Contáctenos

Elizabeth Nammour, directora ejecutiva y fundadora de Teleskope – Serie de entrevistas

Entrevistas

Elizabeth Nammour, directora ejecutiva y fundadora de Teleskope – Serie de entrevistas

mm
Publicado

Elizabeth Nammour, CEO y fundadora de Teleskope, es una ingeniera de seguridad que se convirtió en fundadora y cuya carrera abarca puestos de seguridad de datos, ingeniería de software e innovación en algunas de las organizaciones tecnológicas más grandes del mundo. Mientras trabajaba como ingeniera de software sénior especializada en seguridad de datos en Airbnb, se enfrentó al reto operativo de comprender y controlar enormes conjuntos de datos en rápido crecimiento, distribuidos en docenas de sistemas. Esta experiencia, combinada con anteriores puestos técnicos y estratégicos en Amazon y Booz Allen Hamilton, moldeó su perspectiva sobre las dificultades de las organizaciones modernas para gestionar datos sensibles a gran escala y, en última instancia, la impulsó a crear una empresa que aborda esa deficiencia.

telescopios Es una plataforma moderna de seguridad de datos diseñada para ayudar a las organizaciones a comprender continuamente dónde residen sus datos, cómo se utilizan y qué riesgos generan a medida que los entornos se vuelven más complejos. Diseñada pensando en desarrolladores y equipos de seguridad, la plataforma prioriza la visibilidad precisa de los datos, la remediación automatizada y los controles basados ​​en políticas en entornos de nube, SaaS e híbridos. Al ir más allá de las auditorías estáticas y los procesos manuales, Teleskope busca brindar a las organizaciones una base práctica para gestionar la proliferación de datos, a la vez que facilita la adopción responsable de la IA.

Fundaste Teleskope tras desarrollar herramientas internas de seguridad de datos en Airbnb para catalogar y clasificar datos a gran escala. ¿Qué momento te convenció de que debía ser una empresa en lugar de un proyecto interno? ¿Y cómo influyeron esas primeras lecciones en la tesis de tu producto?

Cuando terminé de desarrollar este producto en AirBnB, tuve la oportunidad de escribir una entrada en el blog de AirBnB titulada "Automatización de la protección de datos a escala". Nunca imaginé nada positivo, pero la comunidad de seguridad respondió muy favorablemente y profesionales de todo el mundo empezaron a contactarme. Sin duda, me di cuenta de que muchos compartían los mismos desafíos que yo y de que este producto era algo que el mercado realmente demandaba. Al principio, me apoyé mucho en los comentarios de mis colegas, e incluso Teleskope v1.0 era mucho mejor que lo que había desarrollado inicialmente en AirBnB. Hoy, nuestro producto es más grande y tiene un impacto mayor del que jamás imaginé.

Su flujo de trabajo de clasificación multimodelo combina aprendizaje automático tradicional, modelos específicos para cada formato y validación GenAI. ¿Puede explicarnos la lógica de decisión y cómo reduce los falsos positivos/negativos a escala?

Definitivamente recomendaría leer nuestro blog, que escribí junto con nuestro jefe de Ciencia de Datos, Ivan, sobre la clasificación de datos. Para empezar, diré que esto es tanto un arte como una ciencia. Hay muchísimos matices: cada vez que se encuentra una entidad de datos confidencial, el contexto será único. Mientras tanto, la escala de los datos ha hecho que este problema sea infinitamente más desafiante, ya que escanear petabytes de datos de producción requiere mucho procesamiento y mucho tiempo. Básicamente, hay una razón por la que esto se ha seguido considerando un problema en gran medida sin resolver.

La clave reside en encontrar el equilibrio entre velocidad, latencia, precisión, coste y alcance (en almacenes de datos, formatos de archivo, idiomas, etc.). Siempre hemos creído que la respuesta debe ser creativa y multimodal. Por eso, hemos adoptado este enfoque, combinando muchos de los métodos de clasificación disponibles para obtener un enfoque dinámico y matizado que, en resumen, está diseñado para utilizar el método más ligero posible, sin sacrificar significativamente la precisión. Este enfoque dinámico nos permite analizar datos entre 10 y 20 veces más rápido que las herramientas que dependen de LLM universales, a la vez que ofrecemos resultados mucho más precisos que REGEX o los enfoques convencionales basados ​​en el contexto.

Recientemente presentaron Prism, centrado en la comprensión de datos a nivel empresarial y la remediación basada en GenAI. ¿Qué nuevos casos de uso ofrece esto en comparación con la detección de PII a nivel de elemento, y cómo se protegen contra la alucinación en las acciones de remediación?

Cuando me propuse abordar el reto de la clasificación y protección de datos, mi objetivo era reducir los falsos positivos. Por ejemplo, ¿cómo podemos garantizar que al menos el 95 % de las veces que marquemos algo como un Número de la Seguridad Social, resulte ser realmente un SSN? Hace unos años, incluso una precisión del 80 % en diferentes tipos de datos habría supuesto una mejora.

Pero al trabajar estrechamente con nuestros clientes el año pasado, quedó claro que el "ruido" que satura a los equipos no solo se debe a clasificaciones inexactas de entidades de datos (los tradicionales "falsos positivos"). A menudo, este ruido se debe tanto a la inundación de alertas irrelevantes como a la recepción de alertas falsas. Prism nos permite considerar un contexto mucho más amplio: no solo "¿qué es este dato?" o "¿quién accede a este archivo?", sino también "¿qué es este archivo en la práctica?". Al combinar esto con la información que podemos recopilar sobre las actividades y los intereses de una empresa, podemos ofrecer un producto que se adapta a las diferentes definiciones de datos "sensibles" de cada empresa.

Capturar este nivel de contexto matizado es un verdadero punto de inflexión. Almacenar cientos de números de Seguro Social en un Documento de Google en su unidad personal, por ejemplo, podría suponer un riesgo importante y una infracción de su política de Gestión de Datos. Pero ¿tener una carpeta en una unidad segura de RR. HH. llena de los formularios W-2 de sus empleados? Es lo normal. Los equipos de seguridad quieren estar al tanto de lo primero, pero recibir una alerta por cada formulario W-2 de un empleado, almacenado correctamente, es solo ruido. Comprender dónde y en qué contexto residen los datos sensibles requiere algo más que un simple modelo de clasificación de entidades.

Trabajamos con Chevron Philips Chemicals, una empresa química multinacional. Esta empresa jamás adquiriría una herramienta de privacidad ni un DSPM estándar, ya que no priorizan el riesgo de los datos de los consumidores. Sin embargo, lo que sí les importa es la propiedad intelectual en forma de ecuaciones químicas patentadas. Al poder resumir la esencia de un documento en una lista de etiquetas agrupadas, no solo podemos detectar elementos sensibles únicos, sino también encontrar casos en los que estos activos de datos se encuentran en lugares incorrectos. Al combinar este contexto con nuestra remediación automatizada, podemos tomar medidas para archivar, eliminar, redactar o mover esos archivos a su ubicación correcta. Nadie en el sector de la seguridad de datos realiza este tipo de trabajo.

Teleskope destaca el descubrimiento continuo en sistemas multicloud, locales y de terceros, incluyendo datos ocultos. ¿Cómo se ve la cobertura de un "mapa completo" y con qué rapidez se pueden descubrir almacenes desconocidos en una implementación desde cero?

"Completo" es una palabra confusa; en realidad, es un listón en constante evolución, incluso a diario. Así de difícil es gestionar la proliferación de datos. Nuestro objetivo siempre ha sido que Teleskope exista dondequiera que se encuentren los datos de nuestros clientes. En definitiva, somos un producto basado en la integración en muchos sentidos: hemos creado docenas de conectores de datos propietarios para poder rastrear, escanear y clasificar datos en una amplia gama de herramientas SaaS, almacenes de datos en la nube y sistemas locales. La mayoría de los clientes empiezan con unos pocos conectores que consideran de mayor riesgo o donde tienen menos visibilidad, por lo que, en realidad, rara vez estamos en todas partes donde residen los datos de una empresa. Sin embargo, dentro de cada fuente de datos, rastreamos constantemente su entorno para descubrir nuevas cuentas, tablas, nuevos blobs, archivos, mensajes, etc. Así, dondequiera que estemos, encontramos datos, nuevos y antiguos, casi en tiempo real.

Para la seguridad y gobernanza de la IA, ¿cómo se rastrea el linaje entre conjuntos de datos de entrenamiento, modelos, indicaciones y resultados para la auditabilidad?

Contamos con tres formas principales de respaldar la seguridad y la gobernanza de la IA. En primer lugar, nuestra capacidad para aplicar nuestra tecnología de clasificación y remediación a datos en movimiento mediante nuestras API. Cuando las empresas generan o preparan conjuntos de datos para entrenar sus propios modelos, necesitan garantizar que los datos estén libres de información personal identificable (PII) u otros datos confidenciales. Por ello, nos conectamos directamente a una canalización de datos y podemos depurar los conjuntos de datos a medida que se transfieren o copian a un conjunto de entrenamiento, garantizando así que esos modelos nunca corran el riesgo de generar datos confidenciales.

En segundo lugar, consideramos nuestro producto principal como un facilitador de la adopción de la IA. Todas las empresas se ven presionadas a utilizar herramientas de IA para operar con mayor eficiencia y mantenerse al día con el mercado. Un excelente ejemplo de ello es Copilot de M365, que ofrece una función de búsqueda inteligente y facilita la búsqueda de archivos o datos. Sin embargo, estas herramientas, por definición, también facilitan la búsqueda de datos confidenciales, por lo que muchas empresas nos dicen: "Necesitamos implementar esta herramienta de IA, pero nos preocupa lo que pueda salir a la luz". Necesitan que Teleskope entre, analice su entorno e implemente automáticamente sus políticas de gestión de datos y seguridad, para poder adoptar la IA con confianza.

Finalmente, estamos desarrollando integraciones para herramientas de IA que redactarán o pondrán en cuarentena los mensajes que contengan datos confidenciales antes de que se filtren a herramientas de IA públicas como ChatGPT. Muchas empresas simplemente prohíben el uso de estas herramientas, pero existe una forma de adoptarlas de forma segura para garantizar que no se filtren datos confidenciales (según la definición de cada empresa).

La redacción y la "remediación en origen" son fundamentales en su enfoque. ¿Cuál es su filosofía sobre la autorremediación frente a la intervención humana, y dónde establece los límites de seguridad?

Hace un par de años nos dimos cuenta de que, a pesar de lo necesarios que han sido el descubrimiento y la clasificación de datos, solo ofrecen una parte de la solución. Detectar el riesgo de los datos es el primer paso, pero resolverlo y remediarlo es el objetivo final. Nuestros clientes suelen empezar evaluando los hallazgos de Teleskope en nuestro catálogo de datos, luego pasan a la remediación con intervención humana antes de optar por una remediación totalmente automatizada. Somos muy conscientes de que, en realidad, siempre habrá acciones que los equipos nunca se sentirán completamente cómodos automatizando. Eliminar datos de una base de datos de producción, por ejemplo, podría ser muy problemático. Sin embargo, en muchos casos, vemos que los clientes adoptan la automatización completa para tareas como la revocación de permisos, la transferencia de datos, la aplicación de políticas de archivo o retención, etc.

Muchas herramientas DSPM/DLP tienen dificultades con la protección en tiempo real. ¿Qué cambios arquitectónicos se tuvieron que hacer para que la protección en tiempo real fuera fundamental, y qué latencias y rendimiento pueden esperar las empresas en producción?

Para abordar el problema en tiempo real, era importante desglosar la tarea en sus componentes principales. Diferentes situaciones requieren distintos tipos de latencia, pero el objetivo siempre es proporcionar la información más precisa con la mayor rapidez posible. Esto implica una arquitectura flexible que nos permita paralelizar nuestro sistema de baja latencia para adaptarlo a diferentes requisitos de rendimiento. Cuando una empresa utiliza Teleskope en su entorno, los datos se clasifican y protegen directamente en su infraestructura, lo que reduce la latencia y el flujo de datos salientes. Esto nos permite ofrecer soluciones en escenarios de alto riesgo en plazos inferiores a un segundo.

Privacidad y cumplimiento: ¿Reclaman monitoreo continuo y mapeo automático a marcos/regulaciones? ¿Cómo mantienen los mapeos actualizados a medida que evolucionan las leyes y qué tan personalizables son los controles para diferentes regiones o unidades de negocio?

Sinceramente, nuestro enfoque se ha alejado de la simple verificación de requisitos y nos hemos centrado en comprender a fondo las preocupaciones de nuestros clientes. En algunos casos, desean adaptarse al 100 % a las nuevas normativas, y nosotros monitoreamos constantemente estos cambios e incorporamos estos a nuestro producto. Pero, a decir verdad, la mayoría de las empresas están tan lejos de cumplir plenamente con estas leyes que debemos abordarlas en su punto más crítico y asegurarnos de que podemos llevarlas del punto A al B y al C antes de preocuparnos por llegar al punto Z. Para lograrlo, primero comprendemos qué significa el cumplimiento para esa empresa (recordamos que una empresa manufacturera podría no considerar algo como el RGPD como una preocupación importante) y nos aseguramos de que podemos adaptar el producto a sus perfiles de riesgo y necesidades específicas.

Adopción de GenAI: ¿Cómo utilizan los clientes Teleskope para crear entradas y salidas seguras sin reducir la velocidad del desarrollador? ¿Recomiendan algún patrón?

Los clientes integran la API Redact de Teleskope en sus procesos de entrenamiento e inferencia para garantizar que los datos confidenciales nunca fluyan a los modelos de IA generativa. El proceso de redacción se desvincula de los desarrolladores, lo que permite optimizar el desarrollo al realizar la redacción antes de la inferencia y rehidratar los datos posteriormente.

De cara al futuro, ha hablado de una plataforma de seguridad de datos integral "agent" con remediación autónoma. ¿Qué hitos indicarán que la industria está preparada para una protección de datos totalmente autónoma?

Sabemos con certeza que la industria está preparada para esto. Otras áreas de la ciberseguridad, como el SOC, ya han mostrado una transición completa hacia la IA con agentes como medio para ampliar la capacidad de los equipos de seguridad. Contamos con numerosos clientes que solicitan ser socios de diseño para este trabajo, por lo que sabemos que muchas empresas experimentan la misma dificultad de tener que seguir clasificando, investigando, tomando decisiones y luego ejecutando manualmente, solo para resolver un solo ticket. Estamos totalmente convencidos de que este es el rumbo del mercado y estamos decididos a liderar ese cambio.

Gracias por la gran entrevista, los lectores que deseen obtener más información deben visitar telescopios.

Temas relacionados:
mm

Antoine es un líder visionario y socio fundador de Unite.AI, impulsado por una pasión inquebrantable por dar forma y promover el futuro de la IA y la robótica. Es un emprendedor en serie y cree que la IA será tan disruptiva para la sociedad como la electricidad, y a menudo se le escucha hablar maravillas sobre el potencial de las tecnologías disruptivas y la IA general.

Como titular de futurista, se dedica a explorar cómo estas innovaciones darán forma a nuestro mundo. Además, es el fundador de Valores.io, una plataforma centrada en invertir en tecnologías de vanguardia que están redefiniendo el futuro y transformando sectores enteros.