Todas as empresas querem estar seguras. A pergunta que a AWS lança é como é que a segurança pode fazer parte da cultura de uma empresa
por Miguel Magalhães (Texto) | 17 de Junho, 2024
A edição de 2024 do re:inforce, conferência sobre cibersegurança organizada pela Amazon Web Services (AWS) em Filadélfia, decorreu entre os dias 10 e 12 de junho. Para liderar este setor, a grande aposta da AWS passa pela sua cultura.
Filadéfia não é a primeira cidade que nos vem à mente quando pensamos em inovação, mas tem um impacto histórico e cultural maior do que podíamos imaginar à primeira vista. Desempenhou um papel importante na Revolução Americana de 1776, tendo sido a capital dos EUA durante 10 anos até Washington D.C assumir esse papel. O “Liberty Bell” que podemos encontrar numa exposição na parte antiga da cidade foi um símbolo não só de independência, mas também de liberdade para vários comunidades ao longo da história das terras do “Uncle Sam”. Na perspetiva cultural, é também a cidade de “Rocky”, a personagem criada por Sylvester Stallone, o homem-comum transformado superestrela do boxe, imortalizado localmente não só por uma estátua, mas pelas milhares de pessoas que anualmente sobem a escadaria do Museu de Arte de Filadélfia ao som de “Eye of the Tiger”.
Esta simbologia ligada à revolução, ao conflito, à independência e à superação de adversidades deve ter sido uma das razões pelas quais a cidade pertencente ao estado da Pensilvânia, a 1h30 de Nova Iorque, foi escolhida para ser o palco da edição de 2024 do AWS re:Inforce, o evento anual da Amazon Web Services, em que a interseção entre a inteligência artificial e a segurança acabou por ser o tema predominante. Entre os dias 10 e 12 de junho, a conferência tecnológica juntou os principais executivos da AWS em segurança, bem como os parceiros com os quais trabalham diariamente no desenvolvimento e implementação de soluções. Foi uma ocasião para fazer workshops e demos, para discutir opções, mas sobretudo para mostrar o que está por detrás de cada uma delas. Aquilo que a AWS chama de “Cultura de Segurança”.
O mundo da cloud já não é o mesmo
Criada em 2006, a AWS e a sua infraestrutura de cloud foram fundamentais para a transformação tecnológica que se observou nos últimos 15 anos. Foi nela que foram construídas muitas das redes sociais que hoje utilizamos diariamente, os serviços de streaming onde consumimos séries e filmes, as plataformas de ecommerce onde compramos todo o tipo de produtos ou mesmo os produtos SaaS que nos apoiam em várias etapas dos nossos negócios. A cloud permitiu uma agilidade e uma experiência de utilização melhor quer para developers, quer para utilizadores finais, sempre com uma base comum de segurança.
É impossível prevenir a 100% o risco de ciberataques ou de mau-uso de dados por parte de uma organização, mas ao longo da sua existência, a AWS tornou-se uma referência na áreas da cloud pelas suas características de segurança tendo, atualmente, com base em dados da Statista, cerca de 31% de market share.
No entanto, o mundo que a AWS começou a operar em 2006 e 2016, era bem diferente daquele que enfrenta agora. As tensões que se fazem sentir em diferentes cantos do mundo e a aceleração de tecnologias de inteligência artificial elevaram não só o risco de segurança dos sistemas da maior parte das empresas, como fizeram com que o nível de exigência ou complexidade que procuram num fornecedor de cloud fosse muito superior. A IA (e especialmente a IA generativa) trouxe novas ferramentas quer para “defensores”, quer para os próprios “atacantes”, que procuram infiltrar-se nos sistema de organizações e roubar credenciais, informações ou, em casos mais drásticos, algum tipo de fundos. O setor da cibersegurança, que já desde o início do milénio joga uma espécie de jogo de gato e rato, tornou-se numa tarefa contínua para profissionais da área que ocorre 24 horas por dia, sete dias por semanas, muitas vezes em simultâneo em milhões de campos de batalha.
Durante muito tempo, no mundo empresarial, o paradigma geral era que o tema da segurança só se tornava relevante quando alguma evento grave acontecia ou quanto uma empresa atingia uma dimensão significativa para poder ter a sua própria equipa de cibersegurança. No estado atual da Internet e no número elevado de possibilidades que um mau ator tem à sua disposição para poder danificar uma determinada organização, a segurança tornou-se um requisito obrigatório: da “Big Corporate” à PME, de uma indústria super regulamentada a outra ainda a dar os primeiros passos. Este conjunto de fenómenos deu uma oportunidade à AWS para reforçar ainda mais o seu compromisso com a segurança e torná-lo não só na característica primordial que procura ter nas suas soluções, mas também nas suas pessoas.
Segurança em toda a linha
“É incrivelmente desafiante liderar uma revolução numa empresa a não ser que tenhas o apoio dos teus líderes”, afirma Chris Betz, Chief Information Security Officer (CISO) da AWS. Não é fácil implementar uma cultura de valores partilhados numa organização, especialmente numa que contabiliza mais de 1 milhão de pessoas (se incluirmos a empresa-mãe Amazon). Por isso, o foco na segurança e o mote de “tornar a Internet mais segura” são elementos-chave, repetidos na estratégia global da empresa: por Andy Jassy, CEO da Amazon, por Adam Selipsky, ex-CEO da AWS e por Matt Garman, o novo CEO recentemente apontado em maio deste ano.
Um dos exemplos deste alinhamento de perspetivas é o facto de a segurança ser um tema discutido a nível executivo e de impacto no negócio todas as sexta-feiras, de acordo com Betz. Todas os líderes de equipas de segurança da AWS reunem com o CEO e definem as prioridades em que têm de atuar. Esta dinâmica cria um sentimento de responsabilidade que é partilhado a diferentes níveis da hierarquia. “Cada equipa é responsável pela segurança do produto que está a gerir. A segurança faz parte do roadmap de cada produto, do plano de engenharia e das reuniões semanais, tal como as funcionalidades, a performance e o custo”, partilha o CISO da AWS.
Adicionalmente, um dos pontos importantes nesta equação tem a ver com a própria composição das equipas. “O principal problema que temos para resolver é a falta de talento nesta área e como é que podemos comunicar melhor o tipo de trabalhos que podem ser feitos no setor da segurança”, diz Jenny Brinckley, Diretora de Segurança da AWS, que integrou a empresa depois da sua startup Harvest AI ser adquirida em 2016.
Por um lado, Brinckley acredita que é necessário combater o típico estereótipo de pessoa que trabalha em segurança: não é só uma pessoa do departamento de “IT”, é cada vez menos um trabalho realizado apenas por homens e é cada vez mais algo que faz parte da estratégia de negócio de qualquer empresa. Por outro lado, a executiva diz que “segurança são pessoas a tomar decisões” e que, como tal, também é importante procurar ter nas equipas uma maior diversidade, seja entre homens e mulheres, seja contando com colegas que vêm de backgrounds diferentes e que a educação em todos os níveis – dos mais jovens aos mais velhos – é fundamental. Só assim, é possível também ter uma maior flexibilidade para identificar ameaças de segurança em conjunto com a tecnologia que já é desenvolvida.
Todas as empresas querem estar seguras
“Nós estamos proativamente a querer partilhar informação com clientes, que os ajudem a tomar melhores decisões. Esta conferência foi desenhada como um centro de treino. Queremos garantir que as pessoas têm as técnicas certas, as ferramentas certas e as skills certas para usá-las e fazer o seu trabalho de modo eficaz”, reforça Stephen Schmidt, Chief Security Officer da Amazon.
Quando falamos de cultura de uma empresa, consideramos o conjunto de valores que guiam a forma como cada pessoa se relaciona com as restantes, em diferentes níveis hierárquicos e, principalmente, como é toma decisões que afetam o negócio e influenciam o rumo que a organização está a tomar. O re:Inforce representa um investimento da AWS não só para demonstrar os processos que aplica em diferentes contextos através das suas soluções, mas também mostrar as suas pessoas, a forma como pensam e procurar assim que os parceiros que distribuem a sua tecnologia, a comunidade de especialistas que a explicam e conjunto de clientes que a utiliza no negócio possam também ter um pouco da sua cultura de segurança.
O evento que a AWS organiza é o culminar de um trabalho que é desenvolvido ao longo do ano e cuja complexidade tem vindo a aumentar, especialmente nos últimos dois anos com a aceleração da inteligência artificial. O tipo de ameaças e vulnerabilidades é hoje muito mais diverso e quando um cliente utiliza qualquer tipo de serviço associado à cloud é importante que a segurança do seu produto ou serviço seja uma preocupação desde o dia 1 e que a proteção dos mesmos ao longo do seu roadmap seja consistente e contínua.
Ao nível dos parceiros, por exemplo, estes são muitas vezes o primeiro contacto que empresas têm com a tecnologia da AWS. São software developers, são responsáveis de segurança, são consultores que se especializaram nas diferentes ferramentas que a tecnológica dipsonibiliza. Por isso, é um fator determinante no negócio da plataforma de cloud garantir que estas entidades partilham da sua cultura.
“Uma das principais formas que temos de partilhar a nossa filosofia de segurança e receber feedback é através do AWS Partner Equip. É um conferência exclusiva para parceiros, com uma versão virtual e outra física, na qual partilhamos informação confidencial com eles, incluindo a nossa estratégia interna para desenvolver e promover a nossa cultura, diretamente da equipa executiva de segurança da AWS. O objetivo é remover qualquer sentimento de ansiedade, de medo ou de dúvida sobre partilharem algo que acham que podia ser melhorado e dizerem-no. Queremos que se sintam empoderados por nós para fazer isso”, explica Ryan Orsi, Global Head of Cloud Foundations Partners na AWS.
No caso de clientes da AWS, os temas principais são cada vez mais não só navegar as diferentes regulações que cada mercado apresenta, mas mostrar que um investimento nos sistemas de segurança de uma empresa não tem necessariamente de representar um atraso na inovação de um negócio e pode, inclusive, funcionar como um acelerador. “Tem tudo a ver com garantir que existe um alinhamento entre a cultura tecnológica e a cultura regulatória de cada país. Garantir que quem está a proceder da maneira certa é premiado, mas que não está ainda com as práticas ajustadas é logo penalizado”, reitera Orsi.
Numa altura em que se discute cada vez mais as abordagens que EUA e Europa tem a forma como organizações gerem dados dos seus utilizadores, nomeadamente no âmbito de tecnologias de IA, plataformas como a AWS estão mais do que nunca centradas – e escrutinadas – na forma como influenciam como a vida de todos nós na Internet e nas soluções que apresentam para a tornar melhor e mais segura.
Subscreva a nossa newsletter NEXT, onde todas as segundas-feiras pode ler as melhores histórias do mundo da inovação e das empresas em Portugal e lá fora.