Connect with us

Ashley Rose, Gründerin und CEO von Living Security – Interviewreihe

Interviews

Ashley Rose, Gründerin und CEO von Living Security – Interviewreihe

mm
Published

Ashley Rose, Gründerin und CEO von Living Security, ist eine serielle Unternehmerin und Cyber-Sicherheits-Innovatorin, die darauf fokussiert ist, wie Organisationen menschliches Risiko in der Sicherheit angehen. Seit der Gründung des Unternehmens im Jahr 2017 hat sie die Entwicklung eines datengetriebenen, verhaltensorientierten Ansatzes für die Cybersicherheit geleitet, der über traditionelle Bewusstseinsbildung hinausgeht und auf messbare Risikoreduzierung und kulturellen Wandel abzielt. Durch ihre Erfahrung in Produktführung und Unternehmertum hat sie geholfen, Living Security in eine schnell wachsende SaaS-Plattform zu skalieren, die von Unternehmen genutzt wird, und trägt auch zum breiteren Cybersicherheits-Ökosystem bei, indem sie als Mentorin, Beraterin und Fürsprecherin für Initiativen wie Women in CyberSecurity tätig ist.

Living Security ist ein Cybersicherheits-SaaS-Unternehmen, das sich auf Human-Risikomanagement konzentriert und Organisationen hilft, die Risiken zu identifizieren, zu messen und zu reduzieren, die mit dem Verhalten der Mitarbeiter verbunden sind. Die Plattform aggregiert Verhaltens-, Identitäts- und Bedrohungsdaten, um hochrisikoträchtige Benutzer zu identifizieren und gezielte, Echtzeit-Schulungen und Interventionen bereitzustellen, die darauf ausgelegt sind, Sicherheitsverletzungen zu verhindern, bevor sie auftreten. Durch die Kombination von Analytics, Automatisierung und ansprechenden Schulungsmethoden wie Simulationen und gamifizierten Erfahrungen ermöglicht das Unternehmen es Unternehmen, von compliance-basierten Sicherheitsbewusstseinsmaßnahmen zu proaktiver, messbarer Risikoreduzierung über ihre gesamte Belegschaft hinweg zu wechseln.

Sie haben Living Security 2017 gegründet, nachdem Sie zuvor Erfahrungen im Aufbau und Skalieren eines Consumer-Produkt-Unternehmens und als Produktbesitzerin gesammelt hatten. Welcher spezifische Moment oder welche Erkenntnis führten Sie dazu, sich auf Cybersicherheit und menschliches Risiko zu konzentrieren, und wie hat sich diese ursprüngliche These im Laufe der Zeit gehalten, als künstliche Intelligenz Teil der Belegschaft wurde?

Im Jahr 2017 behandelten die meisten Organisationen Sicherheitsbewusstseinsbildung als eine reine Check-box-Übung, und es änderte nicht das Verhalten. Der Wendepunkt war die Erkenntnis, dass, wenn menschliches Verhalten Sicherheitsverletzungen verursachte, die Antwort nicht mehr vergessliche Schulungen sein konnte. Drew Rose, Mitgründer von Living Security, leitete selbst Sicherheitsprogramme und begann, sie zu gamifizieren, und baute frühe Prototypen, die zu Cybersicherheits-Fluchtzimmern wurden. Wir sahen selbst, dass, wenn man Sicherheit zu einer Erfahrung machte, Menschen sich engagierten, lernten und tatsächlich ihr Verhalten änderten. Das wurde zur Grundlage für Living Security.

Als Mitgründer erkannten Drew und ich schnell, dass Engagement nur der Anfang war. Als wir diese Erfahrungen in eine Plattform skalieren, begannen wir, Muster zu erkennen, wie Menschen sich verhielten, wo sie Schwierigkeiten hatten und wo das Risiko tatsächlich konzentriert war. Das deckte eine viel größere Lücke auf: Organisationen hatten keine echte Sichtbarkeit in das menschliche Risiko oder wie man es gezielt reduzieren konnte. Diese Erkenntnis führte uns dazu, das Human-Risikomanagement zu entwickeln, das darin besteht, Risiken auf der Grundlage individuellen Verhaltens, Zugriffs und Bedrohungen zu identifizieren, zu messen und zu reduzieren, und nicht nur Schulungen bereitzustellen. Als künstliche Intelligenz in die Belegschaft integriert wird, hat sich diese ursprüngliche These nur noch weiter ausgedehnt: Die Herausforderung ist nicht mehr nur menschliches Verhalten, sondern wie Menschen und künstliche Intelligenz-Systeme zusammenarbeiten. Menschen sind immer noch im Mittelpunkt, jetzt aber auch künstliche Intelligenz-Agenten, die sie einsetzen und verwalten, was bedeutet, dass man diese Risiken zurückverfolgen und an die individuellen Mitarbeiter binden muss. Das ist es, was unsere Evolution in Richtung Workforce-Sicherheit antreibt.

Sie haben argumentiert, dass menschlicher Fehler eine unvollständige Erklärung für Sicherheitsverletzungen ist. Wie sollten Organisationen das Risiko der Belegschaft heute neu denken, wenn sowohl menschliches Verhalten als auch künstliche Intelligenz-Handlungen zur Angriffsfläche beitragen?

Die Darstellung von Sicherheitsverletzungen als “menschlicher Fehler” vereinfacht das Problem und verdeckt, wo das Risiko tatsächlich herkommt. Menschliches Risiko ist nicht nur ein Fehler, es wird von einer Kombination aus Verhalten, Zugriff und Exposition gegenüber Bedrohungen geprägt. Einige Mitarbeiter haben privilegierten Zugriff auf sensible Systeme, einige werden häufiger angegriffen, und einige zeigen riskantere Verhaltensweisen, sodass das Risiko von Sicherheitsverletzungen nicht gleichmäßig verteilt ist. Um Risiken wirklich zu verstehen, benötigen Organisationen Sichtbarkeit in die Schnittstellen dieser Faktoren und wo menschliches Risiko existiert.

Daher müssen Organisationen über awareness-basierte Modelle hinausgehen und das Risiko der Belegschaft als eine gemeinsame, operative Herausforderung neu denken, die sowohl menschliches Risiko als auch künstliche Intelligenz-Handlungen umfasst. Das bedeutet, sich auf kontinuierliche Sichtbarkeit zu konzentrieren, wie Arbeit durchgeführt wird, zu verstehen, wo Risiken konzentriert sind, und gezielte, Echtzeit-Interventionen über eine hybride Belegschaft hinweg anzuwenden, anstatt Risiken als isolierte Benutzerfehler zu behandeln.

Künstliche Intelligenz-Tools erstellen nun Code, verarbeiten Workflows und treffen sogar Entscheidungen. Ab welchem Punkt hören künstliche Intelligenz-Systeme auf, nur Werkzeuge zu sein, und werden als Teil der Belegschaft aus Sicht der Sicherheit behandelt?

Künstliche Intelligenz-Systeme hören auf, nur Werkzeuge zu sein, und werden Teil der Belegschaft, sobald sie innerhalb von Unternehmensumgebungen handeln. Zu diesem Zeitpunkt introduzieren sie Risiken auf die gleiche Weise wie Mitarbeiter: durch die Handlungen, die sie ausführen, die Berechtigungen, mit denen sie operieren, und die Daten, die sie berühren. Der Wechsel für Organisationen besteht darin, zu erkennen, dass künstliche Intelligenz-Agenten nicht nur Produktivitätsschichten sind, sondern operative Teilnehmer, die genauso wie menschliche Benutzer innerhalb eines einheitlichen Belegschafts-Risikomodells reglementiert, überwacht und gesichert werden müssen.

Wie sollten Unternehmen die Governance angehen, wenn das Risiko nicht mehr nur auf Mitarbeiter beschränkt ist, sondern auch auf künstliche Intelligenz-Agenten mit unterschiedlichem Grad an Autonomie und Zugriff?

Unternehmen sollten über eine politikbasierte Governance hinausgehen und sie als kontinuierlichen, verhaltensgetriebenen Prozess behandeln, der sowohl auf Menschen als auch auf künstliche Intelligenz-Agenten anwendbar ist. Die meisten Organisationen haben bereits künstliche Intelligenz-Richtlinien, aber die Lücke besteht in der Durchsetzung und Sichtbarkeit, insbesondere wenn Mitarbeiter Tools außerhalb genehmigter Umgebungen verwenden und künstliche Intelligenz-Systeme mit unterschiedlichem Grad an Zugriff operieren.

Eine effektive Governance beginnt mit der klaren Definition des akzeptierten Gebrauchs basierend auf Rolle und Datenzugriff, aber sie erfordert auch Echtzeit-Anleitung, die in Workflows eingebettet ist, und kontinuierliche Messung, damit Organisationen sehen können, wo Risiken entstehen und entsprechend reagieren können. Letztendlich muss die Governance widerspiegeln, wie Arbeit heute tatsächlich durchgeführt wird: über eine hybride Belegschaft, in der sowohl Menschen als auch künstliche Intelligenz-Systeme Entscheidungen treffen, auf Daten zugreifen und Risiken einführen.

Living Security hat sich stark auf verhaltensgetriebene Sicherheitsmodelle konzentriert. Wie übersetzt sich diese Philosophie, wenn einige Verhaltensweisen nun von künstlichen Intelligenz-Systemen und nicht von Menschen kommen?

Living Securities verhaltensgetriebener Ansatz erstreckt sich natürlicherweise auf künstliche Intelligenz, da der Fokus nie nur darauf lag, wer Risiken erzeugt, sondern wie Risiken durch Handlungen eingeführt werden. Ob es sich um eine Person oder ein künstliches Intelligenz-System handelt, zeigt sich Risiko in Verhaltensweisen, wie auf Daten zugegriffen wird, welche Handlungen ausgeführt werden und wie Entscheidungen innerhalb von Workflows getroffen werden. Wenn künstliche Intelligenz-Systeme mehr operative Verantwortung übernehmen, gilt dasselbe Modell: Organisationen benötigen Sichtbarkeit in diese Verhaltensweisen sowie die Fähigkeit, zu leiten und in Echtzeit zu intervenieren.

Das führte zur Entwicklung von Livvy, der künstlichen Intelligenz, die die Living Security-Plattform antreibt – sie wendet prädiktive Intelligenz und kontinuierliche Überwachung auf menschliche und künstliche Intelligenz-Aktivitäten an. Anstatt künstliche Intelligenz als separate Herausforderung zu behandeln, ermöglicht sie einen einheitlicheren Ansatz, bei dem Verhalten, menschlich oder maschinell, kontinuierlich gemessen, geleitet und innerhalb eines einzigen Belegschafts-Risikomodells gemanagt wird.

Viele Organisationen verlassen sich immer noch auf periodische Sicherheitsbewusstseinsbildung. Warum bricht dieses Modell in modernen Umgebungen zusammen, und wie sieht ein wirklich adaptives, datengetriebenes Vorgehen in der Praxis aus?

Periodische Sicherheitsbewusstseinsbildung bricht zusammen, weil sie für eine statische Bedrohungslandschaft konzipiert wurde und annimmt, dass Risiken durch breite Bildung reduziert werden können. In Wirklichkeit resultieren die meisten Vorfälle aus alltäglichen operativen Verhaltensweisen und nicht aus mangelnder Schulung, und Risiken sind oft auf eine kleine Gruppe von Benutzern konzentriert. Ein adaptiveres, datengetriebeneres Vorgehen konzentriert sich auf die kontinuierliche Identifizierung, wo Risiken tatsächlich existieren, und liefert gezielte, Echtzeit-Anleitung im Arbeitsfluss – von der Absolvierung von Schulungen zu messbarer Risikoreduzierung.

Ihre Plattform betont die Quantifizierung menschlichen Risikos unter Verwendung von Echtzeit-Daten. Welche sind die wichtigsten Signale, die Organisationen heute verfolgen sollten, um Risiken dynamisch und nicht retrospektiv zu verstehen?

Organisationen sollten sich auf Verhalten, Identität und Zugriff sowie Bedrohungsexposition konzentrieren, Signale, die widerspiegeln, wie Risiken entstehen und wo sie sich über die Belegschaft verteilen. Das umfasst nun auch künstliche Intelligenz, einschließlich der Tools, die Mitarbeiter verwenden, der Zugriffe, die diese Systeme haben, und wie sie konfiguriert oder angestoßen werden. Allein genommen sind diese Signale nützlich, aber der wahre Wert liegt darin, wie sie sich zu einer Geschichte über Risiken zusammenfügen.

Zum Beispiel stellt ein Finanzvorstand, der Zugriff auf Finanzsysteme hat, nicht MFA verwendet, künstliche Intelligenz-Tools mit sensiblen Daten verbindet und von Phishing-Kampagnen aktiv angegriffen wird, ein ganz anderes Risikolevel dar als ein BDR mit begrenztem Zugriff und geringerer Exposition. Das Risiko liegt nicht nur in dem, was jemand tut, sondern in dem, was er Zugriff auf hat, den Systemen, die in seinem Namen handeln, und wie oft er angegriffen wird. Wenn man diese Faktoren zusammen sehen kann, kann man verstehen, wo ein Sicherheitsverstoß am wahrscheinlichsten auftreten wird, und in Echtzeit handeln, sei es, indem man den Einzelnen alarmiert, Kontrollen verschärft oder Interventionen für diese Gruppe priorisiert.

Künstliche Intelligenz schafft neue Verwundbarkeiten, aber sie wird auch defensiv eingesetzt. Wohin verschiebt sich das Gleichgewicht, und steuern wir auf einen netto-positiven oder netto-negativen Sicherheitseffekt von künstlicher Intelligenz zu?

Künstliche Intelligenz tut beides: Sie erweitert die Angriffsfläche, während sie auch die Fähigkeit von Organisationen verbessert, Risiken zu erkennen und darauf zu reagieren. Einerseits ermöglicht sie komplexere Workflows und autonome Handlungen, die neue Verwundbarkeiten einführen können; andererseits ermöglicht sie Sicherheitsteams, Verhaltensweisen im großen Maßstab zu analysieren und schneller zu handeln. Wo das Gleichgewicht landet, hängt davon ab, wie gut Organisationen sich anpassen. Derzeit sind viele dabei, auf Sichtbarkeit und Governance aufzuschließen, insbesondere, da künstliche Intelligenz auf Weise eingesetzt wird, die sie noch nicht vollständig kartiert haben. Langfristig kann es netto-positiv sein, aber nur, wenn Organisationen künstliche Intelligenz als Teil der Belegschaft behandeln und den gleichen Grad an Überwachung, Anleitung und Kontrolle anwenden wie bei menschlichem Risiko.

Nicht alle Mitarbeiter oder künstliche Intelligenz-Systeme stellen gleiches Risiko dar. Wie sollten Organisationen Interventionen priorisieren, ohne Reibung oder Überwachung zu erzeugen?

Nicht alle Risiken sind gleich, und sie als gleich zu behandeln, ist es, was Reibung erzeugt. Der Schlüssel liegt darin, sich auf die Konzentration von Risiken zu konzentrieren – da etwa 10% der Benutzer 73% des Risikos verursachen – und gezielte Interventionen dort anzuwenden, anstatt sie breit über die gesamte Belegschaft zu verteilen. Das bedeutet, Verhaltens-, Zugriffs- und Expositionsdaten zu verwenden, um zu bestimmen, wer und was Aufmerksamkeit benötigt, und Anleitung im Arbeitsfluss bereitzustellen, anstatt weitere Kontrollen zu implementieren. Wenn man es richtig macht, reduziert es die Reibung, indem es den sicheren Weg zum einfachsten macht, anstatt die Überwachung über alle zu erhöhen.

Wenn wir fünf Jahre in die Zukunft blicken, wie wird die Sicherheit der Belegschaft aussehen, und was unterschätzen die meisten Organisationen heute noch?

Wenn wir fünf Jahre in die Zukunft blicken, wird die Sicherheit der Belegschaft durch die Fähigkeit definiert sein, Risiken über menschliche und künstliche Intelligenz-Systeme, die zusammenarbeiten, zu verstehen und zu managen. Es wird nicht mehr um periodische Schulungen oder statische Kontrollen gehen, sondern um kontinuierliche Sichtbarkeit, Echtzeit-Risikobewertung und die Fähigkeit, dynamisch zu handeln, wenn sich Verhalten, Zugriff und Bedrohungen ändern. Menschen werden immer noch im Mittelpunkt stehen, aber sie werden sich durch künstliche Intelligenz erweitern, was bedeutet, dass Sicherheit sowohl menschliches als auch künstliches Risiko berücksichtigen muss.

Was die meisten Organisationen heute noch unterschätzen, ist, dass es bereits eine Sichtbarkeitslücke im menschlichen Risiko gibt, und künstliche Intelligenz verschärft dies. Viele denken, sie haben eine künstliche Intelligenz-Strategie, aber in Wirklichkeit fehlt es an Sichtbarkeit in Bezug auf ihre Menschen und die Tools, die diese Menschen verwenden. Schritt eins ist, menschliches Risiko, Verhalten, Zugriff und Exposition gegenüber Bedrohungen zu verstehen. Schritt zwei ist, diese Sichtbarkeit auf die künstlichen Intelligenz-Systeme auszudehnen, die Mitarbeiter verwenden, die nur so mächtig und riskant sind, wie der Zugriff und die Entscheidungen, die Menschen ihnen geben. Ohne diese Grundlage operieren Organisationen nicht nur hinter künstlicher Intelligenz, sondern auch mit wachsenden blinden Flecken über ihre gesamte Belegschaft hinweg.

Vielen Dank für das großartige Interview. Leser, die mehr erfahren möchten, sollten Living Security besuchen.

mm

Antoine ist ein visionärer Führer und Gründungspartner von Unite.AI, getrieben von einer unerschütterlichen Leidenschaft für die Gestaltung und Förderung der Zukunft von KI und Robotik. Ein Serienunternehmer, glaubt er, dass KI so disruptiv für die Gesellschaft sein wird wie Elektrizität, und wird oft dabei ertappt, wie er über das Potenzial disruptiver Technologien und AGI schwärmt.

Als futurist ist er darauf fokussiert, zu erforschen, wie diese Innovationen unsere Welt formen werden. Zusätzlich ist er der Gründer von Securities.io, einer Plattform, die sich auf Investitionen in hochmoderne Technologien konzentriert, die die Zukunft neu definieren und ganze Branchen umgestalten.