Entre em contato

Tarun Thakur, cofundador e CEO da Veza – Série de entrevistas

Entrevistas

Tarun Thakur, cofundador e CEO da Veza – Série de entrevistas

mm
Publicado

Tarun Thakur, cofundador e CEO da Veza, é ex-executivo da Data Domain, Veritas e IBM, trazendo décadas de experiência na construção de empresas de infraestrutura empresarial. Ele cofundou a Veza para lidar com a crescente crise da dispersão de identidades, com foco em fornecer clareza e controle em arquiteturas híbridas e nativas da nuvem complexas.

Conexão é uma plataforma de segurança de identidade desenvolvida especificamente para ambientes modernos de multinuvem, permitindo que organizações gerenciem e apliquem direitos de acesso em aplicativos, plataformas de nuvem e sistemas de dados com visibilidade e precisão incomparáveis. Com o apoio de mais de US$ 125 milhões em financiamento — incluindo um investimento Série C de US$ 110 milhões liderado pela Accel com participação da Sequoia Capital, GV e Norwest Venture Partners — a Veza atende empresas líderes como Blackstone, Autodesk, SoFi, Wynn Resorts e S&P Global para prevenir violações, mitigar riscos internos e garantir a conformidade.

Você foi cofundador de diversas empresas de infraestrutura empresarial ao longo dos anos. O que o inspirou a lançar a Veza e como suas experiências anteriores na Datos IO, Data Domain e IBM Research moldaram sua visão de segurança com foco em identidade?

Todas as empresas que criei abordaram um ponto cego fundamental na infraestrutura empresarial — proteção de dados, resiliência e escala. Mas a identidade sempre foi o elo perdido. Na Datos IO, ajudamos a proteger dados críticos em aplicativos nativos da nuvem, mas constantemente nos deparamos com um problema mais profundo: não sabíamos quem tinha acesso a quais dados, nem por quê. Isso é uma falha sistêmica — não de armazenamento ou computação —, mas de governança de acesso.

Fundei a Veza porque vislumbrei um futuro em que a identidade seria a principal superfície de ataque. E estamos vivendo esse futuro agora. A indústria passou 20 anos fingindo que o IAM era um problema de caixa de seleção. Não é. É um plano de controle contínuo. É onde segurança, conformidade e produtividade colidem. Nossa missão é tornar o acesso não apenas visível, mas também acionável.

Basta observar a aquisição da CyberArk pela Palo Alto. É o sinal mais claro do setor até o momento de que a identidade não é uma função de back-office — agora é essencial para a estratégia de segurança corporativa. Mas mesmo com esse acordo, o mercado ainda carece do que as empresas modernas mais precisam: visibilidade em tempo real do que as identidades podem fazer, em todos os aplicativos, sistemas e conjuntos de dados. Essa é a lacuna que a Veza preenche.

Estamos entrando em uma nova era em que os agentes de IA não são apenas ferramentas, mas atores — acessando sistemas, dados e aplicativos de forma autônoma. Como essa mudança está desafiando os paradigmas tradicionais de gerenciamento de identidade e acesso (IAM)?

O IAM foi projetado para humanos. A IA Agentic quebra completamente esse modelo. São entidades autônomas que tomam decisões, geram resultados, encadeiam fluxos de trabalho e acionam acessos downstream — na velocidade da máquina. No entanto, a maioria das ferramentas de IAM ainda pergunta: "Em que grupo essa identidade está?". Isso é ridículo.

A mudança de paradigma é esta: o acesso não é mais provisionado manualmente — é emergente, dinâmico e contextual. Não é possível gerenciá-lo com funções estáticas e direitos obsoletos. Você precisa de inteligência de acesso em tempo real. Você precisa de sistemas que entendam o que um agente de IA pode fazer em todos os sistemas — não apenas o que ele tem "permissão" para fazer em teoria.

Veza tem se manifestado abertamente sobre o risco crescente de identidades não humanas — agentes de IA, contas de serviço, bots. Como diferenciar entre automação legítima e excesso de permissões arriscado em ambientes dinâmicos como DevOps ou finanças?

Essa é a pergunta de US$ 10 bilhões. A maioria das organizações não consegue nem inventariar suas identidades não humanas, quanto mais governá-las. Veza inverte o modelo: não começamos com a identidade — começamos com a ação. Quem ou o que pode ler este bucket do S3? Quem pode excluir linhas neste banco de dados de produção?

Em DevOps ou finanças, a automação é essencial. Mas a restrição também. Você precisa de visibilidade detalhada do que essas identidades podem fazer agora, não do que um ticket de IAM disse seis meses atrás. E você precisa ser capaz de desativá-las instantaneamente quando esse acesso se tornar tóxico. Esse é o superpoder do Veza.

À medida que as empresas integram IA a fluxos de trabalho críticos, a aplicação em tempo real do acesso com privilégios mínimos torna-se essencial. Você pode nos explicar como o Veza possibilita esse nível de granularidade em infraestruturas híbridas e multinuvem?

Granularidade sem automação é inútil. O Veza se conecta diretamente ao plano de controle — seja AWS, Salesforce, Snowflake ou SAP — e cria um gráfico de cada permissão, cada função, cada ação disponível para uma identidade. Humano ou máquina. Local ou na nuvem. É uma estrutura de acesso unificada.

Em seguida, inserimos um contexto empresarial — quem é o proprietário do aplicativo, quando foi usado pela última vez e se faz parte de um processo crítico. Isso permite criar políticas como: "Nenhum agente da GenAI pode acessar PII a menos que seja explicitamente aprovado e registrado". E se algo violar essa regra, o Veza pode alertar, revogar ou corrigir em tempo real. É assim que você aplica o privilégio mínimo em escala.

Você descreveu o Veza como fornecedor de “inteligência de acesso”. O que isso significa em termos práticos e como ele é diferente das soluções tradicionais de controle de acesso ou plataformas de governança de identidade?

Inteligência de acesso significa saber, a qualquer momento, o que cada identidade — humana ou não humana — pode fazer, onde e por quê. Ferramentas tradicionais informam o que foi dado a um usuário. Nós informamos o que ele pode realmente fazer agora e se isso é seguro.

As ferramentas de IGA realizam a governança trimestralmente. A Veza realiza a governança continuamente. As ferramentas de PAM concentram-se em um pequeno subconjunto de contas privilegiadas. Cobrimos cada identidade, cada aplicativo, cada direito. E fazemos isso com o contexto necessário para tomar decisões inteligentes — não apenas registrar ruídos.

Olhando para o futuro da IA da Agentic, como as arquiteturas de segurança devem evoluir para acompanhar o ritmo? Em quais recursos as organizações devem começar a investir hoje para evitar falhas de conformidade ou violações internas amanhã?

As equipes de segurança precisam parar de pensar em termos de usuários e começar a pensar em ações. Agentes de IA não registram entrada e saída. Eles não preenchem formulários de solicitação de acesso. Eles aparecem, agem e desaparecem.

Você precisa de arquiteturas que sejam sensíveis ao acesso, em tempo real e adjacentes ao plano de controle. Isso significa:

  • Monitoramento contínuo de permissões
  • Baseline de comportamento de IA
  • Revogação de acesso autônomo
  • Auditoria à prova de adulteração em todas as interações de IA

Isso não é opcional. Todo agente de IA é uma ameaça interna em potencial — e as estruturas de conformidade estão se atualizando rapidamente. Se você não consegue explicar quem fez o quê e por quê, vai ser reprovado em auditorias, perder a confiança ou algo pior.

A Veza conta com grandes marcas como Autodesk, Blackstone e S&P Global entre seus clientes. Quais padrões ou erros comuns você vê até mesmo as organizações mais maduras cometendo quando se trata de governança de identidade?

O erro mais comum? Presumir que outra pessoa é a responsável. O IAM costuma ficar isolado entre segurança, TI, conformidade e engenharia. Essa fragmentação acaba com a responsabilidade.

Outro problema é a dispersão de funções, especialmente em organizações maduras. Com o tempo, ninguém remove o acesso porque é arriscado. Então, em vez de privilégios mínimos, você obtém exposição máxima.

E, por fim, a maioria das organizações pensa que as revisões de acesso são um controle. Não são. São apenas um paliativo. O verdadeiro controle é, antes de tudo, prevenir o acesso tóxico. A Veza ajuda as equipes a passarem de investigativas para preventivas.

A empresa tem arrecadou mais de $ 125 milhões Com o apoio da Accel, Sequoia e GV. O que esse nível de apoio dos investidores revela sobre a urgência de resolver a questão da identidade na era da IA — e como você planeja usar esse impulso para ampliar o impacto do Veza?

Diz que estamos resolvendo um problema geracional — e estamos fazendo isso exatamente na hora certa. A identidade agora é a porta de entrada, o firewall e o elo mais fraco, tudo ao mesmo tempo. E a IA acaba de escancarar essa porta.

Nossos investidores entendem que o Veza não é apenas mais uma ferramenta de IAM. Estamos construindo o plano de controle para acesso na era da IA. Estamos aproveitando esse momento para acelerar a expansão da plataforma, aprofundar nossas integrações com ecossistemas e escalar globalmente, especialmente em setores regulamentados como serviços financeiros, saúde e governo.

Você detém 18 patentes em segurança, armazenamento e gerenciamento de dados. Há alguma área de inovação na Veza que você acredita que definirá novos padrões para a forma como o setor aborda a governança de acesso na próxima década?

Sim, dois em particular.

Primeiro, nosso Gráfico de Acesso: é um modelo universal que mapeia identidades para permissões de ações em qualquer sistema, em tempo real. Isso é fundamental para privilégios mínimos, governança de IA e detecção de ameaças internas.

Segundo, remediação autônoma. Estamos investindo pesado em ambientes de acesso autorreparáveis — onde violações são detectadas, contextualizadas e corrigidas sem intervenção humana. É assim que se governa a IA com IA.

Na próxima década, a governança de acesso deixará de ser reativa e se tornará autônoma. A Veza será o motor dessa mudança.

Por fim, você disse que “o talento não tem limites”. Que conselho você daria aos fundadores técnicos ou engenheiros que estão construindo empresas de infraestrutura de segurança ou IA de última geração hoje?

Construa para casos extremos, não para o caminho feliz. O futuro é confuso — multinuvem, multiagente, multipolar. Sua arquitetura precisa assumir o caos.

Em segundo lugar, não tenha medo de desafiar as vacas sagradas. O setor de segurança está cheio de premissas tradicionais — "acesso just-in-time é suficiente", "humanos são o problema", "auditoria significa Excel". Quebre esses modelos.

Por fim, contrate pessoas obcecadas pelos princípios básicos. As ferramentas mudam. Os paradigmas mudam. Mas a clareza de pensamento e a missão sempre vencem.

E sim, talento não tem fronteiras. Construa globalmente, construa diversamente e construa para causar impacto.

Obrigado pela ótima entrevista, os leitores que desejam saber mais devem visitar Conexão.

Tópicos relacionados:
mm

Antoine é um líder visionário e sócio fundador da Unite.AI, movido por uma paixão inabalável por moldar e promover o futuro da IA ​​e da robótica. Um empreendedor em série, ele acredita que a IA será tão disruptiva para a sociedade quanto a eletricidade, e é frequentemente pego delirando sobre o potencial das tecnologias disruptivas e da AGI.

Como um futurista, ele se dedica a explorar como essas inovações moldarão nosso mundo. Além disso, ele é o fundador da Valores Mobiliários.io, uma plataforma focada em investir em tecnologias de ponta que estão redefinindo o futuro e remodelando setores inteiros.