Connect with us

Ashley Rose, Fondatrice e Amministratore Delegato di Living Security – Serie di Interviste

Interviste

Ashley Rose, Fondatrice e Amministratore Delegato di Living Security – Serie di Interviste

mm
Published

Ashley Rose, Fondatrice e Amministratore Delegato di Living Security, è un’imprenditrice seriale e innovatrice nel settore della sicurezza informatica, focalizzata sulla ridefinizione di come le organizzazioni affrontano il rischio umano nella sicurezza. Dal momento della fondazione dell’azienda nel 2017, ha guidato lo sviluppo di un approccio basato sui dati e focalizzato sul comportamento per la sicurezza informatica, che va oltre la formazione tradizionale sulla consapevolezza verso una riduzione del rischio misurabile e un cambiamento culturale. Attingendo alla sua esperienza nella leadership dei prodotti e nell’imprenditorialità, ha aiutato a far crescere Living Security in una piattaforma SaaS in rapida crescita utilizzata da organizzazioni aziendali, contribuendo anche all’ecosistema più ampio della sicurezza informatica come mentore, consigliere e sostenitrice di iniziative come Women in CyberSecurity.

Living Security è un’azienda di sicurezza informatica SaaS che si concentra sulla gestione del rischio umano, aiutando le organizzazioni a identificare, misurare e ridurre i rischi associati al comportamento dei dipendenti. La sua piattaforma aggrega dati comportamentali, di identità e di minaccia per individuare gli utenti ad alto rischio e fornire formazione e interventi mirati e in tempo reale progettati per prevenire violazioni prima che si verifichino. Combinando analisi, automazione e metodi di formazione coinvolgenti come simulazioni ed esperienze gamificate, l’azienda consente alle imprese di passare da una sicurezza basata sulla conformità a una riduzione del rischio proattiva e misurabile in tutta la forza lavoro.

Ha fondato Living Security nel 2017 dopo aver acquisito esperienza nella costruzione e nel scaling di un’azienda di prodotti per consumatori e aver lavorato come proprietario di prodotto. Qual è stato il momento o la realizzazione specifica che l’ha portata a spostarsi verso la sicurezza informatica e a concentrarsi sul rischio umano, e come è stata confermata la tesi originale con l’introduzione dell’AI nella forza lavoro?

Nel 2017, la maggior parte delle organizzazioni trattava la formazione sulla consapevolezza della sicurezza come un esercizio di spunta, e non stava cambiando il comportamento. Il punto di svolta è stato rendersi conto che se il comportamento umano stava causando violazioni, la risposta non poteva essere ulteriore formazione dimenticabile. Drew Rose, co-fondatore di Living Security, stava gestendo programmi di sicurezza lui stesso e aveva iniziato a gamificare, costruendo prototipi precoci che divennero stanze di fuga di sicurezza informatica. Abbiamo visto di persona che quando si rendeva la sicurezza esperienziale, le persone si impegnano, imparano e cambiano effettivamente il comportamento. Quello è diventato il fondamento per Living Security.

In qualità di co-fondatori, Drew e io ci siamo resi conto rapidamente che l’engagement era solo l’inizio. Mentre scalavamo quelle esperienze in una piattaforma, abbiamo iniziato a vedere modelli nel modo in cui le persone si comportavano, dove lottavano e dove il rischio era effettivamente concentrato. Ciò ha esposto un divario molto più ampio: le organizzazioni non avevano alcuna visibilità reale sul rischio umano o su come ridurlo in modo mirato. Quell’intuizione ci ha portato a pionierare la gestione del rischio umano, che consiste nell’identificare, misurare e ridurre il rischio in base al comportamento individuale, all’accesso e alle minaccia, e non solo nel fornire formazione. Con l’introduzione dell’AI nella forza lavoro, la tesi originale si è solo estesa: la sfida non è più solo il comportamento umano, ma come gli esseri umani e i sistemi AI operano insieme. Gli esseri umani sono ancora al centro, ora gestiscono e distribuiscono agenti AI, il che significa che devi estendere la visibilità a quegli agenti e legare quel rischio all’individuo. È questo che sta guidando la nostra evoluzione verso la sicurezza della forza lavoro.

Ha sostenuto che l’errore umano è una spiegazione incompleta per le violazioni. Come dovrebbero le organizzazioni rivedere il rischio della forza lavoro oggi, quando sia il comportamento umano che le azioni guidate dall’AI contribuiscono alla superficie di attacco?

Inquadrare le violazioni come “errore umano” semplifica eccessivamente il problema e oscura da dove provenga effettivamente il rischio. Il rischio umano non riguarda solo gli errori, è plasmato da una combinazione di comportamento, accesso ed esposizione alle minacce. Alcuni dipendenti hanno accesso privilegiato a sistemi sensibili, alcuni sono bersagliati più frequentemente e alcuni esibiscono comportamenti più rischiosi, quindi il rischio di violazioni non è distribuito uniformemente. Per comprendere veramente il rischio, le organizzazioni devono avere visibilità su dove quei fattori si intersecano e dove esiste il rischio umano.

Di conseguenza, le organizzazioni devono andare oltre i modelli basati sulla consapevolezza e rivedere il rischio della forza lavoro come una sfida operativa condivisa, che copre sia il rischio umano che le azioni guidate dall’AI. Ciò significa concentrarsi sulla visibilità continua di come il lavoro viene eseguito, capire dove il rischio è concentrato e applicare interventi mirati e in tempo reale in tutta la forza lavoro ibrida, piuttosto che trattare il rischio come errori isolati degli utenti.

Gli strumenti AI stanno ora redigendo codice, gestendo flussi di lavoro ed effettuando decisioni. A che punto gli strumenti AI smettono di essere strumenti e iniziano a essere trattati come parte della forza lavoro dal punto di vista della sicurezza?

Gli strumenti AI smettono di essere solo strumenti e iniziano a essere parte della forza lavoro nel momento in cui agiscono all’interno degli ambienti aziendali. A quel punto, introducono rischi nello stesso modo in cui lo fanno i dipendenti: attraverso le azioni che eseguono, le autorizzazioni con cui operano e i dati che toccano. La sfida per le organizzazioni è riconoscere che gli agenti AI non sono solo strati di produttività – sono partecipanti operativi e devono essere governati, monitorati e protetti insieme agli utenti umani all’interno di un modello di rischio della forza lavoro unificato.

Come dovrebbero le imprese affrontare la governance quando il rischio non è più limitato ai dipendenti, ma si estende agli agenti AI che operano con livelli di autonomia e accesso variabili?

Le imprese devono andare oltre la governance basata sulle politiche e trattarla come un processo continuo e guidato dal comportamento che si applica sia agli esseri umani che agli agenti AI. La maggior parte delle organizzazioni ha già politiche AI in atto, ma il divario è nell’applicazione e nella visibilità, specialmente mentre i dipendenti adottano strumenti al di fuori degli ambienti autorizzati e i sistemi AI operano con livelli di accesso variabili.

Una governance efficace inizia con la definizione chiara dell’uso accettabile in base al ruolo e all’accesso ai dati, ma richiede anche indicazioni in tempo reale incorporate nei flussi di lavoro e misurazione continua in modo che le organizzazioni possano vedere dove emerge il rischio e adattarsi. In ultima analisi, la governance deve riflettere come il lavoro viene effettivamente eseguito oggi: in tutta la forza lavoro ibrida dove sia gli esseri umani che i sistemi AI prendono decisioni, accedono ai dati e introducono rischi.

Living Security si è concentrata fortemente su modelli di sicurezza guidati dal comportamento. Come si traduce questa filosofia quando alcuni comportamenti provengono ora da sistemi AI invece che da esseri umani?

L’approccio guidato dal comportamento di Living Security si estende naturalmente all’AI perché la focalizzazione non è mai stata solo su chi crea il rischio, ma su come il rischio viene introdotto attraverso le azioni. Sia che si tratti di una persona o di un sistema AI, il rischio si manifesta nel comportamento, nell’accesso ai dati, nelle azioni eseguite e nelle decisioni eseguite all’interno dei flussi di lavoro. Mentre i sistemi AI assumono maggiori responsabilità operative, lo stesso modello si applica: le organizzazioni devono avere visibilità su quei comportamenti, insieme alla capacità di guidare e intervenire in tempo reale.

È questo che ha portato allo sviluppo di Livvy, l’intelligenza AI che alimenta la piattaforma Living Security – applicando intelligenza predittiva e monitoraggio continuo su attività sia umane che AI. Invece di trattare l’AI come una sfida separata, consente un approccio più unificato in cui il comportamento, umano o macchina, viene continuamente misurato, guidato e gestito all’interno di un unico modello di rischio della forza lavoro.

Molte organizzazioni si affidano ancora alla formazione sulla consapevolezza della sicurezza periodica. Perché questo modello non funziona negli ambienti moderni e cosa rappresenta un approccio veramente adattivo e basato sui dati?

La formazione sulla consapevolezza della sicurezza periodica non funziona perché è stata costruita per un panorama di minacce statico e presume che il rischio possa essere ridotto attraverso un’educazione ampia. In realtà, la maggior parte degli incidenti deriva da comportamenti operativi quotidiani, non dalla mancanza di formazione, e il rischio è spesso concentrato tra un piccolo subset di utenti. Un approccio più adattivo e basato sui dati si concentra sul continuo identificare dove esiste effettivamente il rischio e fornire indicazioni mirate e in tempo reale nel flusso di lavoro – spostandosi dal completamento della formazione alla riduzione misurabile del rischio.

La sua piattaforma enfatizza la quantificazione del rischio umano utilizzando dati del mondo reale. Quali sono i segnali più importanti che le organizzazioni dovrebbero monitorare oggi per comprendere il rischio in modo dinamico piuttosto che retrospettivo?

Le organizzazioni dovrebbero concentrarsi sul comportamento, sull’identità e sull’accesso, nonché sull’esposizione alle minacce, segnali che riflettono come il rischio viene creato e dove si concentra in tutta la forza lavoro. Ciò include ora anche l’AI, compresi quali strumenti gli dipendenti stanno utilizzando, quale accesso quei sistemi hanno e come vengono configurati o promossi. Da soli, quei segnali sono utili, ma il valore reale deriva da come si combinano per raccontare una storia sul rischio.

Ad esempio, un CFO che ha accesso ai sistemi finanziari, non utilizza l’autenticazione a più fattori, utilizza strumenti AI connessi a dati sensibili e viene attivamente bersagliato da campagne di phishing rappresenta un livello di rischio molto diverso rispetto a un BDR con accesso limitato e minore esposizione. Il rischio non è solo in ciò che qualcuno fa, ma in ciò a cui ha accesso, nei sistemi che agiscono per suo conto e in quanto spesso viene bersagliato. Quando puoi vedere quei fattori insieme, puoi capire dove è più probabile che si verifichi una violazione e agire in tempo reale, sia avvisando l’individuo, stringendo i controlli o priorizzando l’intervento per quel gruppo.

L’AI sta creando nuove vulnerabilità, ma viene anche utilizzata in modo difensivo. Dove si sta spostando l’equilibrio e stiamo andando verso un impatto di sicurezza netto positivo o netto negativo dall’AI?

L’AI sta facendo entrambe le cose, espandendo la superficie di attacco mentre migliora anche la capacità delle organizzazioni di rilevare e rispondere al rischio. Da un lato, sta abilitando flussi di lavoro più complessi e azioni autonome che possono introdurre nuove vulnerabilità; dall’altro, consente ai team di sicurezza di analizzare il comportamento su larga scala e agire più rapidamente. Dove si posiziona l’equilibrio dipende da come le organizzazioni si adattano. Al momento, molte stanno ancora recuperando visibilità e governance, specialmente mentre l’AI viene utilizzata in modi che non hanno completamente mappato. A lungo termine, può essere netto positivo, ma solo se le organizzazioni trattano l’AI come parte della forza lavoro e applicano lo stesso livello di monitoraggio, guida e controllo che applicano al rischio guidato dagli esseri umani.

Non tutti i dipendenti o i sistemi AI rappresentano lo stesso livello di rischio. Come dovrebbero le organizzazioni priorizzare l’intervento senza creare attrito o sorveglianza eccessiva?

Non tutti i rischi sono uguali e trattarli come tali è ciò che crea attrito. La chiave è concentrarsi su dove il rischio è effettivamente concentrato – poiché circa 10% degli utenti guidano il 73% del rischio – e applicare interventi mirati lì piuttosto che in tutta la forza lavoro. Ciò significa utilizzare dati comportamentali, di accesso e di esposizione per priorizzare chi e cosa necessita di attenzione e fornire indicazioni nel flusso di lavoro invece di aggiungere ulteriori controlli. Eseguire correttamente riduce l’attrito rendendo il percorso sicuro il più facile da seguire, piuttosto che aumentare la sorveglianza su tutti.

Se facciamo un salto in avanti di cinque anni, come sarà la sicurezza della forza lavoro e cosa la maggior parte delle organizzazioni sta ancora sottovalutando oggi?

Se facciamo un salto in avanti di cinque anni, la sicurezza della forza lavoro sarà definita da quanto bene le organizzazioni possono comprendere e gestire il rischio in tutta la forza lavoro, sia umana che AI. Non sarà più questione di formazione periodica o controlli statici, sarà questione di visibilità continua, valutazione del rischio in tempo reale e capacità di agire dinamicamente mentre il comportamento, l’accesso e le minacce cambiano. Gli esseri umani saranno ancora al centro, ma gestiranno e estenderanno se stessi attraverso l’AI, il che significa che la sicurezza deve tenere conto di entrambi.

Ciò che la maggior parte delle organizzazioni sta ancora sottovalutando è che c’è già un divario di visibilità nel rischio umano oggi e l’AI lo sta aggravando. Molti pensano di avere una strategia AI, ma in realtà mancano di visibilità sia sulle persone che sugli strumenti che quelle persone stanno utilizzando. Il passo uno è comprendere il rischio umano, il comportamento, l’accesso e l’esposizione alle minacce. Il passo due è estendere quella visibilità agli agenti AI che i dipendenti stanno utilizzando, che sono potenti e rischiosi quanto l’accesso e le decisioni che gli esseri umani danno loro. Senza quella base, le organizzazioni non sono solo indietro sull’AI, stanno operando con punti ciechi crescenti in tutta la forza lavoro.

Grazie per la grande intervista, i lettori che desiderano saperne di più possono visitare Living Security.

Related Topics:
mm

Antoine è un leader visionario e socio fondatore di Unite.AI, guidato da una passione incrollabile per plasmare e promuovere il futuro dell'AI e della robotica. Un imprenditore seriale, crede che l'AI sarà altrettanto disruptiva per la società quanto l'elettricità, e spesso viene colto a parlare con entusiasmo del potenziale delle tecnologie disruptive e dell'AGI.
Come futurist, è dedicato a esplorare come queste innovazioni plasmeranno il nostro mondo. Inoltre, è il fondatore di Securities.io, una piattaforma focalizzata sugli investimenti in tecnologie all'avanguardia che stanno ridefinendo il futuro e ridisegnando interi settori.