可持续安全文化： 赋予构建者成功的力量

## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/SEC211-Sustainable_security_culture__Empower_builders_for_success-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 虽然机器可以成为安全战略中一个可预测的要素，但影响人类行为仍然是建立可持续安全文化的终极挑战。培养积极主动、富有弹性的安全心态，以实现有效的风险缓解、事件响应和协作，这可能是一项挑战。对包容性和心理安全原则进行深思熟虑的投资有助于组织快速行动并保持安全。学习实用的策略，建立有利于升级的文化，使您的团队能够大规模地支持安全。有了可操作的路线图作为指导，您在离开本讲座时就能通过包容性领导和在压力情况下的同理心来加强您的安全文化。 ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华，共1100字，阅读时间大约是6分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。</font> 莎拉·库里在演讲开始时回忆起2020年在亚马逊云科技会议上与哈特·罗斯曼的初次相遇。作为一名刚加入亚马逊云科技仅一个月的新云计算开发者，莎拉惊讶地发现，在出席那次会议的4万名亚马逊员工中，哈特穿着一件引人注目的“农场闪光”服装。他的有趣装扮使他显得平易近人，这一点在几个月后，莎拉亲自见证时尤为明显。 在COVID疫情期间，莎拉独自一人在她位于纽约市500平方英尺的公寓里工作，周围是全天候可听到的救护车声。她成功地为客户迁移到亚马逊云科技实现非合规资源的自动化标签和关闭构建了一个亚马逊云科技CloudFormation模板。然而，部署后不久，她就收到了一些东西出问题的警报。她认出了严重性，立即启动了涉及必要团队的严重性2升级，以迅速采取补救措施。 尽管做了正确的事情，但莎拉担心她会因为这次错误而失去工作。但当哈特加入桥接呼叫时，他感谢莎拉关注了这个问题，并保证他们会一起解决这个问题。他的冷静态度和安慰让莎拉能够从头开始领导这个升级过程，并在过程中学到了宝贵的技能。这次经历让莎拉相信亚马逊云科技的领导层赋予员工提出问题的权力，而不加以判断，从而创造了一种可以共同提出和解决安全问题的文化。 哈特解释了妥善处理升级的重要性。亚马逊云科技使用严重级别来立即让领导者参与解决关键问题。特定来说，严重性2会传呼高级领导，并将服务团队带入来解决客户的紧迫问题。通过首先感谢提出问题的个人，领导者强调发表意见是受重视的。虽然需要紧急行动，但领导者应该向团队保证，这种环境对透明讨论来说是安全的，以便确定最佳的下一步行动。与最接近问题的团队一起保持所有权使学习成为可能。领导者持续示范这种回应有助于随着时间的推移建立一个支持升级的环境。 定期的安全业务会议为客户提供了一个机会，以便培养文化、有效分配资源并做出数据驱动的决策。Hart的全球服务组织的每周讨论揭示出可以通过客户概念验证和演示来释放多余的基础设施，从而改善安全状况并恢复开发人员的时间。几个月后，财务部门请求Hart的帮助来领导成本优化计划，因为他的小组在处理不需要的系统方面的表现出色。这表明安全问题如何在意想不到的方式中深刻地影响着业务成果。与领导层的沟通也是将安全融入业务中不可或缺的一部分。Hart发现，通过与高级利益相关者谈论客户影响和业务结果（而非技术细节），可以更好地吸引他们的注意。通过将安全文化与收益联系起来，领导者们投资于一个蓬勃发展的团队。他在亚马逊云科技推广了“五个为什么”的根本原因分析方法，用于回顾导致客户问题的漏洞。然而，他建议在为客户推出新服务或功能时，预先采用“五个如何”的方法进行全面检查。这可以减少对事后调查的需求。随后，Sarah接手讨论发展包容性的安全文化策略。随着技术依赖的增加，对手正在利用人类因素作为最薄弱的环节。研究表明，提高员工的参与度可以提高安全意识，降低内部威胁风险35%。公司应该承认员工的贡献，培养共同的责任感，而不是进行枯燥的强制性培训。心理安全是授权可持续文化的基础。当领导展示同理心，感谢团队提出影响客户的问题，并在高度情绪化的环境中保持冷静时，员工将提出问题而不必担心报复。Sarah的例子是她总是向24人的分布式团队保证支持，以便随时讨论情感影响。她还强调了他们的专业知识如何与其他利益相关者互补，共同解决问题。 另一种促进包容性方法是通过拓宽视角来实现。当团队成员向客户提供解决方案时，领导者应公开感谢贡献者，以避免被更广泛的讨论淹没。这样的暂停让人感受到被重视，从而提高他们的参与度和平等感。 哈特表示，在面对影响客户的新型情况时，领导者应积极倾听各种意见，而不仅仅是依赖经验丰富的专家。尽管需要采取行动，但包容性的文化会评估所有可选方案以确定最佳前进方向。 为了减轻疲劳并保持文化，需采取措施防止人们随着时间的推移而脱离。那些天生具有照顾他人特质的人在被吸引到安全领域后，往往难以割舍。通过采用建设性选择，如开发自动化系统来替换备班，可以减轻压力。此外，安排时间友好的会议并遵循太阳时间表有助于在全球团队支持全球客户之间分担负担。 授权建设者担任安全大使，以便在初期就嵌入实践，而不仅仅是依赖专门的员工。亚马逊云科技拥有数千名安全守护者在产品组中担任初始威胁建模工作，并与AppSec工程师合作修复客户相关的漏洞。这种模式已将中级和高级发现减少了22.5%，加快了审核过程，并每年节省了超过200,000个工作日。 其他公司已通过设立榜样和奖励措施，模仿了这一成功经验，以激励员工参与保护客户部署的工作。 零信任安全原则为通过访问控制加强文化提供了另一个机会。哈特强调了新IAM访问分析器功能的使用，该功能可推荐实施最小权限策略。结合亚马逊云科技的开源身份政策语言雪松，组织可以通过编程方式强制实施零信任，以实现更安全的结果。 除了塑造理想行为外，正规培训还有助于培养文化。亚马逊云科技提供课程，教授管理者如何成功地参与影响客户的升级活动，而导师培训确保有经验的人员有效传播知识。通过建立围绕共同目标的合作关系，而非仅仅随机分配任务，萨拉和哈特在应对客户事件时建立的有效的导师-学员关系得以实现。 在总结中，Sarah强调领导者应定期进行安全业务审查，公开表彰进步行为，减轻员工负担，鼓励创新思维，通过诸如“安全守护者”等项目赋予员工权力，并采用零信任访问模式。通过这些策略，企业能够维护一种安全文化，激励员工积极参与以提高对客户的保护措施。 **下面是一些演讲现场的精彩瞬间：** Hart Rossman与Sarah Curry共同探讨了如何领导一个具有包容性和同理心的安全团队，以激发安全专家们的潜力。  一名年轻的亚马逊云科技员工回忆道，他在一次会议上遇到了穿着独特服装的Hart Rossman，后来才知道他是一位顶尖的安全领袖，通过服装展现个性。  一名新加入亚马逊云科技的员工紧张地报告了一个重大故障，虽然担忧反应，但他知道自己做得对。  Sarah表示，她对Hart对她的安全问题提供的支持性回应感到欣慰，这让她能够领导修复过程并加以改进。  领导者分享了他被要求帮助财务团队优化成本的经历，尽管他没有财务背景，但这让他得以用新的方式学习和发展。  领导者注意到，通过讨论业务成果和收益而非技术细节来提高安全性更为有效。  领导者提供了免费的学习资源，并向观众展示了QR码，以便他们了解更多关于亚马逊云科技云安全的知识。  ## 总结 1. 安全应该被视为企业的核心业务功能，而不仅仅是项目和计划。持续鼓励提出安全问题的人有助于随着时间的推移形成强大的安全文化。通过将安全框架与客户需求相结合并以推动业务成果的方式呈现，可以增强其影响力。 2. 心理安全是有效安全文化的基础。领导者应通过展示同理心、避免指责并确保开放沟通（不论职位高低）来促进信任。对于升级问题的积极处理也能让人感受到自己的声音被倾听。 3. 减少疲劳并提高安全性需要通过像亚马逊云科技Security Guardians这样的计划，让更多的建设者成为安全大使。这种威胁建模和建设者与安全团队之间的合作可以将安全提前。导师制和培训有助于培养更多具有安全意识的建设者。 4. 可持续安全需要建立诸如每周业务审查、值班交接和持续培训等机制。新的方法，如零信任和提供自动化的工具，以及利用[机器学习](https://aws.amazon.com/cn/machine-learning/?trk=cndc-detail)等技术，也有助于提高安全性。 5. 关键是创建一个安全责任属于每个人的可升级文化。这使得组织能够更快速地构建更安全的产品。 ## 演讲原文 ## 想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！ [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处")，一键获取亚马逊云科技全球最新产品/服务资讯！ [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处")，一键获取亚马逊云科技中国区最新产品/服务资讯！ ## 即刻注册亚马逊云科技账户，开启云端之旅！ [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")