Connect with us

Kevin Paige, CISO en ConductorOne – Serie de entrevistas

Entrevistas

Kevin Paige, CISO en ConductorOne – Serie de entrevistas

mm
Published
Updated

Kevin Paige, CISO en ConductorOne, es un veterano ejecutivo de ciberseguridad con más de tres décadas de experiencia en gobierno, tecnología empresarial y startups de alto crecimiento. Con sede en el Área de la Bahía de San Francisco, lidera la estrategia de seguridad de identidad para la empresa mientras asesora a organizaciones sobre seguridad de la fuerza laboral moderna y gobernanza. Paige anteriormente se desempeñó como CISO en Uptycs, Flexport y MuleSoft, donde ayudó a construir y escalar programas de seguridad durante períodos de crecimiento rápido. Al comienzo de su carrera, ocupó puestos de liderazgo y infraestructura de seguridad en Salesforce y xMatters, y sirvió en el Ejército y la Fuerza Aérea de los Estados Unidos. Además de sus puestos operativos, es activo en el ecosistema de startups de ciberseguridad como asesor y inversionista.

ConductorOne desarrolla una plataforma de gobernanza y administración de acceso de identidad diseñada para entornos de nube y híbridos modernos. Su tecnología proporciona visibilidad unificada de identidades y permisos en aplicaciones, infraestructura y sistemas locales, lo que permite a las organizaciones automatizar las revisiones de acceso, aplicar el acceso de privilegios mínimos y reducir los riesgos de seguridad basados en la identidad. Al combinar el análisis de identidad con flujos de trabajo automatizados, la plataforma ayuda a los equipos de seguridad a gestionar el acceso a escala mientras mejoran la cumplimiento y la eficiencia operativa.

Ha tenido una larga carrera que abarca operaciones de ciberseguridad en la Fuerza Aérea de los Estados Unidos, puestos de liderazgo de seguridad empresarial en empresas como MuleSoft, Flexport y Salesforce, y ahora se desempeña como CISO en ConductorOne. ¿Cómo ha evolucionado su perspectiva sobre la seguridad de la identidad a lo largo de estos puestos, y por qué cree que la identidad se ha convertido en uno de los campos de batalla más críticos en la ciberseguridad moderna?

En la Fuerza Aérea, la identidad era mucho más simple: nivel de autorización, necesidad de saber, todo detrás de firewalls, listo. En MuleSoft, se trataba de escala: provisionar a miles de usuarios en cientos de aplicaciones SaaS sin crear brechas. En Flexport, el perímetro desapareció por completo y la identidad fue el único control que todavía funcionaba independientemente de dónde estuviera alguien.

Ahora, en ConductorOne, la identidad está experimentando su transformación más fundamental. Ya no se trata solo de personas, sino de máquinas, API, cuentas de servicio y agentes de inteligencia artificial que actúan de forma autónoma. Las herramientas que la mayoría de las organizaciones utilizan fueron diseñadas para un mundo que ya no existe.

La identidad es el campo de batalla crítico porque afecta todo. Puedes tener la mejor seguridad de puntos finales y segmentación de red del mundo, pero si algo tiene el acceso incorrecto, nada de eso importa.

Su próximo Informe sobre el Futuro de la Identidad encontró que el 95% de las empresas dice que los agentes de inteligencia artificial ya están realizando tareas de TI o seguridad autónomas. ¿Qué tipo de tareas están realizando estos agentes en realidad, y con qué rapidez espera que su nivel de autonomía aumente?

Lo que me sorprendió no fue la adopción, sino la velocidad. El año pasado, el 96% planeaba desplegar agentes. Este año, el 95% ya los ha desplegado. Eso no es una curva gradual, es un umbral que se ha cruzado.

Los agentes están manejando flujos de trabajo de helpdesk, triage de alertas, revisiones de acceso, provisionamiento y, en algunos casos, remediación automatizada. La parte que la mayoría de la gente pasa por alto es que el 64% de las organizaciones ya permiten que los agentes actúen de forma autónoma con solo una revisión posterior. El agente actúa primero, un humano lo revisa después, si es que lo hace.

Los agentes que realizan tareas de helpdesk hoy en día tomarán decisiones de seguridad dentro de 12 meses. La pregunta no es si la autonomía aumentará, sino si la gobernanza podrá seguir el ritmo. Actualmente, no puede.

El informe destaca el aumento de identidades no humanas, incluidas interfaces de programación de aplicaciones (API), bots y agentes de inteligencia artificial. ¿Por qué están creciendo tan rápidamente estas identidades de máquina, y por qué muchas organizaciones todavía luchan por gestionarlas de manera efectiva?

Tres fuerzas convergentes. La adopción de la nube y el SaaS significa que cada integración necesita su propia identidad. DevOps genera identidades de máquina a escala: cada tubería, contenedor y microservicio. Y los agentes de inteligencia artificial están agregando una categoría completamente nueva que no solo mantiene el acceso, sino que lo utiliza para tomar decisiones.

Las organizaciones luchan porque las herramientas no fueron diseñadas para esto. La gestión de identidad tradicional supone que una persona inicia sesión y cierra sesión. Las identidades no humanas operan continuamente, no responden a la autenticación multifactor, a menudo tienen credenciales persistentes y acumulan privilegios porque nadie revisa su acceso como lo hace con el de un ser humano.

También hay un problema de propiedad. Cuando un desarrollador crea una cuenta de servicio y se traslada a otro equipo, ¿quién es el dueño? A menudo, nadie. La investigación de la industria muestra que el 97% de las identidades no humanas tienen privilegios excesivos. Ese no es un problema de herramientas, es una brecha de gobernanza.

Casi la mitad de las empresas dicen que las identidades no humanas ya superan en número a los usuarios humanos, sin embargo, solo un pequeño porcentaje de empresas tienen visibilidad completa sobre lo que pueden acceder esas identidades automatizadas. ¿Qué riesgos surgen cuando las organizaciones pierden visibilidad sobre estas identidades automatizadas?

Tres capas. Primero, credenciales comprometidas. Las identidades no humanas a menudo utilizan claves de API de larga duración o tokens estáticos que no rotan. Un atacante con uno de esos tiene acceso persistente que no dispara las mismas alarmas que una cuenta humana comprometida.

Segundo, acumulación de privilegios. Las integraciones que comenzaron con acceso de lectura silenciosamente ganan acceso de escritura. Nadie elimina los permisos antiguos porque nadie está revisando las identidades de máquina.

Tercero, y esto está surgiendo rápidamente: los agentes de inteligencia artificial amplifican ambos riesgos. Una cuenta de servicio comprometida con acceso de lectura a la base de datos es mala. Un agente de inteligencia artificial con ese mismo acceso que puede actuar de forma autónoma y resumir, compartir y actuar sobre lo que lee es exponencialmente peor.

Nuestro informe encontró que la visibilidad de las identidades no humanas en realidad está disminuyendo: del 30% al 22% año tras año. Las organizaciones están descubriendo el problema más rápido de lo que pueden solucionarlo.

Muchas empresas ven la inteligencia artificial como un acelerador de productividad, pero su investigación sugiere que también puede expandir silenciosamente la superficie de ataque. ¿Cómo hace que la adopción de herramientas y agentes de inteligencia artificial cree nuevos riesgos de seguridad relacionados con la identidad?

El riesgo más inmediato es la sobrepasantación accidental. Los equipos despliegan un agente de inteligencia artificial para un flujo de trabajo, pero le otorgan un acceso más amplio del necesario porque es más difícil determinar los permisos para las máquinas que para las personas. El agente no solo ve los tickets de soporte, sino toda la base de datos de clientes.

Luego está la inyección de comandos. Los agentes que procesan entradas externas pueden ser manipulados para realizar acciones no intencionadas. Si el agente tiene un acceso amplio, un comando diseñado lo convierte en una herramienta de extracción de datos.

Tercero está el “shadow AI”. Gartner informa que más del 50% del uso de inteligencia artificial en empresas es no autorizado. Cada conexión no autorizada crea nuevas identidades y superficies de ataque que el equipo de seguridad no puede ver.

Lo he visto en primera persona: alguien otorgó a un agente acceso a sistemas internos, y dentro de días, alguien lo instigó a revelar el salario y el calendario de vacaciones del CEO. El agente funcionó como se diseñó. El fallo fue el modelo de acceso.

La gestión de identidad y acceso ha tradicionalmente se centrado en los empleados que inician sesión en los sistemas. ¿Cómo debe evolucionar la gobernanza de identidad ahora que los agentes de software autónomos interactúan cada vez más con la infraestructura y toman decisiones?

El cambio fundamental es de periódico a continuo. La gobernanza tradicional opera en revisiones trimestrales y recertificaciones anuales. Los agentes de inteligencia artificial operan las 24 horas, toman miles de decisiones entre ciclos de revisión y pueden cambiar de comportamiento basado en una actualización del modelo. Para cuando una revisión trimestral detecta a un agente con demasiados privilegios, el daño ya está hecho.

Tres cosas necesitan cambiar. La gobernanza debe ser continua: evaluar el acceso en tiempo real, no en una programación. Debe ser dirigida por políticas en lugar de roles: políticas dinámicas definidas para tareas específicas, no asignaciones de roles estáticas. Y debe ser completamente auditable: cada acción del agente registrada y rastreable hasta quién la autorizó.

La gobernanza de identidad debe operar a la velocidad de la máquina para gobernar a actores a la velocidad de la máquina. Esa discrepancia es donde vive el riesgo.

ConductorOne describe su plataforma como ayuda a las organizaciones para asegurar las identidades humanas y de máquina juntas. Desde un punto de vista técnico, ¿qué cambios se requieren en la infraestructura de identidad para asegurar adecuadamente a los agentes de inteligencia artificial que operan dentro de los entornos empresariales?

El cambio más grande es la unificación. La mayoría de las organizaciones gestionan identidades humanas a través de su IDP y identidades de máquina a través de un parche de administradores de secretos y procesos manuales. Los agentes de inteligencia artificial caen en la brecha entre esos mundos.

Tres cosas necesitan suceder. Cada agente de inteligencia artificial necesita una identidad de primera clase: no una cuenta de servicio compartida, no las credenciales de un desarrollador, sino una identidad dedicada con su propio ciclo de vida y registro de auditoría. Esas identidades necesitan acceso justo a tiempo y suficiente: permisos mínimos para una tarea específica, revocados cuando la tarea esté completa. Y las organizaciones necesitan monitoreo continuo de lo que los agentes realmente hacen con su acceso, no solo lo que se les permite hacer.

En ConductorOne, gobernamos identidades humanas y no humanas a través de un solo plano de control. Eso es hacia donde se dirige la industria: el 45% ya utiliza herramientas de IAM para la gobernanza de identidades no humanas, y otro 45% planea hacerlo dentro de los próximos 12 meses. La gobernanza de identidad solo para humanos está llegando a su fin.

Algunas organizaciones intentan gestionar el riesgo de la inteligencia artificial restringiendo o prohibiendo completamente las herramientas de inteligencia artificial. Basándose en lo que está viendo en las empresas, ¿es realista este enfoque, o simplemente impulsa el uso de la inteligencia artificial a entornos no gestionados y menos visibles?

Los impulsa a esconderse. Cada vez. He visto esto con cada ola tecnológica: BYOD, nube, SaaS. Cuando la seguridad dice no, la gente no para. Simplemente dejan de decirle a la seguridad.

Gartner informa que el “shadow AI” representa más del 50% del uso de inteligencia artificial en empresas. Prohibir la inteligencia artificial no elimina el riesgo: elimina la visibilidad. Y no puedes asegurar lo que no puedes ver.

El enfoque mejor es hacer que el camino seguro sea el fácil. Si la adopción de inteligencia artificial gobernada es rápida y sencilla, la gente la utilizará. Si tomará seis semanas aprobarla, la gente la implementará en su cuenta personal durante el descanso para el almuerzo.

Prohibir la inteligencia artificial en 2026 es como prohibir la nube en 2016. No estás previniendo el riesgo: estás asegurando que no verás que se acerca.

A medida que los sistemas de inteligencia artificial comienzan a actuar de forma más independiente, la línea entre automatización y autoridad se vuelve borrosa. ¿Cómo deben pensar las organizaciones sobre la gobernanza, las aprobaciones y la supervisión cuando los agentes de inteligencia artificial son capaces de tomar acciones operativas?

Piensen en delegación, no en automatización. Cuando delegan a una persona, definen el alcance, la responsabilizan y revisan su trabajo. El mismo marco se aplica a los agentes.

Eso significa autonomía escalonada. Tareas de bajo riesgo y repetitivas: restablecimiento de contraseñas, enrutamiento de tickets, que se ejecutan de forma autónoma con registro. Acciones de riesgo medio: cambios de configuración de seguridad, acceso elevado, que requieren aprobación humana o notificación en tiempo real. Acciones de alto riesgo: datos sensibles, acceso privilegiado, cambios irreversibles, que requieren autorización explícita antes de que el agente actúe.

Cada agente también necesita un dueño humano responsable de lo que hace. Sin esa cadena, los agentes operan en un vacío de gobernanza donde nadie responde por las consecuencias.

Nuestro informe encontró que solo el 19% tiene aplicación de políticas continuas y basadas en políticas para los agentes. Eso significa que el 81% confía en permisos estáticos y en la esperanza. Eso no es gobernanza.

Mirando hacia adelante, ¿cuáles son los pasos más importantes que los líderes de seguridad deben tomar en los próximos 12 a 24 meses para preparar sus marcos de identidad y acceso para un mundo donde los agentes de inteligencia artificial funcionan como identidades digitales completas dentro de la empresa?

Cinco prioridades.

Primero, obtenga visibilidad. La mayoría de las organizaciones no saben cuántas identidades no humanas tienen. No puedes gobernar lo que no puedes ver.

Segundo, trate a cada agente de inteligencia artificial como a un usuario. Identidad dedicada, permisos definidos, rotación de credenciales, revisiones de acceso. Si no le darías a un ser humano acceso de administrador permanente a todo, no se lo dé a un agente.

Tercero, pase de la gobernanza periódica a la continua. Las revisiones trimestrales no pueden seguir el ritmo de los agentes que cambian de comportamiento en segundos.

Cuarto, construya su marco de políticas ahora, antes de tener cientos de agentes. Defina los límites de la autonomía, los requisitos de aprobación y la propiedad mientras todavía es manejable.

Quinto, unifique la gobernanza a través de identidades humanas y no humanas. Sistemas separados crean brechas.

Los ganadores no serán las organizaciones que desplegaron la mayor cantidad de inteligencia artificial. Serán aquellas que construyeron una gobernanza de identidad capaz de operar a la velocidad de la máquina.

Gracias por la gran entrevista, los lectores que deseen aprender más pueden visitar ConductorOne.

mm

Antoine es un líder visionario y socio fundador de Unite.AI, impulsado por una pasión inquebrantable por dar forma y promover el futuro de la IA y la robótica. Un empresario serial, cree que la IA será tan disruptiva para la sociedad como la electricidad, y a menudo se le escucha hablando con entusiasmo sobre el potencial de las tecnologías disruptivas y la AGI. Como un futurista, está dedicado a explorar cómo estas innovaciones darán forma a nuestro mundo. Además, es el fundador de Securities.io, una plataforma enfocada en invertir en tecnologías de vanguardia que están redefiniendo el futuro y remodelando sectores enteros.