Connect with us

David Matalon, CEO e Fondatore di Venn – Serie di Interviste

Interviste

David Matalon, CEO e Fondatore di Venn – Serie di Interviste

mm
Published
Updated

David Matalon, CEO e Fondatore di Venn, è un imprenditore seriale con una lunga esperienza nella costruzione di piattaforme tecnologiche aziendali sicure, avendo in precedenza guidato OS33, un precursore nei ambienti di lavoro sicuri per le aziende finanziarie, e External IT, un pioniere nei servizi di hosting IT. Con Venn, si concentra sul ridedefinire la sicurezza del lavoro remoto, consentendo alle organizzazioni di adottare modelli bring-your-own-device (BYOD) senza sacrificare la conformità o il controllo, sfruttando la sua profonda esperienza nelle infrastrutture cloud, nella sicurezza degli endpoint e nei settori regolamentati per affrontare le crescenti sfide delle forze lavoro distribuite.

Venn è una piattaforma di sicurezza informatica e lavoro remoto progettata per proteggere i dati aziendali sui dispositivi personali e non gestiti attraverso la sua tecnologia proprietaria Blue Border, che crea un ambiente sicuro e crittografato sull’computer dell’utente in cui le applicazioni e i dati di lavoro sono isolati dall’attività personale. A differenza delle tradizionali infrastrutture di desktop virtuali, Venn consente alle applicazioni di eseguirsi localmente con prestazioni native, applicando rigorose politiche di protezione dei dati e conformità, aiutando le organizzazioni a ridurre gli oneri IT, a configurare rapidamente i lavoratori remoti e a mantenere la privacy, separando gli ambienti aziendali e personali sullo stesso dispositivo.

Ha trascorso più di due decenni costruendo tecnologie per il lavoro remoto sicuro, dal lancio di Offyx ai primi giorni dei provider di servizi di applicazione a fondare OS33 e ora Venn. Quali lezioni dalle società precedenti l’hanno portato a costruire Venn e come quelle esperienze hanno plasmato l’idea dietro Blue Border e la sua visione per la sicurezza delle forze lavoro BYOD moderne?

Negli ultimi due decenni, ho avuto l’opportunità di costruire aziende in diverse fasi dell’evoluzione del lavoro remoto. In OS33, abbiamo trascorso anni fornendo ambienti di lavoro remoto sicuri attraverso infrastrutture ospitate che utilizzavano tecnologie simili alle infrastrutture di desktop virtuali (VDI). Sebbene il modello di sicurezza funzionasse, abbiamo continuato a sentire lo stesso feedback dai clienti: l’esperienza di utilizzo di applicazioni ospitate a distanza era spesso lenta, complessa da mantenere e frustrante per gli utenti.

Quel feedback è stato un punto di svolta. L’hosting remoto introduceva una latenza inevitabile e richiedeva una notevole infrastruttura, creando una complessità operativa per i team IT. Abbiamo iniziato a porci una semplice domanda: cosa succederebbe se si potesse rimuovere completamente l’hosting dall’equazione? Invece di eseguire il lavoro da qualche altra parte e trasmetterlo all’utente, si potrebbe eseguire il lavoro in modo sicuro sul dispositivo dell’utente mentre si protegge ancora i dati aziendali?

Quel pensiero ha portato alla creazione di Venn e al concetto dietro Blue Border. Invece di forzare il lavoro attraverso l’hosting remoto e la virtualizzazione, abbiamo creato un nuovo modello che consente alle applicazioni aziendali di eseguirsi localmente sul laptop dell’utente, mantenendo i dati aziendali crittografati e protetti. Anche su un laptop personale, il lavoro rimane isolato e protetto dall’attività personale.

Gli strumenti di intelligenza artificiale si stanno diffondendo nelle aziende più velocemente di quanto le politiche possano stare al passo. Dal suo punto di vista, perché la governance fatica a stare al passo con l’adozione dell’IA all’interno delle organizzazioni?

La governance fatica a stare al passo con l’adozione dell’IA perché la tecnologia è diventata uno strumento quotidiano quasi da un giorno all’altro. Negli ultimi anni, da quando ChatGPT è esplosa, i dipendenti hanno incorporato l’IA nelle loro vite e nei loro flussi di lavoro. Non aspettano i cicli di approvazione formale dell’IT; stanno già utilizzando l’IA per scrivere più velocemente, analizzare le informazioni, riassumere le riunioni o generare codice in pochi secondi. Nella maggior parte delle organizzazioni, la creazione di politiche, la revisione legale, la convalida della sicurezza e il deploy dell’IT avvengono su una scala temporale molto più lenta rispetto al comportamento degli utenti. Quella lacuna è dove la governance dell’IA sta rimanendo indietro.

Il problema più profondo è che molte organizzazioni stanno cercando di applicare il modello di controllo di ieri alla realtà dell’IA di oggi. La governance tradizionale era costruita intorno all’approvazione o al blocco di un insieme noto di applicazioni, ma l’IA è ora incorporata in browser, piattaforme SaaS e persino nei sistemi operativi. La governance deve evolversi oltre il controllo di un set di strumenti predefiniti e concentrarsi invece sulla protezione dei dati ovunque si trovino, sulla sicurezza dell’ambiente di lavoro e sulla definizione delle condizioni in cui le informazioni sensibili possono essere utilizzate in modo sicuro.

Molte aziende cercano di risolvere il problema limitando o vietando gli strumenti di intelligenza artificiale generativa. Perché ritiene che questo approccio fallisca nella pratica e quali rischi di sicurezza inintenzionali può creare?

I divieti falliscono perché ignorano la realtà di come le persone lavorano. I dipendenti troveranno modi per utilizzare gli strumenti di IA indipendentemente dall’approvazione ufficiale. Ciò crea un’IA ombra, o un utilizzo non autorizzato di strumenti, account personali, flussi di lavoro di copia e incolla e interazioni basate su browser, che possono verificarsi al di fuori della supervisione approvata. L’azienda perde quindi la visibilità, mettendo a rischio i suoi dati sensibili.

In molti casi, le politiche restrittive possono aumentare il rischio anziché ridurlo. Quando i dipendenti non possono utilizzare questi strumenti in modo sicuro, spesso trovano soluzioni alternative. I dati sensibili dell’azienda possono finire in strumenti che i team IT o di sicurezza non monitorano o non controllano. L’approccio migliore non è la proibizione fine a se stessa, ma l’abilitazione di un utilizzo sicuro attraverso l’isolamento, i controlli dei dati e le linee guida chiare che consentono all’azienda di procedere senza esporre informazioni critiche.

Le capacità di intelligenza artificiale sono sempre più incorporate direttamente in applicazioni quotidiane anziché esistere come strumenti autonomi. Come questo spostamento cambia il modo in cui i team di sicurezza dovrebbero pensare al monitoraggio e al controllo dell’esposizione dei dati?

Questo spostamento è significativo perché rompe il vecchio modello mentale di “applicazione a rischio versus applicazione approvata”. Se l’IA è incorporata all’interno di posta elettronica, CRM, conferenze, editing di documenti e ricerca, allora l’esposizione dei dati non è più legata all’apertura di uno strumento di IA separato. È connessa ai dati accessibili all’interno dell’applicazione, al contesto che l’IA può vedere e al fatto che quell’interazione avvenga all’interno di un ambiente di lavoro sicuro.

Di conseguenza, i team di sicurezza devono concentrarsi sulla protezione dei dati anziché sul blocco completo del dispositivo. La focus dovrebbe essere sull’isolamento delle sessioni di lavoro, sul controllo della copia e incolla e dei download laddove appropriato, sulla prevenzione della perdita di dati tra contesti personali e aziendali e sul mantenimento delle informazioni sensibili all’interno di un ambiente protetto.

La tecnologia Blue Border di Venn isola le applicazioni e i dati di lavoro localmente sul dispositivo personale dell’utente invece di affidarsi alle tradizionali infrastrutture di desktop virtuali. Come questa architettura ridisegna fondamentalmente il modello di sicurezza degli endpoint per il lavoro remoto?

Blue Border cambia fondamentalmente il modello di sicurezza degli endpoint andando oltre l’idea che la sicurezza richieda il controllo completo del dispositivo o un desktop virtualizzato. Le tradizionali VDI assicurano il lavoro ospitandolo a distanza e trasmettendolo all’utente. Blue Border assicura il lavoro direttamente sul dispositivo personale dell’utente, creando un ambiente sicuro e controllato dall’IT in cui le applicazioni eseguono localmente e i dati aziendali rimangono isolati e protetti.

Il risultato è un modello di sicurezza diverso per il lavoro remoto, in cui le aziende possono applicare protezione intorno al lavoro stesso senza dover fornire dispositivi aziendali o costringere gli utenti a gestire la latenza e la latenza che deriva dall’hosting di un desktop nel cloud.

Dal punto di vista dell’architettura di sicurezza, questo sposta il modello dal controllo dell’intero endpoint o dalla centralizzazione dei protocolli di sicurezza, alla protezione dell’ambiente di lavoro stesso, dove si trova. Blue Border assicura che i dati sensibili non lascino mai l’ambiente protetto e locale e applica le politiche all’interno di quel confine. Previene la perdita di dati sul lato personale del dispositivo. Di conseguenza, gli utenti possono godere di prestazioni native e di applicazioni, e possono utilizzare un dispositivo personale da qualsiasi parte del mondo, anziché un dispositivo aziendale richiesto.

Molte organizzazioni lottano per bilanciare la privacy degli dipendenti e la supervisione aziendale quando i lavoratori utilizzano dispositivi personali. Come i team di sicurezza possono proteggere i dati sensibili senza creare la percezione di sorveglianza?

La chiave è proteggere il lavoro, non l’attività personale. I dipendenti sono giustamente a disagio quando le misure di sicurezza potrebbero estendersi ai loro file personali, messaggi, storia del browser o applicazioni personali. Su un dispositivo BYOD, la fiducia è fondamentale. Se l’azienda non può spiegare chiaramente dove inizia e finisce la sua visibilità, i dipendenti supporranno il peggio.

Un modello più forte è quello che crea un ambiente di lavoro distinto per l’attività aziendale e applica controlli di sicurezza solo all’interno di quel confine. Ciò dà all’organizzazione la capacità di proteggere i dati aziendali, fornendo ai dipendenti la fiducia che la loro attività personale non è monitorata o gestita. La privacy e la sicurezza non devono essere in competizione se l’architettura è progettata per separarle chiaramente.

Il lavoro remoto e i team basati su contractor hanno reso gli ambienti BYOD quasi inevitabili. Quali sono i più grandi rischi di sicurezza associati ai dispositivi non gestiti oggi?

Il più grande rischio è che i dispositivi non gestiti cancellano il confine tra attività personali e aziendali. Sullo stesso dispositivo, un utente può avere applicazioni di lavoro aperte accanto a posta elettronica personale, strumenti di IA per consumatori, app di messaggistica, servizi di condivisione di file e estensioni del browser non attendibili. Senza uno strato di separazione sicuro, è molto facile che i dati sensibili vengano copiati, memorizzati nella cache, scaricati, catturati schermo o esposti attraverso canali che l’azienda non controlla. Per le organizzazioni soggette a regolamenti sulla sicurezza dei dati, questo è un rischio enorme.

Gli agenti di intelligenza artificiale e i flussi di lavoro automatizzati stanno iniziando a interagire direttamente con le applicazioni e i dati aziendali. Quali nuove sfide di sicurezza introducono questi sistemi autonomi?

I sistemi autonomi introducono una classe di rischio diversa perché non generano solo contenuti, ma possono anche agire. Gli agenti di IA connessi ai sistemi aziendali possono recuperare o spostare dati, aggiornare record, attivare flussi di lavoro o comunicare esternamente. Ciò espande la portata di un errore, di una configurazione errata o di un’identità compromessa ben al di là di quanto vediamo con gli assistenti di IA passivi.

Ciò crea anche nuove domande sull’accesso, sulla fiducia e sulla responsabilità. Quali dati è autorizzato l’agente ad accedere? In quali condizioni può agire? Come viene registrata, limitata e revisionata quell’attività? I team IT e di sicurezza dovranno trattare gli agenti di IA meno come funzionalità del software e più come attori digitali privilegiati. Ciò significa applicare principi come il minimo privilegio, la segmentazione, l’isolamento delle sessioni e una forte tracciabilità fin dall’inizio.

Mentre le organizzazioni integrano l’intelligenza artificiale generativa nelle applicazioni di produttività, nei sistemi di supporto clienti e nei flussi di lavoro interni, quali tipi di esposizioni di dati sensibili la preoccupano di più?

L’utilizzo di IA generativa sul posto di lavoro ha confuso i confini tra dati personali e aziendali. I dipendenti spesso accedono a strumenti esterni mentre lavorano con informazioni aziendali, il che rende facile che i dati sensibili come i record dei clienti, i documenti interni, il codice sorgente o le informazioni finanziarie sfuggano in ambienti esterni. Quando i dati aziendali fluiscono attraverso contesti personali o dispositivi non gestiti, le aziende perdono visibilità e controllo su dove vanno quelle informazioni, come vengono archiviate e chi potrebbe eventualmente accedervi. Mentre l’IA si integra nei flussi di lavoro quotidiani, le organizzazioni devono affrontare questo confine confuso, assicurando che i dati aziendali rimangano protetti anche quando il lavoro avviene su dispositivi personali.

Guardando avanti, come vede l’evoluzione della sicurezza degli endpoint mentre i flussi di lavoro guidati dall’IA diventano più comuni nelle forze lavoro remote e distribuite?

La sicurezza degli endpoint dovrà diventare molto più adattiva, consapevole del contesto e centrata sull’ambiente di lavoro. In passato, la progettazione della sicurezza degli endpoint presumeva un dispositivo gestito, un perimetro di ufficio definito e un set relativamente stabile di applicazioni aziendali. Il futuro è distribuito, guidato dall’IA e sempre più autonomo. La sicurezza deve seguire il lavoro stesso, ovunque si verifichi, senza presumere il controllo completo del dispositivo o bloccare la produttività.

Il modello vincente sarà quello che combina una forte separazione tra il dispositivo e i dati sensibili, controlli di accesso consapevoli del contesto e un’architettura che preserva un confine chiaro tra attività di lavoro e personale. Le organizzazioni hanno bisogno di ambienti in cui i dipendenti, i contractor e i flussi di lavoro abilitati all’IA possano operare in modo produttivo, ma all’interno di controlli che proteggono i dati per design. Le aziende che avranno successo non saranno quelle che cercano di rallentare l’adozione dell’IA; saranno quelle che rendono possibile un’adozione sicura su larga scala.

Grazie per la grande intervista, i lettori che desiderano saperne di più possono visitare Venn.

Related Topics:
mm

Antoine è un leader visionario e socio fondatore di Unite.AI, guidato da una passione incrollabile per plasmare e promuovere il futuro dell'AI e della robotica. Un imprenditore seriale, crede che l'AI sarà altrettanto disruptiva per la società quanto l'elettricità, e spesso viene colto a parlare con entusiasmo del potenziale delle tecnologie disruptive e dell'AGI.
Come futurist, è dedicato a esplorare come queste innovazioni plasmeranno il nostro mondo. Inoltre, è il fondatore di Securities.io, una piattaforma focalizzata sugli investimenti in tecnologie all'avanguardia che stanno ridefinendo il futuro e ridisegnando interi settori.