Como director de seguridad de la información (CISO) de Amazon Web Services (AWS), Chris Betz garantiza que la infraestructura de nube gestionada por AWS sea lo más segura posible para todos. Esto significa mantener seguros los datos de los clientes de AWS y, al mismo tiempo, proteger los datos de los clientes de las empresas que utilizan AWS. Entonces, ¿cómo aborda Betz (que antes era cliente de AWS) este enorme e importante trabajo?
Hablamos con Betz en AWS re:Inforce, la conferencia anual sobre seguridad en la nube de la empresa, en la que los asistentes colaboran con expertos, socios y desarrolladores que impulsan el futuro de la seguridad en la era de la IA generativa. Estas son, según sus propias palabras, las siete razones por las que la seguridad ha sido una prioridad para toda la empresa desde el primer día y siempre será la principal prioridad de Amazon.
1. Una buena seguridad es la clave para experimentar con nuevas tecnologías, incluida la IA generativa
La IA generativa puede transformar prácticamente todas las experiencias de los clientes a través de potentes herramientas accesibles para todos. Sin embargo, sin una gobernanza clara, la IA generativa plantea problemas de seguridad y privacidad. En consecuencia, no es raro que los empleados de las organizaciones que apuestan por la IA generativa vean la seguridad como un elemento clave, o el "Departamento del No". Esto no solo es erróneo, sino que también es malo para las empresas. En AWS, siempre hemos creído que la seguridad es un factor que posibilita el negocio. La seguridad reduce el riesgo, refuerza la resiliencia y permite a los clientes innovar más rápido y con confianza, especialmente en la era de la IA generativa, en rápida evolución.
Queremos que los equipos de seguridad de nuestros clientes lleguen a un lugar en el que se los considere el "Departamento del Sí" y en el que trabajen con los empleados para respaldar sus objetivos empresariales, comprender los riesgos y ayudarlos a implementar las medidas de mitigación necesarias.
2. La seguridad es tarea de todos, desde el director ejecutivo hasta el desarrollador
Un informe reciente de una junta asesora del gobierno de EE.UU. deja claro que una cultura de seguridad deficiente puede ser la causa principal de errores evitables que permiten que las intrusiones tengan éxito y pasen desapercibidas. En AWS, decidimos intencionadamente que el equipo de seguridad dependiera directamente del director ejecutivo. El objetivo era incorporar la seguridad a la estructura de AWS. La seguridad comienza desde arriba, pero es igual de importante que la responsabilidad fluya de abajo hacia arriba. La seguridad no es solo el trabajo del equipo de seguridad, es una responsabilidad distribuida.
Todos los equipos de productos son responsables de la seguridad del servicio o la capacidad que ofrecen. La seguridad está integrada en la hoja de ruta de cada producto, plan de ingeniería y reunión de trabajo semanal, al igual que las capacidades, el rendimiento y el costo. La mejor seguridad no es algo que pueda "consolidarse" al final de un proceso o fuera de un sistema; más bien, la seguridad es integral y fundamental.
3. Un enfoque seguro de la IA generativa significa poner a los clientes en control de sus datos
La mayor preocupación que me plantean los clientes cuando exploran cómo adoptar la IA generativa es cómo proteger sus datos y los de sus clientes finales. Desde el primer día, la infraestructura y los servicios de IA de AWS han incorporado funciones de seguridad y privacidad para que los clientes puedan controlar sus datos. Nuestro sistema AWS Nitro desempeña un papel clave en este sentido. El hardware especializado y el firmware asociado de Nitro imponen restricciones para que nadie, ni siquiera en AWS, pueda acceder de forma lógica a la infraestructura subyacente, las cargas de trabajo o los datos que se ejecutan en los servidores virtuales Amazon Elastic Compute Cloud (Amazon EC2) de los clientes.
Cuando se trata de crear aplicaciones de IA generativa de forma segura, nuestro servicio Amazon Bedrock brinda a los clientes un control total sobre los datos que utilizan para personalizar los modelos básicos en los que se basan sus aplicaciones. Con Bedrock, sus datos se cifran en tránsito y en reposo, lo que garantiza que sus datos permanezcan privados y confidenciales.
4. La IA generativa tiene el poder de aumentar la seguridad de los clientes
La misma potencia y facilidad de uso que hacen que la IA generativa sea extremadamente atractiva para los clientes también la convierten en una herramienta indispensable para los administradores de TI y seguridad para ayudarlos a identificar y resolver los problemas de manera más eficaz. En la edición de re:Inforce de este año, anunciamos dos nuevas funciones de seguridad generativas basadas en la inteligencia artificial.
Una nueva capacidad de generación de consultas en lenguaje natural permite a los administradores de seguridad analizar de manera fácil y rápida los eventos de actividad en AWS CloudTrail Lake, un servicio que permite a las organizaciones almacenar y consultar eventos para las investigaciones de seguridad. Ahora los administradores de seguridad pueden hacer preguntas como: "¿Cuántos errores se registraron durante la semana pasada en cada servicio y cuál fue la causa de cada error?", y CloudTrail generará una consulta.
Los clientes de AWS Audit Manager ahora pueden acceder a un marco prediseñado para comprender cómo su implementación de IA generativa en Amazon SageMaker se ajusta a las prácticas recomendadas por AWS. Los clientes de SageMaker ya pueden empezar a auditar el uso que hacen de la IA generativa y a automatizar la recopilación de pruebas, lo que les proporciona un enfoque coherente para hacer un seguimiento del uso y los permisos de los modelos de IA, marcar los datos confidenciales y alertar sobre cualquier problema.
5. La mejor estrategia de defensa en seguridad es tomar la iniciativa
Todos los días, en toda la infraestructura de AWS, analizamos, detectamos y frustramos los ciberataques. Con el mayor espacio de red pública de todos los proveedores de nube, AWS tiene una visión sin igual de determinadas actividades en Internet, en tiempo real. El otoño pasado compartimos información sobre MadPot, nuestra red mundial de sensores de amenazas (también conocidos como honeypots) que ayuda a nuestros equipos a comprender las tácticas y técnicas de los atacantes. Cada vez que un atacante intenta atacar uno de nuestros sensores de amenazas, utilizamos esa información sobre amenazas para ayudar a proteger a los clientes.
Además, este año, en re:Inforce, hablamos por primera vez públicamente sobre Sonaris, una herramienta interna que utilizamos para analizar el tráfico de la red a fin de identificar y detener los intentos malintencionados de conectarse a un gran número de cuentas de clientes para detectar vulnerabilidades. Entre mayo de 2023 y abril de 2024, Sonaris rechazó más de 24 000 millones de intentos de escanear los datos de los clientes almacenados en Amazon Simple Storage Service (Amazon S3) y evitó casi 2,6 billones de intentos de descubrir servicios vulnerables que se ejecutaban en los servidores virtuales Amazon EC2 de los clientes. Se trata de una cantidad asombrosa de trabajo que se lleva a cabo entre bastidores para garantizar que el negocio de un cliente continúe sin interrupciones.
6. Una buena seguridad incluye aprender bien los fundamentos
Si bien las contraseñas ayudan a proteger los activos digitales, no son suficientes. La autenticación multifactor (MFA), que requiere que los usuarios proporcionen algo más que una contraseña para acceder a una página web o una aplicación, actúa como una capa de seguridad adicional. Existe desde hace más de 20 años, pero aún no se ha adoptado de forma universal.
Para ayudar a los clientes de AWS a proteger sus cuentas, a principios de este año lanzamos un nuevo programa que aplicará la MFA a las cuentas de usuarios raíz de las organizaciones de AWS (una herramienta para administrar los entornos de AWS con varias cuentas) a fin de reducir aún más el riesgo de apropiación de cuentas, ofreciendo a los clientes una clave de seguridad de MFA gratuita. Para facilitar aún más la adopción de la MFA, en re:Inforce anunciamos este año que AWS Identity and Access Management (IAM), una herramienta que se utiliza para administrar de forma segura las identidades y el acceso a los servicios y recursos de AWS, ahora admite claves de acceso como segundo método de autenticación. Las claves de acceso utilizan criptografía de clave pública, lo que permite una autenticación sólida y resistente a la suplantación de identidad, que es más segura que las contraseñas.
7. La seguridad requiere un compromiso constante para innovar
Todos los días, las empresas emergentes de más rápido crecimiento, las empresas más grandes y las organizaciones gubernamentales más confiables del mundo utilizan AWS para administrar su infraestructura tecnológica. Nos eligen porque la seguridad ha sido nuestra principal prioridad desde el primer día. Diseñamos AWS para que fuera la forma más segura para que nuestros clientes ejecuten sus cargas de trabajo, y hemos desarrollado nuestra cultura interna en torno a la seguridad como un imperativo empresarial. Seguimos innovando en beneficio de nuestros clientes para que puedan actuar con rapidez, seguridad y confianza para hacer realidad sus negocios, y nuestra trayectoria en el ámbito de la seguridad en la nube es insuperable. Los desafíos de la ciberseguridad seguirán evolucionando y, si bien estamos orgullosos de los logros conseguidos hasta la fecha, nos comprometemos a mejorar constantemente a medida que innovamos y hacemos avanzar nuestras tecnologías y nuestra cultura de seguridad.
