云創(chuàng)未來 | 如何通過積極的安全文化，助力企業(yè)持續(xù)發(fā)展？

亞馬遜云科技首席信息安全官Stephen Schmidt在接受華爾街日報采訪時，探討了亞馬遜云科技如何幫助企業(yè)積極打造安全文化，助力企業(yè)驅動數(shù)字化轉型以創(chuàng)造更多可能。

部分企業(yè)對安全問題抱有一種恐懼、不確定和懷疑的態(tài)度，在這種企業(yè)文化和環(huán)境中，員工不可避免會將安全團隊視為“守門人”或“專門說‘不’的部門”。在亞馬遜云科技，我們對安全文化的理解有所不同。安全團隊不應阻礙企業(yè)實現(xiàn)目標，而是應當推動企業(yè)安全地向前發(fā)展。安全團隊工作做到位，完全可以成為企業(yè)發(fā)展的助推器。

作為亞馬遜云科技的首席信息安全官（CISO），我致力于培養(yǎng)一種積極的安全文化，并根據(jù)我們自身的技術發(fā)展和周圍世界的變化情況，不斷發(fā)展、完善這一文化。安全文化的成功，取決于以下三大支柱：企業(yè)是否重視安全工作；企業(yè)能否構建適當?shù)臋C制與工具；企業(yè)能否采用自動化技術，幫助客戶按需調整服務規(guī)模。

安全是每個人的職責

要彰顯安全和合規(guī)對企業(yè)的重要意義，首席信息安全官和IT負責人的作用非常關鍵。亞馬遜云科技特意安排安全團隊直接向首席執(zhí)行官匯報工作。這種做法的目的是將安全團隊納入亞馬遜云科技決策流程。我們的安全團隊每周都會與亞馬遜云科技領導層舉行例會，確保我們在安全問題上策略和戰(zhàn)略決策正確。

安全文化需要自上而下構建，但是，安全責任則需要自下而上承擔。我們致力于在高級管理層樹立一種正確態(tài)度，即安全不僅僅是安全團隊的職責，也是我們每個人均應共擔的職責。

在我們營造的文化和環(huán)境中，員工一旦發(fā)現(xiàn)潛在安全問題，可以無需任何顧慮的隨時、及早告知我們。我們將這一過程稱為“上報”，這也是亞馬遜云科技運營模式的根本。簡言之，通過這一過程，我們可以確保任何問題出現(xiàn)時，均會在適當?shù)臅r間點，提交給適當人員作出相關決策。

機制與善意

在亞馬遜云科技，我們認為，良好動機本身無法轉化為行動。要將動機轉化為行動，必須制定相關機制。機制就是將動機轉化為行動所需的一整套流程和各種工具。具體到安全領域，我們需要的機制是構建自動化防護欄，而非設立關卡。

防護欄可以提高團隊的行動速度，因為就相對常規(guī)的安全實踐而言，防護欄可以實現(xiàn)自動化操作。這不僅可以使團隊成員集中精力處理對判斷力要求較高的決策工作，而且還能幫助他們做出正確選擇。例如，亞馬遜云科技服務在存儲客戶數(shù)據(jù)時，會對數(shù)據(jù)進行加密，在默認情況下，用戶僅可訪問自身創(chuàng)建的賬戶。因此，企業(yè)須制定專門的數(shù)據(jù)政策，規(guī)定用戶共享數(shù)據(jù)的方式和對象。

在防護欄應用方面，奈飛（Netflix）是一個范例。新冠疫情期間，奈飛改用遠程辦公模式，在這一轉型過程中，亞馬遜云科技幫助奈飛成功實施了數(shù)據(jù)集中化存儲策略，同時確保了終端節(jié)點安全可靠。此舉的效果是，無論奈飛員工在居家工作時使用何種設備訪問數(shù)據(jù)，終端節(jié)點均受到良好保護，數(shù)據(jù)本身則集中存儲于云端，受到集中監(jiān)控。

協(xié)作型安全文化

亞馬遜云科技安全團隊與服務團隊攜手，共同為客戶解決問題。任何團隊遇到安全問題，或者在軟件測試過程中遇到任何問題，我們都會提供指導，與其聯(lián)手解決問題。

協(xié)作的核心是透明度。我們采用多種方式，幫助客戶落實協(xié)作型安全文化；方式之一是幫助客戶建設端到端的檢測與監(jiān)控能力，使客戶能夠全面掌握基礎設施各個部分的安全狀況。亞馬遜云科技安全服務利用機器學習技術，可以幾近實時地大規(guī)模檢測潛在安全問題，并使用調查工具進行核心原因的分析。不僅如此，每處理一次事件后，亞馬遜云科技安全服務都會變得更加智能。亞馬遜云科技采用這一主動型策略，以數(shù)據(jù)為依托，使各個團隊達成必要共識，彼此協(xié)作，快速識別并解決問題。

構建協(xié)作型安全文化的另一個關鍵是人才多元化。在亞馬遜云科技，我們致力實現(xiàn)的目標是構建多元化、包容性的團隊，確保團隊成員具有不同的視角、背景和思維方式，從而幫助我們以富有創(chuàng)造性的方式，應對挑戰(zhàn)，并最終成長為更高效的全能型安全組織。

在協(xié)作型安全文化實踐方面，康卡斯特是一個很好的例子?？悼ㄋ固貏?chuàng)建了“云卓越中心”，將安全納入云開發(fā)生命周期，使安全團隊能夠以平等的身份，與公司內部其他團隊協(xié)作，建設公司的云基礎設施。

積極進步

安全文化建設應以持續(xù)進步為根本。安全問題很容易成為負面關注焦點，但是大部分人不了解的是，安全團隊每天需要采取數(shù)以萬億計的行動和決策。

在亞馬遜云科技，我們采取樂觀而負責的態(tài)度。我們堅信，企業(yè)采用適當?shù)牧鞒?、自動化技術，并保持信息透明，不僅可以實現(xiàn)云端安全，也能建立公眾對企業(yè)的信任。