Howard Ting, CEO da Opal Security – Série de Entrevistas

Howard TingO CEO da Opal Security é um executivo experiente em cibersegurança e tecnologia, liderando a empresa desde novembro de 2025. Antes disso, atuou como Executivo Residente na Greylock e passou mais de cinco anos na Cyberhaven como CEO e membro do conselho, guiando a empresa em sua missão de proteger dados e viabilizar a inovação segura. Sua trajetória inclui cargos de liderança em marketing estratégico na Redis Labs e na Zscaler, além de funções de marketing e produto na Nutanix, Palo Alto Networks, Cisco (via Securent), Microsoft, RSA Security e experiência inicial em fusões e aquisições no Banc of America Securities. Essa combinação de liderança operacional, expertise em entrada no mercado e profundo conhecimento em cibersegurança o posiciona de forma singular à frente de uma plataforma de segurança em rápido crescimento.

Segurança Opal é uma empresa moderna de gerenciamento de acesso centrado na identidade, que fornece às empresas uma plataforma centralizada para governar e proteger quem tem acesso a quê em nuvem, SaaS e sistemas internos. A plataforma oferece visibilidade unificada de identidades e caminhos de acesso, suporta fluxos de trabalho de acesso em regime de autosserviço e sob demanda, e automatiza revisões de acesso para aplicar políticas de privilégio mínimo em escala, ajudando as organizações a reduzir riscos e melhorar a conformidade em ambientes dinâmicos que incluem usuários humanos, contas de serviço e agentes de IA.

Recentemente, você assumiu o cargo de CEO da Opal Security após liderar a Cyberhaven em um crescimento significativo e ocupar cargos de liderança em empresas como Palo Alto Networks, Nutanix, Cisco, RSA Security, Redis e Microsoft. O que te atraiu para a Opal neste momento da sua carreira e como sua experiência anterior influencia sua visão sobre acesso, identidade e segurança nativa de IA hoje?

Gerenciar o acesso está se tornando mais difícil em todos os lugares. Mais identidades, mais máquinas, mais automação — e o acesso significativo se origina cada vez mais em fluxos de trabalho de engenharia e nuvem, não na TI tradicional. As ferramentas padrão de IAM e IGA não foram criadas para nada disso, e as ameaças baseadas em identidade não estão esperando que elas se adaptem.

Foi isso que me atraiu na Opal. A dimensão desse problema é enorme, e a Opal já está alinhada com a direção que o mercado está tomando. Já vi versões desse padrão antes. Na RSA, Palo Alto Networks e Cyberhaven, acompanhei em tempo real as revoluções da autenticação multifator, dos firewalls de última geração e da linhagem de dados, e a dinâmica aqui é surpreendentemente semelhante: um problema que define uma categoria, acelerando mais rápido do que a maioria dos fornecedores consegue responder, com uma janela estreita para a equipe certa assumir a responsabilidade.

A Opal tem essa equipe. A base de engenharia e produto é sólida, e a carteira de clientes, construída por meio de trabalho direto e focado, fala por si só. Cada conversa com clientes que atendi reforçou a mesma mensagem: esse problema está se acelerando, e a Opal é a empresa que o resolve.

O que aprendi ao construir e expandir equipes em diversas empresas é que a execução se torna radicalmente mais simples quando produto, engenharia e estratégia de entrada no mercado compartilham o mesmo nível de foco no cliente. Quando todos enxergam o mesmo problema e a mesma oportunidade, a movimentação é rápida, sem perder a precisão. A Opal já possui essa base. Meu trabalho é construir sobre ela — e garantir que nossos clientes sintam toda a força dessa equipe por trás deles à medida que crescemos.

Tendo trabalhado durante anos com identidade, infraestrutura em nuvem e segurança corporativa, onde você acha que os modelos tradicionais de controle de acesso estão falhando à medida que as organizações adotam a IA de forma mais profunda?

A resposta honesta é que a maioria dos modelos tradicionais de controle de acesso foram criados para resolver a autenticação — e, para humanos, esse problema está em grande parte resolvido. Os provedores de identidade (IDPs) e os métodos de autenticação modernos lidam razoavelmente bem com a questão "quem é você?". Para identidades não humanas, as chaves de API e o gerenciamento de segredos ajudam a resolver parte do problema. Mas a autorização — "o que você deve ter permissão para fazer e por quanto tempo?" — permanece um problema complexo tanto para humanos quanto para máquinas, e é aí que reside o verdadeiro risco.

O que agrava ainda mais a situação é que as equipes de engenharia agora operam por meio de automação, infraestrutura como código e ferramentas com auxílio de IA que geram novas permissões como parte do desenvolvimento diário. O acesso não muda mais gradualmente por meio de fluxos de trabalho de TI — ele é criado, modificado e expandido programaticamente, muitas vezes sem que ninguém revise o que acabou de ser concedido. O resultado é uma crescente proliferação de contas com permissões excessivas, ferramentas de privilégios fragmentadas e uma governança cara, reativa e, em grande parte, alheia ao que realmente está acontecendo.

E serei direto sobre outra coisa: há uma enorme quantidade de propaganda enganosa sobre IA neste mercado atualmente. Os fornecedores estão correndo para anexar "IA" a arquiteturas legadas, o que está obscurecendo uma realidade crítica para os compradores — uma estrutura de segurança e governança viável e validada para agentes de IA ainda não existe. A propaganda está superando os controles reais, e é nessa lacuna que a verdadeira vulnerabilidade se instala.

É isso que diferencia a abordagem da Opal. Em vez de adicionar governança aos fluxos de trabalho posteriormente, a Opal modela o acesso diretamente dos sistemas que os engenheiros já utilizam, aplica políticas em tempo real e oferece às equipes de segurança uma maneira de orientar as decisões de autorização sem gerar atrito. Quando a governança se integra naturalmente ao funcionamento da engenharia, ela deixa de ser um obstáculo e se torna uma infraestrutura confiável.

A Opal se concentra em gerenciar quem e o que pode acessar sistemas sensíveis em ambientes modernos e nativos da nuvem. Quais problemas de segurança são mais subestimados por empresas que desenvolvem soluções com agentes de IA e fluxos de trabalho automatizados?

Os problemas mais subestimados não são exatamente novos. São aqueles que vêm se acumulando silenciosamente há anos em torno das identidades humanas. Práticas básicas de governança, como fluxos de trabalho de admissão/transferência/desligamento, acesso just-in-time e revisões de acesso de usuários, têm sido negligenciadas ou improvisadas na maioria das organizações por muito tempo. Obrigações de conformidade, como a Lei Sarbanes-Oxley (SOX), também não desapareceram; apenas se tornaram mais difíceis de cumprir à medida que os ambientes se tornam mais complexos. Nada disso é glamoroso, mas é exatamente a base que se desfaz quando se adicionam agentes de IA.

As organizações estão integrando IA para otimizar fluxos de trabalho e eliminar tarefas rotineiras, mas, ao fazer isso, estão introduzindo identidades não humanas que multiplicam as relações de acesso de maneiras para as quais as ferramentas existentes nunca foram projetadas. O resultado é uma teia complexa onde o acesso humano já era pouco controlado e o acesso das máquinas agora se expande com ainda menos visibilidade. As decisões de acesso precisam ser explicáveis, ter prazo definido, estar vinculadas ao uso real e serem monitoradas continuamente, mas a maioria das equipes ainda depende de sistemas estáticos e padronizados que não conseguem oferecer nada disso. Enquanto isso, agentes de codificação estão gerando e implantando código com permissões embutidas, interagindo diretamente com a infraestrutura e operando com acesso que ninguém revisa sob uma ótica de segurança tradicional — uma exposição à conformidade e à segurança que a maioria das organizações sequer começou a dimensionar.

Empresas que desenvolvem soluções com agentes de IA tendem a se concentrar na novidade da tecnologia, subestimando a rapidez com que a proliferação de acessos e as permissões invisíveis se tornam um problema sério — especialmente quando a base de identidade humana subjacente já era frágil.

Você já viu a segurança evoluir ao longo de várias gerações de infraestrutura. O que muda fundamentalmente quando as identidades de máquina e os agentes de IA começam a superar em número os usuários humanos?

Quando as identidades de máquinas superam em número os usuários humanos, torna-se cada vez mais difícil monitorar quem tem acesso a quê. O IAM tradicional não foi projetado para essa realidade e a maioria das plataformas de RH e IAM oferece apenas visibilidade parcial, especialmente à medida que a supervisão de identidades se expande para além de uma única equipe. Para monitorar com sucesso esses tipos de identidades, precisamos atribuir aos agentes de IA propriedade clara, permissões com escopo definido e total auditabilidade desde o início. A Opal Security resolve isso modelando humanos, serviços e agentes em uma única estrutura, em vez de tratá-los como entidades separadas.

Agora, os auditores esperam analisar o comportamento humano e o dos agentes em conjunto ao examinar as revisões de acesso. Os agentes geralmente herdam os conjuntos de permissões dos usuários que os implantam, mas certos casos de uso exigem agentes que se identificam como contas de serviço com conjuntos de permissões personalizados (normalmente com escopo reduzido).

A IA é cada vez mais uma superfície de ataque e uma ferramenta de defesa. Na sua perspectiva, onde a IA melhora significativamente os resultados de segurança hoje em dia, e onde ela ainda introduz novos riscos?

A IA é uma ferramenta extremamente poderosa que constitui a base do nosso produto. A Opal Security utiliza IA para monitorar, detectar e prevenir acessos irregulares em toda a organização. A IA também transforma a segurança de identidade, pois introduz agentes que não apenas autenticam e executam tarefas, mas também raciocinam, adaptam-se e agem de forma autônoma. Os sistemas de identidade tradicionais foram criados para pessoas e contas de serviço estáticas, onde o acesso mudava lentamente e a intenção era relativamente previsível.

Mas os agentes de IA quebram esse modelo. O risco é a perda de visibilidade e responsabilidade. Os agentes podem ser ativados e desativados dinamicamente, encadear permissões entre sistemas e agir em nome de usuários, outros agentes ou em nome próprio. Nenhum recurso protegido pode ser "violado", mas ações sensíveis ainda podem ocorrer porque tudo foi tecnicamente autorizado. Essa é a nova superfície de ameaça. A maneira de gerenciar isso é por meio de uma plataforma unificada e inteligente que entenda e proteja todos os tipos de entidades por meio de contexto, comportamento e adaptação contínua.

Essa visão unificada forma a base da segurança — você não pode proteger o que não consegue ver ou entender. Na Opal, acreditamos na compreensão de cada relacionamento. Não basta saber quem está no sistema. É preciso saber quem está conectado a quê e por quê.

À medida que os agentes de codificação de IA e os sistemas automatizados obtêm permissões mais amplas dentro das organizações, como as equipes de segurança devem repensar o princípio do menor privilégio na prática, e não apenas na teoria?

O acesso à identidade moderno precisa tratar identidades humanas e de máquina da mesma forma, para que as empresas tenham a visibilidade, a automação e a confiança necessárias para escalar com segurança na era da IA. Na prática, isso significa conceder permissões somente quando necessário e revisar e ajustar continuamente o acesso conforme as tarefas ou funções mudam. O monitoramento automatizado e os controles baseados em risco tornam-se essenciais, garantindo que as ferramentas de IA possam operar com eficiência sem criar exposições de segurança desnecessárias.

É útil habilitar o JIT por padrão para os agentes, mas torne o processo simples: aprove automaticamente recursos específicos quando apropriado ou, se o usuário operar em um ambiente onde todos os dados são confidenciais, restrinja o uso a VMs em sandbox.

Embora quaisquer novas restrições ao uso de agentes possam irritar os usuários finais, tornando-os mais lentos, é importante atender às necessidades dos usuários onde quer que estejam. Com o Opal, isso significa que as solicitações de acesso podem ser enviadas e aprovadas no Slack, e estratégias de IaaC, incluindo o Terraform, podem ser usadas para automatizar concessões, revogações e acessos com prazo determinado.

Com base na sua experiência em dimensionamento de empresas de segurança, quais sinais indicam que os controles de acesso de uma organização não estão mais alinhados com a forma como a empresa realmente opera?

As organizações percebem que seus controles de acesso estão desatualizados quando o acesso começa a ficar aquém da realidade. Isso pode se manifestar como permissões excessivas ou desatualizadas, gargalos manuais em sistemas legados ou a adoção de sistemas de IA sem políticas atualizadas para rastrear identidades não humanas. Outro sinal revelador é o aumento de incidentes de segurança ou quase incidentes, nos quais contas com privilégios excessivos ou identidades mal gerenciadas são as causas.

Implantações complexas do SailPoint, que dependiam de uma equipe de consultores, e o controle de acesso em planilhas não eram eficientes na era anterior aos agentes. Além disso, essa abordagem legada simplesmente entrará em colapso diante da velocidade e complexidade dos agentes. O Opal oferece uma plataforma única que atende à segurança, destrava a TI e fornece aos auditores o que eles precisam. Constatamos que o RBAC é frágil e raramente se mantém estável por muito tempo. Por isso, equipes bem-sucedidas começam com o JIT (Just-in-Time) e, em seguida, avançam para o acesso baseado em personas (com flexibilidade e rastreamento ao longo do tempo), permitindo que as configurações do Terraform sejam versionadas, implantadas ou revertidas, se necessário.

Do ponto de vista da liderança, como equilibrar a velocidade da inovação com a disciplina necessária para construir confiança em produtos de segurança?

Aprendi que grandes empresas mantêm a disciplina em relação aos fundamentos, mesmo quando estão crescendo rapidamente. Esses fundamentos incluem prioridades claras, comunicação transparente e a disposição para fazer escolhas difíceis que valem a pena. A inovação ainda é importante, mas precisa ser baseada em rigor: configurações padrão robustas, modelagem de ameaças criteriosa e responsabilidade pelos resultados. Tomar essas decisões de forma deliberada é o que permite avançar rapidamente sem comprometer a confiança e, com o tempo, essa disciplina se torna uma vantagem competitiva.

Na sua opinião, qual é o maior equívoco dos líderes de segurança sobre a preparação para um futuro dominado por sistemas autônomos em vez de acesso controlado por humanos?

O que os líderes de segurança mais frequentemente subestimam é a complexidade de gerenciar diferentes tipos de identidades. As empresas estão tão ansiosas para se manterem à frente e atualizadas com as tecnologias mais recentes que as medidas de segurança muitas vezes acabam sendo negligenciadas. Fluxos de trabalho orientados por IA são frequentemente introduzidos sem uma definição clara de responsáveis, deixando as organizações com pontos cegos onde identidades não humanas acumulam acesso silenciosamente, operam fora dos controles tradicionais e criam novas oportunidades para erros ou ameaças dispendiosas. Preparar-se para esse futuro exige tratar a identidade como uma camada dinâmica e continuamente governada.

À medida que as empresas crescem, as equipes de segurança devem assumir a responsabilidade pelas políticas de uso de agentes e determinar como, se e onde o acesso de agentes será limitado ao escopo do usuário que os solicita. Quaisquer processos que anteriormente sobrecarregavam as equipes humanas com tarefas repetitivas simplesmente ruirão diante da escala e da natureza efêmera dos agentes: a automação é a única maneira de gerenciar o volume de solicitações.

Olhando para o futuro, como se manifestam as "boas práticas de segurança" em um ambiente onde os sistemas de IA estão constantemente criando, modificando e solicitando acesso por conta própria?

Uma boa higiene de segurança consiste em aproveitar a IA para escalar a segurança, mantendo monitoramento e disciplina suficientes para garantir que nada passe despercebido. A IA veio para ficar, portanto, seja qual for o método de gerenciamento utilizado pela empresa, como a Opal, seja interna, é fundamental que ela aceite que o acesso não é mais estático. Quando os sistemas de IA criam, modificam e solicitam acesso constantemente, a segurança precisa migrar de aprovações pontuais para uma supervisão contínua. Isso significa tratar o acesso como um ciclo de vida contínuo, e não como uma simples verificação pontual.

As empresas também precisarão usar ativamente a IA como parte de sua defesa. A automação pode ajudar as equipes a acompanhar o volume e a velocidade das mudanças de acesso, mas precisa ser combinada com diretrizes claras, visibilidade das cadeias de delegação e responsabilização humana quando algo der errado. É importante destacar os sinais de explicabilidade: valores de Shapley e coeficientes de características para modelos tradicionais de aprendizado de máquina, além de contexto adicional ou justificativas detalhadas de modelos de aprendizado de máquina de baixo nível. Sem essas nuances, manter qualquer cadeia de confiança para o acesso a recursos comerciais sensíveis torna-se uma tarefa árdua.

Obrigado pela ótima entrevista, os leitores que desejam saber mais devem visitar Segurança Opal.