云創(chuàng)未來 | 如何通過積極的安全文化，助力企業(yè)持續(xù)發(fā)展？

亞馬遜云科技首席信息安全官Stephen Schmidt在接受華爾街日報采訪時，探討了亞馬遜云科技如何幫助企業(yè)積極打造安全文化，助力企業(yè)驅(qū)動數(shù)字化轉(zhuǎn)型以創(chuàng)造更多可能。

部分企業(yè)對安全問題抱有一種恐懼、不確定和懷疑的態(tài)度，在這種企業(yè)文化和環(huán)境中，員工不可避免會將安全團隊視為“守門人”或“專門說‘不’的部門”。在亞馬遜云科技，我們對安全文化的理解有所不同。安全團隊不應(yīng)阻礙企業(yè)實現(xiàn)目標(biāo)，而是應(yīng)當(dāng)推動企業(yè)安全地向前發(fā)展。安全團隊工作做到位，完全可以成為企業(yè)發(fā)展的助推器。

作為亞馬遜云科技的首席信息安全官（CISO），我致力于培養(yǎng)一種積極的安全文化，并根據(jù)我們自身的技術(shù)發(fā)展和周圍世界的變化情況，不斷發(fā)展、完善這一文化。安全文化的成功，取決于以下三大支柱：企業(yè)是否重視安全工作；企業(yè)能否構(gòu)建適當(dāng)?shù)臋C制與工具；企業(yè)能否采用自動化技術(shù)，幫助客戶按需調(diào)整服務(wù)規(guī)模。

安全是每個人的職責(zé)

要彰顯安全和合規(guī)對企業(yè)的重要意義，首席信息安全官和IT負(fù)責(zé)人的作用非常關(guān)鍵。亞馬遜云科技特意安排安全團隊直接向首席執(zhí)行官匯報工作。這種做法的目的是將安全團隊納入亞馬遜云科技決策流程。我們的安全團隊每周都會與亞馬遜云科技領(lǐng)導(dǎo)層舉行例會，確保我們在安全問題上策略和戰(zhàn)略決策正確。

安全文化需要自上而下構(gòu)建，但是，安全責(zé)任則需要自下而上承擔(dān)。我們致力于在高級管理層樹立一種正確態(tài)度，即安全不僅僅是安全團隊的職責(zé)，也是我們每個人均應(yīng)共擔(dān)的職責(zé)。

在我們營造的文化和環(huán)境中，員工一旦發(fā)現(xiàn)潛在安全問題，可以無需任何顧慮的隨時、及早告知我們。我們將這一過程稱為“上報”，這也是亞馬遜云科技運營模式的根本。簡言之，通過這一過程，我們可以確保任何問題出現(xiàn)時，均會在適當(dāng)?shù)臅r間點，提交給適當(dāng)人員作出相關(guān)決策。

機制與善意

在亞馬遜云科技，我們認(rèn)為，良好動機本身無法轉(zhuǎn)化為行動。要將動機轉(zhuǎn)化為行動，必須制定相關(guān)機制。機制就是將動機轉(zhuǎn)化為行動所需的一整套流程和各種工具。具體到安全領(lǐng)域，我們需要的機制是構(gòu)建自動化防護欄，而非設(shè)立關(guān)卡。

防護欄可以提高團隊的行動速度，因為就相對常規(guī)的安全實踐而言，防護欄可以實現(xiàn)自動化操作。這不僅可以使團隊成員集中精力處理對判斷力要求較高的決策工作，而且還能幫助他們做出正確選擇。例如，亞馬遜云科技服務(wù)在存儲客戶數(shù)據(jù)時，會對數(shù)據(jù)進行加密，在默認(rèn)情況下，用戶僅可訪問自身創(chuàng)建的賬戶。因此，企業(yè)須制定專門的數(shù)據(jù)政策，規(guī)定用戶共享數(shù)據(jù)的方式和對象。

在防護欄應(yīng)用方面，奈飛（Netflix）是一個范例。新冠疫情期間，奈飛改用遠程辦公模式，在這一轉(zhuǎn)型過程中，亞馬遜云科技幫助奈飛成功實施了數(shù)據(jù)集中化存儲策略，同時確保了終端節(jié)點安全可靠。此舉的效果是，無論奈飛員工在居家工作時使用何種設(shè)備訪問數(shù)據(jù)，終端節(jié)點均受到良好保護，數(shù)據(jù)本身則集中存儲于云端，受到集中監(jiān)控。

協(xié)作型安全文化

亞馬遜云科技安全團隊與服務(wù)團隊攜手，共同為客戶解決問題。任何團隊遇到安全問題，或者在軟件測試過程中遇到任何問題，我們都會提供指導(dǎo)，與其聯(lián)手解決問題。

協(xié)作的核心是透明度。我們采用多種方式，幫助客戶落實協(xié)作型安全文化；方式之一是幫助客戶建設(shè)端到端的檢測與監(jiān)控能力，使客戶能夠全面掌握基礎(chǔ)設(shè)施各個部分的安全狀況。亞馬遜云科技安全服務(wù)利用機器學(xué)習(xí)技術(shù)，可以幾近實時地大規(guī)模檢測潛在安全問題，并使用調(diào)查工具進行核心原因的分析。不僅如此，每處理一次事件后，亞馬遜云科技安全服務(wù)都會變得更加智能。亞馬遜云科技采用這一主動型策略，以數(shù)據(jù)為依托，使各個團隊達成必要共識，彼此協(xié)作，快速識別并解決問題。

構(gòu)建協(xié)作型安全文化的另一個關(guān)鍵是人才多元化。在亞馬遜云科技，我們致力實現(xiàn)的目標(biāo)是構(gòu)建多元化、包容性的團隊，確保團隊成員具有不同的視角、背景和思維方式，從而幫助我們以富有創(chuàng)造性的方式，應(yīng)對挑戰(zhàn)，并最終成長為更高效的全能型安全組織。

在協(xié)作型安全文化實踐方面，康卡斯特是一個很好的例子?？悼ㄋ固貏?chuàng)建了“云卓越中心”，將安全納入云開發(fā)生命周期，使安全團隊能夠以平等的身份，與公司內(nèi)部其他團隊協(xié)作，建設(shè)公司的云基礎(chǔ)設(shè)施。

積極進步

安全文化建設(shè)應(yīng)以持續(xù)進步為根本。安全問題很容易成為負(fù)面關(guān)注焦點，但是大部分人不了解的是，安全團隊每天需要采取數(shù)以萬億計的行動和決策。

在亞馬遜云科技，我們采取樂觀而負(fù)責(zé)的態(tài)度。我們堅信，企業(yè)采用適當(dāng)?shù)牧鞒獭⒆詣踊夹g(shù)，并保持信息透明，不僅可以實現(xiàn)云端安全，也能建立公眾對企業(yè)的信任。