هوارد تينغ، الرئيس التنفيذي لشركة أوبال سيكيوريتي - سلسلة مقابلات

هوارد تينغيشغل منصب الرئيس التنفيذي لشركة أوبال سيكيوريتي، وهو خبير مخضرم في مجال الأمن السيبراني والتكنولوجيا، ويتولى قيادة الشركة منذ نوفمبر 2025. قبل ذلك، شغل منصب المدير التنفيذي المقيم في شركة غريلوك، وقضى أكثر من خمس سنوات في شركة سايبرهافن كرئيس تنفيذي وعضو مجلس إدارة، حيث قاد الشركة في مهمتها لحماية البيانات وتمكين الابتكار الآمن. تشمل خبرته مناصب قيادية في التسويق الاستراتيجي في شركتي ريديس لابز وزسكيلر، بالإضافة إلى مناصب عليا في التسويق والمنتجات في شركات نوتانيكس، وبالو ألتو نتوركس، وسيسكو (عبر سيكيورنت)، ومايكروسوفت، وآر إس إيه سيكيوريتي، وخبرة مبكرة في عمليات الاندماج والاستحواذ في بنك أوف أمريكا سيكيوريتيز. هذا المزيج من القيادة التشغيلية، والخبرة في استراتيجيات التسويق، والخبرة العميقة في مجال الأمن السيبراني، يضعه في موقع فريد لقيادة منصة أمنية سريعة النمو.

أوبال سيكيوريتي هي شركة حديثة لإدارة الوصول تركز على الهوية، وتوفر للمؤسسات منصة مركزية لإدارة وتأمين صلاحيات الوصول إلى مختلف الأنظمة السحابية، وأنظمة البرمجيات كخدمة (SaaS)، والأنظمة الداخلية. توفر المنصة رؤية موحدة للهوية ومسارات الوصول، وتدعم عمليات الوصول الذاتي والفورية، وتؤتمت مراجعات الوصول لتطبيق سياسات أقل الامتيازات على نطاق واسع، مما يساعد المؤسسات على تقليل المخاطر وتحسين الامتثال في بيئات ديناميكية تشمل المستخدمين البشريين، وحسابات الخدمة، وأنظمة الذكاء الاصطناعي.

توليتَ مؤخرًا منصب الرئيس التنفيذي في شركة أوبال سيكيوريتي بعد أن قُدتَ شركة سايبرهافن خلال مرحلة توسع كبيرة، وشغلتَ مناصب قيادية في شركات مثل بالو ألتو نتوركس، ونوتانيكس، وسيسكو، وآر إس إيه سيكيوريتي، وريديس، ومايكروسوفت. ما الذي جذبك إلى أوبال في هذه المرحلة من مسيرتك المهنية، وكيف تُؤثر خبرتك السابقة على نظرتك الحالية إلى أمن الوصول والهوية والذكاء الاصطناعي؟

تزداد إدارة الوصول صعوبةً في كل مكان. مع ازدياد الهويات، وكثرة الأجهزة، وتزايد الأتمتة، بات الوصول الفعال ينشأ بشكل متزايد من داخل بيئات الهندسة وسير العمل السحابي، وليس من داخل أقسام تقنية المعلومات التقليدية. لم تُصمم أدوات إدارة الهوية والوصول القياسية لأي من هذه التحديات، والتهديدات القائمة على الهوية لا تنتظر حتى تتطور هذه الأدوات.

هذا ما جذبني إلى أوبال. حجم هذه المشكلة هائل، وأوبال متوافقة بالفعل مع توجهات السوق. لقد رأيت نماذج مشابهة من قبل. في شركات مثل RSA وPalo Alto Networks وCyberhaven، تابعتُ عن كثب تطورات جدار الحماية متعدد العوامل، والجيل التالي من جدران الحماية، وتتبع مسار البيانات، وديناميكيات الوضع هنا متشابهة بشكل لافت: مشكلة محورية تتسارع وتيرتها بوتيرة أسرع من قدرة معظم الموردين على الاستجابة، مع فرصة محدودة للفريق المناسب لتولي زمام الأمور.

تمتلك أوبال هذا الفريق. فأساسها الهندسي والمنتجي متين، وقائمة عملائها، التي بُنيت من خلال عمل مباشر ومركز، خير دليل على ذلك. كل محادثة أجريتها مع العملاء أكدت لي نفس الرسالة: هذه المشكلة تتفاقم، وأوبال هي من تحلها.

ما تعلمته من بناء وتوسيع فرق العمل في مختلف المؤسسات هو أن التنفيذ يصبح أسهل بكثير عندما تتشارك فرق المنتج والهندسة والتسويق نفس مستوى التركيز على العملاء. عندما يرى الجميع نفس المشكلة ونفس الفرصة، يُمكننا التحرك بسرعة ودقة. تمتلك أوبال هذا الأساس بالفعل. مهمتي هي البناء عليه، والتأكد من أن عملائنا يشعرون بدعم هذا الفريق الكامل لهم مع توسعنا.

بعد سنوات من العمل في مجالات الهوية، والبنية التحتية السحابية، وأمن المؤسسات، أين تعتقد أن نماذج التحكم في الوصول التقليدية تنهار مع تبني المؤسسات للذكاء الاصطناعي بشكل أعمق؟

بصراحة، صُممت معظم نماذج التحكم في الوصول التقليدية لحل مشكلة المصادقة، وبالنسبة للبشر، فقد حُلت هذه المشكلة إلى حد كبير. تتعامل موفرو الهوية وطرق المصادقة الحديثة مع سؤال "من أنت؟" بشكل جيد. أما بالنسبة للهويات غير البشرية، فإن مفاتيح واجهة برمجة التطبيقات وإدارة الأسرار تُسهم في حل جزء من المشكلة. لكن مسألة التخويل - "ما الذي يُسمح لك بفعله، ولمدة كم؟" - لا تزال غير محلولة تمامًا، سواءً للبشر أو للآلات، وهنا يكمن الخطر الحقيقي.

ومما يزيد الأمر تعقيداً أن فرق الهندسة تعمل الآن من خلال الأتمتة، والبنية التحتية كبرمجيات، وأدوات الذكاء الاصطناعي التي تُنشئ صلاحيات جديدة كجزء من التطوير اليومي. لم يعد الوصول يتغير تدريجياً عبر سير العمل التقني، بل يُنشأ ويُعدل ويُوسع برمجياً، غالباً دون مراجعة من أحد لما مُنح للتو. والنتيجة هي انتشار متزايد للحسابات ذات الصلاحيات الزائدة، وأدوات إدارة الصلاحيات المجزأة، وحوكمة مكلفة، وتفاعلية، وتفتقر إلى الرؤية الشاملة لما يحدث فعلياً.

وسأكون صريحًا بشأن أمر آخر: هناك كم هائل من الترويج المضلل للذكاء الاصطناعي في هذا السوق حاليًا. يسارع البائعون إلى ربط "الذكاء الاصطناعي" بالبنى القديمة، مما يحجب حقيقة بالغة الأهمية للمشترين، وهي أنه لا يوجد حتى الآن إطار عمل أمني وحوكمة عملي وموثوق به لوكلاء الذكاء الاصطناعي. تتجاوز الضجة الإعلامية الضوابط الفعلية، ومن هنا تتراكم المخاطر الحقيقية.

هذا ما يُميّز نهج أوبال. فبدلاً من إضافة الحوكمة إلى سير العمل لاحقاً، تُصمّم أوبال الوصول مباشرةً من الأنظمة التي يستخدمها المهندسون بالفعل، وتُطبّق السياسات في الوقت الفعلي، وتُتيح لفرق الأمن توجيه قرارات التخويل بسلاسة. عندما تندمج الحوكمة بسلاسة في آلية عمل الهندسة، تتوقف عن كونها عائقاً وتُصبح بنية تحتية موثوقة.

تركز أوبال على إدارة من يمكنه الوصول إلى الأنظمة الحساسة وما يمكنه الوصول إليها في بيئات الحوسبة السحابية الحديثة. ما هي المشكلات الأمنية التي تستهين بها الشركات التي تبني أنظمتها باستخدام وكلاء الذكاء الاصطناعي وسير العمل الآلي؟

إن أكثر المشاكل التي يتم الاستهانة بها ليست جديدة في الواقع، بل هي تلك التي تتراكم بهدوء منذ سنوات حول الهويات البشرية. فقد تم تجاهل أساسيات الحوكمة، مثل إجراءات انضمام الموظفين وانتقالهم ومغادرتهم، ومنح صلاحيات الوصول عند الحاجة، ومراجعة صلاحيات المستخدمين، أو تم تطبيقها بشكل مؤقت في معظم المؤسسات لفترة طويلة. كما أن متطلبات الامتثال، مثل قانون ساربينز-أوكسلي، لم تختفِ، بل ازدادت صعوبة الوفاء بها مع ازدياد تعقيد بيئات العمل. لا شيء من هذا يبدو جذابًا، ولكنه تحديدًا الأساس الذي ينهار عند إضافة أنظمة الذكاء الاصطناعي.

تُدمج المؤسسات الذكاء الاصطناعي لتبسيط سير العمل والتخلص من المهام الروتينية، لكنها في الوقت نفسه تُدخل هويات غير بشرية تُضاعف علاقات الوصول بطرق لم تُصمم الأدوات الحالية للتعامل معها. والنتيجة هي شبكة معقدة حيث كان الوصول البشري مُقيدًا بشكل غير كافٍ، ويتوسع وصول الآلات الآن مع قلة الشفافية. يجب أن تكون قرارات الوصول قابلة للتفسير، ومحددة زمنيًا، ومرتبطة بالاستخدام الفعلي، وخاضعة للمراقبة المستمرة، لكن معظم الفرق لا تزال تعتمد على أنظمة ثابتة، ذات حل واحد يناسب الجميع، لا تُوفر أيًا من ذلك. في الوقت نفسه، تُنشئ برامج الوكلاء البرمجية وتنشر التعليمات البرمجية بأذونات مُضمنة، وتتفاعل مع البنية التحتية مباشرةً، وتعمل بصلاحيات وصول لا تخضع للمراجعة من منظور أمني تقليدي - وهو ما يُشكل خطرًا أمنيًا وقانونيًا لم تبدأ معظم المؤسسات حتى في تقييمه.

تميل الشركات التي تبني باستخدام وكلاء الذكاء الاصطناعي إلى التركيز على حداثة التكنولوجيا مع التقليل من شأن مدى سرعة تحول انتشار الوصول والأذونات غير المرئية إلى مسؤولية خطيرة - خاصة عندما يكون أساس الهوية البشرية الموجود في الأساس هشًا بالفعل.

لقد شهدتم تطور الأمن عبر أجيال متعددة من البنية التحتية. ما الذي يتغير جوهرياً عندما تبدأ هويات الآلات ووكلاء الذكاء الاصطناعي في تجاوز عدد المستخدمين البشريين؟

عندما يتجاوز عدد هويات الأجهزة عدد المستخدمين البشريين، يصبح من الصعب بشكل متزايد مراقبة من لديه صلاحية الوصول إلى ماذا. لم تُصمم أنظمة إدارة الهوية والوصول التقليدية لمواجهة هذا الواقع، ومعظم منصات إدارة الموارد البشرية وإدارة الهوية والوصول لا توفر سوى رؤية جزئية، خاصةً مع توسع نطاق مراقبة الهوية ليشمل أكثر من فريق واحد. لمراقبة هذه الأنواع من الهويات بنجاح، نحتاج إلى منح وكلاء الذكاء الاصطناعي ملكية واضحة، وصلاحيات محددة النطاق، وإمكانية تدقيق كاملة منذ البداية. تعالج Opal Security هذه المشكلة من خلال نمذجة البشر والخدمات والوكلاء ضمن إطار عمل واحد، بدلاً من التعامل معهم ككيانات منفصلة.

يتوقع المدققون الآن مراجعة سلوك المستخدمين والوكلاء جنبًا إلى جنب عند تحليل عمليات مراجعة الوصول. عادةً ما يرث الوكلاء مجموعات أذونات المستخدمين الذين ينشرونهم، ولكن تتطلب بعض حالات الاستخدام وكلاء يُعرّفون أنفسهم كحسابات خدمة بمجموعات أذونات مخصصة (عادةً ما تكون محدودة النطاق).

يُشكّل الذكاء الاصطناعي بشكل متزايد نقطة ضعف وأداة دفاعية في آن واحد. من وجهة نظرك، أين يُحسّن الذكاء الاصطناعي نتائج الأمن بشكلٍ ملموس اليوم، وأين لا يزال يُضيف مخاطر جديدة؟

يُعدّ الذكاء الاصطناعي أداةً بالغة القوة تُشكّل أساس منتجنا. تستخدم أوبال سكيورتي الذكاء الاصطناعي لمراقبة وكشف ومنع الوصول غير المصرح به عبر المؤسسات. كما يُحدث الذكاء الاصطناعي نقلةً نوعيةً في أمن الهوية، إذ يُدخل جهات فاعلة لا تقتصر مهمتها على المصادقة وتنفيذ المهام، بل تتعداها إلى التفكير والتكيف والتصرف باستقلالية. كانت أنظمة الهوية التقليدية مُصممةً للأفراد وحسابات الخدمات الثابتة، حيث كان الوصول يتغير ببطء وتكون النوايا قابلةً للتنبؤ نسبيًا.

لكنّ أنظمة الذكاء الاصطناعي تُخالف هذا النموذج. يكمن الخطر في فقدان الرؤية والمساءلة. إذ يُمكن لهذه الأنظمة أن تعمل وتُعطّل ديناميكيًا، وتُوزّع الصلاحيات عبر الأنظمة، وتتصرّف نيابةً عن المستخدمين أو الأنظمة الأخرى أو حتى عن نفسها. قد لا يتم اختراق أي موارد مؤمّنة، ومع ذلك يُمكن تنفيذ إجراءات حساسة لأنّ كل شيء مُصرّح به تقنيًا. هذا هو سطح التهديد الجديد. والطريقة الأمثل لإدارة هذا الوضع هي من خلال منصة موحدة وذكية تفهم جميع أنواع الكيانات وتؤمّنها من خلال السياق والسلوك والتكيّف المستمر.

تشكل هذه الرؤية الموحدة أساس الأمن، فلا يمكنك حماية ما لا تراه أو تفهمه. في أوبال، نؤمن بأهمية فهم كل علاقة. لا يكفي معرفة من هم أعضاء النظام، بل يجب معرفة من يرتبط بماذا، ولماذا.

مع حصول وكلاء البرمجة بالذكاء الاصطناعي والأنظمة الآلية على صلاحيات أوسع داخل المؤسسات، كيف ينبغي لفرق الأمن إعادة التفكير في مبدأ الوصول بأقل الامتيازات عمليًا، وليس نظريًا فقط؟

يتطلب الوصول الحديث إلى الهوية معاملة هويات البشر والآلات على قدم المساواة، لكي تتمكن الشركات من الحصول على الشفافية والأتمتة والثقة اللازمة للتوسع الآمن في عصر الذكاء الاصطناعي. عمليًا، يعني هذا منح الصلاحيات عند الحاجة فقط، ومراجعة الوصول وتعديله باستمرار مع تغير المهام أو الأدوار. يصبح الرصد الآلي والضوابط القائمة على المخاطر أمرًا بالغ الأهمية، لضمان تشغيل أدوات الذكاء الاصطناعي بكفاءة دون التسبب في مخاطر أمنية غير ضرورية.

من المفيد تمكين JIT بشكل افتراضي للوكلاء، ولكن اجعله سلسًا: وافق تلقائيًا على موارد محددة عند الاقتضاء، أو إذا كان المستخدم يعمل في بيئة تكون فيها جميع البيانات حساسة، فقم بتقييد الاستخدام على الأجهزة الافتراضية المعزولة.

على الرغم من أن أي قيود جديدة على استخدام الوكلاء قد تُسبب إزعاجًا للمستخدمين النهائيين نتيجةً لإبطاء أدائهم، فمن المهم تلبية احتياجاتهم أينما كانوا. مع أوبال، يعني ذلك إمكانية تقديم طلبات الوصول والموافقة عليها عبر سلاك، واستخدام استراتيجيات البنية التحتية كبرنامج (IaaC)، بما في ذلك تيرافورم، لأتمتة منح الوصول وإلغائه وتحديد مدة الوصول.

استنادًا إلى خبرتك في توسيع نطاق شركات الأمن، ما هي المؤشرات التي تدل على أن ضوابط الوصول في المؤسسة لم تعد متوافقة مع طريقة عمل الشركة فعليًا؟

تستطيع المؤسسات أن تدرك وجود خلل في ضوابط الوصول لديها عندما يبدأ الوصول بالتأخر عن الواقع. قد يظهر ذلك في صورة صلاحيات مفرطة أو قديمة، أو اختناقات يدوية ناتجة عن أنظمة قديمة، أو اعتماد أنظمة الذكاء الاصطناعي دون سياسات محدّثة لتتبع الهويات غير البشرية. ومن العلامات الدالة الأخرى ازدياد الحوادث الأمنية أو الحوادث الوشيكة، حيث تكون الحسابات ذات الصلاحيات المفرطة أو الهويات التي لا تُدار بشكل جيد هي السبب.

لم تكن عمليات نشر Sailpoint المعقدة، والاعتماد على فريق من الاستشاريين، وتتبع الوصول عبر جداول البيانات، فعّالة في عصر ما قبل الوكلاء، بل إن هذا النهج التقليدي سينهار أمام سرعة الوكلاء وتعقيداتهم. توفر Opal منصة موحدة تُعنى بالأمان، وتُسهّل عمل قسم تقنية المعلومات، وتُزوّد ​​المدققين بما يحتاجونه. وجدنا أن نظام التحكم في الوصول القائم على الأدوار (RBAC) هشّ ونادرًا ما يكون حلاً مستدامًا، لذا تبدأ الفرق الناجحة بنظام JIT ثم تنتقل إلى نظام الوصول القائم على الشخصيات (مع مرونة وتتبع بمرور الوقت) بحيث يمكن التحكم في إصدارات تكوينات Terraform، ونشرها، أو استعادتها عند الضرورة.

من وجهة نظر القيادة، كيف يمكنك تحقيق التوازن بين سرعة الابتكار والانضباط المطلوب لبناء الثقة في منتجات الأمن؟

لقد تعلمتُ أن الشركات العظيمة تحافظ على التزامها بالأسس الجوهرية حتى في أوقات نموها السريع. تشمل هذه الأسس تحديد أولويات واضحة، والتواصل الشفاف، والاستعداد لاتخاذ قرارات صعبة، وهو ما يُحقق نتائج باهرة. لا يزال الابتكار مهمًا، لكن يجب أن يستند إلى أسس متينة: معايير افتراضية قوية، ونمذجة مدروسة للمخاطر، ومساءلة عن النتائج. إن اتخاذ هذه القرارات بوعي هو ما يُتيح لك التحرك بسرعة دون المساس بالثقة، ومع مرور الوقت، يُصبح هذا الالتزام ميزة تنافسية حقيقية.

ما هو برأيك أكثر ما يسيء فهمه قادة الأمن فيما يتعلق بالاستعداد لمستقبل تهيمن عليه الأنظمة المستقلة بدلاً من الوصول الذي يقوده الإنسان؟

أكثر ما يُقلل قادة الأمن من شأنه هو تعقيد إدارة أنواع الهويات المختلفة. فالشركات تتوق بشدة إلى الريادة ومواكبة أحدث التقنيات، ما قد يؤدي إلى إهمال التدابير الأمنية. وكثيراً ما تُطبّق أنظمة العمل المدعومة بالذكاء الاصطناعي دون تحديد واضح للمسؤولية عنها، تاركةً المؤسسات بثغرات أمنية تسمح للهويات غير البشرية بتراكم صلاحيات الوصول بهدوء، والعمل خارج الضوابط التقليدية، وخلق فرص جديدة لأخطاء أو تهديدات مكلفة. ويتطلب الاستعداد لهذا المستقبل التعامل مع الهوية كطبقة ديناميكية تخضع لإدارة مستمرة.

مع نمو الشركات، يجب على فرق الأمن وضع سياسات استخدام الوكلاء، وتحديد كيفية ومكان تقليص صلاحيات وصول الوكلاء من المستخدم البشري الذي يستدعي الوكيل. أي عمليات كانت تُحمّل فرق الأمن سابقًا أعباءً إضافية ستنهار ببساطة أمام حجم الوكلاء وطبيعتهم المؤقتة: فالأتمتة هي السبيل الوحيد لإدارة حجم الطلبات.

بالنظر إلى المستقبل، كيف يبدو "النهج الأمني ​​الجيد" في بيئة تقوم فيها أنظمة الذكاء الاصطناعي باستمرار بإنشاء وتعديل وطلب الوصول من تلقاء نفسها؟

تتمحور ممارسات الأمن الجيدة حول الاستفادة من الذكاء الاصطناعي لتعزيز الأمن مع الحفاظ على مستوى كافٍ من المراقبة والانضباط لضمان عدم حدوث أي ثغرات. لن يختفي الذكاء الاصطناعي، لذا سواءً استخدمت الشركة مزودًا مثل Opal أو أدارته داخليًا، يجب أن تتقبل أن الوصول لم يعد ثابتًا. عندما تقوم أنظمة الذكاء الاصطناعي باستمرار بإنشاء وتعديل وطلب الوصول، يجب أن ينتقل الأمن من الموافقات لمرة واحدة إلى الإشراف المستمر. وهذا يعني التعامل مع الوصول كدورة حياة مستمرة بدلًا من مجرد إجراء لمرة واحدة.

ستحتاج الشركات أيضًا إلى استخدام الذكاء الاصطناعي بفعالية كجزء من دفاعاتها. يمكن للأتمتة أن تساعد الفرق على مواكبة حجم وسرعة تغييرات الوصول، ولكن يجب أن تقترن بضوابط واضحة، وشفافية في سلاسل التفويض، ومساءلة بشرية عند حدوث أي خطأ. من المهم إبراز مؤشرات التفسير: قيم شابلي ومعاملات الميزات لنماذج التعلم الآلي التقليدية، وسياق إضافي أو مبررات تفصيلية من نماذج التعلم الموجه. بدون هذه الفروق الدقيقة، يصبح الحفاظ على أي سلسلة ثقة للوصول إلى موارد الأعمال الحساسة مهمة شاقة.

شكرا لك على المقابلة الرائعة ، القراء الذين يرغبون في معرفة المزيد يجب أن يزوروا أوبال سيكيوريتي.