Connect with us

Elizabeth Nammour, CEO y Fundadora de Teleskope – Serie de Entrevistas

Entrevistas

Elizabeth Nammour, CEO y Fundadora de Teleskope – Serie de Entrevistas

mm
Published
Updated

Elizabeth Nammour, CEO y fundadora de Teleskope, es una ingeniera de seguridad convertida en fundadora cuya carrera abarca la seguridad de datos, la ingeniería de software y los roles de innovación en algunas de las organizaciones tecnológicas más grandes del mundo. Mientras trabajaba como ingeniera de software senior enfocada en la seguridad de datos en Airbnb, se enfrentó al desafío operativo de entender y controlar enormes y crecientes estados de datos dispersos en decenas de sistemas. Esa experiencia, combinada con roles técnicos y estratégicos anteriores en Amazon y Booz Allen Hamilton, moldeó su perspectiva sobre cómo las organizaciones modernas luchan por gobernar datos sensibles a gran escala y, en última instancia, la llevó a crear una empresa que abordara esa brecha.

Teleskope es una plataforma de seguridad de datos moderna diseñada para ayudar a las organizaciones a entender continuamente dónde viven sus datos, cómo se utilizan y qué riesgos crean a medida que los entornos se vuelven más complejos. Construida con desarrolladores y equipos de seguridad en mente, la plataforma enfatiza la visibilidad precisa de los datos, la remediación automatizada y los controles basados en políticas en entornos en la nube, SaaS e híbridos. Al ir más allá de las auditorías estáticas y los procesos manuales, Teleskope tiene como objetivo brindar a las organizaciones una base práctica para gestionar la dispersión de datos mientras permite la adopción responsable de la IA.

Fundaste Teleskope después de crear herramientas de seguridad de datos internas en Airbnb para catalogar y clasificar datos a gran escala. ¿Qué momento te convenció de que esto necesitaba ser una empresa en lugar de un proyecto interno, y cómo moldearon esas lecciones tempranas tu tesis de producto?

Cuando terminé de construir este producto en AirBnB, tuve la oportunidad de escribir un artículo en el blog de AirBnB llamado “Automatizando la protección de datos a gran escala”. Nunca pensé que algo saldría de eso, pero la comunidad de seguridad respondió muy favorablemente y comencé a recibir mensajes de profesionales de todo el mundo. Definitivamente tuve ese momento de darme cuenta de que mucha gente compartía los mismos desafíos que yo enfrenté, y que este producto era algo que el mercado realmente estaba pidiendo. Me apoyé mucho en la retroalimentación de mis pares en los primeros días, y incluso Teleskope v1.0 fue mucho mejor que lo que había construido originalmente en AirBnB. Hoy en día, nuestro producto es más grande y tiene un impacto mayor de lo que podría haber imaginado en ese momento.

Tu tubería de clasificación multi-modelo combina ML tradicional, modelos específicos de formato y validación de GenAI. ¿Puedes explicar la lógica de decisión y cómo reduces los falsos positivos y negativos a gran escala?

Definitivamente te recomiendo leer nuestro blog, que escribí junto con nuestro jefe de Ciencia de Datos, Ivan, sobre la clasificación de datos. Primero diré que esto es un arte, tanto como una ciencia. Hay una tremenda cantidad de matices: cada vez que encuentras una entidad de datos sensibles, el contexto será único. Mientras tanto, la escala de los datos ha hecho que este problema sea infinitamente más desafiante, porque escanear petabytes de datos de producción toma mucha computación y mucho tiempo. Básicamente, hay una razón por la que esto ha seguido siendo visto como un problema en gran medida sin resolver.

Donde entra el arte es al tratar de equilibrar todos los compromisos: velocidad, latencia, precisión, costo y amplitud (en almacenes de datos, formatos de archivo, idiomas, etc.). Siempre hemos creído que la respuesta tiene que ser creativa y tiene que ser multi-modal. Es por eso que hemos adoptado el enfoque que hemos tomado, combinando muchos de los métodos de clasificación disponibles para tener un enfoque dinámico y matizado que, para resumir, está diseñado para utilizar el método más ligero posible sin sacrificar significativamente la precisión. Este enfoque dinámico nos permite escanear datos 10-20 veces más rápido que las herramientas que dependen de LLMs de un solo tamaño, mientras que también entrega resultados mucho más precisos que los enfoques basados en REGEX o contextuales convencionales.

Recientemente introdujiste Prism, centrado en la comprensión de datos a nivel empresarial y la remediación impulsada por GenAI. ¿Qué nuevos casos de uso desbloquea esto en comparación con la detección de PII a nivel de elemento, y cómo te proteges contra la alucinación en las acciones de remediación?

Cuando me propuse abordar el desafío de la clasificación y protección de datos, mi enfoque estaba en reducir los resultados falsos positivos. Por ejemplo, ¿cómo podemos asegurarnos de que al menos el 95% de las veces que marcamos algo como un número de Seguro Social, realmente sea un número de Seguro Social. Hace unos años, incluso una precisión del 80% en diferentes tipos de elementos de datos habría sido una mejora.

Pero al trabajar estrechamente con nuestros clientes el año pasado, se hizo claro que el “ruido” que los equipos están abrumados no se debe solo a clasificaciones de entidades de datos inexactas (los tradicionales “falsos positivos”). El ruido a menudo se debe tanto a estar inundados de alertas irrelevantes como a recibir alertas falsas. Lo que hace Prism es desbloquear nuestra capacidad para considerar mucho más contexto: no solo “¿qué es este pedazo de datos” o “¿quién está accediendo a este archivo”, sino también “¿qué es, prácticamente, este archivo”. Combinando esto con la información que podemos obtener sobre lo que una empresa en particular hace y se preocupa, podemos entregar un producto que se adapte a las diferentes definiciones de “datos sensibles” de cada empresa.

Capturar este nivel de contexto matizado es un verdadero juego cambiador. Almacenar cientos de números de Seguro Social en un documento de Google en tu unidad personal, por ejemplo, podría ser un gran riesgo y una violación de tu política de gestión de datos. Pero tener una carpeta en una unidad de recursos humanos segura llena de los W2 de tus empleados, eso es un comportamiento esperado. Los equipos de seguridad quieren ser alertados sobre lo primero, pero recibir una alerta por cada W2 de un empleado, almacenado correctamente, es solo ruido. Entender dónde y en qué contexto residen los datos sensibles requiere más que solo un modelo de clasificación de entidades.

Trabajamos con una empresa química multinacional, Chevron Philips Chemicals. Este negocio nunca compraría una herramienta de privacidad o un DSPM estándar, porque no ven el riesgo de datos de consumidores como una prioridad. Sin embargo, se preocupan por la propiedad intelectual en forma de ecuaciones químicas propietarias. Al ser capaces de resumir la esencia de un documento en una lista de etiquetas agrupadas, no solo podemos detectar elementos de datos sensibles únicos, sino también encontrar instancias de estos activos de datos en los “lugares incorrectos”. Combinando este contexto con nuestra remediación automatizada, podemos tomar medidas para archivar, eliminar, tachar o mover esos archivos a su ubicación correcta. Nadie en el mercado de seguridad de datos está haciendo este tipo de trabajo.

Teleskope destaca la descubierta continua en múltiples nubes, en sistemas locales y en sistemas de terceros, incluyendo datos en la sombra. ¿Qué se ve como una “carta completa” de cobertura, y qué tan rápido puedes exponer almacenes de datos desconocidos en una implementación de campo verde?

“Completo” es una palabra complicada aquí: en realidad, es una barra que se mueve constantemente, incluso a diario. Eso es lo difícil que es gestionar la dispersión de datos. Nuestro objetivo siempre ha sido que Teleskope exista dondequiera que existan los datos de nuestros clientes. En última instancia, somos un producto basado en integraciones: hemos construido docenas de conectores de datos propietarios para poder rastrear, escanear y clasificar datos en una amplia gama de herramientas SaaS, almacenes de datos en la nube y sistemas locales. La mayoría de los clientes comienzan con algunos conectores que consideran de mayor riesgo o donde tienen la menor visibilidad, así que, en realidad, rara vez estamos en todas partes donde reside el dato de una empresa. Sin embargo, dentro de cada fuente de datos, estamos constantemente rastreando su entorno para exponer nuevos cuentas, tablas, nuevos blobs, archivos, mensajes, etc. Así que, dondequiera que estemos, estamos encontrando datos, nuevos y antiguos, casi en tiempo real.

Para la seguridad y gobernanza de la IA, ¿cómo rastreas la línea de tiempo entre conjuntos de datos de entrenamiento, modelos, prompts y salidas para la auditoría?

Realmente tenemos tres formas básicas de apoyar la seguridad y gobernanza de la IA. Primero, es nuestra capacidad para aplicar nuestra tecnología de clasificación y remediación a los datos en movimiento a través de nuestras API. Cuando las empresas están generando o preparando conjuntos de datos para entrenar sus propios modelos, necesitan una forma de asegurarse de que esos datos estén libres de PII u otros datos sensibles. Así que nos conectamos directamente a una canalización de datos y podemos limpiar los conjuntos de datos mientras se mueven o se copian en un conjunto de entrenamiento, asegurando que esos modelos nunca estén en riesgo de producir datos sensibles.

Segundo, vemos nuestro producto central como un habilitador de la adopción de la IA. Cada empresa está bajo presión para utilizar herramientas de IA para operar de manera más eficiente y mantenerse al día con el mercado. Un gran ejemplo de esto es M365’s Copilot, que proporciona una capacidad de búsqueda inteligente y facilita encontrar archivos o datos. Pero estas herramientas, por definición, facilitan encontrar datos sensibles también, y así tenemos muchas empresas que vienen a nosotros diciendo: “Necesitamos implementar esta herramienta de IA, pero tenemos miedo de lo que puede exponer”. Necesitan que Teleskope venga, escanee su entorno y haga cumplir automáticamente sus políticas de gestión y seguridad de datos, para que puedan adoptar la IA con confianza.

Finalmente, estamos construyendo integraciones para herramientas de IA que redactarán o pondrán en cuarentena los prompts que contienen datos sensibles antes de que puedan filtrarse a herramientas de IA públicas como ChatGPT. Muchas empresas simplemente prohíben el uso de estas herramientas, pero hay una forma de adoptarlas de manera segura para asegurarse de que no se filtre ningún dato sensible (definido por cada empresa).

La redacción y la “remediación en la fuente” son fundamentales para tu enfoque. ¿Cuál es tu filosofía sobre la remediación automática versus la intervención humana, y dónde trazas los límites de seguridad?

Nos dimos cuenta hace un par de años de que, aunque la descubierta de datos y la clasificación han sido necesarias, solo proporcionan la mitad de la historia. Encontrar el riesgo de los datos es el primer paso, pero resolver y remediar ese riesgo es el objetivo real. Nuestros clientes generalmente comienzan evaluando los hallazgos de Teleskope en nuestro catálogo de datos, luego pasan a la remediación con una intervención humana antes de pasar a una remediación completamente automatizada. Somos muy conscientes de que, en la realidad, siempre habrá algunas acciones que los equipos nunca estarán completamente cómodos con automatizar completamente. Por ejemplo, eliminar datos de una base de datos de producción podría ser muy problemático. Pero en muchos casos, estamos viendo a los clientes adoptar la automatización completa para cosas como revocar permisos, mover datos alrededor, hacer cumplir la archivación o las políticas de retención, etc.

Muchas herramientas de DSPM/DLP luchan con la protección en tiempo real. ¿Qué tuvo que cambiar arquitectónicamente para hacer que “tiempo real” fuera fundamental, y qué retrasos y rendimiento pueden esperar las empresas en producción?

Para abordar el problema del tiempo real, fue importante descomponer la tarea en sus componentes básicos. Diferentes situaciones requieren diferentes tipos de retrasos, pero el objetivo siempre es proporcionar la información más precisa de la manera más rápida posible. Esto significa que una arquitectura flexible que nos permita paralelizar nuestro sistema de baja latencia para acomodar diferentes requisitos de rendimiento. Cuando una empresa tiene Teleskope ejecutándose en su entorno, los datos se clasifican y protegen directamente en su infraestructura, reduciendo la latencia y el flujo de datos salientes. Esto nos permite proporcionar remediación en escenarios de alto riesgo en marcos de tiempo de menos de un segundo.

Privacidad y cumplimiento: afirman que realizas un monitoreo continuo y un mapeo automático a marcos y regulaciones. ¿Cómo mantienes los mapeos actualizados a medida que evolucionan las leyes, y qué tan personalizables son los controles para diferentes regiones o unidades comerciales?

Honestamente, nuestro enfoque se ha alejado de marcar casillas y se ha centrado en comprender profundamente lo que nuestros clientes se preocupan. En algunos casos, quieren mapear el 100% de las nuevas regulaciones que salen, y estamos constantemente monitoreando estos cambios y incorporándolos en nuestro producto. Pero, sinceramente, la mayoría de las empresas están tan lejos de poder cumplir completamente con estas leyes que tenemos que conocerlos donde están y asegurarnos de que podamos llevarlos del punto A al punto B al punto C antes de preocuparnos por llegar al punto Z. La forma en que lo hacemos es entendiendo primero lo que el cumplimiento significa para esa empresa (de nuevo, una empresa de fabricación puede no considerar algo como el GDPR como una preocupación principal), y asegurándonos de que podamos moldear el producto alrededor de sus perfiles de riesgo y necesidades específicas.

Adopción de GenAI: ¿cómo utilizan los clientes Teleskope para crear “entradas seguras” y “salidas seguras” sin degradar la velocidad de los desarrolladores? ¿Algunos patrones que recomiendas?

Los clientes integran la API de Redact de Teleskope en sus canalizaciones de entrenamiento y inferencia para asegurarse de que los datos sensibles nunca fluyan a los modelos de IA generativos. El proceso de redacción se abstrae de los desarrolladores, preservando la velocidad de desarrollo al realizar la redacción antes de la inferencia y rehidratando los datos después.

Mirando hacia adelante, has hablado de una plataforma de seguridad de datos “agente” de extremo a extremo con remediación autónoma. ¿Qué hitos señalarán que la industria está lista para una protección de datos completamente autónoma?

Sabemos con certeza que la industria está lista para esto. Otras áreas de la ciberseguridad, como el SOC, ya han demostrado un cambio completo hacia la IA agente como un medio para ampliar la capacidad de los equipos de seguridad. Tenemos una cola de clientes que están pidiendo ser socios de diseño para este trabajo, así que sabemos que muchas empresas sienten el mismo dolor de tener que seguir triaje, investigar, tomar una decisión y luego ejecutar, solo para resolver un solo ticket. Tenemos la convicción absoluta de que este es el camino que está tomando el mercado, y estamos decididos a liderar ese cambio. Gracias por la gran entrevista, los lectores que deseen aprender más pueden visitar Teleskope.

mm

Antoine es un líder visionario y socio fundador de Unite.AI, impulsado por una pasión inquebrantable por dar forma y promover el futuro de la IA y la robótica. Un empresario serial, cree que la IA será tan disruptiva para la sociedad como la electricidad, y a menudo se le escucha hablando con entusiasmo sobre el potencial de las tecnologías disruptivas y la AGI. Como un futurista, está dedicado a explorar cómo estas innovaciones darán forma a nuestro mundo. Además, es el fundador de Securities.io, una plataforma enfocada en invertir en tecnologías de vanguardia que están redefiniendo el futuro y remodelando sectores enteros.