Connect with us

Vibhuti Sinha, Chief Product Officer bij Saviynt – Interview Series

Interviews

Vibhuti Sinha, Chief Product Officer bij Saviynt – Interview Series

mm
Published
Updated

Vibhuti Sinha, Chief Product Officer bij Saviynt, leidt de visie, innovatie en strategische richting van het bedrijfsportfolio voor workforce identity en intelligence, terwijl hij ook het product- en partnersucces bewaakt. Met bijna twee decennia ervaring in identiteit en toegangsbeheer (IAM) heeft hij een centrale rol gespeeld bij het vormgeven van grote beveiligingsarchitecturen voor Fortune 500-organisaties. Voordat hij zijn huidige functie bekleedde, was hij Chief Cloud Officer bij Saviynt, waar hij de ontwikkeling van next-generation cloudbeveiligingsoplossingen leidde die zijn ontworpen om complexe multi-cloudomgevingen te beveiligen. Zijn expertise omvat compliancekaders zoals FFIEC, risicogebaseerde verificatie en toegangslevenscyclusbeheer, waardoor hij zich bevindt op het snijvlak van ondernemingsbeveiliging, cloudinfrastructuur en AI-gedreven identiteitsbeheer.

Saviynt is een cloud-native identiteitsbeveiligingsplatform dat zich richt op het helpen van ondernemingen om toegang te beheren en te beveiligen voor gebruikers, toepassingen, gegevens en steeds vaker AI-systemen. Het vlaggenschipaanbod, de Identity Cloud, biedt een geïntegreerde identiteitsgovernance en -beheer (IGA), privileged toegangsbeheer en toepassingsbeheer binnen één platform, waardoor organisaties beveiliging, compliance en Zero Trust-principes op grote schaal kunnen afdwingen. Het platform gebruikt AI om toegangsbeslissingen te automatiseren, risico’s te bewaken en te reguleren, en niet alleen menselijke gebruikers, maar ook niet-menselijke identiteiten zoals serviceaccounts en AI-agents, te beheren, waardoor de groeiende complexiteit van moderne ondernemingsomgevingen wordt weerspiegeld. Door de identiteitsbeveiliging te consolideren in één controlelaag, streeft Saviynt ernaar de operationele overhead te verlagen en de zichtbaarheid en compliance te verbeteren in cloud-, hybride en on-premise systemen.

U heeft meer dan een decennium bij Saviynt doorgebracht en heeft het bedrijf geholpen om te groeien van een vroeg cloudgericht bedrijf tot een wereldwijd identiteitsbeveiligingsplatform. Hoe heeft die reis uw visie op identiteit als fundament voor het beveiligen van AI-gedreven ondernemingen gevormd?

Toen ik bij Saviynt begon, was identiteit niet iets waarover de meeste raden van bestuur of CEO’s praatten. Het werd vaak gezien als het inrichten van accounts en het uitvoeren van certificeringen. In de loop van de jaren, toen bedrijven naar de cloud verhuisden en SaaS explodeerde, werd identiteit stilzwijgend de laag die alles met elkaar verbond: mensen, toepassingen, infrastructuur en gegevens.

Het deel uitmaken van die reis heeft mijn perspectief veranderd. Ik begon te zien dat identiteit niet alleen een productcategorie is, maar de controlelaag voor hoe het werk in een bedrijf werkelijk wordt gedaan. Elke toegangsbeslissing, elke goedkeuring, elke geautomatiseerde procedure – het komt allemaal terug op identiteit.

Nu met AI zien we diezelfde verschuiving opnieuw. AI-agents zijn in wezen digitale werknemers die namens mensen of bedrijven kunnen handelen. Als u hen geen identiteiten, eigendom en governance geeft, krijgt u automatisering zonder verantwoordelijkheid. Dat is waarom ik geloof dat identiteit het fundament zal zijn voor het beveiligen van AI-gedreven ondernemingen. Identiteit is wat verantwoordelijkheid, governance en controle brengt aan autonome systemen.

Saviynt lanceert een speciale identiteitscontrolelaag voor AI-agents. Wat was de kloof in de huidige identiteits- en beveiligingsarchitecturen die deze beslissing heeft aangestuurd?

De huidige identiteits- en beveiligingshulpmiddelen zijn niet ontworpen voor autonome actoren. Ze zijn ontworpen voor werknemers en toepassingen, niet voor software-entiteiten die beslissingen kunnen nemen, acties kunnen uitvoeren en onafhankelijk kunnen opereren.

De meeste identiteitssystemen van vandaag zijn heel goed in het beantwoorden van de vraag Wie ben je?” en “Wat voor toegang heb je gekregen?” Maar in de wereld van AI-agents wordt de belangrijkere vraag “Wat doe je op dit moment, en zou je dat moeten doen?”

Er was ook een governancekloof. Bedrijven beginnen honderden of duizenden agents over platforms zoals Copilot, Vertex AI en Bedrock te implementeren, maar veel organisaties weten niet hoeveel agents ze hebben, wie de eigenaar is, welke gegevens ze kunnen benaderen of wat er gebeurt als de eigenaar het bedrijf verlaat. Dit creëert meer dan alleen een beveiligingsprobleem. Het is een governance- en verantwoordelijkheidsprobleem.

Dat is eigenlijk wat ons leidde tot het idee van een identiteitscontrolelaag voor AI-agents: een centrale manier om AI-identiteiten over hun hele levenscyclus en runtime-acties te ontdekken, te reguleren, te controleren en te auditen.

Hoe verschilt het beheren van autonome AI-agents van het reguleren van traditionele niet-menselijke identiteiten zoals serviceaccounts of bots?

Het beheren van AI-agents is heel anders dan het reguleren van traditionele niet-menselijke identiteiten (NHIs), omdat die identiteiten typisch deterministisch en voorspelbaar zijn. Een serviceaccount voert een specifieke taak uit. Een bot voert een gedefinieerde taak uit. Hun gedrag verandert niet echt tenzij iemand de code wijzigt.

AI-agents zijn anders omdat ze autonoom, adaptief en doelgericht zijn. Ze voeren niet alleen een vast script uit. Deze agents beslissen hoe ze een taak moeten voltooien, welke hulpmiddelen ze moeten gebruiken, welke gegevens ze moeten benaderen en soms zelfs met welke andere agents ze moeten samenwerken. Hun gedrag kan in de loop van de tijd veranderen als modellen, prompts of integraties veranderen.

Dat betekent dat het eenmaal toewijzen van toegang en het elke kwartaal herzien niet een duurzaam governance-model is. U hebt continue governance nodig, waaronder ontdekking, eigendom, levenscyclusbeheer en vooral runtime-controles om te evalueren wat de agent op dat moment doet. Het begrijpen van intentie is het belangrijkste aspect hiervan, wat nog niet goed wordt begrepen door organisaties.

De verschuiving is deze: met traditionele NHIs reguleert u toegang. Met AI-agents moet u gedrag en acties in realtime reguleren. Autorisatie impliceert niet noodzakelijkerwijs geschiktheid. AI-beveiliging zal worden gebouwd op dat idee.

Hoe belangrijk is het om een uniforme zichtbaarheid te hebben over omgevingen zoals Amazon Bedrock, Google Vertex AI en Microsoft Copilot Studio, nu ondernemingen deze tools beginnen te gebruiken?

U kunt niet beschermen wat u niet kunt zien.

Uniforme zichtbaarheid over platforms zoals Amazon Bedrock, Google Vertex AI en Microsoft Copilot Studio is extreem belangrijk, en eerlijk gezegd is het waar de meeste organisaties op dit moment mee worstelen. AI-adoptie gebeurt heel snel, en het gebeurt tegelijkertijd op meerdere platforms.

Een bedrijfseenheid of team kan agents ontwikkelen in Copilot Studio, een ander team experimenteert met Bedrock, en een andere groep gebruikt Vertex AI. Heel snel hebt u agents over de hele onderneming verspreid zonder centrale inventaris.

De eerste uitdaging waar bedrijven mee te maken krijgen is heel eenvoudig: ze weten niet eens hoeveel AI-agents ze hebben, waar ze worden uitgevoerd, welke gegevens ze kunnen benaderen of wie de eigenaar is. Zonder zichtbaarheid kunt u niet reguleren, en als u niet kunt reguleren, kunt u het zeker niet beveiligen.

Uniforme zichtbaarheid wordt het fundament. Voordat u governance, runtime-controles, beleid of andere dingen overweegt, is de eerste stap ontdekking en inventarisatie over alle AI-platforms. In de AI-wereld is zichtbaarheid een operationele, beveiligings- en governance-eis.

Wat ziet de volledige levenscyclus van een AI-agent eruit vanuit een identiteits- en governanceperspectief, van creatie tot decommissie?

Ik leg de levenscyclus van een AI-agent uit op dezelfde manier als ik de levenscyclus van een werknemer uitleg.

Eerst wordt de agent gemaakt en ingericht. Iemand (een ontwikkelaar, vibe-coder of businessanalist) maakt een agent in Bedrock of Copilot Studio. Op dat punt moeten we basisidentiteitsvragen stellen: Wie is de eigenaar van deze agent? Wat is zijn taak? Welke systemen moet hij benaderen?

Vervolgens begint de agent te werken. Hij benadert systemen, leest of schrijft gegevens via API’s, toolaanroepen, workflowtriggers en praat misschien zelfs met andere agents. Tijdens deze fase moeten we continu monitoren wat hij doet en ervoor zorgen dat hij binnen zijn beoogde doel en machtigingen blijft. Het begrijpen van intentie is het belangrijkste aspect hiervan, wat nog niet goed wordt begrepen door organisaties.

In de loop van de tijd verandert de agent. Misschien voegen we nieuwe hulpmiddelen toe, updaten we het model, breiden we zijn toegang uit of veranderen we zijn rol. Dat is vergelijkbaar met een mover-event voor een menselijke identiteit en het heeft governance en goedkeuring nodig.

En ten slotte, wanneer de agent niet langer nodig is, moet hij worden afgevoerd – toegang ingetrokken, referenties verwijderd, integraties stopgezet en auditlogboeken bewaard.

In eenvoudige bewoordingen is de levenscyclus: Maak → wijs eigenaar en doel toe → verleen minimale toegang → monitor en reguleer → beheer wijzigingen → retireer schoon.

Hoe moeten ondernemingen denken over het beveiligen van agent-tot-agent-interacties nu AI-systemen beginnen te opereren en onafhankelijk samen te werken?

Ik denk dat agent-tot-agent-interacties een van de grootste beveiligingsuitdagingen zullen worden in de komende jaren.

Vandaag de dag maken we ons meestal zorgen over of een mens toegang moet hebben tot een systeem. In de toekomst zullen we te maken krijgen met duizenden agents die met andere agents praten, workflows triggeren, gegevens benaderen en beslissingen nemen zonder menselijke tussenkomst.

Het risico is niet alleen wat één agent kan doen, maar wat meerdere agents samen kunnen doen. U kunt situaties krijgen waarin geen enkele agent te veel toegang heeft, maar wanneer ze samenwerken, kunnen ze heel krachtige acties uitvoeren.

Ondernemingen moeten een aantal dingen overwegen:

  • Elke agent moet een unieke identiteit hebben.
  • Ontwerp-tijdbeveiligingscontroles zijn niet voldoende. Runtime-wachters zijn imperatief.
  • Agent-tot-agent-aanroepen moeten worden geverifieerd.
  • Acties moeten in realtime worden geautoriseerd.
  • Delegatie moet worden begrensd en tijdelijk zijn.
  • Alles moet worden gelogd voor audit.

Op veel manieren verhuizen we naar een heel ander beveiligingsmodel: van het beheren van menselijke toegang naar het beheren van machine-samenwerking op ongekende schaal.

Wat zijn de meest directe risico’s die bedrijven vandaag lopen als ze AI-agents implementeren zonder adequate identiteitsgovernance?

Het grootste risico op dit moment is niet een of andere toekomstige AI-overname-scenario. Het is veel basischer en het gebeurt al in de meeste organisaties die experimenteren met AI-agents. Bedrijven maken agents overal, maar ze hebben geen centrale manier om ze te volgen, te reguleren of te beheren wat ze kunnen benaderen.

Adoptie is tot nu toe de prioriteit geweest, en dat is begrijpelijk. Elke nieuwe technologie gaat door die fase, maar beveiliging en governance moeten snel inhalen.

Als dat niet gebeurt, lopen ondernemingen het risico agents te hebben zonder duidelijke eigenaars en met te veel gegevens. Deze agents kunnen gevoelige informatie lekken en blijven draaien nadat het project is beëindigd – allemaal zonder duidelijk audit-spoor.

We hebben dit eerder gezien met serviceaccounts en cloudresources. Eerst komt adoptie, dan sprawl, dan beveiligings- en governanceproblemen. AI volgt hetzelfde patroon, alleen sneller en met meer autonomie en agency.

Zonder identiteitsgovernance worden AI-agents in wezen onbeheerde privileged identiteiten. Dat is riskant voor elke organisatie. Dat is geen innovatie, maar eerder extra institutioneel risico.

Hoe verandert de opkomst van AI-agents de definitie van identiteit binnen ondernemingssystemen?

Ik denk dat de definitie van identiteit binnen ondernemingen op een grote manier uitbreidt. Het was eerst voornamelijk werknemers, toen breidde het zich uit naar externe identiteiten met een explosie van supply chain-werknemers, remote-werknemers, enz. De pandemie versnelde dit nog meer toen we begonnen met het beheren van serviceaccounts en bots als niet-menselijke identiteiten. Nu nemen AI-agents het nog een stap verder.

AI-agents zijn niet alleen accounts of scripts. Ze nemen beslissingen, benaderen systemen, genereren inhoud, triggeren workflows en werken samen met andere agents. Ze raken uw gegevens, nemen beslissingen en veranderen resultaten. Ze beginnen zich te gedragen als digitale werknemers in plaats van software-accounts.

Dat betekent dat identiteit nu meer is dan alleen wie kan inloggen. Het gaat over wie of wat handelt binnen de onderneming, wat ze mogen doen, wie de eigenaar is en hoe we hun acties volgen en reguleren.

Identiteit evolueert van iets dat een gebruiker vertegenwoordigt naar iets dat elke actor vertegenwoordigt – mens of machine – die actie kan ondernemen en resultaten kan veranderen binnen een organisatie.

Wanneer u founders of teams beoordeelt die in AI-beveiliging of identiteit bouwen, welke signalen geven aan dat ze de complexiteit van deze ruimte echt begrijpen?

Degenen die deze ruimte echt begrijpen, leiden niet met de technologie. Ze leiden met het probleem. Ze kunnen niet alleen uitleggen wat ze bouwen, maar waarom de huidige aanpak kapot is en wie slaap verliest over het probleem.

Het teken voor mij is specificiteit. Iedereen kan zeggen “AI introduceert nieuwe identiteitsrisico’s.” Maar kunnen ze u doorlopen hoe een OAuth-token wordt misbruikt in een agentic workflow? Begrijpen ze waarom niet-menselijke identiteiten fundamenteel anders zijn dan menselijke identiteiten, niet alleen in volume, maar in gedrag, levenscyclus en blast radius?

Ik let ook op hoe ze over klanten praten. De beste founders in deze ruimte hebben het probleem zelf meegemaakt als CISO, architect, compliance-leider, of ze hebben zo veel tijd doorgebracht met practitioners dat ze bijna hun zinnen kunnen afmaken. Ze verkopen geen categorie. Ze lossen een specifiek, ingewikkeld probleem op dat ze echt niet konden stoppen met denken.

En dan is er reguliere en ecosysteemvaardigheid. Identiteit en AI-beveiliging bestaan niet in een vacuüm. De founders die ik het meest onder de indruk van ben, begrijpen hoe hun product past in een bredere compliance-houding – NIST, SOC 2, opkomende AI-governancekaders – en ze hebben hard nagedacht over waar ze in de stack passen versus waar ze het bezitten.

Voor mij zijn de rode vlaggen teams die simpelweg de AI-narratief najagen. Ze kunnen de markt prachtig beschrijven, maar wanneer u naar specifieke details vraagt, verzwakt de narratief.

Ziet u identiteit worden als de primaire controlelaag voor AI-systemen, net zoals netwerkbeveiliging ooit de ondernemingsgrenzen definieerde, en hoe moeten beveiligingsteams zich voorbereiden op die verschuiving?

Ja, en ik denk dat we dichter bij dat keerpunt zijn dan de meeste beveiligingsteams beseffen.

De netwerkperimeter had zin toen assets fysiek waren, zoals servers in een datacenter, werknemers in een kantoor, of verkeer aan de rand. Maar de cloud lost die grens op, en we vertrouwden op identiteit om de kloof te dichten. Zero Trust was niet alleen een marketingterm; het was een erkenning dat de perimeter weg was en dat identiteit meer dan ooit telt.

AI-agents zijn op het punt om identiteit op dezelfde manier te beïnvloeden als de cloud dat deed met het netwerk. Deze systemen benaderen resources, nemen beslissingen, roepen API’s aan, keten acties over tools en platforms, en doen dit allemaal autonoom op machinesnelheid. De vraag “is dit toegestaan?” kan niet langer worden beantwoord bij de firewall. Het moet worden beantwoord op de identiteitslaag, in realtime, met volledige context van wat de agent probeert te doen en waarom.

Identiteit wordt de controlelaag. Maar het is een fundamenteel moeilijker versie van identiteit dan wat we eerder hebben gebouwd. Het is niet alleen authenticatie. Het is autorisatie die zich bewust is van intentie, context en de keten van acties die een agent heeft ondernomen. Dat is een ander probleem dan het uitgeven van een certificaat of het draaien van een referentie.

Voor beveiligingsteams begint de voorbereiding met een mentaliteitsverandering. Stop met het denken aan AI-systemen als toepassingen die moeten worden beveiligd bij de perimeter en begin met het denken aan hen als principals – entiteiten met identiteiten, met privileges, met een levenscyclus die moet worden beheerd van begin tot einde. Wie heeft deze agent ingericht? Wat is hij toegestaan om te doen? Wie is verantwoordelijk wanneer hij iets onverwachts doet?

De teams die hierin voorop lopen, zullen niet degenen zijn die AI-beveiliging als een afterthought toevoegen. Ze zullen degenen zijn die hun identiteitsgovernance-houding uitbreiden om niet-menselijke identiteiten en AI-agents te omvatten voordat die identiteiten beslissingen nemen.

Bedankt voor het geweldige interview, lezers die meer willen leren, moeten Saviynt bezoeken.

mm

Antoine is een visionaire leider en oprichtend partner van Unite.AI, gedreven door een onwankelbare passie voor het vormgeven en promoten van de toekomst van AI en robotica. Een seriële ondernemer, hij gelooft dat AI net zo disruptief voor de samenleving zal zijn als elektriciteit, en wordt vaak betrapt op het enthousiast praten over het potentieel van disruptieve technologieën en AGI. Als een futurist, is hij toegewijd aan het onderzoeken van hoe deze innovaties onze wereld zullen vormgeven. Bovendien is hij de oprichter van Securities.io, een platform dat zich richt op investeren in cutting-edge technologieën die de toekomst opnieuw definiëren en hele sectoren herschappen.