Connect with us

Ashley Rose, Oprichter en CEO van Living Security – Interview Series

Interviews

Ashley Rose, Oprichter en CEO van Living Security – Interview Series

mm
Published

Ashley Rose, Oprichter en CEO van Living Security, is een serieondernemer en cybersecurity-innovator die zich richt op het herdefiniëren van hoe organisaties menselijke risico’s in de beveiliging aanpakken. Sinds de oprichting van het bedrijf in 2017, heeft zij de ontwikkeling geleid van een datagedreven, gedragsgerichte aanpak van cybersecurity die verder gaat dan traditionele bewustwordingstraining en zich richt op meetbare risicoreductie en culturele verandering. Met haar achtergrond in productleiderschap en ondernemerschap, heeft zij geholpen om Living Security uit te breiden tot een snelgroeiend SaaS-platform dat wordt gebruikt door grote ondernemingen, en zij draagt ook bij aan het bredere cybersecurity-ecosysteem als mentor, adviseur en voorvechtster van initiatieven zoals Women in CyberSecurity.

Living Security is een cybersecurity SaaS-bedrijf dat zich richt op Human Risk Management, waarmee organisaties de risico’s kunnen identificeren, meten en reduceren die verbonden zijn met het gedrag van medewerkers. Het platform combineert gedrags-, identiteits- en dreigingsgegevens om gebruikers met een hoog risico te identificeren en gerichte, real-time training en interventies te bieden die zijn ontworpen om inbraken te voorkomen voordat ze plaatsvinden. Door analytics, automatisering en aantrekkelijke trainingsmethoden zoals simulaties en gamified ervaringen te combineren, stelt het bedrijf ondernemingen in staat om over te schakelen van compliance-gedreven beveiligingsbewustzijn naar proactieve, meetbare risicoreductie in de hele werkkracht.

U heeft Living Security in 2017 opgericht na eerdere ervaring met het opbouwen en schalen van een consumentenproductbedrijf en het werken als producteigenaar. Wat was het specifieke moment of de realisatie die u ertoe bracht om over te stappen naar cybersecurity en u te concentreren op menselijke risico’s, en hoe heeft die oorspronkelijke these zich gehouden nu AI deel uitmaakt van de werkkracht?

In 2017 behandelden de meeste organisaties beveiligingsbewustzijnstraining als een oefening om een vakje aan te vinken, en het veranderde het gedrag niet. Het keerpunt was de realisatie dat als menselijk gedrag inbraken veroorzaakte, het antwoord niet meer vergetelijke training kon zijn. Drew Rose, medeoprichter van Living Security, leidde zelf beveiligingsprogramma’s en begon deze te gamificeren, waarmee vroege prototypes werden gebouwd die uiteindelijk cybersecurity-escaperooms werden. We zagen met eigen ogen dat wanneer je beveiliging een ervaring maakte, mensen betrokken raakten, leerden en daadwerkelijk hun gedrag veranderden. Dat werd de basis voor Living Security.

Als medeoprichters realiseerden Drew en ik ons snel dat betrokkenheid alleen het begin was. Toen we die ervaringen uitbreidden tot een platform, begonnen we patronen te zien in hoe mensen zich gedroegen, waar ze moeite hadden en waar risico werkelijk geconcentreerd was. Dat onthulde een veel grotere kloof: organisaties hadden geen echte zichtbaarheid in menselijk risico of hoe ze dat op een gerichte manier konden reduceren. Die inzicht leidde ons ertoe om Human Risk Management te pionieren, wat gaat over het identificeren, meten en reduceren van risico op basis van individueel gedrag, toegang en dreigingen, en niet alleen over het aanbieden van training. Nu AI deel uitmaakt van de werkkracht, is die oorspronkelijke these alleen maar uitgebreid: de uitdaging is niet langer alleen menselijk gedrag, maar hoe mensen en AI-systemen samen opereren. Mensen staan nog steeds centraal, maar nu beheren en implementeren ze AI-agenten, wat betekent dat je die zichtbaarheid moet uitbreiden naar die agenten en dat risico terug moet koppelen aan het individu. Dat is wat onze evolutie naar Workforce Security aandrijft.

U heeft betoogd dat menselijke fouten een onvolledige verklaring zijn voor inbraken. Hoe moeten organisaties werkkrachtrisico’s vandaag de dag opnieuw bekijken, nu zowel menselijk gedrag als AI-gestuurde acties bijdragen aan het aanvalsoppervlak?

Het frame van inbraken als “menselijke fouten” vereenvoudigt het probleem en verhult waar het risico werkelijk vandaan komt. Menselijk risico is niet alleen een kwestie van fouten, maar wordt gevormd door een combinatie van gedrag, toegang en blootstelling aan dreigingen. Sommige medewerkers hebben bevoorrechte toegang tot gevoelige systemen, sommigen worden vaker aangevallen en sommigen vertonen riskanter gedrag, dus het risico van inbraken is niet gelijkmatig verdeeld. Om het risico echt te begrijpen, moeten organisaties zichtbaarheid hebben in waar die factoren samenkomen en waar menselijk risico bestaat.

Als gevolg daarvan moeten organisaties verder gaan dan bewustzijnsmodellen en werkkrachtrisico opnieuw definiëren als een gedeelde, operationele uitdaging, een die zowel menselijk risico als AI-gestuurde acties omvat. Dit betekent zich richten op continue zichtbaarheid in hoe werk wordt uitgevoerd, begrijpen waar risico geconcentreerd is en het toepassen van gerichte, real-time interventies in een hybride werkkracht in plaats van risico te behandelen als geïsoleerde gebruikersfouten.

AI-hulpmiddelen stellen nu code samen, behandelen workflows en nemen zelfs beslissingen. Wanneer stoppen AI-systemen met het zijn van hulpmiddelen en worden ze behandeld als onderdeel van de werkkracht vanuit een beveiligingsperspectief?

AI-systemen stoppen met het zijn van alleen hulpmiddelen en beginnen deel uit te maken van de werkkracht op het moment dat ze actie ondernemen binnen enterprise-omgevingen. Op dat moment introduceren ze risico op dezelfde manier als medewerkers: door de acties die ze ondernemen, de machtigingen waar ze mee werken en de gegevens die ze aanraken. De verschuiving voor organisaties is het erkennen dat AI-agenten niet alleen productiviteitslagen zijn – ze zijn operationele deelnemers en moeten worden beheerd, bewaakt en beveiligd naast menselijke gebruikers binnen een geïntegreerd werkkrachtrisicomodel.

Hoe moeten ondernemingen governance benaderen wanneer risico niet langer beperkt is tot medewerkers, maar zich uitstrekt tot AI-agenten die met variabele niveaus van autonomie en toegang opereren?

Ondernemingen moeten verder gaan dan op beleid gebaseerde governance en het behandelen als een continue, gedragsgestuurde proces dat zowel voor mensen als AI-agenten geldt. De meeste organisaties hebben al AI-beleid in plaats, maar de kloof zit in de handhaving en zichtbaarheid, vooral als medewerkers tools buiten de goedgekeurde omgevingen gebruiken en AI-systemen opereren met variabele niveaus van toegang.

Effectieve governance begint met het duidelijk definiëren van aanvaardbaar gebruik op basis van rol en gegevenstoegang, maar het vereist ook real-time richtlijnen die zijn ingebed in workflows en continue meting, zodat organisaties kunnen zien waar risico ontstaat en zich aanpassen. Uiteindelijk moet governance weerspiegelen hoe werk nu daadwerkelijk gebeurt: over een hybride werkkracht waar zowel mensen als AI-systemen beslissingen nemen, gegevens toegangen en risico introduceren.

Living Security heeft zich sterk gericht op gedragsgestuurde beveiligingsmodellen. Hoe vertaalt die filosofie zich wanneer sommige gedragingen nu afkomstig zijn van AI-systemen in plaats van mensen?

Living Security’s gedragsgestuurde aanpak breidt zich natuurlijk uit naar AI, omdat de focus nooit alleen op wie het risico creëert lag, maar op hoe risico wordt geïntroduceerd door acties. Of het nu een persoon of een AI-systeem is, risico manifesteert zich in gedrag, hoe gegevens worden toegankelijk gemaakt, welke acties worden ondernomen en hoe beslissingen worden uitgevoerd in workflows. Nu AI-systemen meer operationele verantwoordelijkheid krijgen, past datzelfde model toe: organisaties moeten zichtbaarheid hebben in die gedragingen, evenals de mogelijkheid om te leiden en in te grijpen in real-time.

Dat heeft geleid tot de ontwikkeling van Livvy, de AI-intelligentie die het Living Security-platform aandrijft – door predictieve intelligentie en continue monitoring toe te passen op zowel menselijke als AI-activiteit. In plaats van AI als een afzonderlijke uitdaging te behandelen, maakt het een meer geïntegreerde aanpak mogelijk waarbij gedrag, menselijk of machine, continu wordt gemeten, geleid en beheerd binnen een enkel werkkrachtrisicomodel.

Veel organisaties vertrouwen nog steeds op periodieke beveiligingsbewustzijnstraining. Waarom faalt dit model in moderne omgevingen, en wat ziet een echt adaptieve, datagedreven aanpak er in de praktijk uit?

Periodieke beveiligingsbewustzijnstraining faalt omdat het is gebouwd voor een statisch dreigingslandschap en ervan uitgaat dat risico kan worden verminderd door brede educatie. In werkelijkheid komen de meeste incidenten voort uit alledaagse operationele gedragingen, niet uit een gebrek aan training, en risico is vaak geconcentreerd onder een kleine subset van gebruikers. Een meer adaptieve, datagedreven aanpak richt zich op het continue identificeren van waar risico daadwerkelijk bestaat en het bieden van gerichte, real-time richtlijnen in de workflow – verschuivend van trainingsvoltooiing naar meetbare risicoreductie.

Uw platform benadrukt het kwantificeren van menselijk risico met behulp van real-world data. Wat zijn de belangrijkste signalen die organisaties vandaag de dag moeten volgen om risico dynamisch te begrijpen in plaats van retrospectief?

Organisaties moeten zich richten op gedrag, identiteit en toegang, en dreigingsblootstelling, signalen die weerspiegelen hoe risico wordt gecreëerd en waar het geconcentreerd is in de werkkracht. Dat omvat nu ook AI, inclusief welke tools medewerkers gebruiken, welke toegang die systemen hebben en hoe ze worden geconfigureerd of aangestuurd. Op zichzelf zijn deze signalen nuttig, maar de echte waarde komt van hoe ze samen een verhaal over risico vertellen.

Bijvoorbeeld, een CFO die toegang heeft tot financiële systemen, geen MFA gebruikt, AI-hulpmiddelen gebruikt die zijn verbonden met gevoelige gegevens en actief wordt aangevallen door phishingcampagnes, vertegenwoordigt een heel ander niveau van risico dan een BDR met beperkte toegang en lagere blootstelling. Het risico zit niet alleen in wat iemand doet, maar in wat ze toegang tot hebben, de systemen die in hun naam handelen en hoe vaak ze worden aangevallen. Wanneer je die factoren samen kunt zien, kun je begrijpen waar een inbraak het meest waarschijnlijk zal plaatsvinden en actie ondernemen in real-time, of dat nu het waarschuwen van het individu is, het aanscherpen van controles of het prioriteren van interventie voor die groep.

AI creëert nieuwe kwetsbaarheden, maar het wordt ook defensief gebruikt. Waar verschuift de balans naartoe, en gaan we naar een netto-positief of netto-negatief beveiligingseffect van AI?

AI doet beide, het vergroot het aanvalsoppervlak, maar het verbetert ook hoe organisaties risico detecteren en responden. Enerzijds maakt het complexe workflows en autonome acties mogelijk die nieuwe kwetsbaarheden kunnen introduceren; anderzijds stelt het beveiligingsteams in staat om gedrag op grote schaal te analyseren en sneller te handelen. Waar de balans terechtkomt, hangt af van hoe goed organisaties zich aanpassen. Op dit moment zijn veel organisaties nog steeds bezig met het bijhouden van zichtbaarheid en governance, vooral als AI op manieren wordt gebruikt die ze nog niet volledig in kaart hebben gebracht. Op lange termijn kan het netto-positief zijn, maar alleen als organisaties AI behandelen als onderdeel van de werkkracht en hetzelfde niveau van monitoring, richtlijnen en controle toepassen als ze voor menselijk risico doen.

Niet alle medewerkers of AI-systemen vormen gelijk risico. Hoe moeten organisaties interventie prioriteren zonder wrijving of over-surveillance te creëren?

Niet alle risico’s zijn gelijk, en ze als zodanig behandelen, creëert wrijving. De sleutel is om te focussen op waar risico daadwerkelijk geconcentreerd is – aangezien ongeveer 10% van gebruikers 73% van het risico veroorzaken – en gerichte interventies daar toepassen in plaats van breed over de hele werkkracht. Dat betekent het gebruik van gedrags-, toegangs- en blootstellingsgegevens om te prioriteren wie en wat aandacht nodig heeft, en richtlijnen te geven in de workflow in plaats van meer controles toe te voegen. Als het goed wordt gedaan, vermindert het wrijving door de beveiligde route de makkelijkste te maken, in plaats van over-surveillance over iedereen te vergroten.

Als we vijf jaar vooruitkijken, hoe zal werkkrachtbeveiliging eruitzien, en wat onderschatten de meeste organisaties vandaag de dag nog?

Als we vijf jaar vooruitkijken, zal werkkrachtbeveiliging worden gedefinieerd door hoe goed organisaties in staat zijn om risico te begrijpen en te beheren over zowel mensen als AI-agenten die samen opereren. Het zal niet gaan over periodieke training of statische controles, maar over continue zichtbaarheid, real-time risicobeoordeling en de mogelijkheid om dynamisch actie te ondernemen naarmate gedrag, toegang en dreigingen veranderen. Mensen zullen nog steeds centraal staan, maar ze zullen zichzelf uitbreiden via AI, wat betekent dat beveiliging rekening moet houden met beide.

Wat de meeste organisaties vandaag de dag nog onderschatten, is dat er al een zichtbaarheidskloof is in menselijk risico, en AI vergroot die kloof. Veel denken dat ze een AI-strategie hebben, maar in werkelijkheid ontbreekt het aan zichtbaarheid in zowel mensen als de tools die mensen gebruiken. Stap één is het begrijpen van menselijk risico, gedrag, toegang en blootstelling aan dreigingen. Stap twee is het uitbreiden van die zichtbaarheid naar de AI-agenten die medewerkers gebruiken, die alleen zo krachtig en riskant zijn als de toegang en beslissingen die mensen hen geven. Zonder die basis opereren organisaties niet alleen achterop bij AI, maar werken ze ook met groeiende blind spots over hun hele werkkracht.

Bedankt voor het geweldige interview, lezers die meer willen leren, moeten Living Security bezoeken.

mm

Antoine is een visionaire leider en oprichtend partner van Unite.AI, gedreven door een onwankelbare passie voor het vormgeven en promoten van de toekomst van AI en robotica. Een seriële ondernemer, hij gelooft dat AI net zo disruptief voor de samenleving zal zijn als elektriciteit, en wordt vaak betrapt op het enthousiast praten over het potentieel van disruptieve technologieën en AGI. Als een futurist, is hij toegewijd aan het onderzoeken van hoe deze innovaties onze wereld zullen vormgeven. Bovendien is hij de oprichter van Securities.io, een platform dat zich richt op investeren in cutting-edge technologieën die de toekomst opnieuw definiëren en hele sectoren herschappen.