Connect with us

Ashley Rose, Living Securityn perustaja ja toimitusjohtaja – Haastattelusarja

Haastattelut

Ashley Rose, Living Securityn perustaja ja toimitusjohtaja – Haastattelusarja

mm
Published

Ashley Rose, Living Securityn perustaja ja toimitusjohtaja, on sarjayrittäjä ja kyberTurvallisuuden innovaattori, joka keskittyy organisaatioiden ihmisen aiheuttaman turvallisuusriskin uudelleenmäärittelyyn. Perustamisestaan lähtien vuonna 2017 hän on johtanut tietopohjaisen, käyttäytymiseen perustuvan lähestymistavan kehittämistä kyberturvallisuuden parantamiseksi, joka siirtyy perinteisestä tietoisuuskoulutuksesta mittaavampaan riskien vähentämiseen ja kulttuurimuutokseen. Hyödyntäen taustaa tuotejohtajuudesta ja yrittäjyydestä, hän on auttanut Living Securityä kasvamaan nopeasti kasvavaan SaaS-alustaksi, jota käyttävät yritysorganisaatiot, ja osallistunut laajemmin kyberturvallisuus ekosysteemiin mentorina, neuvonantajana ja tasa-arvon puolustajana aloilla kuten Women in CyberSecurity.

Living Security on kyberturvallisuuden SaaS-yritys, joka keskittyy ihmisen aiheuttaman riskin hallintaan, auttaen organisaatioita tunnistamaan, mitata ja vähentämään riskejä, jotka liittyvät työntekijöiden käyttäytymiseen. Sen alusta kerää käyttäytymiseen, identiteettiin ja uhkaan liittyvää tietoa, jotta voidaan kohdistaa koulutus ja puuttua riskialttiiden käyttäjien toimintaan ennen kuin heidän toimintansa aiheuttaa tietoturvaongelmia. Yhdistämällä analytiikkaa, automaatiota ja viihdyttäviä koulutusmenetelmiä, kuten simulaatioita ja pelillistettyjä kokemuksia, yritys mahdollistaa yritysten siirtymisen tietoisuuteen perustuvasta turvallisuudesta proaktiiviseen, mittaavampaan riskien vähentämiseen koko työvoimansa osalla.

Perustit Living Securityn vuonna 2017 aikaisemman kokemuksesi jälkeen kuluttajatuotteiden liiketoiminnan rakentamisesta ja skaalauksesta sekä työstä tuoteomistajana. Mikä oli se tarkka hetki tai toteamus, joka johti sinut siirtymään kyberturvallisuuteen ja keskittymään ihmisen aiheuttamaan riskiin, ja miten tuo alkuperäinen väite on kestänyt, kun tekoäly on tullut osaksi työvoimaa?

Vuonna 2017 useimmat organisaatiot käsittelivät tietoturvakoulutusta vain valintaruutuharjoituksena, eikä se vaikuttanut käyttäytymiseen. Ratkaiseva hetki oli tajuta, että jos ihmisen käyttäytyminen aiheutti tietoturvaongelmia, ratkaisu ei voinut olla enää unohtuvaa koulutusta. Living Securityn toinen perustaja Drew Rose johti itse turvallisuusohjelmia ja aloitti niiden pelillistämisen, luoden varhaisia prototyyppejä, jotka muodostuivat tietoturvapakoon. Näimme itse, kuinka kun teimme turvallisuudesta kokemusperäisen, ihmiset osallistuivat, oppivat ja muuttivat todella käyttäytymistään. Tuo muodosti Living Securityn perustan.

Kun Drew ja minä aloimme yhdessä, toteutimme nopeasti, että osallistuminen oli vain lähtökohta. Kun laajensimme näitä kokemuksia alustaksi, alkoimme nähdä käyttäytymismalleja, missä ihmiset kamppailivat ja missä riski keskittyi. Tuo paljasti paljon suuremman aukon: organisaatioilla ei ollut todellista näkyvyyttä ihmisen aiheuttamaan riskiin tai tietä siihen, miten sitä voitiin kohdennetusti vähentää. Tuo oivallus johti meidät kehittymään ihmisen riskin hallintaan, joka on riskin tunnistamista, mitaamista ja vähentämistä yksilöiden käyttäytymisen, pääsyoikeuksien ja uhkien perusteella, eikä pelkästään koulutuksen toimittamista. Kun tekoäly tulee osaksi työvoimaa, alkuperäinen väite on laajentunut: haaste ei ole enää vain ihmisen käyttäytyminen, vaan miten ihmiset ja tekoälyjärjestelmät toimivat yhdessä. Ihmiset ovat edelleen keskiössä, johtavat ja käyttävät nyt tekoälyagentteja, mikä tarkoittaa, että näkyvyys on laajennettava näihin agenteihin ja riski on sidottava takaisin yksilöön. Tuo ohjaa kehitystämme kohti Työvoiman Turvallisuutta.

Olet väittänyt, että ihmisen virhe on riittämätön selitys tietoturvaongelmille. Miten organisaatioiden tulisi uudelleenarvioida työvoiman riskiä, kun sekä ihmisen käyttäytyminen että tekoälytoiminnot vaikuttavat hyökkäyspinta-alaan?

Tietoturvaongelmien kuvaaminen ”ihmisen virheeksi” yksinkertaistaa ongelmaa ja peittää, mistä riski todella johtuu. Ihmisen riski ei ole vain virheistä kysymys, vaan se muotoutuu käyttäytymisen, pääsyoikeuksien ja altistumisen uhille yhdistelmästä. Jotkut työntekijät ovat alttiina herkillä järjestelmillä, jotkut ovat useammin kohteena, ja jotkut osoittavat riskialttiimpaa käyttäytymistä, joten tietoturvaongelmien riski ei ole tasaisesti jakautunut. Todellista riskiä ymmärtääkseen organisaatioiden on saatava näkyvyys siitä, missä nämä tekijät leikkaavat toisiaan ja missä ihmisen riski on olemassa.

Seuraus on, että organisaatioiden on siirryttävä tietoisuuteen perustuvista malleista ja uudelleenarvioitava työvoiman riskiä jaettuna, operatiivisena haasteena, joka kattaa sekä ihmisen riskin että tekoälytoiminnot. Tämä tarkoittaa jatkuvan näkyvyyden keskittymistä siihen, miten työ tehdään, ymmärtämistä siitä, missä riski on keskittynyt, ja kohdennettujen, reaaliaikaisen puuttumisen soveltamista hybridityövoimassa eikä kohdella riskiä eristyneinä käyttäjän virheinä.

Te koälyvälineet luovat koodia, käsittelevät työnkulkua ja tekevät päätöksiä. Missä vaiheessa tekoälyjärjestelmät lopettavat olemasta vain työkaluja ja alkavat käsitellä osana työvoimaa turvallisuuden näkökulmasta?

Te koälyjärjestelmät lopettavat olemasta vain työkaluja ja alkavat käsitellä osana työvoimaa siinä vaiheessa, kun ne toimivat yritysympäristöissä. Siinä vaiheessa ne aiheuttavat riskiä samalla tavoin kuin työntekijät: toiminnan kautta, jolla ne toimivat, valtuuksien kautta, joilla ne toimivat, ja tietojen kautta, joihin ne pääsevät käsiksi. Organisaatioiden on tunnistettava, että tekoälyagentit eivät ole vain tuottavuuden parantajia, vaan ne ovat operatiivisia osallistujia, ja niiden on hallittava, valvottava ja turvattava yhdessä ihmiskäyttäjien kanssa yhdenmukaisessa työvoiman riskimallissa.

Miten yritysten tulisi lähestyä hallintoa, kun riski ei ole enää vain työntekijöiden vaan myös tekoälyagenttien ominaisuus, jotka toimivat vaihtelevilla autonomiatasoilla ja pääsyoikeuksilla?

Yritysten on siirryttävä perustuvasta hallinnosta jatkuvaan, käyttäytymiseen perustuvaan prosessiin, joka koskee sekä ihmisiä että tekoälyagentteja. Useimmat organisaatiot joilla on jo tekoälypolitiikka, mutta aukko on toteutuksessa ja näkyvyydessä, erityisesti kun työntekijät ottavat käyttöön työkaluja, jotka eivät ole hyväksyttyjä ympäristöissä, ja tekoälyjärjestelmät toimivat vaihtelevilla pääsyoikeuksilla.

Tehokas hallinto alkaa selkeästä hyväksytyn käytön määrittelystä roolin ja tietojen pääsyoikeuksien perusteella, mutta se vaatii myös reaaliaikaisen ohjeistuksen, joka on upotettu työnkulkuihin, ja jatkuvaan mittaamiseen, jotta organisaatiot voivat nähdä, missä riski nousee, ja sopeutua siihen. Lopulta hallinto on heijastettava siitä, miten työ toteutuu nykyään: hybridityövoimassa, jossa sekä ihmiset että tekoälyjärjestelmät tekevät päätöksiä, pääsevät tietoihin ja aiheuttavat riskiä.

Living Security on keskittynyt voimakkaasti käyttäytymiseen perustuviin turvallisuusmalleihin. Miten tämä filosofia kääntyy, kun osa käyttäytymisestä tulee nyt tekoälyjärjestelmistä eikä enää ihmisistä?

Living Securityn käyttäytymiseen perustuva lähestymistapa laajenee luonnollisesti tekoälyyn, koska fokus on aina ollut siinä, miten riski syntyy toiminnan kautta, eikä siinä, kuka sen luo. Sekä ihmisillä että tekoälyjärjestelmillä riski ilmenee käyttäytymisessä, tietoihin pääsyyssä, toiminnassa ja päätöksenteossa työnkulkujen sisällä. Kun tekoälyjärjestelmät ottavat enemmän operatiivista vastuuta, sama malli pätee: organisaatioiden on saatava näkyvyys näihin käyttäytymismalleihin, sekä mahdollisuus ohjata ja puuttua niiden toimintaan reaaliajassa.

Se johti Livvyn kehittämiseen, tekoälyälykkyyteen, joka tuottaa Living Securityn alustan – soveltamalla ennustavaa älykkyyttä ja jatkuvaan valvontaa sekä ihmisen että tekoälytoiminnan yli. Sen sijaan, että tekoäly kohdellaan erillisenä haasteena, se mahdollistaa yhdenmukaisemman lähestymistavan, jossa käyttäytyminen, sekä ihmisen että koneen, mitataan jatkuvasti, ohjataan ja hallitaan yhden työvoiman riskimallin puitteissa.

Monet organisaatiot luottavat edelleen jaksolliseen tietoturvakoulutukseen. Miksi tämä malli menee rikki modernissa ympäristöissä, ja miltä näyttää todella sopeutuva, tietopohjainen lähestymistapa käytännössä?

Jaksollinen tietoturvakoulutus menee rikki, koska se on suunniteltu staattiselle uhkakuvalle ja olettaa, että riski voidaan vähentää laajalla koulutuksella. Todellisuudessa useimmat tapahtumat johtuvat arkisen toiminnan käyttäytymisestä, eikä niiden taustalla ole koulutuksen puute, ja riski on usein keskittynyt pienelle osalle käyttäjistä. Enemmän sopeutuva, tietopohjainen lähestymistapa keskittyy jatkuvaan riskin tunnistamiseen ja kohdennettuun, reaaliaikaiseen ohjeistukseen työn kulussa – siirtymällä koulutuksen suorittamisesta mittaavampaan riskien vähentämiseen.

Työvoiman turvallisuus korostaa ihmisen riskin mittaamista käyttäen todellista dataa. Mitkä ovat tärkeimmät signaalit, joita organisaatioiden tulisi seurata tällä hetkellä ymmärtääkseen riskin dynaamisesti eikä retrospektiivisesti?

Organisaatioiden tulisi keskittyä käyttäytymiseen, identiteettiin ja pääsyoikeuksiin sekä uhka-altistumiseen, signaaleihin, jotka heijastavat, miten riski syntyy ja missä se keskittyy työvoimassa. Tuo laajenee nyt myös tekoälyyn, kuten työkaluihin, joita työntekijät käyttävät, pääsyoikeuksiin, joilla nämä järjestelmät toimivat, ja miten ne on määritetty tai ohjelmoitu. Itsessään nämä signaalit ovat hyödyllisiä, mutta todellinen arvo tulee siitä, miten ne yhdessä kertovat tarinan riskistä.

Esimerkiksi talousjohtaja, jolla on pääsy taloudellisiin järjestelmiin, ei käytä monikerroksista todennusta, käyttää tekoälytyökaluja, jotka ovat kytkettyjä herkillä tietoihin, ja jota kohdennetaan aktiivisesti huijausyrityksillä, edustaa eri tasoa riskiä verrattuna BDR:ään, jolla on rajoitettu pääsy ja vähäisempi altistus. Riski ei ole vain siinä, mitä joku tekee, vaan myös siinä, mihin pääsy on, mitkä järjestelmät toimivat heidän puolestaan, ja kuinka usein heitä kohdennetaan. Kun organisaatiot voivat nähdä nämä tekijät yhdessä, he voivat ymmärtää, missä tietoturvaongelma on todennäköisimmin tapahtuva ja ryhtyä toimiin reaaliajassa, joko hälyttämällä yksilöä, kiristämällä valvontaa tai priorisoimalla puuttumista tähän ryhmään.

Te koäly luo uusia haavoittuvuuksia, mutta sitä käytetään myös puolustukseen. Missä määrin tasapaino siirtyy, ja olemme menossa kohti tekoälyn nettopositiivista tai nettonegatiivista turvallisuusvaikutusta?

Te koäly tekee molempia, laajentaa hyökkäyspintaa ja parantaa samalla, miten organisaatiot havaitsevat ja reagoivat riskiin. Toisaalta se mahdollistaa monimutkaisemmat työnkulut ja autonomiset toiminnot, jotka voivat aiheuttaa uusia haavoittuvuuksia; toisaalta se antaa turvallisuusjoukkueille mahdollisuuden analysoida käyttäytymistä laajassa mittakaavassa ja toimia nopeammin. Tasapainon sijainti riippuu siitä, miten hyvin organisaatiot sopeutuvat. Tällä hetkellä monet organisaatiot ovat edelleen kiinni näkyvyyden ja hallinnon kehittämisessä, erityisesti kun tekoälyä käytetään tavoilla, joita he eivät ole täysin kartoittaneet. Pitkällä tähtäimellä se voi olla nettopositiivista, mutta vain jos organisaatiot kohdeltavat tekoälyä osana työvoimaa ja soveltavat samaa tasoa valvontaa, ohjausta ja valvontaa kuin mitä he soveltavat ihmisen aiheuttamaan riskiin.

Ei kaikki työntekijät tai tekoälyjärjestelmät aiheuta yhtä paljon riskiä. Miten organisaatioiden tulisi priorisoida puuttuminen ilman kitkaa tai liiallista valvontaa?

Kaikki riski ei ole samaa. Riskin kohdennettuun puuttumiseen on avain se, missä riski on todella keskittynyt – koska noin 10 % käyttäjistä aiheuttaa 73 % riskistä – ja soveltamaan kohdennettuja puuttumisia sinne, eikä laajasti koko työvoimalle. Tämä tarkoittaa käyttäytymiseen, pääsyoikeuksiin ja altistumiseen liittyvän datan käyttämistä priorisoidakseen, kenelle ja mihin on puuttumisen tarve, ja toimittaa ohjeistusta työnkulun aikana eikä lisää valvontaa kaikille.

Viidessä vuodessa työvoiman turvallisuus näyttää miten? Mitä useimmat organisaatiot aliarvioivat tällä hetkellä?

Viidessä vuodessa työvoiman turvallisuus määritellään siitä, miten hyvin organisaatiot voivat ymmärtää ja hallita riskiä sekä ihmisillä että tekoälyjärjestelmillä, jotka toimivat yhdessä. Se ei ole enää jaksollista koulutusta tai staattista valvontaa, vaan jatkuvaa näkyvyyttä, reaaliaikaista riskiarviointia ja kykyä toimia dynaamisesti, kun käyttäytyminen, pääsy ja uhkat muuttuvat. Ihmiset ovat edelleen keskiössä, mutta he laajentavat itseään tekoälyllä, mikä tarkoittaa, että turvallisuuden on otettava huomioon sekä ihmiset että tekoäly.

Mitä useimmat organisaatiot aliarvioivat, on se, että on jo näkyvyyden aukko ihmisen riskissä tällä hetkellä, ja tekoäly korostaa tätä. Monet luulevat, että heillä on tekoälystrategia, mutta todellisuudessa heillä ei ole näkyvyyttä sekä ihmisiin että työkaluihin, joita heidän työntekijänsä käyttävät. Ensimmäinen askel on ymmärtää ihmisen riski, käyttäytyminen, pääsy ja altistuminen uhille. Toinen askel on laajentaa tämä näkyvyys tekoälyagentteihin, jotka ovat yhtä voimakkaita ja riskialttiita kuin pääsy ja päätökset, jotka ihmiset antavat niille. Ilman tätä perustaa organisaatiot eivät ole vain jäljessä tekoälystä, vaan toimivat laajenevien sokeiden pisteiden kanssa koko työvoimassaan.

Kiitos haastattelusta, lukijat, jotka haluavat oppia lisää, voivat vierailla Living Security -sivustolla.

Related Topics:
mm

Antoine on visionäärinen johtaja ja Unite.AI:n perustajakumppani, jota ohjaa horjumaton intohimo muokata ja edistää tulevaisuuden tekoälyä ja robottiikkaa. Sarjayrittäjänä hän uskoo, että tekoäly tulee olemaan yhtä mullistava yhteiskunnalle kuin sähkö, ja hänestä usein kuuluu ylistyksiä mullistavien teknologioiden ja AGI:n mahdollisuuksista.
Hänen ollessaan futuristi, hän on omistautunut tutkimiseen, miten nämä innovaatiot muokkaavat maailmaamme. Lisäksi hän on Securities.io:n perustaja, joka on alusta, joka keskittyy sijoittamiseen uraauurtaviin teknologioihin, jotka määrittelevät uudelleen tulevaisuuden ja muokkaavat koko sektoreita.