Connect with us

Vibhuti Sinha, Chief Product Officer hos Saviynt – Intervieuserie

Interviews

Vibhuti Sinha, Chief Product Officer hos Saviynt – Intervieuserie

mm
Published
Updated

Vibhuti Sinha, Chief Product Officer hos Saviynt, leder visionen, innovationen og den strategiske retning for virksomhedens workforce identity og intelligence-portefølje, samt overvåger produkt- og partner succes. Med næsten to årtiers erfaring inden for identitet og adgangsstyring (IAM) har han spillet en central rolle i udformningen af store sikkerhedsarkitekturer for Fortune 500-virksomheder. Før sin nuværende stilling fungerede han som Chief Cloud Officer hos Saviynt, hvor han drev udviklingen af næste generations cloud-sikkerheds løsninger designet til at sikre komplekse multi-cloud-miljøer. Hans ekspertise omfatter compliance-rammer som FFIEC, risikobaseret autentificering og adgangslivscyklusstyring, hvilket placerer ham på skæringen af virksomhedssikkerhed, cloud-infrastruktur og AI-dreven identitetsstyring.

Saviynt er en cloud-nativ identitetssikkerhedsplatform fokuseret på at hjælpe virksomheder med at styre og sikre adgang på tværs af brugere, applikationer, data og stadig mere AI-systemer. Deres flagship-tilbud, Identity Cloud, leverer samlet identitetsstyring og administration (IGA), privilegeret adgangsstyring og applikationsadgangsstyring inden for en enkelt platform, hvilket ermöglicher virksomhederne at gennemtvinge sikkerhed, compliance og Zero Trust-principper i stor målestok. Platformen bruger AI til at automatisere adgangsbeslutninger, overvåge risici og styre ikke kun menneskelige brugere, men også ikke-menneskelige identiteter som servicekonti og AI-agenter, hvilket afspejler den voksende kompleksitet i moderne virksomheds miljøer. Ved at konsolidere identitetssikkerhed i en enkelt kontrol lag søger Saviynt at reducere operationel overhead, mens synlighed og compliance på tværs af cloud-, hybrid- og on-premise-systemer forbedres.

Du har tilbragt over et årti hos Saviynt med at skale virksomheden fra dens tidlige cloud-fokus til en global identitetssikkerhedsplatform, hvordan har den rejse formet din opfattelse af identitet som grundlag for at sikre AI-drevne virksomheder?

Da jeg startede hos Saviynt, var identitet ikke noget, som de fleste bestyrelser eller direktører talte om. Det blev ofte set som oprettelse af konti og kørsel af certificeringer. Over årene, da virksomheder flyttede til cloud og SaaS eksploderede, blev identitet stille og roligt det lag, der forbinder alt: mennesker, applikationer, infrastruktur og data.

At være en del af den rejse ændrede min perspektiv. Jeg begyndte at se identitet ikke som en produktkategori, men som kontrol laget for, hvordan arbejdet faktisk bliver udført i en virksomhed. Hver adgangsbeslutning, hver godkendelse, hver automatiseret proces — det hele kommer tilbage til identitet.

Nu med AI ser vi den samme skift igen. AI-agenter er grundlæggende digitale arbejdere, der kan handle på vegne af mennesker eller virksomheder. Hvis du ikke giver dem identiteter, ejerskab og styring, ender du med automatisering uden ansvarlighed. Derfor tror jeg, at identitet vil blive grundlaget for at sikre AI-drevne virksomheder. Identitet er, hvad der bringer ansvarlighed, styring og kontrol til autonome systemer.

Saviynt lancerer en dedikeret identitetskontrolplan for AI-agenter, hvilket gap i dagens identitets- og sikkerhedsarkitekturer drev denne beslutning?

Nuverende identitets- og sikkerhedsværktøjer var ikke designede til autonome aktører. De var designede til medarbejdere og applikationer, ikke til software-enheder, der kan træffe beslutninger, udføre handlinger og fungere uafhængigt.

De fleste identitetssystemer i dag er meget gode til at besvare Hvem er du?” og “Hvad adgang har du fået?” Men i verden af AI-agenter bliver den vigtigste spørgsmål “Hvad gør du lige nu, og skal du gøre det?

Der var også et styre-gap. Virksomheder begynder at udrulle hundredvis eller tusindvis af agenter på tværs af platforme som Copilot, Vertex AI og Bedrock, men mange organisationer ved ikke, hvor mange agenter de har, hvem ejer dem, hvilke data de kan få adgang til, eller hvad der sker, hvis ejeren forlader virksomheden. Det skaber mere end bare et sikkerhedsproblem. Det er et styre- og ansvarlighedsproblem.

Det er grundlæggende, hvad der førte os til ideen om en identitetskontrolplan for AI-agenter: en centraliseret måde at opdage, styre, kontrollere og audite AI-identiteter på tværs af deres hele livscyklus og deres runtime-handlinger.

Hvordan adskiller sig styring af autonome AI-agenter fra styring af traditionelle ikke-menneskelige identiteter som servicekonti eller botter?

Styring af AI-agenter er meget forskelligt fra styring af traditionelle ikke-menneskelige identiteter (NHIs), fordi disse identiteter typisk er deterministiske og forudsigelige. En servicekonto kører et bestemt job. En bot udfører en defineret opgave. Deres adfærd ændrer sig ikke, medmindre nogen ændrer koden.

AI-agenter er forskellige, fordi de er autonome, adaptive og målrettede. De udfører ikke bare en fast skript. Disse agenter beslutter, hvordan de udfører en opgave, hvilke værktøjer de skal bruge, hvilke data de skal få adgang til, og måske endda hvilke andre agenter de skal samarbejde med. Deres adfærd kan ændre sig over tid, når modeller, prompts eller integrationer ændres.

Det betyder, at provisionering af adgang en gang og gennemgang af den hver kvartal ikke er en bæredygtig styremodel. Du har brug for kontinuerlig styring, herunder opdagelse, ejerskab, livscyklusstyring og især runtime-kontroller til at evaluere, hvad agenten gør i øjeblikket.

Skiftet er, at med traditionelle NHIs styrer du adgang. Med AI-agenter må du styre adfærd og handlinger i realtid. Autorisation implicerer ikke altid passende adfærd. AI-sikkerhed vil blive bygget på den idé.

Hvordan bør virksomheder tænke om at sikre en samlet synlighed på tværs af miljøer, når de adopterer værktøjer som Amazon Bedrock, Google Vertex AI og Microsoft Copilot Studio?

Du kan ikke beskytte, hvad du ikke kan se.

En samlet synlighed på tværs af platforme som Amazon Bedrock, Google Vertex AI og Microsoft Copilot Studio er ekstremt vigtig, og ærligt talt, det er, hvor de fleste organisationer kæmper lige nu. AI-adopteringshastigheden sker meget hurtigt, og det sker på tværs af multiple platforme på samme tid.

En forretningsenhed eller team kan være ved at bygge agenter i Copilot Studio, et andet team eksperimenterer med Bedrock, og et andet hold bruger Vertex AI. Meget hurtigt ender du med AI-agenter spredt på tværs af virksomheden uden en central inventar.

Den første udfordring, virksomheder står over for, er meget enkel: de ved ikke faktisk, hvor mange AI-agenter de har, hvor de kører, hvilke data de kan få adgang til, eller hvem ejer dem. Uden synlighed kan du ikke styre, og hvis du ikke kan styre, kan du bestemt ikke sikre.

En samlet synlighed bliver grundlaget. Før livscyklusstyring, før runtime-kontroller, før politikker, er det første skridt opdagelse og inventar på tværs af alle AI-platforme. I AI-verdenen er synlighed en operativ, sikkerheds- og styre-krav.

Hvad ser den fulde livscyklus af en AI-agent ud fra et identitets- og styre-perspektiv, fra oprettelse til dekommissionering?

Jeg kan lide at forklare livscyklusen af en AI-agent på samme måde, som jeg forklarer livscyklusen af en medarbejder.

Først oprettes agenten og påmeldes. Nogen (en udvikler, vibe-koder eller forretningsanalytiker) bygger en agent i Bedrock eller Copilot Studio. På det tidspunkt bør vi stille grundlæggende identitets-spørgsmål: Hvem ejer denne agent? Hvad er dens job? Hvilke systemer har den brug for at få adgang til?

Derefter begynder agenten at arbejde. Den får adgang til systemer, læser eller skriver data via API’er, værktøksamtaler, udløser arbejdsgange og måske endda taler med andre agenter. Under denne fase har vi brug for at overvåge, hvad den gør, og sikre, at den forbliver inden for sin intention og tilladelse.

Over tid ændrer agenten sig. Måske tilføjer vi nye værktøjer, opdaterer modellen, udvider adgangen eller ændrer dens rolle. Det er ligesom en mover-begivenhed for en menneskelig identitet og det kræver styring og godkendelse.

Til sidst, når agenten ikke længere er nødvendig, skal den pensioneres — adgang ophæves, legitimationsoplysninger fjernes, integrationer lukkes og audit-logs bevares.

På enkel vis er livscyklusen:Opret → tildele ejer og formål → give mindst-privilegeret adgang → overvåge og styre → styre ændringer → pensionere renligt.

Hvordan bør virksomheder tænke om at sikre agent-til-agent-interaktioner, når AI-systemer begynder at operere og samarbejde uafhængigt?

Jeg tror, at agent-til-agent-interaktioner vil blive en af de største sikkerhedsudfordringer i de næste få år.

I dag bekymrer vi os mest om, hvorvidt en menneskelig skal have adgang til et system. I fremtiden vil vi have tusindvis af agenter, der taler med andre agenter, udløser arbejdsgange, får adgang til data og træffer beslutninger uden en menneskelig i løkken.

Risikoen er ikke kun, hvad en enkelt agent kan gøre, men hvad multiple agenter kan gøre sammen. Du kan ende med situationer, hvor ingen enkelt agent har for meget adgang, men når de samarbejder, kan de udføre meget kraftfulde handlinger.

Virksomheder må overveje følgende:

  • Hver agent må have en unik identitet.
  • Design-tidssikkerheds-kontroller er ikke tilstrækkelige. Runtime-guardrails er afgørende.
  • Agent-til-agent-opkald må være autentificerede.
  • Handlinger må være autoriseret i realtid.
  • Delegering må være omfattet og tidsbegrænset.
  • Alt må være logget til audit.

På mange måder bevæger vi os mod en meget anden sikkerhedsmodel: fra at styre menneskelig adgang til at styre maskin-samarbejde i en hidtil uset skala.

Hvad er de mest umiddelbare risici, virksomheder står over for i dag, når de udruller AI-agenter uden ordentlig identitetsstyring?

Den største risiko lige nu er ikke nogen futuristisk AI-tager-over-scenario. Det er meget mere basalt, og det sker allerede i de fleste organisationer, der eksperimenterer med AI-agenter. Virksomheder opretter agenter overalt, men de har ikke en centraliseret måde at spore dem, styre dem eller styre, hvad de kan få adgang til.

Adoption har været prioritet indtil nu, og det er forståeligt. Enhver ny teknologi går gennem den fase, men sikkerhed og styring må indhente hurtigt.

Hvis ikke, risikerer virksomheder, at agenter uden klare ejere og med for meget data kan lække følsomme oplysninger og fortsætte med at køre efter projektets afslutning — alt uden en klar audit-spor.

Vi har set det før med servicekonti og cloud-resourcer. Først kommer adoption, så spreder det sig, så kommer sikkerheds- og styre-problemer. AI følger den samme mønster, bare meget hurtigere og med mere autonomi og handlekraft.

Uden identitetsstyring bliver AI-agenter grundlæggende ustyret privilegerede identiteter. Det er risikabelt for enhver organisation. Det er ikke innovation, men snarere ekstra institutionel risiko.

Hvordan ændrer opkomsten af AI-agenter definitionen af identitet inden for virksomhedssystemer?

Jeg tror, at definitionen af identitet inden for virksomheder udvides på en stor måde. Det var tidligere mest medarbejdere, derefter udvidede det sig til eksterne identiteter med en eksplosion af supply chain-arbejdere, fjernarbejdere osv. Pandemien accelererede det endnu mere, da vi begyndte at styre servicekonti og botter som ikke-menneskelige identiteter. Nu tager AI-agenter det endnu længere.

AI-agenter er ikke bare konti eller skripter. De træffer beslutninger, får adgang til systemer, genererer indhold, udløser arbejdsgange og samarbejder med andre agenter. De berører dine data, træffer beslutninger og ændrer resultater. De begynder at opføre sig mere som digitale arbejdere end som software-konti.

Det betyder, at identitet nu handler om mere end bare, hvem der kan logge ind. Det handler om, hvem eller hvad der handler inden for virksomheden, hvad de har lov til at gøre, hvem ejer dem, og hvordan vi sporer og styrer deres handlinger.

Identitet udvikler sig fra noget, der repræsenterer en bruger, til noget, der repræsenterer enhver aktør — menneskelig eller maskine — der kan træffe handlinger og ændre resultater inden for en organisation.

Når du vurderer grundlæggere eller hold, der bygger i AI-sikkerhed eller identitet, hvilke signaler indikerer, at de virkelig forstår kompleksiteten af dette område?

De, der virkelig forstår dette område, leder ikke med teknologien. De leder med problemet. De kan articulere ikke kun, hvad de bygger, men hvorfor den nuværende tilgang er brudt, og hvem der taber søvn over det.

Signalen for mig er specifikation. Enhver kan sige “AI introducerer nye identitetsrisici.” Men kan de gå igennem præcis, hvordan en OAuth-token misbruges i en agentic arbejdsgang? Forstår de, hvorfor ikke-menneskelige identiteter er fundamentalt forskellige fra menneskelige, ikke kun i volumen, men i adfærd, livscyklus og blast-radius?

Jeg lægger også mærke til, hvordan de taler om kunder. De bedste grundlæggere i dette område har ofte selv oplevet smerten som en CISO, en arkitekt, en compliance-leder, eller de har tilbragt så megen tid med praktikere, at de kan fuldføre deres sætninger. De sælger ikke en kategori. De løser et specifikt, grimt problem, de ikke kunne holde op med at tænke over.

Og så er der regulativ og økosystem-fluency. Identitet og AI-sikkerhed findes ikke i et vakuum. De grundlæggere, jeg er mest imponeret af, forstår, hvordan deres produkt sidder inden for en bredere compliance-postur — NIST, SOC 2, opkommende AI-styre-rammer — og de har tænkt hårdt over, hvor de indsætter sig i stacken versus hvor de ejer det.

For mig er rødflagene hold, der bare jagter AI-narrativen. De kan beskrive markedet smukt, men når du presser på for specifikke detaljer, svækkes narrativen.

Ser du identitet blive det primære kontrol-lag for AI-systemer på samme måde, som netværkssikkerhed engang definerede virksomheds-grænser, og hvordan bør sikkerheds-hold forberede sig på det skift?

Ja, og jeg tror, vi er tættere på det inflection-point, end de fleste sikkerheds-hold er klar over.

Netværks-perimeteren gjorde mening, da aktiver var fysiske, som servere i et datacenter, medarbejdere på et kontor eller trafik ved kanten. Men cloud opløste den grænse, og vi afhængte os af identitet for at udfylde hullet. Zero trust ikke kun en markedsførings-term; det var en anerkendelse af, at perimetret var væk, og at identitet betyder mere end nogensinde.

AI-agenter er på vej til at påvirke identitet på samme måde, som cloud gjorde det til netværket. Disse systemer får adgang til ressourcer, træffer beslutninger, kalder API’er, kæder handlinger på tværs af værktøjer og platforme og gør alt dette autonomt i maskine-hastighed. Spørgsmålet “er dette tilladt?” kan ikke længere besvares ved brandvæggen. Det må besvares på identitets-laget, i realtid, med fuld kontekst af, hvad agenten prøver at gøre, og hvorfor.

Identitet bliver kontrol-laget. Men det er en fundamentalt sværere version af identitet end det, vi har bygget før. Det er ikke kun autentificering. Det er autorisation, der er bevidst om intention, kontekst og den kæde af handlinger, en agent allerede har udført. Det er et andet problem end at udstede et certifikat eller rotere en legitimationsnøgle.

For sikkerheds-hold begynder forberedelsen med en mindset-skift. Stop med at tænke på AI-systemer som applikationer, der skal sikres ved perimetret, og begynd at tænke på dem som prinzipper — enheder med identiteter, med privilegier, med en livscyklus, der skal styres fra ende til anden. Hvem provisionerede denne agent? Hvad er den tilladt at gøre? Hvem er ansvarlig, når den gør noget uventet?

Holdene, der kommer i front, vil ikke være dem, der bolt på AI-sikkerhed som en eftertanke. De vil være dem, der udvider deres identitetsstyrings-postur til at dække ikke-menneskelige identiteter og AI-agenter, før disse identiteter er dem, der træffer konsekvensfulde beslutninger.

Tak for det gode interview, læsere, der ønsker at lære mere, bør besøge Saviynt.

mm

Antoine er en visionær leder og medstifter af Unite.AI, drevet af en urokkelig passion for at forme og fremme fremtiden for AI og robotteknologi. En serieiværksætter, han tror, at AI vil være lige så omvæltende for samfundet som elektricitet, og bliver ofte fanget i at tale begejstret om potentialet for omvæltende teknologier og AGI.

Som en futurist, er han dedikeret til at udforske, hvordan disse innovationer vil forme vores verden. Derudover er han grundlægger af Securities.io, en platform, der fokuserer på at investere i skærende teknologier, der gendefinerer fremtiden og omformer hele sektorer.