Connect with us

Ashley Rose, grundlægger og administrerende direktør for Living Security – Intervju-serie

Interviews

Ashley Rose, grundlægger og administrerende direktør for Living Security – Intervju-serie

mm
Published

Ashley Rose, grundlægger og administrerende direktør for Living Security, er en serieiværksætter og cybersecurity-innovator, der fokuserer på at gendefinere, hvordan organisationer håndterer menneskeligt risiko i sikkerhed. Siden hun grundlagde virksomheden i 2017, har hun ledet udviklingen af en data-dreven, adfærdsfokuseret tilgang til cybersecurity, der går ud over traditionel bevidsthedstræning og hen imod målbart risikoreduktion og kulturel forandring. Hun har udnyttet sin baggrund i produktledelse og iværksætteri til at hjælpe med at skala Living Security op til en hurtigt voksende SaaS-platform, der bruges af virksomhedsorganisationer, og hun bidrager også til det bredere cybersecurity-økosystem som mentor, rådgiver og forkæmper for initiativer som Women in CyberSecurity.

Living Security er en cybersecurity SaaS-virksomhed, der fokuserer på Human Risk Management, og hjælper organisationer med at identificere, måle og reducere risiciene forbundet med medarbejderadfærd. Deres platform samler adfærd, identitet og trusler til at pege på højrisikobrugere og levere målrettet, realtids-træning og interventioner designet til at forhindre datakrænkelser, før de sker. Ved at kombinere analytics, automatisering og engagerende træningsmetoder som simulationer og gamificerede oplevelser, giver virksomheden mulighed for, at virksomheder kan skifte fra compliance-drevet sikkerhedsbevidsthed til proaktiv, målbart risikoreduktion på tværs af deres arbejdsstyrke.

Du grundlagde Living Security i 2017 efter tidligere erfaring med opbygning og skalaering af en forbrugerproduktforretning og arbejde som produkt ejer. Hvad var det specifikke øjeblik eller den specifikke erkendelse, der fik dig til at skifte til cybersecurity og fokusere på menneskeligt risiko, og hvordan har den oprindelige tese holdt sig, da AI bliver en del af arbejdsstyrken?

I 2017 behandlede de fleste organisationer sikkerhedsbevidsthedstræning som en afkrydsningsøvelse, og det ændrede ikke adfærd. Vendepunktet var erkendelsen af, at hvis menneskelig adfærd drev datakrænkelser, kunne svaret ikke være endnu mere glemt træning. Drew Rose, medstifter af Living Security, kørende sikkerhedsprogrammer selv og startede med at lave dem mere spilagtige, byggede tidlige prototyper, der blev til cybersecurity-undslipningsrum. Vi så med egne øjne, at når man gjorde sikkerhed til en oplevelse, engagerede mennesker sig, lærte og ændrede faktisk adfærd. Det blev grundlaget for Living Security.

Som medstiftere erkendte Drew og jeg hurtigt, at engagement kun var starten. Da vi skalaerede disse oplevelser op til en platform, begyndte vi at se mønstre i, hvordan mennesker opførte sig, hvor de kæmpede, og hvor risiko faktisk var koncentreret. Det afslørede en langt større gap: organisationer havde ingen rigtig indsigt i menneskeligt risiko eller hvordan man reducerer det på en målrettet måde. Den indsigt fik os til at bane vejen for Human Risk Management, som handler om at identificere, måle og reducere risiko baseret på individuel adfærd, adgang og trusler, og ikke kun levering af træning. Da AI bliver en del af arbejdsstyrken, har den oprindelige tese kun udvidet sig: udfordringen er ikke længere kun menneskelig adfærd, men hvordan mennesker og AI-systemer opererer sammen. Mennesker er stadig i centrum, men de håndterer og udruster nu AI-agenter, hvilket betyder, at man skal udvide indsigt til disse agenter og binde den risiko tilbage til den enkelte. Det er, hvad der driver vores udvikling til Workforce Security.

Du har argumenteret for, at menneskelig fejl er en ufuldstændig forklaring på datakrænkelser. Hvordan skal organisationer omdefinere arbejdsstyrke-risiko i dag, når både menneskelig adfærd og AI-drevne handlinger bidrager til angrebsfladen?

At ramme datakrænkelser som “menneskelig fejl” forenkler problemet og skjuler, hvor risiko faktisk kommer fra. Menneskeligt risiko handler ikke kun om fejl, men om en kombination af adfærd, adgang og eksponering for trusler. Nogle medarbejdere har privilegeret adgang til følsomme systemer, nogle er mere målrettede, og nogle udviser mere risikable adfærdsformer, så risiko for datakrænkelser er ikke jævnt fordelt. For at forstå risiko skal organisationer have indsigt i, hvor disse faktorer krydser hinanden og hvor menneskeligt risiko findes.

Som følge heraf skal organisationer gå ud over bevidsthedsbaserede modeller og omdefinere arbejdsstyrke-risiko som en fælles, operativ udfordring, der omfatter både menneskeligt risiko og AI-drevne handlinger. Dette indebærer fokus på kontinuerlig indsigt i, hvordan arbejde udføres, forstå, hvor risiko er koncentreret, og anvende målrettede, realtids-interventioner på tværs af en hybrid arbejdsstyrke i stedet for at behandle risiko som isolerede brugerfejl.

AI-værktøjer udarbejder nu kode, håndterer arbejdsprocesser og træffer endda beslutninger. På hvilket tidspunkt stopper AI-systemer med at være værktøjer og begynder at blive behandlet som en del af arbejdsstyrken fra et sikkerhedsperspektiv?

AI-systemer stopper med at være værktøjer og begynder at blive behandlet som en del af arbejdsstyrken, det øjeblik de tager handling inden for virksomheds-miljøer. På det tidspunkt introducerer de risiko på samme måde, som medarbejdere gør: gennem de handlinger, de udfører, de tilladelser, de opererer med, og de data, de berører. Skiftet for organisationer er at erkende, at AI-agenter ikke kun er produktivitetslag, men operativa deltagere, og de skal styres, overvåges og sikres på samme måde som menneskelige brugere inden for en samlet arbejdsstyrke-risikomodel.

Hvordan skal virksomheder tilgå styre, når risiko ikke længere er begrænset til medarbejdere, men også omfatter AI-agenter, der opererer med varierende niveauer af selvstændighed og adgang?

Virksomheder skal gå ud over politik-baseret styre og behandle det som en kontinuerlig, adfærd-dreven proces, der gælder for både mennesker og AI-agenter. De fleste organisationer har allerede AI-politikker på plads, men gapet ligger i gennemførelse og indsigt, især da medarbejdere adopterer værktøjer ud over godkendte miljøer, og AI-systemer opererer med varierende niveauer af adgang.

Effektivt styre begynder med at definere accepteret brug baseret på rolle og dataadgang, men det kræver også realtids-vejledning integreret i arbejdsprocesser og kontinuerlig måling, så organisationer kan se, hvor risiko opstår, og tilpasse sig. Til sidst skal styre afspejle, hvordan arbejde faktisk sker i dag: på tværs af en hybrid arbejdsstyrke, hvor både mennesker og AI-systemer træffer beslutninger, får adgang til data og introducerer risiko.

Living Security har fokuseret kraftigt på adfærd-drevne sikkerhedsmodeller. Hvordan oversætter denne filosofi sig, når nogle adfærdsformer nu kommer fra AI-systemer i stedet for mennesker?

Living Securitys adfærd-drevne tilgang udvider sig naturligt til AI, fordi fokus altid har været på, hvordan risiko introduceres gennem handlinger, og ikke kun på, hvem der skaber risiko. Uanset om det er et menneske eller et AI-system, viser risiko sig i adfærd, hvordan data tilgås, hvilke handlinger udføres, og hvordan beslutninger udføres inden for arbejdsprocesser. Da AI-systemer påtager sig mere operativt ansvar, gælder samme model: organisationer skal have indsigt i disse adfærdsformer, sammen med evnen til at vejlede og intervenere i realtid.

Det var, hvad der førte til udviklingen af Livvy, den AI-intelligens, der driver Living Security-platformen – anvender predictiv intelligens og kontinuerlig overvågning på tværs af både menneskelig og AI-aktivitet. I stedet for at behandle AI som en separat udfordring giver det mulighed for en mere samlet tilgang, hvor adfærd, både menneskelig og maskin, kontinuerligt måles, vejledes og styres inden for en samlet arbejdsstyrke-risikomodel.

Mange organisationer afhænger stadig af periodisk sikkerhedsbevidsthedstræning. Hvorfor bryder denne model sammen i moderne miljøer, og hvordan ser en virkelig adaptiv, data-dreven tilgang ud i praksis?

Periodisk sikkerhedsbevidsthedstræning bryder sammen, fordi den var bygget til en statisk trusselslandskab og antager, at risiko kan reduceres gennem bred uddannelse. I virkeligheden stammer de fleste incidenter fra hverdags-operationelle adfærdsformer, og ikke fra manglende træning, og risiko er ofte koncentreret blandt en lille undergruppe af brugere. En mere adaptiv, data-dreven tilgang fokuserer på kontinuerligt at identificere, hvor risiko faktisk findes, og leverer målrettede, realtids-vejledning i arbejdets flow – skiftende fra træningsgennemførelse til målbart risikoreduktion.

Jeres platform betoner kvantificering af menneskeligt risiko ved hjælp af virkelige data. Hvilke er de vigtigste signaler, organisationer skal spore i dag for at forstå risiko dynamisk i stedet for retrospektivt?

Organisationer skal fokusere på adfærd, identitet og adgang samt trussels-eksponering, signaler, der afspejler, hvordan risiko skabes, og hvor det koncentreres på tværs af arbejdsstyrken. Det omfatter nu også AI, herunder hvilke værktøjer medarbejdere bruger, hvilken adgang disse systemer har, og hvordan de konfigureres eller promptes. På sig selv er disse signaler nyttige, men den virkelige værdi kommer fra, hvordan de kommer sammen for at fortælle en historie om risiko.

For eksempel repræsenterer en CFO, der har adgang til finansielle systemer, ikke bruger MFA, bruger AI-værktøjer forbundet til følsomme data, og er aktivt målrettede af phishing-kampagner, et meget anderledes niveau af risiko end en BDR med begrænset adgang og lavere eksponering. Risiko ligger ikke kun i, hvad nogen gør, men i, hvad de har adgang til, de systemer, der handler på deres vegne, og hvor ofte de er målrettede. Når man kan se disse faktorer sammen, kan man forstå, hvor en datakrænkelse er mest sandsynlig at ske, og tage handling i realtid, enten det er at advare den enkelte, stramme kontroller eller prioritere intervention for den gruppe.

AI skaber nye sårbarheder, men det bruges også defensivt. Hvor ser du balancen skifte, og er vi på vej mod en netto-positiv eller netto-negativ sikkerhedsindvirkning fra AI?

AI gør begge dele, udvider angrebsfladen, mens det også forbedrer, hvordan organisationer opdager og responderer på risiko. På den ene side muliggør det mere komplekse arbejdsprocesser og selvstændige handlinger, der kan introducere nye sårbarheder; på den anden side giver det sikkerheds hold mulighed for at analysere adfærd i stor skala og handle hurtigere. Hvor balancen lander afhænger af, hvordan organisationer tilpasser sig. Lige nu er mange stadig ved at indhente indsigt og styre, især da AI bruges på måder, de ikke fuldt ud har kortlagt. På lang sigt kan det være netto-positivt, men kun hvis organisationer behandler AI som en del af arbejdsstyrken og anvender samme niveau af overvågning, vejledning og kontrol som for menneskeligt drevet risiko.

Ikke alle medarbejdere eller AI-systemer udgør lige stor risiko. Hvordan skal organisationer prioritere intervention uden at skabe friktion eller over-overvågning?

Ikke alle risici er lige store, og at behandle dem som sådanne skaber friktion. Nøglen er at fokusere på, hvor risiko faktisk er koncentreret – da cirka 10% af brugere driver 73% af risiko – og anvende målrettede interventioner der, i stedet for at lagre på kontroller på tværs af hele arbejdsstyrken. Det betyder at bruge adfærd, adgang og eksponeringsdata til at prioritere, hvem og hvad der kræver opmærksomhed, og levere vejledning i arbejdets flow i stedet for at lagre på flere kontroller. Gjort rigtigt reducerer det friktion ved at gøre den sikre vej den letteste at følge, i stedet for at øge overvågning på alle.

Hvis vi springer fem år frem, hvordan vil arbejdsstyrke-sikkerhed se ud, og hvad underestimerer de fleste organisationer i dag?

Hvis vi springer fem år frem, vil arbejdsstyrke-sikkerhed blive defineret af, hvor godt organisationer kan forstå og håndtere risiko på tværs af både mennesker og AI-agenter, der opererer sammen. Det vil ikke være om periodisk træning eller statiske kontroller, men om kontinuerlig indsigt, realtids-risikovurdering og evnen til at tage handling dynamisk, når adfærd, adgang og trusler ændrer sig. Mennesker vil stadig være i centrum, men de vil håndtere og udvide sig selv gennem AI, hvilket betyder, at sikkerhed skal tage hensyn til både.

Hvad de fleste organisationer underestimerer, er, at der allerede er en indsigtsgap i menneskeligt risiko i dag, og AI forstærker det. Mange mener, de har en AI-strategi, men i virkeligheden mangler de indsigt i både deres mennesker og de værktøjer, disse mennesker bruger. Første skridt er at forstå menneskeligt risiko, adfærd, adgang og eksponering for trusler. Andet skridt er at udvide denne indsigt til AI-agenter, som medarbejdere bruger, som kun er lige så kraftfulde og risikable, som den adgang og de beslutninger, mennesker giver dem. Uden denne grundlag er organisationer ikke kun bagud på AI, men de opererer med voksende blindspots på tværs af hele deres arbejdsstyrke.

Tak for det gode interview, læsere, der ønsker at lære mere, skal besøge Living Security.

Related Topics:
mm

Antoine er en visionær leder og medstifter af Unite.AI, drevet af en urokkelig passion for at forme og fremme fremtiden for AI og robotteknologi. En serieiværksætter, han tror, at AI vil være lige så omvæltende for samfundet som elektricitet, og bliver ofte fanget i at tale begejstret om potentialet for omvæltende teknologier og AGI.

Som en futurist, er han dedikeret til at udforske, hvordan disse innovationer vil forme vores verden. Derudover er han grundlægger af Securities.io, en platform, der fokuserer på at investere i skærende teknologier, der gendefinerer fremtiden og omformer hele sektorer.