Connect with us

Ashley Rose, Fundadora y CEO de Living Security – Serie de Entrevistas

Entrevistas

Ashley Rose, Fundadora y CEO de Living Security – Serie de Entrevistas

mm
Published

Ashley Rose, Fundadora y CEO de Living Security, es una empresaria serial y innovadora en ciberseguridad enfocada en redefinir cómo las organizaciones abordan el riesgo humano en la seguridad. Desde que fundó la empresa en 2017, ha liderado el desarrollo de un enfoque de ciberseguridad basado en datos y centrado en el comportamiento que va más allá de la formación de conciencia tradicional hacia la reducción de riesgos medibles y el cambio cultural. Apoyándose en su experiencia en liderazgo de productos y empresariado, ha ayudado a escalar a Living Security hasta convertirla en una plataforma de SaaS de crecimiento rápido utilizada por organizaciones empresariales, mientras también contribuye al ecosistema más amplio de ciberseguridad como mentora, asesora y defensora de iniciativas como Women in CyberSecurity.

Living Security es una empresa de SaaS de ciberseguridad que se enfoca en la Gestión de Riesgo Humano, ayudando a las organizaciones a identificar, medir y reducir los riesgos asociados con el comportamiento de los empleados. Su plataforma agrega datos de comportamiento, identidad y amenazas para identificar a los usuarios de alto riesgo y ofrecer capacitación y intervenciones dirigidas en tiempo real diseñadas para prevenir violaciones antes de que ocurran. Al combinar análisis, automatización y métodos de capacitación atractivos como simulaciones y experiencias de juego, la empresa permite a las empresas cambiar de la conciencia de seguridad basada en el cumplimiento a la reducción de riesgos proactiva y medible en toda su fuerza laboral.

Fundaste Living Security en 2017 después de experiencia previa en la construcción y escalado de un negocio de productos de consumo y trabajar como propietaria de productos. ¿Qué momento o realización específica te llevó a cambiar hacia la ciberseguridad y enfocarte en el riesgo humano, y cómo ha mantenido su validez esa tesis original a medida que la IA se convierte en parte de la fuerza laboral?

En 2017, la mayoría de las organizaciones trataban la formación de conciencia sobre la seguridad como un ejercicio de casilla, y no estaba cambiando el comportamiento. El punto de inflexión fue darse cuenta de que si el comportamiento humano estaba impulsando las violaciones, la respuesta no podía ser más capacitación olvidable. Drew Rose, Co-Fundador de Living Security, estaba ejecutando programas de seguridad él mismo y comenzó a gamificarlos, construyendo prototipos tempranos que se convirtieron en salas de escape de ciberseguridad. Vimos de primera mano que cuando se hacía que la seguridad fuera experiencial, las personas se involucraban, aprendían y realmente cambiaban de comportamiento. Eso se convirtió en la base para Living Security.

Como co-fundadores, Drew y yo nos dimos cuenta rápidamente de que el compromiso era solo el punto de partida. A medida que escalábamos esas experiencias a una plataforma, comenzamos a ver patrones en cómo las personas se comportaban, dónde luchaban y dónde el riesgo estaba realmente concentrado. Eso expuso una brecha mucho más grande: las organizaciones no tenían visibilidad real en el riesgo humano ni en cómo reducirlo de manera dirigida. Esa perspicacia nos llevó a pionear la Gestión de Riesgo Humano, que se trata de identificar, medir y reducir el riesgo basado en el comportamiento individual, el acceso y las amenazas, no solo en la entrega de capacitación. A medida que la IA se incorpora a la fuerza laboral, esa tesis original solo se ha expandido: el desafío ya no es solo el comportamiento humano, sino cómo los humanos y los sistemas de IA operan juntos. Los humanos siguen estando en el centro, ahora gestionando y desplegando agentes de IA, lo que significa que debes extender la visibilidad a esos agentes y vincular ese riesgo al individuo. Eso es lo que impulsa nuestra evolución hacia la Seguridad de la Fuerza Laboral.

Has argumentado que el error humano es una explicación incompleta para las violaciones. ¿Cómo deberían las organizaciones replantear el riesgo de la fuerza laboral hoy en día, cuando tanto el comportamiento humano como las acciones impulsadas por la IA contribuyen a la superficie de ataque?

Enmarcar las violaciones como “error humano” simplifica demasiado el problema y oculta de dónde proviene realmente el riesgo. El riesgo humano no se trata solo de errores, está moldeado por una combinación de comportamiento, acceso y exposición a amenazas. Algunos empleados tienen acceso privilegiado a sistemas sensibles, algunos son objetivo de ataques con más frecuencia, y algunos exhiben comportamientos más riesgosos, por lo que el riesgo de violaciones no está distribuido uniformemente. Para comprender realmente el riesgo, las organizaciones necesitan visibilidad en dónde se intersectan esos factores y dónde existe el riesgo humano.

Como resultado, las organizaciones necesitan ir más allá de los modelos basados en la conciencia y replantear el riesgo de la fuerza laboral como un desafío operacional compartido, uno que abarca tanto el riesgo humano como las acciones impulsadas por la IA. Esto significa centrarse en la visibilidad continua de cómo se realiza el trabajo, entender dónde se concentra el riesgo y aplicar intervenciones dirigidas y en tiempo real en toda la fuerza laboral híbrida, en lugar de tratar el riesgo como errores aislados de los usuarios.

¿En qué punto los sistemas de IA dejan de ser herramientas y comienzan a ser tratados como parte de la fuerza laboral desde una perspectiva de seguridad?

Los sistemas de IA dejan de ser solo herramientas y comienzan a ser parte de la fuerza laboral en el momento en que toman acción dentro de los entornos empresariales. En ese punto, introducen riesgo de la misma manera que los empleados: a través de las acciones que toman, los permisos con los que operan y los datos que tocan. El cambio para las organizaciones es reconocer que los agentes de IA no son solo capas de productividad, sino participantes operativos, y necesitan ser gobernados, monitoreados y seguros junto con los usuarios humanos dentro de un modelo de riesgo de la fuerza laboral unificado.

¿Cómo deberían las empresas abordar la gobernanza cuando el riesgo ya no se limita a los empleados, sino que se extiende a los agentes de IA que operan con diferentes niveles de autonomía y acceso?

Las empresas necesitan ir más allá de la gobernanza basada en políticas y tratarla como un proceso continuo y dirigido por el comportamiento que se aplica tanto a los humanos como a los agentes de IA. La mayoría de las organizaciones ya tienen políticas de IA en lugar, pero la brecha está en la aplicación y la visibilidad, especialmente a medida que los empleados adoptan herramientas más allá de los entornos sancionados y los sistemas de IA operan con diferentes niveles de acceso.

La gobernanza efectiva comienza con la definición clara del uso aceptable basado en el rol y el acceso a los datos, pero también requiere orientación en tiempo real incorporada en los flujos de trabajo y medición continua para que las organizaciones puedan ver dónde emerge el riesgo y adaptarse. En última instancia, la gobernanza debe reflejar cómo realmente sucede el trabajo hoy en día: a través de una fuerza laboral híbrida donde tanto los humanos como los sistemas de IA toman decisiones, acceden a datos y introducen riesgo.

Living Security se ha centrado mucho en modelos de seguridad basados en el comportamiento. ¿Cómo se traduce esa filosofía cuando algunos comportamientos ahora provienen de sistemas de IA en lugar de humanos?

El enfoque basado en el comportamiento de Living Security se extiende de manera natural a la IA porque el enfoque nunca ha sido solo en quién crea el riesgo, sino en cómo se introduce el riesgo a través de las acciones. Ya sea una persona o un sistema de IA, el riesgo se presenta en el comportamiento, en cómo se accede a los datos, en las acciones que se toman y en cómo se ejecutan las decisiones dentro de los flujos de trabajo. A medida que los sistemas de IA asumen más responsabilidad operativa, ese mismo modelo se aplica: las organizaciones necesitan visibilidad en esos comportamientos, junto con la capacidad de guiar y intervenir en tiempo real.

Eso llevó al desarrollo de Livvy, la inteligencia de IA que impulsa la plataforma de Living Security, aplicando inteligencia predictiva y monitoreo continuo en ambos la actividad humana y la de IA. En lugar de tratar a la IA como un desafío separado, permite un enfoque más unificado donde el comportamiento, humano o máquina, se mide, guía y gestiona continuamente dentro de un modelo de riesgo de la fuerza laboral único.

Muchas organizaciones aún dependen de la capacitación de conciencia sobre la seguridad periódica. ¿Por qué este modelo se desmorona en entornos modernos, y qué aspecto tiene un enfoque verdaderamente adaptativo y basado en datos en la práctica?

La capacitación de conciencia sobre la seguridad periódica se desmorona porque se construyó para un paisaje de amenazas estático y asume que el riesgo se puede reducir a través de la educación general. En realidad, la mayoría de los incidentes provienen de comportamientos operativos cotidianos, no de la falta de capacitación, y el riesgo a menudo se concentra entre un pequeño subconjunto de usuarios. Un enfoque más adaptativo y basado en datos se centra en identificar continuamente dónde existe realmente el riesgo y en ofrecer orientación dirigida y en tiempo real en el flujo de trabajo, cambiando de la finalización de la capacitación a la reducción de riesgos medibles.

Su plataforma enfatiza la cuantificación del riesgo humano utilizando datos del mundo real. ¿Cuáles son las señales más importantes que las organizaciones deben rastrear hoy en día para comprender el riesgo de manera dinámica en lugar de retrospectiva?

Las organizaciones deben centrarse en el comportamiento, la identidad y el acceso, y la exposición a las amenazas, señales que reflejan cómo se crea el riesgo y dónde se concentra en la fuerza laboral. Eso ahora se extiende a la IA también, incluyendo qué herramientas están utilizando los empleados, qué acceso tienen esos sistemas y cómo se configuran o promueven. Por sí solas, estas señales son útiles, pero el valor real proviene de cómo se unen para contar una historia sobre el riesgo.

Por ejemplo, un CFO que tiene acceso a sistemas financieros, no utiliza autenticación de dos factores, utiliza herramientas de IA conectadas a datos sensibles y es objetivo de campañas de phishing activas, representa un nivel de riesgo muy diferente al de un BDR con acceso limitado y menor exposición. El riesgo no está solo en lo que alguien hace, sino en lo que tiene acceso, los sistemas que actúan en su nombre y con qué frecuencia son objetivo. Cuando puedes ver esos factores juntos, puedes entender dónde es más probable que ocurra una violación y tomar medidas en tiempo real, ya sea alertando al individuo, restringiendo los controles o priorizando la intervención para ese grupo.

La IA está creando nuevas vulnerabilidades, pero también se está utilizando de manera defensiva. ¿Hacia dónde se está desplazando el equilibrio, y nos dirigimos hacia un impacto de seguridad neto positivo o neto negativo de la IA?

La IA está haciendo ambas cosas, expandiendo la superficie de ataque mientras también mejora cómo las organizaciones detectan y responden al riesgo. Por un lado, permite flujos de trabajo más complejos y acciones autónomas que pueden introducir nuevas vulnerabilidades; por otro, permite a los equipos de seguridad analizar el comportamiento a escala y actuar más rápidamente. Donde aterriza el equilibrio depende de cómo se adapten las organizaciones. Actualmente, muchas todavía están atrapadas en la visibilidad y la gobernanza, especialmente a medida que la IA se utiliza de maneras que no han mapeado completamente. A largo plazo, puede ser neto positivo, pero solo si las organizaciones tratan a la IA como parte de la fuerza laboral y aplican el mismo nivel de monitoreo, orientación y control que aplican para el riesgo impulsado por humanos.

No todos los empleados o sistemas de IA representan un riesgo igual. ¿Cómo deberían las organizaciones priorizar la intervención sin crear fricción o sobrevigilancia?

No todo el riesgo es igual, y tratarlo como si lo fuera es lo que crea fricción. La clave es centrarse en dónde se concentra realmente el riesgo —ya que aproximadamente 10% de los usuarios impulsan el 73% del riesgo— y aplicar intervenciones dirigidas allí en lugar de hacerlo de manera generalizada en toda la fuerza laboral. Eso significa utilizar datos de comportamiento, acceso y exposición para priorizar quién y qué necesita atención, y ofrecer orientación en el flujo de trabajo en lugar de agregar más controles. Si se hace correctamente, reduce la fricción al hacer que el camino seguro sea el más fácil de seguir, en lugar de aumentar la vigilancia en todos.

Si avanzamos cinco años, ¿cómo será la seguridad de la fuerza laboral, y qué es lo que la mayoría de las organizaciones subestiman hoy en día?

Si avanzamos cinco años, la seguridad de la fuerza laboral estará definida por cómo bien las organizaciones puedan comprender y gestionar el riesgo a través de ambos humanos y agentes de IA que operan juntos. No se tratará de capacitación periódica o controles estáticos, se tratará de visibilidad continua, evaluación de riesgo en tiempo real y la capacidad de tomar medidas de manera dinámica a medida que cambian el comportamiento, el acceso y las amenazas. Los humanos seguirán estando en el centro, pero estarán gestionando y extendiendo su capacidad a través de la IA, lo que significa que la seguridad debe dar cuenta tanto de los humanos como de la IA.

Lo que la mayoría de las organizaciones subestiman es que ya existe una brecha de visibilidad en el riesgo humano hoy en día, y la IA está amplificando esa brecha. Muchos piensan que tienen una estrategia de IA, pero en realidad, carecen de visibilidad en tanto sus personas como las herramientas que esas personas están utilizando. El paso uno es entender el riesgo humano, el comportamiento, el acceso y la exposición a las amenazas. El paso dos es extender esa visibilidad a los agentes de IA que los empleados están utilizando, que son tan poderosos y riesgosos como el acceso y las decisiones que los humanos les dan. Sin esa base, las organizaciones no solo están atrasadas en cuanto a la IA, sino que operan con puntos ciegos crecientes en toda su fuerza laboral.

Gracias por la gran entrevista, los lectores que deseen aprender más pueden visitar Living Security.

mm

Antoine es un líder visionario y socio fundador de Unite.AI, impulsado por una pasión inquebrantable por dar forma y promover el futuro de la IA y la robótica. Un empresario serial, cree que la IA será tan disruptiva para la sociedad como la electricidad, y a menudo se le escucha hablando con entusiasmo sobre el potencial de las tecnologías disruptivas y la AGI. Como un futurista, está dedicado a explorar cómo estas innovaciones darán forma a nuestro mundo. Además, es el fundador de Securities.io, una plataforma enfocada en invertir en tecnologías de vanguardia que están redefiniendo el futuro y remodelando sectores enteros.