Seguici sui social

interviste

Howard Ting, CEO di Opal Security – Serie di interviste

mm
Pubblicato il

Howard Ting, CEO di Opal Security, è un dirigente esperto in sicurezza informatica e tecnologia, attualmente alla guida di Opal Security da novembre 2025. In precedenza, ha ricoperto il ruolo di Executive in Residence presso Greylock e ha trascorso oltre cinque anni presso Cyberhaven, sia come CEO che come membro del consiglio di amministrazione, guidando l'azienda nella sua missione di proteggere i dati e consentire un'innovazione sicura. Il suo background include posizioni di leadership nel marketing strategico presso Redis Labs e Zscaler, nonché ruoli senior in marketing e prodotto presso Nutanix, Palo Alto Networks, Cisco (tramite Securent), Microsoft, RSA Security e una prima esperienza in fusioni e acquisizioni presso Banc of America Securities. Questa combinazione di leadership operativa, competenza nel go-to-market e profonda esperienza nel settore della sicurezza informatica lo posiziona in modo unico al timone di una piattaforma di sicurezza in rapida crescita.

Opal Security è una moderna azienda di gestione degli accessi incentrata sull'identità che fornisce alle aziende una piattaforma centralizzata per gestire e proteggere chi ha accesso a cosa su cloud, SaaS e sistemi interni. La piattaforma offre visibilità unificata sui percorsi di identità e accesso, supporta flussi di lavoro di accesso self-service e just-in-time e automatizza le revisioni degli accessi per applicare policy di privilegi minimi su larga scala, aiutando le organizzazioni a ridurre i rischi e migliorare la conformità in ambienti dinamici che includono utenti umani, account di servizio e agenti di intelligenza artificiale.

Di recente hai assunto il ruolo di CEO di Opal Security, dopo aver guidato Cyberhaven su larga scala e aver ricoperto ruoli di rilievo in aziende come Palo Alto Networks, Nutanix, Cisco, RSA Security, Redis e Microsoft. Cosa ti ha spinto a scegliere Opal in questo momento della tua carriera e in che modo la tua precedente esperienza influenza il tuo modo di concepire oggi la sicurezza basata su accesso, identità e intelligenza artificiale?

Gestire gli accessi sta diventando sempre più difficile ovunque. Più identità, più macchine, più automazione, e l'accesso significativo ha sempre più origine all'interno dei flussi di lavoro di ingegneria e cloud, non nell'IT tradizionale. Gli strumenti IAM e IGA standard non sono stati progettati per tutto questo, e le minacce basate sull'identità non aspettano altro che essere raggiunte.

Questo è ciò che mi ha attratto di Opal. La portata di questo problema è enorme e Opal è già allineata con la direzione del mercato. Ho già visto diverse versioni di questo schema in passato. In RSA, Palo Alto Networks e Cyberhaven, ho osservato le rivoluzioni dei firewall multifattoriali di nuova generazione e del data ligage svolgersi in tempo reale, e le dinamiche qui sono sorprendentemente simili: un problema che definisce una categoria e che si accelera più velocemente di quanto la maggior parte dei fornitori possa rispondere, con una finestra temporale ristretta per il team giusto che se ne occupi.

Opal ha quel team. Le basi ingegneristiche e di prodotto sono solide e l'elenco dei clienti, costruito attraverso un lavoro diretto e mirato, parla da sé. Ogni conversazione con i clienti che ho gestito ha rafforzato lo stesso messaggio: questo problema si sta aggravando e Opal è la soluzione.

Ciò che ho imparato dalla creazione e dall'espansione di team in diverse aziende è che l'esecuzione diventa radicalmente più semplice quando prodotto, ingegneria e go-to-market condividono lo stesso livello di attenzione al cliente. Quando tutti vedono lo stesso problema e la stessa opportunità, si agisce rapidamente senza perdere precisione. Opal ha già queste basi. Il mio compito è svilupparle e assicurarmi che i nostri clienti percepiscano appieno la forza di questo team al loro fianco durante la crescita.

Dopo aver trascorso anni lavorando su identità, infrastrutture cloud e sicurezza aziendale, dove pensi che i modelli tradizionali di controllo degli accessi stiano fallendo man mano che le organizzazioni adottano sempre più l'intelligenza artificiale?

La risposta onesta è che la maggior parte dei modelli tradizionali di controllo degli accessi sono stati concepiti per risolvere il problema dell'autenticazione, e per gli esseri umani questo problema è ampiamente risolto. Gli IDP e i moderni metodi di autenticazione gestiscono la domanda "chi sei?" abbastanza bene. Per le identità non umane, la gestione delle chiavi API e dei segreti è un passo avanti. Ma l'autorizzazione – "cosa ti dovrebbe essere permesso di fare e per quanto tempo?" – rimane profondamente irrisolta sia per gli esseri umani che per le macchine, ed è qui che risiede il vero rischio.

A complicare ulteriormente la situazione, i team di ingegneria ora operano attraverso l'automazione, l'infrastruttura come codice e strumenti basati sull'intelligenza artificiale che generano nuove autorizzazioni come parte integrante dello sviluppo quotidiano. L'accesso non cambia più lentamente attraverso i flussi di lavoro IT: viene creato, modificato ed esteso a livello di programmazione, spesso senza che nessuno riveda ciò che è stato appena concesso. Il risultato è una crescente proliferazione di account con autorizzazioni eccessive, strumenti di gestione dei privilegi frammentati e una governance costosa, reattiva e in gran parte cieca a ciò che sta realmente accadendo.

E sarò diretto su un'altra cosa: in questo mercato c'è un'enorme quantità di AI washing. I fornitori si stanno affrettando ad associare l'"IA" ad architetture legacy, il che oscura una realtà critica per gli acquirenti: non esiste ancora un framework di sicurezza e governance fattibile e convalidato per gli agenti di IA. L'hype sta superando i controlli effettivi, ed è proprio in questo divario che si crea la vera esposizione.

Ecco cosa rende diverso l'approccio di Opal. Anziché integrare la governance nei flussi di lavoro a posteriori, Opal modella l'accesso direttamente dai sistemi già utilizzati dagli ingegneri, applica le policy in tempo reale e offre ai team di sicurezza un modo per guidare le decisioni di autorizzazione senza creare attriti. Quando la governance si integra in modo naturale nel funzionamento effettivo dell'ingegneria, smette di essere un ostacolo e diventa un'infrastruttura di cui ci si può fidare.

Opal si concentra sulla gestione di chi e cosa può accedere ai sistemi sensibili nei moderni ambienti cloud-native. Quali sono i problemi di sicurezza più sottovalutati dalle aziende che utilizzano agenti di intelligenza artificiale e flussi di lavoro automatizzati?

I problemi più sottovalutati non sono in realtà nuovi. Sono quelli che si sono andati accumulando silenziosamente per anni attorno alle identità umane. Fondamentali misure di governance, come i flussi di lavoro di ingresso/uscita/trasferimento, l'accesso just-in-time e le revisioni degli accessi degli utenti, sono stati a lungo trascurati o taciuti nella maggior parte delle organizzazioni. Anche gli obblighi di conformità come la SOX non sono scomparsi; sono solo diventati più difficili da soddisfare con la crescente complessità degli ambienti. Niente di tutto ciò è affascinante, ma è proprio questo il fondamento che si rompe quando si aggiungono agenti di intelligenza artificiale.

Le organizzazioni stanno integrando l'intelligenza artificiale per semplificare i flussi di lavoro ed eliminare attività banali, ma così facendo stanno introducendo identità non umane che moltiplicano le relazioni di accesso in modi che gli strumenti esistenti non sono mai stati progettati per gestire. Il risultato è una rete caotica in cui l'accesso umano era già sotto-governato e l'accesso automatico si sta ora espandendo con una visibilità ancora minore. Le decisioni di accesso devono essere spiegabili, limitate nel tempo, legate all'utilizzo reale e costantemente monitorate, ma la maggior parte dei team si affida ancora a sistemi statici e standardizzati che non sono in grado di fornire nulla di tutto ciò. Nel frattempo, gli agenti di programmazione generano e distribuiscono codice con autorizzazioni integrate, interagendo direttamente con l'infrastruttura e operando con un accesso che nessuno esamina attraverso una lente di sicurezza tradizionale: un'esposizione alla conformità e alla sicurezza che la maggior parte delle organizzazioni non ha ancora iniziato a valutare.

Le aziende che si avvalgono di agenti di intelligenza artificiale tendono a concentrarsi sulla novità della tecnologia, sottovalutando però la rapidità con cui l'espansione degli accessi e i permessi invisibili diventano una seria minaccia, soprattutto quando le fondamenta dell'identità umana sono già fragili.

Hai visto la sicurezza evolversi in diverse generazioni di infrastrutture. Cosa cambia fondamentalmente quando le identità delle macchine e gli agenti di intelligenza artificiale iniziano a superare in numero gli utenti umani?

Quando le identità delle macchine superano in numero quelle degli utenti umani, diventa sempre più difficile monitorare chi ha accesso a cosa. L'IAM tradizionale non è stato progettato per questa realtà e la maggior parte delle piattaforme HR e IAM fornisce solo una visibilità parziale, soprattutto quando la supervisione delle identità si estende oltre un singolo team. Per monitorare efficacemente questi tipi di identità, dobbiamo fornire agli agenti di intelligenza artificiale una proprietà chiara, autorizzazioni definite e piena verificabilità fin dall'inizio. Opal Security affronta questo problema modellando persone, servizi e agenti all'interno di un unico framework, anziché trattarli come entità separate.

Gli auditor ora si aspettano di analizzare il comportamento umano e quello degli agenti parallelamente durante l'analisi delle revisioni degli accessi. Gli agenti in genere ereditano i set di autorizzazioni degli utenti che li distribuiscono, ma alcuni casi d'uso richiedono agenti che si identificano come account di servizio con set di autorizzazioni personalizzati (in genere con ambito ridotto).

L'intelligenza artificiale è sempre più sia una superficie di attacco che uno strumento difensivo. Dal suo punto di vista, in che modo l'intelligenza artificiale migliora significativamente i risultati in termini di sicurezza oggi e in che cosa introduce ancora nuovi rischi?

L'intelligenza artificiale è uno strumento estremamente potente che costituisce la base del nostro prodotto. Opal Security utilizza l'intelligenza artificiale per monitorare, rilevare e prevenire accessi irregolari nelle organizzazioni. L'intelligenza artificiale modifica anche la sicurezza dell'identità perché introduce attori che non si limitano ad autenticare ed eseguire attività, ma ragionano, si adattano e agiscono in modo autonomo. I sistemi di identità tradizionali sono stati progettati per persone e account di servizio statici, dove l'accesso cambiava lentamente e l'intento era relativamente prevedibile.

Ma gli agenti di intelligenza artificiale infrangono questo modello. Il rischio è la perdita di visibilità e responsabilità. Gli agenti possono aumentare e diminuire dinamicamente, concatenare le autorizzazioni tra i sistemi e agire per conto degli utenti, di altri agenti o di se stessi. Nessuna risorsa protetta può essere "violata", ma azioni sensibili possono comunque verificarsi perché tutto è stato tecnicamente autorizzato. Questa è la nuova superficie di minaccia. Il modo per gestirla è attraverso una piattaforma unificata e intelligente che comprende e protegge tutti i tipi di entità attraverso il contesto, il comportamento e l'adattamento continuo.

Questa visione unificata costituisce il fondamento della sicurezza: non si può proteggere ciò che non si vede o non si comprende. In Opal, crediamo nella comprensione di ogni relazione. Non basta sapere chi è nel sistema. Bisogna sapere chi è connesso a cosa e perché.

Man mano che gli agenti di codifica dell'intelligenza artificiale e i sistemi automatizzati ottengono autorizzazioni più ampie all'interno delle organizzazioni, in che modo i team di sicurezza dovrebbero riconsiderare l'accesso con privilegi minimi nella pratica, non solo in teoria?

L'accesso moderno alle identità deve trattare allo stesso modo le identità umane e quelle delle macchine, in modo che le aziende possano disporre della visibilità, dell'automazione e della fiducia necessarie per scalare in sicurezza nell'era dell'intelligenza artificiale. In pratica, ciò significa concedere autorizzazioni solo quando necessario e rivedere e adattare costantemente l'accesso al variare delle attività o dei ruoli. Il monitoraggio automatizzato e i controlli basati sul rischio diventano essenziali, garantendo che gli strumenti di intelligenza artificiale possano funzionare in modo efficiente senza creare inutili rischi per la sicurezza.

È utile abilitare JIT per impostazione predefinita per gli agenti, ma renderlo semplice: approvare automaticamente risorse specifiche quando appropriato oppure, se l'utente opera in un ambiente in cui tutti i dati sono sensibili, limitare l'utilizzo alle VM sandbox.

Sebbene eventuali nuove restrizioni all'utilizzo dell'agency possano potenzialmente irritare gli utenti finali rallentandoli, è importante andare incontro alle loro esigenze. Con Opal, ciò significa che le richieste di accesso possono essere inviate e approvate in Slack e che le strategie IaaC, tra cui Terraform, possono essere utilizzate per automatizzare le concessioni, le revoche e gli accessi a tempo.

Sulla base della tua esperienza nell'ampliamento delle aziende di sicurezza, quali segnali ti indicano che i controlli di accesso di un'organizzazione non sono più allineati con il modo in cui l'azienda opera effettivamente?

Le organizzazioni possono capire che i loro controlli di accesso non sono sincronizzati quando gli accessi iniziano a essere in ritardo rispetto alla realtà. Questo può manifestarsi con autorizzazioni eccessive o obsolete, colli di bottiglia manuali dovuti a sistemi legacy o l'adozione di sistemi di intelligenza artificiale senza policy aggiornate per tracciare le identità non umane. Un altro segnale rivelatore è l'aumento degli incidenti di sicurezza o dei quasi incidenti, causati da account con privilegi eccessivi o identità mal gestite.

Le complesse implementazioni di Sailpoint, che si affidavano a un team di consulenti e al monitoraggio degli accessi tramite fogli di calcolo, non erano efficienti prima dell'introduzione degli agenti, e inoltre questo approccio legacy è destinato a crollare sotto la velocità e la complessità degli agenti. Opal offre un'unica piattaforma che garantisce la sicurezza, sblocca l'IT e fornisce agli auditor ciò di cui hanno bisogno. Abbiamo riscontrato che l'RBAC è fragile e raramente duraturo, quindi i team di successo iniziano con JIT e poi passano all'accesso basato sulle persone (con flessibilità e monitoraggio nel tempo), in modo che le configurazioni di Terraform possano essere sottoposte a versioning, deployment o rollback, se necessario.

Dal punto di vista della leadership, come si riesce a bilanciare la velocità dell'innovazione con la disciplina necessaria per creare fiducia nei prodotti di sicurezza?

Ho imparato che le grandi aziende mantengono la disciplina sui principi fondamentali anche quando crescono rapidamente. Questi principi fondamentali includono priorità chiare, comunicazione trasparente e la volontà di accettare compromessi difficili che possono portare grandi risultati. L'innovazione è ancora importante, ma deve essere fondata sul rigore: solidi valori predefiniti, una modellazione ponderata delle minacce e responsabilità per i risultati. Prendere queste decisioni consapevolmente è ciò che consente di agire rapidamente senza compromettere la fiducia e, nel tempo, questa disciplina si trasforma in un vantaggio competitivo.

Secondo te, cosa fraintende di più i responsabili della sicurezza riguardo alla preparazione a un futuro dominato da sistemi autonomi piuttosto che da un accesso guidato dall'uomo?

Ciò che i responsabili della sicurezza spesso sottovalutano è la complessità della gestione di diverse tipologie di identità. Le aziende sono così ansiose di progredire e rimanere aggiornate con le tecnologie più recenti che le misure di sicurezza spesso vengono trascurate. I flussi di lavoro basati sull'intelligenza artificiale vengono spesso introdotti senza una chiara responsabilità, lasciando le organizzazioni con punti ciechi in cui identità non umane accumulano silenziosamente accessi, operano al di fuori dei controlli tradizionali e creano nuove opportunità per errori o minacce costosi. Prepararsi a questo futuro richiede di trattare l'identità come un livello dinamico e costantemente governato.

Con la crescita delle aziende, i team di sicurezza dovrebbero definire policy di utilizzo degli agenti e determinare come, se e dove l'accesso agli agenti venga ridimensionato rispetto all'essere umano che chiama l'agente. Qualsiasi processo che in precedenza affidava il lavoro ai team umani crollerà sotto la portata e la natura effimera degli agenti: l'automazione è l'unico modo per gestire il volume delle richieste.

Guardando al futuro, come si presenta una "buona igiene della sicurezza" in un ambiente in cui i sistemi di intelligenza artificiale creano, modificano e richiedono costantemente l'accesso in autonomia?

Una buona igiene della sicurezza consiste nello sfruttare l'intelligenza artificiale per scalare la sicurezza, mantenendo al contempo un monitoraggio e una disciplina sufficienti per garantire che nulla sfugga. L'intelligenza artificiale non è destinata a scomparire, quindi, che un'azienda utilizzi un fornitore come Opal o la gestisca internamente, deve accettare che l'accesso non è più statico. Quando i sistemi di intelligenza artificiale creano, modificano e richiedono costantemente l'accesso, la sicurezza deve passare dalle approvazioni una tantum alla supervisione continua. Ciò significa trattare l'accesso come un ciclo di vita continuo, anziché come una casella di controllo una tantum.

Le aziende dovranno inoltre utilizzare attivamente l'intelligenza artificiale come parte della loro difesa. L'automazione può aiutare i team a tenere il passo con il volume e la velocità delle modifiche di accesso, ma deve essere abbinata a chiare barriere di sicurezza, visibilità sulle catene di delega e responsabilità umana in caso di problemi. È importante evidenziare segnali di spiegabilità: valori di Shapley e coefficienti di funzionalità per i modelli di apprendimento automatico tradizionali, nonché contesto aggiuntivo o giustificazioni dettagliate da parte di LLM. Senza queste sfumature, mantenere una catena di fiducia per l'accesso a risorse aziendali sensibili è una battaglia in salita.

Grazie per l'ottima intervista, i lettori che desiderano saperne di più dovrebbero visitare Opal Security.

Argomenti correlati:
mm

Antoine è un leader visionario e socio fondatore di Unite.AI, spinto da una passione incrollabile per la definizione e la promozione del futuro dell'intelligenza artificiale e della robotica. Imprenditore seriale, ritiene che l'intelligenza artificiale sarà dirompente per la società quanto l'elettricità, e spesso viene colto a delirare sul potenziale delle tecnologie dirompenti e dell'AGI.

Come futurista, si dedica a esplorare come queste innovazioni plasmeranno il nostro mondo. Inoltre, è il fondatore di Titoli.io, una piattaforma focalizzata sugli investimenti in tecnologie all'avanguardia che stanno ridefinendo il futuro e rimodellando interi settori.