Ashley Rose، المؤسس والرئيس التنفيذي لشركة Living Security – سلسلة المقابلات

Ashley Rose، المؤسس والرئيس التنفيذي لشركة Living Security، هو رائد أعمال متسلسل ومبتكر أمن سيبراني يركز على إعادة تعريف كيفية تعامل المنظمات مع المخاطر البشرية في الأمن. منذ تأسيس الشركة في عام 2017، قاد تطوير نهج بيانات مدفوعة ومتجاوز التدريب التوعوي التقليدي نحو تخفيف المخاطر القابلة للقياس والتغيير الثقافي. مستنداً إلى خلفيته في قيادة المنتجات وريادة الأعمال، ساعد في توسيع شركة Living Security إلى منصة سaaS سريعة النمو تستخدمها المنظمات الكبيرة، بالإضافة إلى المساهمة في النظام البيئي الأوسع لأمن السيبرانية كمرشد ومستشار ومدافع عن مبادرات مثل النساء في أمن السيبرانية.

Living Security هي شركة أمن سيبراني سaaS تركز على إدارة المخاطر البشرية، وتساعد المنظمات على تحديد وقياس وتقليل المخاطر المرتبطة بسلوك الموظفين. منصة الشركة تجمع بين البيانات السلوكية والهوية والتهديدات لتحديد المستخدمين ذوي المخاطر العالية وتقديم تدريبات وتدخلات مستهدفة في الوقت الفعلي مصممة لمنع الانتهاكات قبل حدوثها. من خلال الجمع بين التحليلات والآلية والأساليب التدريبية المثيرة للاهتمام مثل المحاكاة والخبرات الممتعة، تمكن الشركة المنظمات من التحول من الوعي الأمني القائم على الامتثال إلى تخفيف المخاطر القابلة للقياس والفعالة عبر قوة العمل.

لقد أسست شركة Living Security في عام 2017 بعد خبرة سابقة في بناء وتوسيع أعمال منتجات المستهلك والعمل كمالك منتج. ما هو اللحظة أو الإدراك المحدد الذي أدى إلى تحولك إلى أمن السيبرانية والتركيز على المخاطر البشرية، وكيف تم الحفاظ على الأطروحة الأصلية مع تصبح الذكاء الاصطناعي جزءًا من القوى العاملة؟

في عام 2017، كانت معظم المنظمات تعامل التدريب التوعوي الأمني كتمرين مربع، ولم يغير ذلك السلوك. النقطة التحولية كانت إدراك أن если كان السلوك البشري يؤدي إلى انتهاكات، فإن الإجابة لا يمكن أن تكون تدريبات أكثر نسيانًا. كان Drew Rose، الشريك المؤسس لشركة Living Security، يدير برامج الأمن بنفسه وبدأ في جعلها ألعابية، وبناء نماذج أولية مبكرة أصبحت غرفات هروب أمن السيبرانية. رأينا من خلال التجربة أن عندما تجعل الأمن تجربة، الناس يشاركون ويتعلمون ويفعلون تغييرًا حقيقيًا في السلوك. ذلك أصبح أساس شركة Living Security.

كما مؤسسين، أدركنا بسرعة أن المشاركة كانت مجرد البداية. عندما توسعنا تلك الخبرات إلى منصة، بدأنا نرى أنماطًا في كيفية سلوك الناس، وأين يكافحون، وأين تركز المخاطر فعلاً. ذلك كشف عن فجوة أكبر: المنظمات لم تكن لديها رؤية حقيقية للمخاطر البشرية أو كيفية تقليلها بطريقة مستهدفة. ذلك الإدراك أدى إلى رائدنا في إدارة المخاطر البشرية، والتي تتعلق بتحديد وقياس وتقليل المخاطر بناءً على السلوك الفردي والوصول والتهديدات، وليس مجرد تقديم التدريب. مع تصبح الذكاء الاصطناعي متأصلًا في القوى العاملة، تلك الأطروحة الأصلية توسعت فقط: التحدي لم يعد مجرد سلوك بشري، بل كيف يعمل البشر والأنظمة الذكية معًا. البشر ما زالوا في المركز، الآن يديرون ونشر الوكلاء الذكية، مما يعني أن عليك توسيع الرؤية لتلك الوكلاء وربط تلك المخاطر بالفرد. ذلك ما يدفع تطورنا إلى أمن القوى العاملة.

لقد جادلت بأن الخطأ البشري هو تفسير غير مكتمل للاختراقات. كيف يجب على المنظمات إعادة التفكير في مخاطر القوى العاملة اليوم عندما تساهم كل من السلوك البشري والactions الذكية في سطح الهجوم؟

إطلاق النار على الاختراقات كـ “أخطاء بشرية” يبسط المشكلة ويعتم على مكان المنشأ الفعلي للمخاطر. المخاطر البشرية ليست مجرد أخطاء، بل تشكلها مزيج من السلوك والوصول والتعرض للتهديدات. بعض الموظفين لديهم وصول متميز إلى الأنظمة الحساسة، والبعض الآخر يستهدف أكثر، والبعض يظهر سلوكيات أكثر مخاطرًا، لذلك مخاطر الاختراقات ليست موزعة بالتساوي. لفهم المخاطر حقًا، المنظمات تحتاج إلى رؤية حيث تتقاطع تلك العوامل وأين توجد المخاطر البشرية.

نتيجة لذلك، المنظمات تحتاج إلى التحرك بعيدًا عن نماذج الوعي وتفكر في مخاطر القوى العاملة كتحدي تشغيلي مشترك، واحد يمتد إلى كل من المخاطر البشرية والactions الذكية. ذلك يعني التركيز على الرؤية المستمرة لكيفية أداء العمل، وفهم أين تركز المخاطر، وتطبيق تدخلات مستهدفة ووقتية عبر قوة عاملة هجينة بدلاً من معاملتها كأخطاء مستخدم معزولة.

أدوات الذكاء الاصطناعي الآن تؤلف الشفرة، وتدير تدفقات العمل، وتتخذ حتى القرارات. في أي نقطة تتوقف الأنظمة الذكية عن كونها أدوات وت开始 معاملتها كجزء من القوى العاملة من منظور أمني؟

الأنظمة الذكية تتوقف عن كونها أدوات وت开始 كجزء من القوى العاملة في اللحظة التي تتصرف فيها داخل بيئات المؤسسة. في تلك النقطة،她们 تroduce المخاطر بنفس الطريقة التي يفعلها الموظفون: من خلال الإجراءات التي يتخذونها، والصلاحيات التي تعمل معها، والبيانات التي تلمسها. التحول للمنظمات هو الاعتراف بأن وكلاء الذكاء الاصطناعي ليسوا مجرد طبقات إنتاجية – هم مشاركون تشغيليون، وهم بحاجة إلى الحوكمة والمراقبة والأمن جنبًا إلى جنب مع المستخدمين البشر في إطار موحد لمخاطر القوى العاملة.

كيف يجب على الشركات التعامل مع الحوكمة عندما لا تكون المخاطر مقتصرة على الموظفين، بل تمتد إلى وكلاء الذكاء الاصطناعي الذين يعملون بدرجات متغيرة من الاستقلالية والوصول؟

الشركات تحتاج إلى التحرك بعيدًا عن الحوكمة القائمة على السياسات ومعالجتها كعملية مستمرة مدفوعة السلوك التي تنطبق على كل من البشر ووكلاء الذكاء الاصطناعي. معظم المنظمات لديها بالفعل سياسات الذكاء الاصطناعي في مكانها، ولكن الفجوة في تنفيذها والرؤية، خاصة مع تبني الموظفين لأدوات خارج البيئات المعتمدة ووكلاء الذكاء الاصطناعي يعملون بدرجات متغيرة من الوصول.

الحوكمة الفعالة تبدأ بتحديد استخدام مقبول بناءً على الدور ووصول البيانات، ولكنها تتطلب أيضًا توجيهًا في الوقت الفعلي متضم्नًا في تدفقات العمل وقياسًا مستمرًا حتى تتمكن المنظمات من رؤية أين تظهر المخاطر وتكيف. في النهاية، الحوكمة يجب أن تعكس كيفية حدوث العمل في الواقع اليوم: عبر قوة عاملة هجينة حيث يأخذ كل من البشر ووكلاء الذكاء الاصطناعي القرارات، ويصلون إلى البيانات، ويدخلون المخاطر.

ركزت شركة Living Security بشكل كبير على نماذج الأمن القائم على السلوك. كيف تترجم هذه الفلسفة عندما يأتي بعض السلوكيات الآن من أنظمة الذكاء الاصطناعي بدلاً من البشر؟

نهج شركة Living Security القائم على السلوك يمتد بشكل طبيعي إلى الذكاء الاصطناعي لأن التركيز لم يكن منصبًا على من يخلق المخاطر، بل كيف تظهر المخاطر من خلال الإجراءات. سواء كان شخصًا أو نظامًا ذكاء اصطناعي، المخاطر تظهر في السلوكيات، وكيفية الوصول إلى البيانات، والactions المتخذة، والقرارات التنفيذية داخل تدفقات العمل. مع تولي أنظمة الذكاء الاصطناعي المزيد من المسؤولية التشغيلية، ينطبق نفس النموذج: المنظمات تحتاج إلى رؤية تلك السلوكيات، جنبًا إلى جنب مع القدرة على توجيه وتدخل في الوقت الفعلي.

ذلك ما أدى إلى تطوير Livvy، الذكاء الاصطناعي الذي يpowers منصة Living Security – تطبيق الذكاء التنبؤي والمراقبة المستمرة عبر كل من النشاط البشري والذكاء الاصطناعي. بدلاً من معاملة الذكاء الاصطناعي كتحدي منفصل، يسمح بمقاربة أكثر توحيدًا حيث السلوك، البشري أو الآلي، يتم قياسه وتوجيهه وإدارته بشكل مستمر في إطار مخاطر قوة عاملة واحدة.

ما زالت العديد من المنظمات تعتمد على التدريب التوعوي الأمني الدوري. لماذا ينهار هذا النموذج في البيئات الحديثة، وماذا يبدو نهج قابل للتكيف ومدفوع بالبيانات حقًا في الممارسة؟

التدريب التوعوي الأمني الدوري ينهار لأنها بنيت لبيئة تهديدات ثابتة وافتراض أن المخاطر يمكن تقليلها من خلال التثقيف الواسع. في الواقع، معظم الحوادث تنشأ من سلوكيات تشغيلية يومية، وليس نقصًا في التدريب، والمخاطر غالبًا ما تركز بين مجموعة صغيرة من المستخدمين. نهج أكثر تكيفًا ومدفوعًا بالبيانات يركز على تحديد مستمر لأين توجد المخاطر حقًا وتقديم توجيه مستهدف في الوقت الفعلي في تدفق العمل – تحول من إكمال التدريب إلى تقليل المخاطر القابلة للقياس.

تؤكد منصتكم على كمية المخاطر البشرية باستخدام بيانات العالم الحقيقي. ما هي الإشارات الأكثر أهمية التي يجب على المنظمات تتبعها اليوم لفهم المخاطر ديناميكيًا بدلاً من التأمل؟

المنظمات يجب أن تركز على السلوك والهوية والوصول والتعرض للتهديدات، الإشارات التي تعكس كيفية إنشاء المخاطر وأين تركز عبر قوة العمل. ذلك القيمة الحقيقية يأتي من كيفية جمع تلك الإشارات معًا لرواية قصة حول المخاطر.

على سبيل المثال، مدير مالي لديه وصول إلى الأنظمة المالية، وليس يستخدم التحقق من الهوية المتعددة، ويستخدم أدوات الذكاء الاصطناعي متصلة بالبيانات الحساسة، ويستهدف بنشاط من خلال حملات الفيشينج، يمثل مستوى مخاطر مختلف تمامًا عن ممثل مبيعات لديه وصول محدود وتماس أقل. المخاطر ليست فقط في ما يفعله شخص ما، بل في ما يملك وصولًا إليه، والأنظمة التي تعمل باسمه، وكيفية استهدافه. عندما يمكنك رؤية تلك العوامل معًا، يمكنك فهم أين من المرجح أن تحدث انتهاكًا واتخاذ إجراء في الوقت الفعلي، سواء كان ذلك من خلال تنبيه الفرد أو تقييد التحكم أو Prioritizing التدخل لمجموعة ذلك.

الذكاء الاصطناعي يخلق مخاطر جديدة، ولكنه يُستخدم أيضًا بشكل دفاعي. إلى أين تتجه العلاقة، وهل мы正在 التوجه إلى تأثير أمني إجمالي إيجابي أو سلبي من الذكاء الاصطناعي؟

الذكاء الاصطناعي يفعل كلا الأمرين، توسيع سطح الهجوم مع تحسين كيفية كشف المنظمات عن المخاطر والاستجابة لها. من ناحية، إنه يسمح بتدفقات عمل أكثر تعقيدًا وإجراءات مستقلة يمكن أن تroduce مخاطر جديدة؛ من ناحية أخرى، يسمح لفريق الأمن بتحليل السلوك على نطاق واسع والتصرف بسرعة. حيث تصل العلاقة تعتمد على كيفية تكيف المنظمات. حاليًا، العديد منهم ما زالوا يلحقون بفجوة الرؤية والحوكمة، خاصة مع استخدام الذكاء الاصطناعي في طرق لم يتم خريطة بشكل كامل. على المدى الطويل، يمكن أن يكون التأثير إيجابيًا، ولكن فقط إذا معاملت المنظمات الذكاء الاصطناعي كجزء من قوة العمل وتطبيق نفس مستوى المراقبة والتوجيه والتحكم مثل المخاطر البشرية.

ليس جميع الموظفين أو أنظمة الذكاء الاصطناعي تطرح مخاطر متساوية. كيف يجب على المنظمات تقديم الأولوية للتدخل دون خلق احتكاك أو مراقبة زائدة؟

ليس جميع المخاطر متساوية، ومعالجتها على أنها كذلك هو ما يخلق احتكاكًا. المفتاح هو التركيز على أين تركز المخاطر حقًا – منذ حوالي 10% من المستخدمين يؤدون 73% من المخاطر – وتطبيق تدخلات مستهدفة هناك بدلاً من تطبيقها على نطاق واسع عبر قوة العمل بأكملها. ذلك يعني استخدام بيانات السلوك والوصول والتعرض للتهديدات لتحديد من و ما يحتاج إلى الانتباه، وتقديم التوجيه في تدفق العمل بدلاً من إضافة المزيد من التحكم. عندما يتم تنفيذه بشكل صحيح، يقلل من الاحتكاك عن طريق جعل المسار الآمن هو الأسهل لمتابعته، بدلاً من زيادة المراقبة عبر الجميع.

إذا قفزنا إلى الأمام بخمس سنوات، ما ستبدو عليه أمن قوة العمل، وما هي أكثر ما تقلله المنظمات اليوم؟

إذا قفزنا إلى الأمام بخمس سنوات، سيكون أمن قوة العمل محددًا بكيفية理解 وإدارة المخاطر عبر كل من البشر ووكلاء الذكاء الاصطناعي الذين يعملون معًا. لن يكون حول التدريب الدوري أو التحكم الثابت، بل سيكون حول الرؤية المستمرة وتقييم المخاطر في الوقت الفعلي والقدرة على اتخاذ إجراء ديناميكيًا مع تغير السلوك والوصول والتهديدات. البشر سيظلون في المركز، ولكنهم سيدعمون أنفسهم من خلال الذكاء الاصطناعي، مما يعني أن الأمن يجب أن يأخذ في الاعتبار كلاهما.

ما تقلله المنظمات أكثر هو أن هناك فجوة رؤية في المخاطر البشرية اليوم، والذكاء الاصطناعي يزيد من ذلك. العديد منهم يعتقدون أن لديهم استراتيجية ذكاء اصطناعي، ولكن في الواقع، ihnen يفتقرون إلى الرؤية في كل من الناس والأدوات التي يستخدمونها. الخطوة الأولى هي فهم المخاطر البشرية والسلوك والوصول والتعرض للتهديدات. الخطوة الثانية هي توسيع تلك الرؤية إلى وكلاء الذكاء الاصطناعي الذين يستخدمهم الموظفون، والتي ليست قوية ومخاطر إلا بناءً على الوصول والقرارات التي يمنحونها لهم. بدون ذلك الأساس، المنظمات ليست فقط متأخرة عن الذكاء الاصطناعي، بل تعمل بفجوات متزايدة عبر قوة عملها بأكملها.

شكرًا على المقابلة الرائعة، القراء الذين يرغبون في معرفة المزيد يجب أن يزوروا Living Security.