Connect with us

Ashley Rose, zakladatelka a generální ředitelka Living Security – rozhovorová série

Rozhovory

Ashley Rose, zakladatelka a generální ředitelka Living Security – rozhovorová série

mm
Published

Ashley Rose, zakladatelka a generální ředitelka Living Security, je sériová podnikatelka a inovátorka v oblasti kybernetické bezpečnosti, která se zaměřuje na předefinování toho, jak organizace řeší lidské riziko v oblasti bezpečnosti. Od založení společnosti v roce 2017 vedla vývoj datově řízeného, behaviorálního přístupu k kybernetické bezpečnosti, který jde za hranice tradičního bezpečnostního vzdělávání a směřuje k měřitelnému snížení rizika a kulturní změně. Díky své zkušenosti z vedení produktů a podnikání pomohla rozšířit Living Security do rychle rostoucí platformy SaaS, kterou využívají podniky, a zároveň přispívá do širšího ekosystému kybernetické bezpečnosti jako mentor, poradce a zastánkyně iniciativ, jako je Women in CyberSecurity.

Living Security je společnost pro kybernetickou bezpečnost SaaS, která se zaměřuje na řízení lidského rizika, pomáhá organizacím identifikovat, měřit a snižovat rizika spojená s chováním zaměstnanců. Jejich platforma agreguje behaviorální, identifikační a hrozbové údaje, aby identifikovala uživatelé s vysokým rizikem a poskytla cílené, reálné vzdělávání a zásahy navržené k prevenci porušení předtím, než k nim dojde. Kombinací analytiky, automatizace a zapojených metod vzdělávání, jako jsou simulace a gamifikované zkušenosti, umožňuje společnost podnikům přecházet z compliance-driven bezpečnostního povědomí na proaktivní, měřitelné snížení rizika napříč celou pracovní silou.

Vy jste založila Living Security v roce 2017 po předchozích zkušenostech s budováním a škálováním spotřebitelského produktu a prací jako produktový vlastník. Jaký konkrétní okamžik nebo uvědomění vás vedlo ke změně směru do kybernetické bezpečnosti a zaměřením se na lidské riziko, a jak se původní teze držela, když se AI stala součástí pracovní síly?

V roce 2017 většina organizací považovala bezpečnostní povědomí za cvičení, které je třeba označit, a nemělo to vliv na chování. Zlomovým okamžikem bylo uvědomění, že pokud lidské chování způsobuje porušení, odpověď nemůže být pouze další zapomínající vzdělávání. Drew Rose, spoluzakladatel Living Security, vedl bezpečnostní programy a začal je gamifikovat, vytvářet rané prototypy, které se staly kybernetickými únikovými místnostmi. Viděli jsme na vlastní oči, že když jste učinili bezpečnost zkušeností, lidé se zapojili, naučili se a skutečně změnili chování. To se stalo základem pro Living Security.

Jako spoluzakladatelé, Drew a já, jsme si rychle uvědomili, že zapojení je pouze počátečním bodem. Když jsme škálovali tyto zkušenosti do platformy, začali jsme vidět vzorce, jak lidé jednali, kde měli potíže a kde se riziko skutečně koncentrovalo. To odhalilo mnohem větší mezera: organizace neměly skutečnou viditelnost do lidského rizika nebo jak jej snížit cíleným způsobem. To nás vedlo k tomu, abychom byli průkopníky v oblasti řízení lidského rizika, které se zabývá identifikací, měřením a snižováním rizika na základě individuálního chování, přístupu a hrozeb, a ne pouze poskytováním vzdělávání. Když se AI stala součástí pracovní síly, původní teze se pouze rozšířila: výzva již není pouze lidské chování, ale jak lidé a AI systémy spolupracují. Lidé jsou stále v centru, nyní řídí a nasazují AI agenty, což znamená, že je třeba rozšířit viditelnost na tyto agenty a vázat toto riziko na jednotlivce. To je to, co pohání naši evoluci do Workforce Security.

Vy jste argumentovala, že lidská chyba je neúplným vysvětlením pro porušení. Jak by měly organizace přehodnotit riziko pracovní síly dnes, když obě lidské chování a AI řízené akce přispívají k útočné ploše?

Rámcování porušení jako “lidské chyby” zjednodušuje problém a zakrývá, odkud riziko skutečně pochází. Lidské riziko není pouze o chybách, je tvarováno kombinací chování, přístupu a expozice hrozbám. Některé zaměstnanci mají privilegovaný přístup k citlivým systémům, někteří jsou častěji cíleni a někteří vykazují rizikovější chování, takže riziko porušení není rovnoměrně rozloženo. Aby organizace skutečně pochopily riziko, potřebují viditelnost do místa, kde tyto faktory protínají a kde existuje lidské riziko.

V důsledku toho organizace potřebují jít za rámec modelů založených na povědomí a přehodnotit riziko pracovní síly jako sdílenou, operační výzvu, která zahrnuje jak lidské riziko, tak AI řízené akce. To znamená soustředit se na nepřetržitou viditelnost do toho, jak se práce provádí, pochopit, kde se riziko koncentruje, a aplikovat cílené, reálné zásahy napříč hybridní pracovní silou, místo aby se riziko považovalo za izolované chyby uživatelů.

AI nástroje nyní vytvářejí kód, zpracovávají pracovní postupy a dokonce činí rozhodnutí. V jakém okamžiku AI systémy přestávají být pouze nástroji a začínají být považovány za součást pracovní síly z hlediska bezpečnosti?

AI systémy přestávají být pouze nástroji a začínají být považovány za součást pracovní síly v okamžiku, kdy začínají jednat uvnitř podnikového prostředí. V tomto okamžiku zavádějí riziko stejným způsobem, jako zaměstnanci: prostřednictvím akcí, které provádějí, oprávnění, se kterými operují, a dat, která se dotýkají. Změna pro organizace spočívá v tom, že uznají, že AI agenti nejsou pouze vrstvami produktivity – jsou operačními účastníky, a musí být řízeni, monitorováni a zabezpečeni společně s lidskými uživateli v rámci jednotného modelu rizika pracovní síly.

Jak by měly organizace přistupovat k řízení, když riziko již není omezeno pouze na zaměstnance, ale rozšiřuje se na AI agenty s různými úrovněmi autonomie a přístupu?

Organizace potřebují jít za rámec zásadou řízení a považovat jej za nepřetržitý, behaviorálně řízený proces, který se vztahuje na lidi i AI agenty. Most organizací již má AI zásady na místě, ale mezera je v vynucování a viditelnosti, zejména když zaměstnanci přijímají nástroje mimo schválené prostředí a AI systémy operují s různými úrovněmi přístupu.

Účinné řízení začíná jasným definováním přijatelného použití na základě role a přístupu k datům, ale vyžaduje také reálné pokyny zabudované do pracovních postupů a nepřetržité měření, aby organizace mohly vidět, kde se riziko objevuje, a přizpůsobit se. V konečném důsledku musí řízení odrážet, jak se práce skutečně provádí dnes: napříč hybridní pracovní silou, kde lidé i AI systémy činí rozhodnutí, přistupují k datům a zavádějí riziko.

Living Security se zaměřila silně na behaviorálně řízené bezpečnostní modely. Jak se tato filozofie překládá, když některé chování pocházejí z AI systémů spíše než z lidí?

Behaviorálně řízený přístup Living Security se přirozeně rozšiřuje na AI, protože se zaměřuje na to, jak riziko je zaváděno prostřednictvím akcí. Bez ohledu na to, zda je to osoba nebo AI systém, riziko se objevuje v chování, přístupu k datům, akcích, které se provádějí, a rozhodnutích, která se činí uvnitř pracovních postupů. Když AI systémy přebírají více operační odpovědnosti, stejný model platí: organizace potřebují viditelnost do těchto chování, spolu s možností vést a zasahovat v reálném čase.

To vedlo k vývoji Livvy, AI inteligence, která pohání platformu Living Security – aplikuje prediktivní inteligenci a nepřetržité monitorování napříč lidskou i AI činností. Místo toho, aby se AI považovalo za samostatnou výzvu, umožňuje více sjednocený přístup, kde chování, lidské nebo strojové, je nepřetržitě měřeno, vedené a řízené v rámci jednotného modelu rizika pracovní síly.

Mnohé organizace stále spoléhají na periodické bezpečnostní povědomí. Proč tento model selhává v moderních prostředích a co vypadá skutečně adaptivní, datově řízený přístup v praxi?

Periodické bezpečnostní povědomí selhává, protože bylo postaveno pro statickou hrozbu a předpokládá, že riziko lze snížit prostřednictvím širokého vzdělávání. Ve skutečnosti většina incidentů pochází z každodenních operačních chování, ne z nedostatečného vzdělávání, a riziko je často koncentrováno mezi malou podskupinou uživatelů. Více adaptivní, datově řízený přístup se soustřeďuje na nepřetržité identifikování, kde se riziko skutečně nachází, a poskytování cíleného, reálného vedení v pracovním postupu – místo aby se soustřeďoval na dokončení vzdělávání, zaměřuje se na měřitelné snížení rizika.

Vaše platforma zdůrazňuje kvantifikaci lidského rizika pomocí reálných dat. Jaké jsou nejvýznamnější signály, které by organizace měly sledovat dnes, aby pochopily riziko dynamicky, spíše než retrospektivně?

Organizace by měly soustředit se na chování, identitu a přístup, a expozici hrozbám, signály, které odrážejí, jak se riziko vytváří a kde se koncentruje napříč pracovní silou. To nyní zahrnuje i AI, včetně toho, jaké nástroje zaměstnanci používají, jaký přístup tyto systémy mají, a jak jsou konfigurovány nebo spouštěny. Samy o sobě jsou tyto signály užitečné, ale skutečná hodnota spočívá v tom, jak se tyto signály spojují, aby vyprávěly příběh o riziku.

Například CFO, který má přístup k finančním systémům, nepoužívá MFA, používá AI nástroje spojené s citlivými daty, a je aktivně cílen phishingovými kampaněmi, představuje velmi odlišnou úroveň rizika než BDR s omezeným přístupem a nižší expozicí. Riziko není pouze v tom, co někdo dělá, ale v tom, co má přístup, systémy, které jednají na jeho behalf, a jak často je cílen. Když můžete vidět tyto faktory společně, můžete pochopit, kde je nejpravděpodobnější, že dojde k porušení, a můžete zasáhnout v reálném čase, zda upozorníte jednotlivce, zpřísníte kontroly, nebo priorizujete zásah pro tuto skupinu.

AI vytváří nová zranitelnost, ale je také používána obranně. Kde vidíte posun rovnováhy a zda směřujeme k čistě pozitivnímu nebo negativnímu bezpečnostnímu dopadu z AI?

AI dělá obě věci, rozšiřuje útočnou plochu, zatímco také zlepšuje, jak organizace detekují a reagují na riziko. Na jedné straně umožňuje komplexnější pracovní postupy a autonomní akce, které mohou zavést nová zranitelnost; na druhé straně umožňuje bezpečnostním týmům analyzovat chování v měřítku a jednat rychleji. Kde rovnováha leží, závisí na tom, jak dobře se organizace přizpůsobí. V současné době mnohé z nich stále dohánějí viditelnost a řízení, zejména když se AI používá způsoby, které nebyly plně mapovány. Dlouhodobě to může být čistě pozitivní, ale pouze pokud organizace považují AI za součást pracovní síly a aplikují stejnou úroveň monitorování, vedení a kontroly, jako u lidského rizika.

Není všech zaměstnanců nebo AI systémů stejné riziko. Jak by měly organizace priorizovat zásah, aniž by vytvářely tření nebo nadměrné sledování?

Není všech riziko stejné, a považovat je za stejné je to, co vytváří tření. Klíčem je soustředit se na místo, kde se riziko skutečně koncentruje – jelikož asi 10% uživatelů vytváří 73% rizika – a aplikovat cílené zásahy tam, místo aby se aplikovaly široce napříč celou pracovní silou. To znamená použít behaviorální, přístupové a expozicí údaje k prioritizaci, kdo a co potřebuje pozornost, a poskytovat vedení v pracovním postupu, místo aby se přidávaly další kontroly. Správně provedeno, snižuje tření tak, že činí bezpečnou cestu nejlehčí, místo aby se zvyšovalo sledování napříč všemi.

Pokud budeme zrychlit pět let, jak bude vypadat bezpečnost pracovní síly, a co většina organizací stále podceňuje dnes?

Pokud budeme zrychlit pět let, bezpečnost pracovní síly bude definována tím, jak dobře organizace mohou pochopit a řídit riziko napříč lidskými i AI agentkami, které spolupracují. Nebude se jednat o periodické vzdělávání nebo statické kontroly, ale o nepřetržité viditelnosti, reálné hodnocení rizika a schopnosti jednat dynamicky, jak se chování, přístup a hrozby mění. Lidé budou stále v centru, ale budou řídit a rozšiřovat se prostřednictvím AI, což znamená, že bezpečnost musí zohlednit obě.

Co většina organizací stále podceňuje, je, že již existuje mezera ve viditelnosti lidského rizika, a AI ji zhoršuje. Mnohé organizace si myslí, že mají AI strategii, ale ve skutečnosti jim chybí viditelnost do lidí i nástrojů, které tito lidé používají. Krok číslo jedna je pochopit lidské riziko, chování, přístup a expozici hrozbám. Krok číslo dva je rozšířit tuto viditelnost na AI agenty, které zaměstnanci používají, které jsou stejně mocné a rizikové, jako přístup a rozhodnutí, která jim lidé dávají. Bez této základny nejsou organizace pouze pozadu v AI, ale operují s rostoucími slepými skvrnami napříč celou pracovní silou.

Děkuji za skvělý rozhovor, čtenáři, kteří si přejí dozvědět více, by měli navštívit Living Security.

Related Topics:
mm

Antoine je vizionářský líder a zakládající partner Unite.AI, poháněný neotřesitelnou vášní pro formování a propagaci budoucnosti AI a robotiky. Jako sériový podnikatel věří, že AI bude mít na společnost stejně disruptivní vliv jako elektřina, a často je chycen při tom, jak hovoří o potenciálu disruptivních technologií a AGI. Jako futurist, je zasvěcen prozkoumání toho, jak tyto inovace budou formovat náš svět. Kromě toho je zakladatelem Securities.io, platformy zaměřené na investice do špičkových technologií, které předefinovávají budoucnost a mění celé sektory.