Ciberseguridad
Amazon

Así responde Amy Herzog, CISO de Amazon, a los desafíos actuales de ciberseguridad

La responsable de la protección de dispositivos y productos describe cómo su departamento trabaja con los equipos de de desarrollo para garantizar la seguridad.

Amy Herzog, Amazon

No existe una trayectoria profesional común para muchos CISO, y el viaje de Amy Herzog no es una excepción. Es una de las varias responsables de ciberseguridad de Amazon y responsable de dos grandes partes del negocio de la multinacional: proteger el hardware y anunciar productos y servicios.

Se unió a la compañía en 2023 después de ocupar puestos de gestión de TI en Travelers Insurance y en Pivotal, que fue adquirida por VMware. Tiene una profunda experiencia en ingeniería de seguridad y trabajó para MITRE Corporation durante más de 15 años al comienzo de su carrera. Allí, fue coautora de dos patentes relacionadas con la protección.

 

Cómo aborda Amazon los desafíos comunes

Uno de los mayores retos que enfrentan muchos CISO es desarrollar un entorno de trabajo colaborativo con otros departamentos, de modo que la seguridad no sea una ocurrencia tardía o se convierta en algo para decir no a los proyectos en marcha. Amazon ha tenido cierto éxito en esta área.

Primero, dice Herzog, “adoptamos un enfoque de trabajo hacia atrás para el desarrollo de productos. Esto significa que comenzamos por comprender las necesidades de nuestros clientes y desarrollarnos en torno a ellas. Desde el momento del diseño en adelante, nuestros equipos de seguridad y producto trabajan juntos para garantizar que se cumpla con las expectativas de los usuarios”.

El siguiente paso es sentarse con los científicos y hacer una lluvia de ideas sobre sus prioridades para determinar quién hace qué parte de la protección. “Parte de nuestro mantra es incorporar especialistas en seguridad al principio de este proceso para que formen parte de los equipos de diseño y sean socios colaborativos, en lugar de abordar la seguridad más adelanta en el desarrollo”, indica.

Lamentablemente, este último punto es demasiado típico para muchas otras empresas porque contrapone la seguridad al desarrollo de productos. “Esto significa que una revisión de seguridad está realizando un escaneo de códigos para encontrar y arreglar cosas en el último minuto. En lugar de eso, realizamos escaneos a lo largo del ciclo de vida de la codificación. Aunque es más difícil, proporciona una retroalimentación positiva y produce mejores resultados y más rápidos, y tiene el beneficio adicional de que el equipo de seguridad se sienta parte del proceso de desarrollo como un constructor más”, en lugar de un punto de control que podría adoptar una posición más conflictiva. “Nuestro objetivo es interactuar desde el principio y con frecuencia”.

“Además, si hacemos esto bien, cuando tengamos una revisión previa al lanzamiento, no tomará mucho tiempo porque todos han hecho su trabajo durante todo el ciclo de vida del desarrollo […] Esta colaboración tiene otros varios beneficios, tanto en términos de crear una mejor experiencia para el cliente como operativa”. Además, cambia la forma en que se construyen los productos “porque la gente de seguridad tiende a pensar en ellos de una manera diferente a los desarrolladores. Pero parte de ser CISO es construir bases sólidas. Sabemos los pasos correctos a seguir y ahora debemos construir los sistemas y controles adecuados en consecuencia”.

A lo largo de su carrera, Herzog ha visto la evolución de la computación en la nube y los cambios que la acompañan en su seguridad nativa. “Algunas cosas en las que nosotros, como defensores, hemos mejorado, como establecer y hacer cumplir límites de confianza entre diferentes organizaciones. La seguridad a través de estas fronteras requiere mucho cuidado, matices y reflexión, pero afortunadamente las herramientas se han vuelto más sofisticadas”.

 

Sobre el Internet de las cosas y la inteligencia artificial generativa

Ser responsable de la seguridad de los dispositivos significa encontrarse cara a cara con IoT, que es famoso por varios ataques de seguridad. Pero ofrece un punto de vista alternativo: “Asegurar la IoT no es tan diferente de proteger situaciones interactivas y con mucha red. Todos ellos cuentan con controles para proteger los datos. Dedicamos importantes recursos a probar y mantener la seguridad de nuestros dispositivos”. Herzog dijo que hay ejemplos de escaneos automatizados y pasos de verificación continuos para garantizar que las actualizaciones de software sean auténticas y se apliquen correctamente.

Una encuesta de CoderPad a más de 13.000 desarrolladores encontró que el 59% dijo que usa IA para asistencia con el código, más de la mitad dijo que la usa para aprendizaje y tutoriales, y alrededor del 45% dijo que la usa para generar código.

Amazon está muy involucrado tanto en el desarrollo de nuevos modelos de inteligencia artificial como en su uso para proteger sus productos y servicios. “Contamos con un equipo dedicado de expertos en seguridad e inteligencia artificial generativa que desarrolla pruebas y controles de seguridad para nuestros modelos y servicios de inteligencia artificial. Desempeñan un papel integral en el desarrollo responsable de sistemas de IA y garantizan que funcionen según lo previsto”. Por ejemplo, Amazon prueba sus modelos utilizando indicaciones adversas y ejercicios manuales y automatizados del equipo rojo para identificar vulnerabilidades y abordarlas en las primeras etapas del ciclo de vida del desarrollo del producto. "Estos tienden a sacar a la luz respuestas inesperadas y afinar nuestros modelos para desalentar respuestas poco confiables". Amazon también utiliza pruebas exhaustivas de los clientes en casos de uso revelados y pruebas de seguridad manuales y automatizadas para identificar vulnerabilidades potenciales.



TE PUEDE INTERESAR...

Contenido Patrocinado

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper