Connect with us

Tarun Thakur, Co-Fundador e CEO da Veza – Série de Entrevistas

Entrevistas

Tarun Thakur, Co-Fundador e CEO da Veza – Série de Entrevistas

mm
Published
Updated

Tarun Thakur, Co-Fundador e CEO da Veza, é um ex-executivo da Data Domain, Veritas e IBM, trazendo décadas de experiência em construir empresas de infraestrutura de empresas. Ele co-fundou a Veza para abordar a crise crescente de sprawl de identidade, com foco em fornecer clareza e controle em arquiteturas híbridas e nativas em nuvem complexas.

Veza é uma plataforma de segurança de identidade projetada para ambientes de multi-nuvem modernos, permitindo que as organizações gerenciem e apliquem direitos de acesso em aplicativos, plataformas de nuvem e sistemas de dados com visibilidade e precisão incomparáveis. Apoiada por mais de $125 milhões em financiamento – incluindo um financiamento de $110 milhões da Série C liderado pela Accel com a participação da Sequoia Capital, GV e Norwest Venture Partners – a Veza atende a grandes empresas como Blackstone, Autodesk, SoFi, Wynn Resorts e S&P Global para prevenir violações, mitigar riscos internos e garantir a conformidade.

Você co-fundou com sucesso várias empresas de infraestrutura de empresas ao longo dos anos. O que o inspirou a lançar a Veza e como suas experiências passadas na Datos IO, Data Domain e IBM Research moldaram sua visão para a segurança de identidade em primeiro lugar?

Toda empresa que eu construí abordou um ponto cego fundamental na infraestrutura de empresas – proteção de dados, resiliência, escala. Mas a identidade sempre foi o elo perdido. Na Datos IO, ajudamos a proteger dados críticos em aplicativos nativos em nuvem, mas constantemente nos deparamos com um problema mais profundo: não sabíamos quem tinha acesso a quais dados, ou por quê. Isso é uma falha sistêmica – não de armazenamento ou computação – mas de governança de acesso.

Eu fundei a Veza porque vi um futuro onde a identidade seria a principal superfície de ataque. E estamos vivendo nesse futuro agora. A indústria passou 20 anos fingindo que o IAM era um problema de caixa de seleção. Não é. É um plano de controle contínuo. É onde a segurança, a conformidade e a produtividade colidem. Nossa missão é tornar o acesso não apenas visível, mas ação.

Apenas olhe para a aquisição da CyberArk pela Palo Alto. É o sinal mais claro da indústria de que a identidade não é uma função de back-office – é agora fundamental para a estratégia de segurança de empresas. Mas mesmo com esse negócio, o mercado ainda está faltando o que as empresas modernas precisam mais: visibilidade em tempo real do que as identidades podem fazer, em todos os aplicativos, sistemas e conjuntos de dados. É a lacuna que a Veza preenche.

Estamos entrando em uma nova era onde os agentes de IA não são apenas ferramentas, mas atores – acessando sistemas, dados e aplicativos de forma autônoma. Como essa mudança está desafiando os paradigmas tradicionais de gerenciamento de identidade e acesso (IAM)?

O IAM foi projetado para humanos. A IA agente quebra completamente esse modelo. Essas são entidades autônomas que tomam decisões, geram saída, acionam fluxos de trabalho, acionam acessos downstream – à velocidade da máquina. No entanto, a maioria das ferramentas de IAM ainda pergunta: “Em que grupo está essa identidade?” Isso é risível.

A mudança de paradigma é esta: o acesso não é mais provisionado manualmente – é emergente, dinâmico e contextual. Você não pode gerenciá-lo com funções estáticas e direitos adquiridos desatualizados. Você precisa de inteligência de acesso em tempo real. Você precisa de sistemas que entendam o que um agente de IA pode fazer em todos os sistemas – não apenas o que ele é “permitido” fazer na teoria.

A Veza tem sido vocal sobre o risco crescente de identidades não humanas – agentes de IA, contas de serviço, bots. Como você diferencia entre automação legítima e sobre-permissão arriscada em ambientes dinâmicos como DevOps ou finanças?

Essa é a pergunta de $10 bilhões. A maioria das organizações não consegue sequer inventariar suas identidades não humanas, muito menos governá-las. A Veza inverte o modelo: não começamos com a identidade – começamos com a ação. Quem ou o que pode ler este bucket S3? Quem pode excluir linhas neste banco de dados de produção?

Em DevOps ou finanças, a automação é essencial. Mas também é necessário o controle. Você precisa de visibilidade granular sobre o que essas identidades podem fazer agora, não sobre o que algum ticket de IAM disse seis meses atrás. E você precisa ser capaz de desligá-lo instantaneamente quando esse acesso se torna tóxico. É o superpoder da Veza.

À medida que as empresas integram a IA em fluxos de trabalho críticos, a aplicação em tempo real do acesso de privilégio mínimo se torna essencial. Você pode nos levar por como a Veza habilita esse nível de granularidade em infraestruturas híbridas e multi-nuvem?

Granularidade sem automação é inútil. A Veza se conecta diretamente ao plano de controle – seja AWS, Salesforce, Snowflake ou SAP – e constrói um gráfico de todos os direitos, todos os papéis, todas as ações disponíveis para uma identidade. Humano ou máquina. On-prem ou nuvem. É um tecido de acesso unificado.

Em seguida, adicionamos um contexto de negócios – quem é o proprietário do aplicativo, quando foi usado pela última vez, se faz parte de um processo crítico. Isso permite criar políticas como: “Nenhum agente de IA pode acessar informações de identificação pessoal a menos que seja explicitamente aprovado e registrado.” E se algo violar essa regra, a Veza pode alertar, revogar ou remediar em tempo real. É assim que você aplica o privilégio mínimo em escala.

Você descreveu a Veza como fornecendo “inteligência de acesso”. O que isso significa em termos práticos e como é diferente das soluções de controle de acesso tradicionais ou plataformas de governança de identidade?

Inteligência de acesso significa saber, a qualquer momento, o que cada identidade – humana ou não humana – pode fazer, onde e por quê. As ferramentas tradicionais dizem o que um usuário foi dado. Nós dizemos o que eles podem fazer agora e se isso é seguro.

As ferramentas de IGA fazem governança em uma base trimestral. A Veza faz governança continuamente. As ferramentas de PAM se concentram em um subconjunto minúsculo de contas privilegiadas. Nós cobrimos todas as identidades, todos os aplicativos, todas as permissões. E fazemos isso com o contexto para tomar decisões inteligentes – não apenas ruído de log.

Olhando para o futuro da IA Agente, como as arquiteturas de segurança devem evoluir para acompanhar? Quais capacidades as organizações devem começar a investir hoje para evitar falhas de conformidade ou violações internas amanhã?

As equipes de segurança devem parar de pensar em termos de usuários e começar a pensar em termos de ações. Os agentes de IA não batem o relógio e não preenchem formulários de solicitação de acesso. Eles são iniciados, agem e desaparecem.

Você precisa de arquiteturas que sejam conscientes de acesso, em tempo real e adjacentes ao plano de controle. Isso significa:

  • Monitoramento contínuo de permissões
  • Padronização de comportamento de IA
  • Revogação autônoma de acesso
  • Auditoria à prova de violação em todas as interações de IA

Isso não é opcional. Cada agente de IA é uma ameaça de insider potencial – e os quadros de conformidade estão se aproximando rapidamente. Se você não puder explicar quem fez o quê e por quê, você falhará em auditorias, perderá confiança ou pior.

A Veza conta com marcas importantes como Autodesk, Blackstone e S&P Global entre seus clientes. Quais padrões comuns ou erros você vê mesmo nas organizações mais maduras fazendo quando se trata de governança de identidade?

O erro mais comum? Supor que alguém mais é dono disso. O IAM é frequentemente órfão entre segurança, TI, conformidade e engenharia. Essa fragmentação mata a responsabilidade.

Outro problema é a proliferação de funções – especialmente em organizações maduras. Com o tempo, ninguém remove o acesso porque é arriscado. Então, em vez de privilégio mínimo, você obtém exposição máxima.

E, finalmente, a maioria das organizações pensa que as revisões de acesso são um controle. Elas não são. São um curativo. O controle real é prevenir o acesso tóxico desde o início. A Veza ajuda as equipes a mudar de detetive para preventivo.

A empresa levantou mais de $125 milhões com o apoio da Accel, Sequoia e GV. O que esse nível de apoio de investidor diz sobre a urgência de resolver a identidade na era da IA – e como você planeja usar esse impulso para ampliar o impacto da Veza?

Isso diz que estamos resolvendo um problema geracional – e estamos fazendo isso exatamente no momento certo. A identidade agora é a porta da frente, o firewall e o elo mais fraco ao mesmo tempo. E a IA acabou de abrir essa porta.

Nossos investidores entendem que a Veza não é apenas outra ferramenta de IAM. Estamos construindo o plano de controle para o acesso na era da IA. Estamos usando esse impulso para acelerar a expansão da plataforma, aprofundar as integrações do ecossistema e ampliar globalmente – especialmente em setores regulamentados, como serviços financeiros, saúde e governo.

Você detém 18 patentes em segurança de dados, armazenamento e gerenciamento. Há alguma área de inovação dentro da Veza que você acredita que estabelecerá novos padrões para como a indústria aborda a governança de acesso nos próximos 10 anos?

Sim – dois em particular.

Primeiro, nosso Gráfico de Acesso: é um modelo universal que mapeia identidades para permissões para ações em todos os sistemas, em tempo real. Isso é fundamental para o privilégio mínimo, a governança de IA e a detecção de ameaças de insider.

Segundo, a remediação autônoma. Estamos investindo pesadamente em ambientes de acesso auto-curativos – onde as violações são detectadas, contextualizadas e corrigidas sem intervenção humana. É assim que você governa a IA com a IA.

Nos próximos 10 anos, a governança de acesso mudará de reativa para autônoma. A Veza será o motor que impulsiona essa mudança.

Por fim, você disse “o talento não tem fronteiras”. Qual conselho você daria a fundadores técnicos ou engenheiros que estão construindo empresas de infraestrutura de segurança ou IA de próxima geração hoje?

Construa para os casos de bordo, não para o caminho feliz. O futuro é bagunçado – multi-nuvem, multi-agente, multi-polar. Sua arquitetura deve supor caos.

Em segundo lugar, não tenha medo de desafiar vacas sagradas. A indústria de segurança está cheia de suposições legadas – “o acesso justo no momento é suficiente”, “os humanos são o problema”, “auditoria significa Excel”. Quebre esses modelos.

Finalmente, contrate pessoas que estejam obcecadas com princípios fundamentais. As ferramentas mudam. Os paradigmas mudam. Mas a clareza de pensamento e missão vence todos os tempos.

E sim – o talento não tem fronteiras. Construa globalmente, construa diversamente e construa para o impacto.

Obrigado pela grande entrevista, leitores que desejam aprender mais devem visitar Veza.

mm

Antoine é um líder visionário e sócio-fundador da Unite.AI, impulsionado por uma paixão inabalável em moldar e promover o futuro da IA e da robótica. Um empreendedor serial, ele acredita que a IA será tão disruptiva para a sociedade quanto a eletricidade, e é frequentemente pego falando sobre o potencial das tecnologias disruptivas e da AGI. Como um futurista, ele está dedicado a explorar como essas inovações moldarão nosso mundo. Além disso, ele é o fundador da Securities.io, uma plataforma focada em investir em tecnologias de ponta que estão redefinindo o futuro e remodelando setores inteiros.