Connect with us

Elizabeth Nammour, CEO e Fundadora da Teleskope – Série de Entrevistas

Entrevistas

Elizabeth Nammour, CEO e Fundadora da Teleskope – Série de Entrevistas

mm
Published
Updated

Elizabeth Nammour, CEO e fundadora da Teleskope, é uma engenheira de segurança transformada em fundadora, cuja carreira abrange segurança de dados, engenharia de software e papéis de inovação em algumas das maiores organizações de tecnologia do mundo. Enquanto trabalhava como engenheira de software sênior focada em segurança de dados na Airbnb, ela enfrentou o desafio operacional de entender e controlar enormes estoques de dados em crescimento rápido, distribuídos por dezenas de sistemas. Essa experiência, combinada com papéis técnicos e estratégicos anteriores na Amazon e Booz Allen Hamilton, moldou sua perspectiva sobre como as organizações modernas lutam para governar dados sensíveis em escala e, eventualmente, a levou a construir uma empresa para abordar essa lacuna.

Teleskope é uma plataforma de segurança de dados moderna projetada para ajudar as organizações a entender continuamente onde seus dados residem, como são usados e quais riscos criam à medida que os ambientes se tornam mais complexos. Construída com desenvolvedores e equipes de segurança em mente, a plataforma enfatiza a visibilidade de dados precisa, a remediação automatizada e os controles baseados em políticas em ambientes de nuvem, SaaS e híbridos. Ao ir além das auditorias estáticas e dos processos manuais, a Teleskope visa fornecer às organizações uma base prática para gerenciar a dispersão de dados, permitindo a adoção responsável de IA.

Você fundou a Teleskope após construir ferramentas de segurança de dados internas na Airbnb para catalogar e classificar dados em escala maciça. Qual foi o momento que a convenceu de que isso precisava ser uma empresa e não um projeto interno, e como as lições iniciais moldaram sua tese de produto?

Quando terminei de construir esse produto na Airbnb, tive a oportunidade de escrever um post no blog da Airbnb chamado “Automatizando a Proteção de Dados em Escala”. Eu nunca realmente antecipei que algo surgiria disso, mas a comunidade de segurança respondeu muito favoravelmente e comecei a ser contatada por profissionais de todo o mundo. Eu definitivamente tive esse momento de realizar que muitos compartilhavam dos mesmos desafios que eu enfrentei, e que esse produto era algo que o mercado realmente estava pedindo. Eu me apoiei muito nos feedbacks dos meus pares nos dias iniciais, e até a Teleskope v1.0 foi muito melhor do que o que eu havia construído inicialmente na Airbnb. Hoje, nosso produto é maior e mais impactante do que eu poderia ter imaginado naquela época.

Sua pipeline de classificação multi-modelo combina ML tradicional, modelos específicos de formato e validação GenAI. Pode nos guiar pelo raciocínio de decisão e como reduzir falsos positivos/negativos em escala?

Eu definitivamente recomendaria ler nosso blog, que escrevi ao lado do nosso chefe de Ciência de Dados, Ivan, sobre classificação de dados. Eu vou dizer primeiro que isso é uma arte, tanto quanto é uma ciência. Há uma tremenda quantidade de nuances – toda vez que você encontra uma entidade de dados sensíveis, o contexto será único. Enquanto isso, a escala dos dados tornou esse problema infinitamente mais desafiador, porque escanear petabytes de dados de produção leva muito tempo e muita capacidade de processamento. Basicamente, há um motivo pelo qual isso continuou a ser visto como um problema em grande parte não resolvido.

Onde a arte entra é ao figurar como equilibrar todos os trade-offs – velocidade, latência, precisão, custo e amplitude (em armazenamentos de dados, formatos de arquivo, idiomas, etc.). Sempre acreditamos que a resposta tem que ser criativa e tem que ser multi-modal. É por isso que adotamos a abordagem que temos, combinando muitos dos métodos de classificação disponíveis para ter uma abordagem dinâmica e sutil que, para resumir, é construída para usar o método de menor peso possível, sem sacrificar significativamente a precisão. Essa abordagem dinâmica nos permite escanear dados 10-20 vezes mais rápido do que as ferramentas que dependem de LLMs de um tamanho único, enquanto também entrega resultados muito mais precisos do que as abordagens baseadas em REGEX ou contextuais convencionais.

Você recentemente introduziu o Prism, focando na compreensão de dados em nível de negócios e remediação alimentada por GenAI. Quais novos casos de uso isso desbloqueia em comparação com a detecção de PII em nível de elemento, e como você protege contra a “alucinação” em ações de remediação?

Quando eu primeiro me propus a enfrentar o desafio da classificação e proteção de dados, meu foco estava em reduzir os resultados falsos positivos reais. Por exemplo, como podemos garantir que pelo menos 95% do tempo, quando flagramos algo como um Número de Seguridade Social, ele realmente seja um SSN. Há alguns anos, mesmo 80% de precisão em diferentes tipos de elementos de dados teria sido uma melhoria.

Mas, ao trabalhar em estreita colaboração com nossos clientes no último ano, ficou claro que o “ruído” que as equipes estão sobrecarregadas não é apenas causado por classificações de entidades de dados imprecisas (os tradicionais “falsos positivos”). O ruído é frequentemente tanto sobre ser inundado com alertas irrelevantes quanto sobre receber alertas falsos. O que o Prism faz é desbloquear nossa capacidade de considerar muito mais contexto – não apenas “o que é esse pedaço de dados” ou “quem está acessando esse arquivo”, mas também “o que, praticamente falando, é esse arquivo”. Combinando isso com informações que podemos coletar sobre o que um negócio realmente faz e se importa, podemos entregar um produto que atende às diferentes definições de “sensível” de dados para cada empresa.

Capurar esse nível de contexto sutil é um verdadeiro divisor de águas. Armazenar centenas de SSNs em um Google Doc na sua unidade pessoal, por exemplo, pode ser um grande risco e violação da política de gerenciamento de dados. Mas ter uma pasta em uma unidade de RH segura cheia de W2s de funcionários? Isso é comportamento esperado. As equipes de segurança querem ser alertadas sobre o primeiro, mas receber um alerta para cada W2 de funcionário, armazenado corretamente, é apenas ruído. Entender onde e dentro de qual contexto os dados sensíveis residem exige mais do que apenas um modelo de classificação de entidades.

Trabalhamos com uma empresa química multinacional, Chevron Philips Chemicals. Esse negócio nunca compraria uma ferramenta de privacidade ou um DSPM padrão, porque eles não veem o risco de dados de consumidores como uma prioridade. No entanto, eles se importam com a propriedade intelectual na forma de equações químicas proprietárias. Ser capaz de resumir a essência de um documento em uma lista de rótulos agrupados, podemos não apenas detectar elementos sensíveis únicos, mas também encontrar instâncias desses ativos de dados estando nos “lugares errados”. Combinando esse contexto com nossa remediação automatizada, podemos então tomar ação para arquivar, excluir, redigir ou mover esses arquivos para seus locais apropriados. Ninguém no mercado de segurança de dados está fazendo esse tipo de trabalho.

A Teleskope destaca a descoberta contínua em multi-nuvem, on-prem e sistemas de terceiros – incluindo dados de sombra. O que “cobertura de mapa completo” significa, e como rapidamente você pode superfície armazenamentos desconhecidos em uma implantação greenfield?

“Completo” é uma palavra complicada aqui – na realidade, é uma barra que está constantemente se movendo, mesmo diariamente. É assim que é difícil gerenciar a dispersão de dados. Nosso objetivo sempre foi para que a Teleskope exista onde os dados dos nossos clientes existem. Em última análise, somos um produto baseado em integração de muitas maneiras – construímos dezenas de conectores de dados proprietários para poder escanear, classificar e proteger dados em uma ampla gama de ferramentas SaaS, armazenamentos de dados em nuvem e sistemas on-premise. A maioria dos clientes começa com alguns conectores que eles veem como de alto risco, ou onde eles têm a menor visibilidade, então, na realidade, raramente estamos em todos os lugares onde os dados de uma empresa residem. No entanto, dentro de cada fonte de dados, estamos constantemente varrendo o ambiente para superfície novos contas, tabelas, novos blobs, arquivos, mensagens, etc. Então, onde quer que estejamos, estamos encontrando dados, novos e antigos, quase em tempo real.

Para segurança e governança de IA, como você rastreia a linhagem entre conjuntos de dados de treinamento, modelos, prompts e saídas para auditoria?

Nós realmente temos três maneiras principais de apoiar a segurança e governança de IA. Primeiro, é nossa capacidade de aplicar nossa tecnologia de classificação e remediação a dados em movimento por meio de nossas APIs. Quando as empresas estão gerando ou preparando conjuntos de dados para treinar seus próprios modelos, elas precisam de uma maneira de garantir que esses dados estejam livres de PII ou outros dados sensíveis. Então, conectamos diretamente a um pipeline de dados e podemos limpar conjuntos de dados à medida que são movidos ou copiados para um conjunto de treinamento, garantindo que esses modelos nunca estejam em risco de produzir dados sensíveis.

Segundo, vemos nosso produto core como um habilitador da adoção de IA. Todas as empresas estão sob pressão para utilizar ferramentas de IA para operar mais eficientemente e manter o ritmo do mercado. Um ótimo exemplo disso é o Copilot do M365, que fornece uma capacidade de busca inteligente e facilita encontrar arquivos ou dados. Mas essas ferramentas, por definição, facilitam encontrar dados sensíveis também, e então temos muitas empresas que vêm até nós dizendo “precisamos implementar essa ferramenta de IA, mas temos medo do que ela possa superfície”. Eles precisam da Teleskope para entrar, escanear o ambiente e aplicar automaticamente as políticas de gerenciamento e segurança de dados, para que possam adotar IA com confiança.

Finalmente, estamos construindo integrações para ferramentas de IA que irão redigir ou colocar em quarentena prompts que contenham dados sensíveis antes que possam ser vazados para ferramentas de IA públicas como o ChatGPT. Muitas empresas simplesmente proíbem o uso dessas ferramentas, mas há uma maneira de adotá-las com segurança, para que você possa garantir que nenhum dado sensível (conforme definido por cada empresa) seja exfiltrado.

Redação e “remediação na fonte” são centrais para sua abordagem. Qual é sua filosofia sobre remediação automática versus humano-no-loop, e onde você desenha limites de segurança?

Nós percebemos há alguns anos que, tanto quanto a descoberta e classificação de dados são necessárias, elas fornecem apenas metade da história. Encontrar riscos de dados é o primeiro passo, mas resolver e remediar esse risco é o objetivo real. Nossos clientes geralmente começam avaliando as descobertas da Teleskope em nosso catálogo de dados, então movem-se para a remediação com um humano-no-loop antes de mover-se para a remediação totalmente automatizada. Estamos muito cientes de que, na realidade, sempre haverá algumas ações que as equipes nunca estarão 100% confortáveis em automatizar completamente. Excluir dados de um banco de dados de produção, por exemplo, poderia ser muito problemático. Mas, em muitos casos, estamos vendo os clientes adotarem a automação total para coisas como revogar permissões, mover dados, aplicar políticas de arquivamento ou retenção, etc.

Muitas ferramentas de DSPM/DLP lutam com proteção em tempo real. O que teve que mudar arquitetonicamente para tornar “tempo real” um requisito, e quais latências e taxas de transferência as empresas podem esperar em produção?

Para enfrentar o problema do tempo real, foi importante dividir a tarefa em seus componentes principais. Diferentes situações exigem diferentes tipos de latências, mas o objetivo é sempre fornecer a visão mais precisa possível da forma mais rápida. Isso significa que uma arquitetura flexível que permita que parallelizemos nosso sistema de baixa latência para acomodar diferentes requisitos de taxa de transferência. Quando uma empresa tem a Teleskope em execução em seu ambiente, os dados estão sendo classificados e protegidos diretamente em sua infraestrutura, reduzindo a latência e o fluxo de dados de saída. Esse fato nos permite fornecer remediação em cenários de alto risco em intervalos de tempo de sub-segundos.

Privacidade e conformidade: você afirma monitoramento contínuo e mapeamento automático para estruturas/regulamentações. Como você mantém os mapeamentos atuais à medida que as leis evoluem, e quão personalizáveis são os controles para diferentes regiões ou unidades de negócios?

Candidamente, nosso foco realmente mudou para longe de marcar caixas e em direção a entender profundamente o que nossos clientes se importam. Em alguns casos, eles querem mapear 100% para as novas regulamentações que estão saindo, e estamos constantemente monitorando essas mudanças e incorporando-as em nosso produto. Mas, honestamente, a maioria das empresas está tão longe de ser capaz de cumprir completamente essas leis que temos que encontrá-las onde elas estão e garantir que possamos levá-las do ponto A para o ponto B para o ponto C antes de nos preocuparmos em chegar ao ponto Z. A maneira como fazemos isso é entendendo o que a conformidade significa para essa empresa (novamente, uma empresa de manufatura pode não ver algo como o GDPR como uma grande preocupação), e garantindo que possamos moldar o produto em torno de seus perfis de risco e necessidades específicas.

Adoção de GenAI: como os clientes estão usando a Teleskope para criar “entradas seguras” e “saídas seguras” sem degradar a velocidade do desenvolvedor? Algum padrão que você recomenda?

Os clientes integram a API de Redação da Teleskope em seus pipelines de treinamento e inferência para garantir que dados sensíveis nunca fluam para modelos de IA generativos. O processo de redação é abstraído dos desenvolvedores, preservando a velocidade de desenvolvimento, realizando a redação antes da inferência e reidratando os dados posteriormente.

Olhando para frente, você falou sobre uma plataforma de segurança de dados “agêntica” de ponta a ponta com remediação autônoma. Quais marcos sinalizarão que a indústria está pronta para proteção de dados totalmente autônoma?

Sabemos como um fato que a indústria está pronta para isso. Outras áreas de cibersegurança, como SOC, já mostraram uma mudança completa em direção à IA agêntica como um meio de dimensionar a capacidade das equipes de segurança. Temos uma fila de clientes que estão pedindo para ser parceiros de design para esse trabalho, então sabemos que muitas empresas estão sentindo a mesma dor de ainda ter que triar, investigar, tomar uma decisão e então executar, apenas para resolver um único ticket. Temos convicção absoluta de que é para onde o mercado está indo, e estamos determinados a liderar essa mudança. Temos absoluta convicção de que este é o lugar para onde o mercado está indo, e estamos determinados a liderar essa mudança. Muito obrigado pela grande entrevista, leitores que desejam aprender mais devem visitar Teleskope.

mm

Antoine é um líder visionário e sócio-fundador da Unite.AI, impulsionado por uma paixão inabalável em moldar e promover o futuro da IA e da robótica. Um empreendedor serial, ele acredita que a IA será tão disruptiva para a sociedade quanto a eletricidade, e é frequentemente pego falando sobre o potencial das tecnologias disruptivas e da AGI. Como um futurista, ele está dedicado a explorar como essas inovações moldarão nosso mundo. Além disso, ele é o fundador da Securities.io, uma plataforma focada em investir em tecnologias de ponta que estão redefinindo o futuro e remodelando setores inteiros.