了解 AWS CISO Circle 計畫

這讓我們有機會深入了解資安長們所關注的議題，以及哪些事情能引起他們共鳴，同時想方法舉辦活動，建立鼓勵大家對話和分享的場合。

Clarke Rodgers (01:00)：
您透過哪些方式鼓勵客戶互相認識並討論安全領域議題？

Danielle Ruderman (01:07)：
我們有察覺到機會，讓客戶能聚在一起並互相學習。AWS 和客戶都在疫情期間試圖摸索出更理想的互動方式，以及如何更完善地共享資源和資訊。

能有今天的成果是因為大家有 NDA，並且遵照查塔姆研究所規則 (Chatham House Rule)。而一群資安長聚集在一起的時候，我們真心希望每個人都能保持心態開放。要有這些條件，才能建立起一個令人安心的互動空間。

Clarke Rodgers (01:34)：
這個做法是否成功呢？

Danielle Ruderman (01:35)：
絕對是成功的。「查塔姆研究所規則」的原則是，你可以自由使用閉門討論中的資訊，但不得透露誰發表了任何特定評論。這確實讓每個人都能自由分享、坦誠以對，我認為在安全產業中「坦誠」非常重要，然後每個人也都能獲得資訊，並根據各自需求使用資訊。

Clarke Rodgers (01:55)：
最近有幾個安全相關議題十分熱門。例如零信任、生成式 AI 和安全性，CISO Circle 當中有討論這些議題嗎？

Clarke Rodgers (03:11)：
聽起來太棒了。那來談談這些主題吧？ CISO Circle 的主題是如何決定的？

Danielle Ruderman (03:18)：
我們舉辦的每場活動都有兩件要事。首先，我們有一份書面調查，上面列出一些主題請資安長們予以回應並視需要自行新增主題，同時我們也將主題納入每場討論，以主題相關的開放式討論做為會議結尾。如此一來就有機會了解各位資安長對哪些主題感興趣及其背後原因，也能發覺到我們從沒想到的方面，這點對我們來説非常有幫助。

因此，我們試著創造一個能讓客戶互相學習的環境，但這也是 AWS 向客戶學習的良機。我們非常重視這個機會。每當收到與服務、經營方式或 AWS 有關的任何建議回饋，我們都會上呈給領導階層。同樣，根據「查塔姆研究所規則」，我們不會透露回饋意見的發表者，但會根據這些建言持續改善不足之處，然後推動 AWS 為所有客戶提供更優質的服務，而這正是此計畫的主要目標。

因此，一旦有這些意見回饋，我們就能更宏觀地檢視計畫中哪些主題與客戶產生共鳴，也可以更全面地了解哪些主題在不同維度或不同地區更受重視。我們取得這些資訊，然後在規劃線上活動時就專注於特定單一主題，因為大家一定不想盯著螢幕超過一小時或一個半小時。

Danielle Ruderman (04:41)：
實體活動能做到更多事情，可以透過半天到整天的時間進行任何內容，我們會從客戶有感的主題中挑選幾個來討論。我們會確保每個主題至少有一小時討論時間。

所以通常要在一開始邀請特定主題的 AWS 專家來開場，然後帶領與會者討論。這種形式能激發出非常熱絡積極的討論。除此之外，小組討論也很受歡迎。有時候 AWS 專家和客戶代表會組成混合小組。

Clarke Rodgers (05:19)：
這個做法聽起來很棒。

Danielle Ruderman (05:20)：
或者我們也會針對特定主題組成一個客戶小組。這麼一來，各位資安長能直接獲得同業意見、互相提問，促成非常開放坦誠的對話。

Clarke Rodgers (05:30)：
怎麼劃分這些 CISO Circle 呢？ 例如所有金融服務的資安長一組、零售業的資安長一組，還是按照區域劃分？

Danielle Ruderman (05:20)：
其實都有。但我們逐漸根據不同方式進行劃分。例如能源產業就已有不少 CISO Circle。我們也根據汽車產業或金融服務業劃分，未來會有更多類似做法。

許多產業事實上面臨類似問題，而這就是混合小組有效可行的原因之一。不過，我想在此特別舉能源產業為例。最近有一些能源產業 CISO Circle，關鍵基礎設施的討論毫無意外地出現。有些講者說明 AWS 如何解決這些挑戰，以及其他專家深究特定問題，這些都助益良多。由此可見，雖然一般主題相同，每個產業都關心勒索軟體和身分安全，但我們同時也能顧及各產業間的細緻差異。

我認為混合小組的設計很棒，因為不同產業可以相互學習或與會者希望與同路人交流，但與此同時也看到各產業、各規模客戶之間發展出深刻難忘的互動。這確實是個好機會，讓每個人都能學習新事物或甚至意想不到的事物。

Clarke Rodgers (06:54)：
您是否也投入安全組織的其他工作，例如安全工程或安全開發人員？