y ofrece experiencias diferenciadas a los clientes.

Pódcast
PÓDCAST

Escuche y aprenda

Escuche a los líderes ejecutivos y a los estrategas empresariales de AWS, todos ellos antiguos miembros de la alta dirección, hablar de sus procesos de transformación digital.

El valor empresarial de la nube
LinkedIn

Manténgase conectado

AWS Executive Insights es un destino digital para líderes de tecnología y negocios, en donde compartimos información, prácticas recomendadas e invitaciones a eventos. 

AWS Executive Briefing
CENTRAL DE RECURSOS

Descubra el valor de la IA generativa para los líderes empresariales

Aprenda a integrar la IA generativa y el ML en su organización.