Wawancara
Ashley Rose, Pendiri dan CEO Living Security – Seri Wawancara
Ashley Rose, Pendiri dan CEO Living Security, adalah seorang wirausahawan serial dan inovator keamanan siber yang fokus pada mendefinisikan kembali bagaimana organisasi menangani risiko manusia dalam keamanan. Sejak mendirikan perusahaan pada 2017, ia telah memimpin pengembangan pendekatan berbasis data dan fokus perilaku untuk keamanan siber yang melampaui pelatihan kesadaran tradisional menuju pengurangan risiko yang dapat diukur dan perubahan budaya. Dengan mengandalkan latar belakangnya dalam kepemimpinan produk dan kewirausahaan, ia telah membantu memperluas Living Security menjadi platform SaaS yang tumbuh cepat yang digunakan oleh organisasi perusahaan, sementara juga berkontribusi pada ekosistem keamanan siber yang lebih luas sebagai mentor, penasihat, dan advokat untuk inisiatif seperti Women in CyberSecurity.
Living Security adalah perusahaan SaaS keamanan siber yang fokus pada Manajemen Risiko Manusia, membantu organisasi mengidentifikasi, mengukur, dan mengurangi risiko yang terkait dengan perilaku karyawan. Platformnya menggabungkan data perilaku, identitas, dan ancaman untuk menentukan pengguna berisiko tinggi dan menyampaikan pelatihan dan intervensi yang ditargetkan, dirancang untuk mencegah pelanggaran sebelum terjadi. Dengan menggabungkan analitik, otomatisasi, dan metode pelatihan yang menarik seperti simulasi dan pengalaman yang digamifikasi, perusahaan memungkinkan perusahaan untuk beralih dari kesadaran keamanan yang didorong oleh kepatuhan ke pengurangan risiko yang proaktif dan dapat diukur di seluruh tenaga kerja.
Anda mendirikan Living Security pada 2017 setelah sebelumnya memiliki pengalaman membangun dan memperluas bisnis produk konsumen dan bekerja sebagai pemilik produk. Apa momen atau kesadaran khusus yang menyebabkan Anda beralih ke keamanan siber dan fokus pada risiko manusia, dan bagaimana tesis asli itu bertahan ketika AI menjadi bagian dari tenaga kerja?
Pada 2017, sebagian besar organisasi mengobati pelatihan kesadaran keamanan sebagai latihan kotak centang, dan itu tidak mengubah perilaku. Titik baliknya adalah menyadari bahwa jika perilaku manusia mengarah pada pelanggaran, jawabannya tidak bisa hanya pelatihan yang lebih mudah dilupakan. Drew Rose, Co-Pendiri Living Security, menjalankan program keamanan sendiri dan mulai menggamifikasi mereka, membangun prototipe awal yang menjadi ruang pelarian keamanan siber. Kami melihat langsung bahwa ketika Anda membuat keamanan menjadi pengalaman, orang-orang terlibat, belajar, dan benar-benar mengubah perilaku. Itulah yang menjadi dasar untuk Living Security.
Sebagai co-pendiri, Drew dan saya dengan cepat menyadari bahwa keterlibatan hanya merupakan awal. Ketika kami memperluas pengalaman tersebut menjadi platform, kami mulai melihat pola dalam cara orang berperilaku, di mana mereka bergelut, dan di mana risiko sebenarnya terkonsentrasi. Itu mengungkapkan kesenjangan yang jauh lebih besar: organisasi tidak memiliki visibilitas nyata ke risiko manusia atau bagaimana menguranginya dengan cara yang ditargetkan. Wawasan itu memimpin kami untuk mempelopori Manajemen Risiko Manusia, yang tentang mengidentifikasi, mengukur, dan mengurangi risiko berdasarkan perilaku individu, akses, dan ancaman, bukan hanya menyampaikan pelatihan. Ketika AI menjadi terintegrasi ke dalam tenaga kerja, tesis asli itu hanya berkembang: tantangan tidak lagi hanya perilaku manusia, tetapi bagaimana manusia dan sistem AI bekerja bersama. Manusia masih berada di pusat, sekarang mengelola dan menerapkan agen AI, yang berarti Anda harus memperluas visibilitas ke agen-agen tersebut dan menghubungkan risiko itu kembali ke individu. Itulah yang mendorong evolusi kami ke dalam Keamanan Tenaga Kerja.
Anda telah berargumen bahwa kesalahan manusia adalah penjelasan yang tidak lengkap untuk pelanggaran. Bagaimana organisasi harus memikirkan kembali risiko tenaga kerja hari ini ketika baik perilaku manusia maupun tindakan yang didorong AI menyumbang pada permukaan serangan?
Menggambarkan pelanggaran sebagai “kesalahan manusia” menyederhanakan masalah dan mengaburkan dari mana risiko sebenarnya berasal. Risiko manusia tidak hanya tentang kesalahan, tetapi dibentuk oleh kombinasi perilaku, akses, dan paparan terhadap ancaman. Beberapa karyawan memiliki akses istimewa ke sistem sensitif, beberapa ditargetkan lebih sering, dan beberapa menunjukkan perilaku yang lebih berisiko, sehingga risiko pelanggaran tidak merata. Untuk benar-benar memahami risiko, organisasi perlu memiliki visibilitas ke mana faktor-faktor tersebut berpotongan dan di mana risiko manusia ada.
Sebagai hasilnya, organisasi perlu melampaui model berbasis kesadaran dan memikirkan kembali risiko tenaga kerja sebagai tantangan operasional bersama, satu yang meliputi baik risiko manusia maupun tindakan yang didorong AI. Ini berarti fokus pada visibilitas terus-menerus tentang bagaimana pekerjaan dilakukan, memahami di mana risiko terkonsentrasi, dan menerapkan intervensi yang ditargetkan, real-time di seluruh tenaga kerja hibrid, bukan mengobati risiko sebagai kesalahan pengguna yang terisolasi.
Alat AI sekarang menghasilkan kode, menangani alur kerja, dan bahkan membuat keputusan. Pada titik mana sistem AI berhenti menjadi alat dan mulai diperlakukan sebagai bagian dari tenaga kerja dari perspektif keamanan?
Sistem AI berhenti menjadi hanya alat dan mulai menjadi bagian dari tenaga kerja saat mereka mengambil tindakan di dalam lingkungan perusahaan. Pada titik itu, mereka memperkenalkan risiko dengan cara yang sama seperti karyawan: melalui tindakan yang mereka lakukan, izin yang mereka operasikan, dan data yang mereka sentuh. Perubahan untuk organisasi adalah mengakui bahwa agen AI tidak hanya lapisan produktivitas—mereka adalah peserta operasional, dan mereka perlu diatur, dipantau, dan diamankan bersama dengan pengguna manusia dalam model risiko tenaga kerja yang terpadu.
Bagaimana perusahaan harus mendekati tata kelola ketika risiko tidak lagi terbatas pada karyawan, tetapi meluas ke agen AI yang beroperasi dengan tingkat otonomi dan akses yang bervariasi?
Perusahaan perlu melampaui tata kelola berbasis kebijakan dan memperlakukannya sebagai proses yang berkelanjutan, didorong oleh perilaku yang berlaku untuk baik manusia maupun agen AI. Sebagian besar organisasi sudah memiliki kebijakan AI di tempat, tetapi kesenjangan ada dalam penegakan dan visibilitas, terutama karena karyawan mengadopsi alat di luar lingkungan yang disetujui dan sistem AI beroperasi dengan tingkat akses yang bervariasi.
Tata kelola yang efektif dimulai dengan mendefinisikan penggunaan yang dapat diterima berdasarkan peran dan akses data, tetapi juga memerlukan bimbingan real-time yang tertanam dalam alur kerja dan pengukuran terus-menerus sehingga organisasi dapat melihat di mana risiko muncul dan beradaptasi. Pada akhirnya, tata kelola harus mencerminkan bagaimana pekerjaan sebenarnya terjadi hari ini: di seluruh tenaga kerja hibrid di mana baik manusia maupun sistem AI membuat keputusan, mengakses data, dan memperkenalkan risiko.
Living Security telah fokus berat pada model keamanan yang didorong oleh perilaku. Bagaimana filosofi itu diterjemahkan ketika sebagian perilaku sekarang berasal dari sistem AI daripada manusia?
Pendekatan yang didorong oleh perilaku dari Living Security secara alami diperluas ke AI karena fokusnya tidak pernah hanya pada siapa yang menciptakan risiko, tetapi bagaimana risiko diperkenalkan melalui tindakan. Baik itu orang atau sistem AI, risiko muncul dalam perilaku, bagaimana data diakses, tindakan apa yang diambil, dan bagaimana keputusan dilaksanakan di dalam alur kerja. Ketika sistem AI mengambil tanggung jawab operasional yang lebih besar, model yang sama berlaku: organisasi perlu memiliki visibilitas ke perilaku tersebut, bersama dengan kemampuan untuk membimbing dan mengintervensi secara real-time.
Itulah yang memimpin pengembangan Livvy, kecerdasan AI yang memuat platform Living Security—menerapkan kecerdasan prediktif dan pemantauan terus-menerus di seluruh aktivitas manusia dan AI. Alih-alih mengobati AI sebagai tantangan terpisah, itu memungkinkan pendekatan yang lebih terpadu di mana perilaku, baik manusia maupun mesin, secara terus-menerus diukur, dibimbing, dan dikelola dalam model risiko tenaga kerja tunggal.
Banyak organisasi masih mengandalkan pelatihan kesadaran keamanan berkala. Mengapa model ini gagal dalam lingkungan modern, dan apa yang terlihat seperti pendekatan yang benar-benar adaptif dan didorong oleh data dalam prakteknya?
Pelatihan kesadaran keamanan berkala gagal karena dibangun untuk lanskap ancaman statis dan mengasumsikan risiko dapat dikurangi melalui pendidikan yang luas. Dalam kenyataan, sebagian besar insiden berasal dari perilaku operasional sehari-hari, bukan kurangnya pelatihan, dan risiko sering terkonsentrasi di antara subset kecil pengguna. Pendekatan yang lebih adaptif dan didorong oleh data fokus pada mengidentifikasi secara terus-menerus di mana risiko sebenarnya ada dan menyampaikan bimbingan yang ditargetkan, real-time dalam alur kerja—bergeser dari pelatihan yang selesai ke pengurangan risiko yang dapat diukur.
Platform Anda menekankan mengukur risiko manusia menggunakan data dunia nyata. Apa sinyal paling penting yang harus dilacak organisasi hari ini untuk memahami risiko secara dinamis daripada retrospektif?
Organisasi harus fokus pada perilaku, identitas dan akses, dan paparan ancaman, sinyal yang mencerminkan bagaimana risiko diciptakan dan di mana risiko terkonsentrasi di seluruh tenaga kerja. Itu sekarang juga meluas ke AI, termasuk alat apa yang digunakan karyawan, akses apa yang dimiliki sistem tersebut, dan bagaimana mereka dikonfigurasi atau dipicu. Sendiri, sinyal-sinyal ini berguna, tetapi nilai sebenarnya datang dari bagaimana mereka bersama-sama menceritakan kisah tentang risiko.
Misalnya, seorang CFO yang memiliki akses ke sistem keuangan, tidak menggunakan MFA, menggunakan alat AI yang terhubung ke data sensitif, dan secara aktif ditargetkan oleh kampanye phishing mewakili tingkat risiko yang sangat berbeda dibandingkan dengan BDR yang memiliki akses terbatas dan paparan yang lebih rendah. Risiko tidak hanya dalam apa yang dilakukan seseorang, tetapi dalam apa yang mereka akses, sistem yang beroperasi atas nama mereka, dan seberapa sering mereka ditargetkan. Ketika Anda dapat melihat faktor-faktor tersebut bersama-sama, Anda dapat memahami di mana pelanggaran paling mungkin terjadi dan mengambil tindakan secara real-time, apakah itu mengingatkan individu, mengencangkan kontrol, atau memprioritaskan intervensi untuk kelompok tersebut.
AI menciptakan kerentanan baru, tetapi juga digunakan secara defensif. Di mana keseimbangan bergeser, dan apakah kita menuju dampak keamanan bersih positif atau negatif dari AI?
AI melakukan keduanya, memperluas permukaan serangan sambil juga meningkatkan kemampuan organisasi untuk mendeteksi dan menanggapi risiko. Di satu sisi, itu memungkinkan alur kerja yang lebih kompleks dan tindakan otonom yang dapat memperkenalkan kerentanan baru; di sisi lain, itu memungkinkan tim keamanan untuk menganalisis perilaku dalam skala dan bertindak lebih cepat. Di mana keseimbangan berada tergantung pada seberapa baik organisasi beradaptasi. Saat ini, banyak yang masih mengejar visibilitas dan tata kelola, terutama karena AI digunakan dengan cara yang belum mereka peta dengan baik. Dalam jangka panjang, itu bisa menjadi positif bersih, tetapi hanya jika organisasi memperlakukan AI sebagai bagian dari tenaga kerja dan menerapkan tingkat pemantauan, bimbingan, dan kontrol yang sama seperti yang mereka lakukan untuk risiko yang didorong oleh manusia.
Tidak semua karyawan atau sistem AI memiliki risiko yang sama. Bagaimana organisasi harus memprioritaskan intervensi tanpa menciptakan gesekan atau pengawasan berlebihan?
Tidak semua risiko sama, dan memperlakukannya dengan cara itu adalah yang menciptakan gesekan. Kunci adalah fokus pada di mana risiko sebenarnya terkonsentrasi—karena sekitar 10% dari pengguna mengemudi 73% risiko—dan menerapkan intervensi yang ditargetkan di sana daripada secara luas di seluruh tenaga kerja. Itu berarti menggunakan data perilaku, akses, dan paparan untuk memprioritaskan siapa dan apa yang memerlukan perhatian, dan menyampaikan bimbingan dalam alur kerja daripada menambahkan kontrol lebih banyak. Dilakukan dengan benar, itu mengurangi gesekan dengan membuat jalur yang aman menjadi yang paling mudah diikuti, bukan meningkatkan pengawasan di seluruh orang.
Jika kita melompat maju lima tahun, seperti apa keamanan tenaga kerja akan terlihat, dan apa yang sebagian besar organisasi masih meremehkan hari ini?
Jika kita melompat maju lima tahun, keamanan tenaga kerja akan ditentukan oleh seberapa baik organisasi dapat memahami dan mengelola risiko di seluruh manusia dan agen AI yang beroperasi bersama. Ini tidak akan tentang pelatihan berkala atau kontrol statis, itu akan tentang visibilitas terus-menerus, penilaian risiko real-time, dan kemampuan untuk mengambil tindakan secara dinamis ketika perilaku, akses, dan ancaman berubah. Manusia masih akan berada di pusat, tetapi mereka akan mengelola dan memperluas diri mereka melalui AI, yang berarti keamanan harus mempertimbangkan keduanya.
Apa yang sebagian besar organisasi masih meremehkan adalah bahwa ada kesenjangan visibilitas dalam risiko manusia hari ini, dan AI memperburuknya. Banyak yang berpikir mereka memiliki strategi AI, tetapi dalam kenyataan, mereka kekurangan visibilitas ke orang-orang dan alat yang digunakan orang-orang tersebut. Langkah pertama adalah memahami risiko manusia, perilaku, akses, dan paparan terhadap ancaman. Langkah kedua adalah memperluas visibilitas tersebut ke agen AI yang digunakan karyawan, yang hanya sekuat dan berisiko seperti akses dan keputusan yang diberikan manusia. Tanpa dasar itu, organisasi tidak hanya tertinggal dalam AI, mereka beroperasi dengan blind spot yang tumbuh di seluruh tenaga kerja mereka.
Terima kasih atas wawancara yang luar biasa, pembaca yang ingin mempelajari lebih lanjut harus mengunjungi Living Security.
