Connect with us

Tarun Thakur, Co-Fondatore e Amministratore Delegato di Veza – Serie di Interviste

Interviste

Tarun Thakur, Co-Fondatore e Amministratore Delegato di Veza – Serie di Interviste

mm
Published
Updated

Tarun Thakur, Co-Fondatore e Amministratore Delegato di Veza, è un ex dirigente di Data Domain, Veritas e IBM, con decenni di esperienza nella costruzione di aziende di infrastrutture aziendali. Ha co-fondato Veza per affrontare la crescente crisi della sprawl di identità, con un focus sulla fornire chiarezza e controllo in architetture ibride e cloud-native complesse.

Veza è una piattaforma di sicurezza dell’identità progettata appositamente per ambienti multi-cloud moderni, che consente alle organizzazioni di gestire e applicare i diritti di accesso alle applicazioni, alle piattaforme cloud e ai sistemi di dati con una visibilità e una precisione senza precedenti. Sostenuta da oltre 125 milioni di dollari di finanziamenti, tra cui 110 milioni di dollari di serie C guidati da Accel con la partecipazione di Sequoia Capital, GV e Norwest Venture Partners, Veza serve grandi aziende come Blackstone, Autodesk, SoFi, Wynn Resorts e S&P Global per prevenire violazioni, mitigare il rischio insider e garantire la conformità.

Ha co-fondato con successo molte aziende di infrastrutture aziendali nel corso degli anni. Cosa l’ha ispirato a lanciare Veza e come le sue esperienze passate in Datos IO, Data Domain e IBM Research hanno plasmato la sua visione per la sicurezza dell’identità prima?

Ogni azienda che ho costruito ha affrontato un punto cieco fondamentale nell’infrastruttura aziendale: protezione dei dati, resilienza, scala. Ma l’identità era sempre il collegamento mancante. In Datos IO, abbiamo aiutato a proteggere i dati critici nelle applicazioni cloud-native, ma ci siamo sempre imbattuti in un problema più profondo: non sapevamo chi avesse accesso a quali dati, o perché. Questo è un fallimento sistemico, non di archiviazione o calcolo, ma di governance dell’accesso.

Ho fondato Veza perché ho visto un futuro in cui l’identità sarebbe stata la principale superficie di attacco. E stiamo vivendo in quel futuro ora. L’industria ha trascorso 20 anni a fingere che IAM fosse un problema di casella di controllo. Non lo è. È un piano di controllo continuo. È dove la sicurezza, la conformità e la produttività si scontrano tutte. La nostra missione è rendere l’accesso non solo visibile, ma anche azionabile.

Basta guardare l’acquisizione di CyberArk da parte di Palo Alto. È il segnale più chiaro dell’industria che l’identità non è una funzione back-office, ma è ora fondamentale per la strategia di sicurezza aziendale. Ma anche con quell’accordo, il mercato sta ancora cercando cosa le aziende moderne necessitano di più: visibilità in tempo reale su cosa possono fare le identità, attraverso ogni app, sistema e set di dati. Questo è il divario che Veza colma.

Stiamo entrando in una nuova era in cui gli agenti AI non sono solo strumenti, ma attori che accedono autonomamente ai sistemi, ai dati e alle applicazioni. Come questo cambiamento sta sfidando i paradigmi tradizionali di gestione dell’identità e dell’accesso (IAM)?

IAM è stato progettato per gli esseri umani. L’AI agente rompe completamente quel modello. Queste sono entità autonome che prendono decisioni, generano output, concatenano flussi di lavoro, attivano l’accesso a valle a velocità di macchina. Eppure, la maggior parte degli strumenti IAM chiede ancora: “A quale gruppo appartiene questa identità?” Questo è ridicolo.

Il cambiamento di paradigma è questo: l’accesso non è più concesso manualmente, ma è emergente, dinamico e contestuale. Non puoi gestirlo con ruoli statici e titoli scaduti. Hai bisogno di intelligenza di accesso in tempo reale. Hai bisogno di sistemi che capiscano cosa un agente AI possa fare in ogni sistema, non solo cosa gli è “consentito” fare in teoria.

Veza ha parlato apertamente del crescente rischio di identità non umane, come agenti AI, account di servizio e bot. Come si differenzia tra automazione legittima e sovra-concessione di permessi in ambienti dinamici come DevOps o finanza?

Questa è la domanda da 10 miliardi di dollari. La maggior parte delle organizzazioni non può nemmeno inventariare le identità non umane, per non parlare di governarle. Veza capovolge il modello: non inizia con l’identità, inizia con l’azione. Chi o cosa può leggere questo bucket S3? Chi può eliminare righe in questo database di produzione?

In DevOps o finanza, l’automazione è essenziale. Ma anche la limitazione lo è. Hai bisogno di visibilità fine-grana su cosa possono fare quelle identità proprio adesso, non su cosa abbia detto un biglietto IAM sei mesi fa. E devi essere in grado di interromperlo istantaneamente quando quell’accesso diventa tossico. Questo è il superpotere di Veza.

Man mano che le aziende integrano l’AI nei flussi di lavoro critici, l’applicazione in tempo reale del principio di accesso minimo diventa essenziale. Può spiegarci come Veza consente questo livello di granularità attraverso le infrastrutture ibride e multi-cloud?

La granularità senza automazione è inutile. Veza si collega direttamente al piano di controllo, sia che si tratti di AWS, Salesforce, Snowflake o SAP, e costruisce un grafico di ogni autorizzazione, ogni ruolo, ogni azione disponibile per un’identità. Umana o macchina. On-prem o cloud. È un unico tessuto di accesso unificato.

Poi aggiungiamo un contesto aziendale: chi possiede l’app, quando è stata utilizzata l’ultima volta, se fa parte di un processo critico. Ciò consente di creare politiche come: “Nessun agente GenAI può accedere a informazioni personali a meno che non sia stato esplicitamente approvato e registrato.” E se qualcosa viola quella regola, Veza può avvisare, revocare o porre rimedio in tempo reale. È così che si applica il principio di accesso minimo su larga scala.

Ha descritto Veza come fornitore di “intelligenza di accesso”. Cosa significa questo in termini pratici e come si differenzia dalle soluzioni di controllo di accesso tradizionali o dalle piattaforme di governance dell’identità?

L’intelligenza di accesso significa sapere, in ogni momento, cosa ogni identità, umana o non umana, possa fare, dove e perché. Gli strumenti tradizionali ti dicono cosa un utente ha ricevuto. Noi ti diciamo cosa possono fare effettivamente adesso e se è sicuro.

Gli strumenti IGA eseguono la governance su base trimestrale. Veza esegue la governance in modo continuo. Gli strumenti PAM si concentrano su un piccolo subset di account privilegiati. Noi copriamo ogni identità, ogni app, ogni autorizzazione. E lo facciamo con il contesto per prendere decisioni intelligenti, non solo rumore di log.

Guardando al futuro dell’AI agente, come dovrebbero evolversi le architetture di sicurezza per stare al passo? Quali capacità devono iniziare a investire le organizzazioni oggi per evitare violazioni della conformità o violazioni interne domani?

I team di sicurezza devono smettere di pensare in termini di utenti e iniziare a pensare in termini di azioni. Gli agenti AI non si presentano e non si congedano. Non compilano moduli di richiesta di accesso.

Hai bisogno di architetture che siano consapevoli dell’accesso, in tempo reale e adiacenti al piano di controllo. Ciò significa:

  • Monitoraggio continuo delle autorizzazioni
  • Creazione di un modello di comportamento dell’AI
  • Revoca autonoma dell’accesso
  • Registrazione inalterabile attraverso tutte le interazioni dell’AI

Non è opzionale. Ogni agente AI è una potenziale minaccia interna, e i framework di conformità stanno recuperando velocemente. Se non puoi spiegare chi ha fatto cosa e perché, fallirai gli audit, perderai la fiducia o peggio.

Veza conta grandi marchi come Autodesk, Blackstone e S&P Global tra i suoi clienti. Quali modelli comuni o errori vede anche nelle organizzazioni più mature quando si tratta di governance dell’identità?

L’errore più comune? Assumere che qualcun altro se ne occupi. IAM è spesso orfano tra sicurezza, IT, conformità e ingegneria. Quella frammentazione uccide l’accountability.

Un altro problema è la sprawl dei ruoli, specialmente nelle organizzazioni mature. Nel tempo, nessuno rimuove l’accesso perché è rischioso. Quindi, invece del principio di accesso minimo, ottieni l’esposizione massima.

E infine, la maggior parte delle organizzazioni pensa che le verifiche di accesso siano un controllo. Non lo sono. Sono un cerotto. Il vero controllo è prevenire l’accesso tossico fin dall’inizio. Veza aiuta i team a passare da detective a preventivo.

L’azienda ha raccolto oltre 125 milioni di dollari con il sostegno di Accel, Sequoia e GV. Cosa dice questo livello di sostegno degli investitori sull’urgenza di risolvere l’identità nell’era dell’AI, e come intende utilizzare questo slancio per ampliare l’impatto di Veza?

Dice che stiamo risolvendo un problema generazionale, e lo stiamo facendo proprio al momento giusto. L’identità è ora la porta d’ingresso, il firewall e il punto debole più grande, tutto insieme. E l’AI ha appena spalancato quella porta.

I nostri investitori capiscono che Veza non è solo un altro strumento IAM. Stiamo costruendo il piano di controllo per l’accesso nell’era dell’AI. Stiamo utilizzando questo slancio per accelerare l’espansione della piattaforma, approfondire le integrazioni dell’ecosistema e scalare a livello globale, specialmente nei settori regolamentati come servizi finanziari, sanità e governo.

Detiene 18 brevetti in sicurezza dei dati, archiviazione e gestione. Ci sono aree di innovazione all’interno di Veza che ritiene stabiliranno nuovi standard per come l’industria si avvicina alla governance dell’accesso nel prossimo decennio?

Sì, due in particolare.

Innanzitutto, il nostro Access Graph: è un modello universale che mappa le identità alle autorizzazioni alle azioni attraverso ogni sistema, in tempo reale. Questo è fondamentale per il principio di accesso minimo, la governance dell’AI e la rilevazione delle minacce interne.

In secondo luogo, la remediation autonoma. Stiamo investendo molto in ambienti di accesso auto-risananti, dove le violazioni vengono rilevate, contestualizzate e corrette senza intervento umano. È così che si governa l’AI con l’AI.

Nel prossimo decennio, la governance dell’accesso si sposterà da reattiva ad autonoma. Veza sarà il motore che guiderà quel cambiamento.

Infine, ha detto “il talento non ha confini”. Qual consiglio darebbe ai fondatori tecnici o agli ingegneri che stanno costruendo aziende di infrastrutture di sicurezza o AI di prossima generazione oggi?

Costruite per i casi limite, non per il percorso felice. Il futuro è caotico: multi-cloud, multi-agente, multipolare. La vostra architettura deve presupporre il caos.

In secondo luogo, non avere paura di sfidare le mucche sacre. L’industria della sicurezza è piena di assunzioni legacy: “l’accesso just-in-time è sufficiente”, “gli esseri umani sono il problema”, “l’audit significa Excel”. Rompete quei modelli.

Infine, assumete persone che siano ossessionate dai principi fondamentali. Gli strumenti cambiano. I paradigmi si spostano. Ma la chiarezza del pensiero e della missione vince sempre.

E sì, il talento non ha confini. Costruite a livello globale, costruite in modo diversificato e costruite per l’impatto.

Grazie per la grande intervista, i lettori che desiderano saperne di più possono visitare Veza.

mm

Antoine è un leader visionario e socio fondatore di Unite.AI, guidato da una passione incrollabile per plasmare e promuovere il futuro dell'AI e della robotica. Un imprenditore seriale, crede che l'AI sarà altrettanto disruptiva per la società quanto l'elettricità, e spesso viene colto a parlare con entusiasmo del potenziale delle tecnologie disruptive e dell'AGI.
Come futurist, è dedicato a esplorare come queste innovazioni plasmeranno il nostro mondo. Inoltre, è il fondatore di Securities.io, una piattaforma focalizzata sugli investimenti in tecnologie all'avanguardia che stanno ridefinendo il futuro e ridisegnando interi settori.