Interviste

Elizabeth Nammour, CEO e Fondatrice di Teleskope – Serie di Interviste

mm
Published
Updated

Elizabeth Nammour, CEO e fondatrice di Teleskope, è un’ingegnere di sicurezza diventata fondatrice, la cui carriera comprende ruoli di sicurezza dei dati, ingegneria del software e innovazione presso alcune delle più grandi organizzazioni tecnologiche del mondo. Mentre lavorava come ingegnere del software senior focalizzato sulla sicurezza dei dati presso Airbnb, ha affrontato la sfida operativa di comprendere e controllare enormi patrimoni di dati in rapida crescita, distribuiti su decine di sistemi. Quell’esperienza, combinata con ruoli tecnici e strategici precedenti presso Amazon e Booz Allen Hamilton, ha plasmato la sua prospettiva su come le organizzazioni moderne lottino per governare i dati sensibili su larga scala e alla fine l’ha portata a costruire un’azienda che affronta quella lacuna.

Teleskope è una piattaforma di sicurezza dei dati moderna progettata per aiutare le organizzazioni a comprendere continuamente dove si trovano i loro dati, come vengono utilizzati e quali rischi creano man mano che gli ambienti diventano più complessi. Costruita tenendo presente gli sviluppatori e i team di sicurezza, la piattaforma enfatizza la visibilità dei dati precisa, la rimozione automatizzata e i controlli basati sulle politiche in ambienti cloud, SaaS e ibridi. Spingendosi oltre gli audit statici e i processi manuali, Teleskope mira a fornire alle organizzazioni una base pratica per la gestione della dispersione dei dati, consentendo al contempo l’adozione responsabile dell’intelligenza artificiale.

Hai fondato Teleskope dopo aver costruito strumenti di sicurezza dei dati interni ad Airbnb per catalogare e classificare i dati su larga scala. Qual è stato il momento che ti ha convinto che questo doveva essere un’azienda e non un progetto interno, e come quelle prime lezioni hanno plasmato la tua tesi di prodotto?

Quando ho finito di costruire questo prodotto ad AirBnB, ho avuto l’opportunità di scrivere un post sul blog di AirBnB intitolato “Automating Data Protection at Scale”. Non mi aspettavo che qualcosa ne sarebbe derivato, ma la comunità di sicurezza ha risposto molto favorevolmente e ho iniziato a essere contattata da professionisti di tutto il mondo. Ho avuto sicuramente questo momento di realizzazione che molti condividevano le stesse sfide che avevo affrontato e che questo prodotto era qualcosa che il mercato stava realmente chiedendo. Mi sono molto appoggiata ai feedback dei miei pari nei primi giorni e anche Teleskope v1.0 era molto migliorato rispetto a ciò che avevo costruito inizialmente ad AirBnB. Oggi il nostro prodotto è più grande e più impattante di quanto avrei mai potuto immaginare all’epoca.

La tua pipeline di classificazione multi-modello combina machine learning tradizionale, modelli specifici del formato e convalida GenAI. Puoi spiegarci la logica decisionale e come riduci i falsi positivi/negativi su larga scala?

Ti consiglio vivamente di leggere il nostro blog, che ho scritto insieme al nostro capo del Data Science, Ivan, sulla classificazione dei dati. Inizierei dicendo che questo è un’arte, tanto quanto una scienza. C’è una tremenda quantità di sfumature – ogni volta che si trova un’entità di dati sensibili, il contesto sarà unico. Nel frattempo, la scala dei dati ha reso questo problema infinitamente più impegnativo, perché scansionare petabyte di dati di produzione richiede molto calcolo e molto tempo. Fondamentalmente, c’è un motivo per cui questo è stato considerato a lungo un problema sostanzialmente irrisolto.

Il lato artistico consiste nel capire come bilanciare tutti i compromessi – velocità, latenza, accuratezza, costo e ampiezza (in archivi di dati, formati di file, lingue, ecc.). Abbiamo sempre creduto che la risposta debba essere creativa e debba essere multi-modale. È per questo che abbiamo adottato l’approccio che abbiamo, combinando molti dei metodi di classificazione disponibili per avere un approccio dinamico e sfumato che, per riassumere, è progettato per utilizzare il metodo più leggero possibile senza sacrificare significativamente l’accuratezza. Questo approccio dinamico ci consente di scansionare i dati 10-20 volte più velocemente degli strumenti che dipendono da LLM di una sola dimensione, mentre fornisce risultati molto più precisi rispetto agli approcci basati su REGEX o contesto convenzionali.

Hai recentemente introdotto Prism, concentrandoti sulla comprensione dei dati a livello aziendale e sulla rimozione GenAI. Quali nuovi casi d’uso sblocca questo rispetto alla rilevazione di PII a livello di elemento, e come ti proteggi contro l’allucinazione nelle azioni di rimozione?

Quando ho iniziato ad affrontare la sfida della classificazione e della protezione dei dati, la mia attenzione si è concentrata sulla riduzione dei falsi positivi reali. Ad esempio, come possiamo assicurarci che almeno il 95% delle volte, quando segnaliamo qualcosa come un numero di previdenza sociale, si riveli effettivamente un numero di previdenza sociale. Alcuni anni fa, anche l’80% di accuratezza su diversi tipi di elementi di dati sarebbe stato un miglioramento.

Ma lavorando a stretto contatto con i nostri clienti nell’ultimo anno, è diventato chiaro che il “rumore” che i team sono sopraffatti non è solo causato da classificazioni di entità di dati inaccurate (i tradizionali “falsi positivi”). Il rumore è spesso tanto il risultato di essere sommersi da avvisi irrilevanti quanto da ricevere avvisi falsi. Ciò che Prism fa è sbloccare la nostra capacità di considerare molto più contesto – non solo “cosa sono questi dati” o “chi sta accedendo a questo file”, ma anche “cosa significa, in pratica, questo file”. Combinando questo con le informazioni che possiamo raccogliere su ciò che una determinata azienda fa e si preoccupa, possiamo fornire un prodotto che si adatta alle diverse definizioni di “dati sensibili” di ogni azienda.

La cattura di questo livello di contesto sfumato è un vero e proprio cambiamento di gioco. Ad esempio, memorizzare centinaia di numeri di previdenza sociale in un documento Google nel drive personale potrebbe essere un grande rischio e una violazione della politica di gestione dei dati. Ma avere una cartella in un drive HR sicuro pieno di W2 dei dipendenti? Questo è un comportamento previsto. I team di sicurezza vogliono essere avvisati del primo, ma ricevere un avviso per ogni W2 di un dipendente, memorizzato correttamente, è solo rumore. Comprendere dove e in quale contesto risiedono i dati sensibili richiede più di un modello di classificazione di entità.

Lavoriamo con una multinazionale chimica, Chevron Philips Chemicals. Questa azienda non acquisterebbe mai uno strumento di privacy o uno standard DSPM, perché non vedono il rischio dei dati dei consumatori come una priorità. Tuttavia, si preoccupano della proprietà intellettuale sotto forma di equazioni chimiche proprietarie. Essere in grado di ridurre l’essenza di un documento a un elenco di etichette raggruppate, possiamo non solo rilevare elementi sensibili unici, ma anche trovare istanze di questi asset di dati che si trovano nel “posto sbagliato”. Combinando questo contesto con la nostra rimozione automatizzata, possiamo quindi agire per archiviare, eliminare, oscurare o spostare quei file nella loro posizione corretta. Nessuno nel mercato della sicurezza dei dati sta facendo questo tipo di lavoro.

Teleskope evidenzia la scoperta continua su più cloud, on-prem e sistemi di terze parti, inclusi dati ombra. Cosa significa copertura della “mappa completa” e quanto velocemente puoi portare alla luce archivi sconosciuti in un ambiente di nuova implementazione?

Il termine “completo” è qui un po’ ingannevole – nella realtà è una barra che si sposta costantemente, anche solo giornalmente. È così difficile gestire la dispersione dei dati. Il nostro obiettivo è sempre stato che Teleskope esista ovunque esistono i dati dei nostri clienti. Siamo sostanzialmente un prodotto basato sull’integrazione in molti modi – abbiamo costruito decine di connettori di dati proprietari per poter strisciare, scansionare e classificare i dati attraverso una vasta gamma di strumenti SaaS, archivi di dati cloud e sistemi on-premise. La maggior parte dei clienti inizia con alcuni connettori che considerano ad alto rischio o dove hanno la minore visibilità, quindi in realtà raramente siamo ovunque un’azienda abbia i suoi dati. Tuttavia, all’interno di ogni fonte di dati, stiamo costantemente strisciando il loro ambiente per portare alla luce nuovi account, tabelle, nuovi blob, file, messaggi, ecc. Quindi, ovunque siamo, stiamo trovando dati, nuovi e vecchi, in tempo reale.

Per la sicurezza e la governance dell’AI, come tracci la discendenza tra set di dati di addestramento, modelli, prompt e output per l’auditabilità?

Abbiamo sostanzialmente tre modi fondamentali per supportare la sicurezza e la governance dell’AI. In primo luogo, c’è la nostra capacità di applicare la nostra tecnologia di classificazione e rimozione ai dati in movimento tramite le nostre API. Quando le aziende generano o preparano set di dati per addestrare i propri modelli, hanno bisogno di un modo per assicurarsi che quei dati siano liberi da PII o altri dati sensibili. Quindi, ci colleghiamo direttamente a una pipeline di dati e possiamo pulire i set di dati mentre vengono spostati o copiati in un set di addestramento, assicurandoci che quei modelli non siano mai a rischio di output di dati sensibili.

Guardando avanti, hai parlato di una piattaforma di sicurezza dei dati “agente” end-to-end con rimozione autonoma. Quali pietre miliari segnaleranno che l’industria è pronta per la protezione dei dati completamente autonoma?

Sappiamo per certo che l’industria è pronta per questo. Altre aree del cyberspazio, come il SOC, hanno già mostrato un completo spostamento verso l’AI agente come mezzo per scalare la capacità dei team di sicurezza. Abbiamo una coda di clienti che chiedono di essere partner di design per questo lavoro, quindi sappiamo che molte aziende stanno provando lo stesso dolore di dover ancora manualmente triare, indagare, prendere una decisione e poi eseguire, solo per risolvere un singolo ticket. Abbiamo la convinzione assoluta che questo è dove sta andando il mercato e siamo determinati a guidare questo cambiamento. Grazie per la grande intervista, i lettori che desiderano saperne di più possono visitare Teleskope.

mm

Antoine è un leader visionario e socio fondatore di Unite.AI, guidato da una passione incrollabile per plasmare e promuovere il futuro dell'AI e della robotica. Un imprenditore seriale, crede che l'AI sarà altrettanto disruptiva per la società quanto l'elettricità, e spesso viene colto a parlare con entusiasmo del potenziale delle tecnologie disruptive e dell'AGI.
Come futurist, è dedicato a esplorare come queste innovazioni plasmeranno il nostro mondo. Inoltre, è il fondatore di Securities.io, una piattaforma focalizzata sugli investimenti in tecnologie all'avanguardia che stanno ridefinendo il futuro e ridisegnando interi settori.