Connect with us

Intervjuer

Ashley Rose, grunnlegger og CEO av Living Security – Intervju-serie

mm
Published

Ashley Rose, grunnlegger og CEO av Living Security, er en serial entrepreneur og cybersecurity-innovator som fokuserer på å redefinere hvordan organisasjoner håndterer menneskelig risiko i sikkerhet. Siden hun grunnla selskapet i 2017, har hun ledet utviklingen av en data-drevet, atferd-fokusert tilnærming til sikkerhet som går utenfor tradisjonell oppmerksomhetstreningsmodell mot målbare risikoreduksjon og kulturendring. Ved å dra nytte av hennes bakgrunn i produktledelse og entrepreneurship, har hun hjulpet til å skala Living Security inn i en raskt voksende SaaS-plattform som brukes av bedriftsorganisasjoner, samtidig som hun bidrar til det bredere sikkerhetsøkosystemet som mentor, rådgiver og forkjemper for initiativer som Women in CyberSecurity.

Living Security er et sikkerhets-SaaS-selskap som fokuserer på Human Risk Management, og hjelper organisasjoner med å identifisere, måle og redusere risikoen forbundet med ansatt-atferd. Deres plattform samler inn atferds-, identitets- og trusseldata for å peke ut høyrisiko-brukere og levere målrettede, sanntids-trening og inngrep designet for å forhindre brudd før de skjer. Ved å kombinere analyser, automatisering og engasjerende treningsmetoder som simuleringer og gamifiserte opplevelser, muliggjør selskapet at bedriftene kan skifte fra compliance-drevet sikkerhetsbevissthet til proaktiv, målbare risikoreduksjon over hele arbeidsstokken.

Du grunnla Living Security i 2017 etter tidligere erfaring med å bygge og skala en forbrukerprodukt-forretning og arbeide som produkt-eier. Hva var det spesifikke øyeblikket eller erkjennelsen som ledet deg til å skifte til sikkerhet og fokusere på menneskelig risiko, og hvordan har den opprinnelige tesen holdt seg når AI blir en del av arbeidsstokken?

I 2017 behandlet de fleste organisasjonene sikkerhetsbevissthetstreningsmodellen som en avkryssingsøvelse, og det endret ikke atferden. Vendepunktet var å innse at hvis menneskelig atferd drev brudd, kunne svaret ikke være mer glømmelig trening. Drew Rose, medgrunnlegger av Living Security, ledet sikkerhetsprogrammer selv og startet å gamifisere dem, bygde tidlige prototyper som ble sikkerhets-escape-rom. Vi så førstehånd at når du gjorde sikkerheten erfaren, engasjerte mennesker, lærte og faktisk endret atferd. Det ble grunnlaget for Living Security.

Som medgrunnleggere, innsett Drew og jeg raskt at engasjement bare var startpunktet. Etterhvert som vi skala opp disse opplevelsene til en plattform, begynte vi å se mønster i hvordan mennesker oppførte seg, hvor de hadde vanskeligheter, og hvor risikoen faktisk var konsentrert. Det avdekket et mye større gap: organisasjonene hadde ingen virkelig visibilitet inn i menneskelig risiko eller hvordan de kunne redusere den på en målrettet måte. Denne innsikten ledet oss til å bane vei for Human Risk Management, som handler om å identifisere, måle og redusere risiko basert på individuell atferd, tilgang og trusler, ikke bare levere trening. Når AI blir integrert i arbeidsstokken, har den opprinnelige tesen bare utvidet seg: utfordringen er ikke lenger bare menneskelig atferd, men hvordan mennesker og AI-systemer opererer sammen. Mennesker er fremdeles i sentrum, nå med å håndtere og deployere AI-agenter, noe som betyr at du må utvide visibiliteten til disse agentene og knytte den risikoen tilbake til den enkelte. Det er hva som driver vår utvikling inn i Workforce Security.

Du har argumentert for at menneskelig feil er en ufullstendig forklaring på brudd. Hvordan bør organisasjonene omdefinere arbeidsstokk-risiko i dag når både menneskelig atferd og AI-drevne handlinger bidrar til angrepsflaten?

Å ramme brudd som “menneskelig feil” forenkler problemet og skjuler hvor risikoen faktisk kommer fra. Menneskelig risiko er ikke bare om feil, men formasjonen av en kombinasjon av atferd, tilgang og eksponering for trusler. Noen ansatte har privilegert tilgang til sensitive systemer, noen er merket oftere, og noen utviser riskere atferd, så risikoen for brudd er ikke jevnt fordelt. For å virkelig forstå risikoen, trenger organisasjonene visibilitet inn i hvor disse faktorene krysser hverandre og hvor menneskelig risiko eksisterer.

Som følge av dette, må organisasjonene gå utenfor bevissthet-baserte modeller og omdefinere arbeidsstokk-risiko som en felles, operativ utfordring, en som omfatter både menneskelig risiko og AI-drevne handlinger. Dette betyr å fokusere på kontinuerlig visibilitet inn i hvordan arbeid utføres, å forstå hvor risikoen er konsentrert, og å anvende målrettede, sanntids-inngrep over hele en hybrid-arbeidsstokk, i stedet for å behandle risiko som isolerte brukerfeil.

AI-verktøy utarbeider nå kode, håndterer arbeidsflyter og tar sogar beslutninger. Når stopper AI-systemer å være verktøy og begynner å bli behandlet som en del av arbeidsstokken fra et sikkerhetsperspektiv?

AI-systemer stopper å være bare verktøy og begynner å bli behandlet som en del av arbeidsstokken øyeblikket de tar handlinger innenfor bedriftsmiljøer. På det punktet introduserer de risiko på samme måte som ansatte gjør: gjennom handlingene de tar, tillatelsene de opererer med, og data de berører. Skiftet for organisasjonene er å erkjenne at AI-agenter ikke bare er produktivitetslag, men operasjonelle deltakere, og de må styres, overvåkes og sikres på linje med menneskelige brukere innenfor en forent arbeidsstokk-risikomodell.

Hvordan bør bedrifter nærme seg styring når risiko ikke lenger er begrenset til ansatte, men også omfatter AI-agenter som opererer med varierende nivåer av autonomi og tilgang?

Bedrifter må gå utenfor policy-basert styring og behandle det som en kontinuerlig, atferd-drevet prosess som gjelder for både mennesker og AI-agenter. De fleste organisasjonene har allerede AI-policys på plass, men gapet ligger i gjennomføring og visibilitet, spesielt når ansatte adopterer verktøy utenfor godkjente miljøer og AI-systemer opererer med varierende nivåer av tilgang.

Effektiv styring starter med å definere godkjent bruk basert på rolle og data-tilgang, men det krever også sanntids-veiledning innbygget i arbeidsflyter og kontinuerlig måling, så organisasjonene kan se hvor risiko oppstår og tilpasse seg. Til slutt må styringen reflektere hvordan arbeid faktisk skjer i dag: over en hybrid-arbeidsstokk hvor både mennesker og AI-systemer tar beslutninger, aksesserer data og introduserer risiko.

Living Security har fokusert tungt på atferd-drevne sikkerhetsmodeller. Hvordan oversetter denne filosofien seg når noen atferder nå kommer fra AI-systemer i stedet for mennesker?

Living Securitys atferd-drevne tilnærming utvides naturlig til AI, fordi fokus har aldri vært bare på hvem som skaper risiko, men hvordan risiko introduseres gjennom handlinger. Uansett om det er en person eller et AI-system, viser risiko seg i atferd, hvordan data aksesseres, hvilke handlinger tas, og hvordan beslutninger utføres innenfor arbeidsflyter. Etterhvert som AI-systemer tar på seg mer operativt ansvar, gjelder samme modell: organisasjonene må ha visibilitet inn i disse atferdene, sammen med evnen til å veilede og gripe inn i sanntid.

Det er hva som ledet til utviklingen av Livvy, AI-intelligensen som driver Living Security-plattformen — anvendende prediktiv intelligens og kontinuerlig overvåking over både menneskelig og AI-aktivitet. I stedet for å behandle AI som en separat utfordring, muliggjør det en mer forent tilnærming hvor atferd, menneskelig eller maskin, kontinuerlig måles, veiles og styres innenfor en enkelt arbeidsstokk-risikomodell.

Mange organisasjoner avhenger fortsatt av periodisk sikkerhetsbevissthetstreningsmodell. Hvorfor bryter denne modellen sammen i moderne miljøer, og hva ser en virkelig adaptiv, data-drevet tilnærming ut som i praksis?

Periodisk sikkerhetsbevissthetstreningsmodell bryter sammen fordi den ble bygget for en statisk trussel-landskap og antar at risiko kan reduseres gjennom bred utdanning. I virkeligheten stammer de fleste hendelser fra hverdags-operasjonelle atferd, ikke manglende trening, og risiko er ofte konsentrert blant en liten undergruppe av brukere. En mer adaptiv, data-drevet tilnærming fokuserer på kontinuerlig å identifisere hvor risiko faktisk eksisterer og levere målrettede, sanntids-veiledning i arbeidsflyten — skiftende fra treningsfullføring til målbare risikoreduksjon.

Deres plattform betoner kvantifisering av menneskelig risiko ved å bruke virkelige data. Hva er de viktigste signalene organisasjonene bør spore i dag for å forstå risiko dynamisk i stedet for retrospektivt?

Organisasjoner bør fokusere på atferd, identitet og tilgang, og trussel-eksponering, signaler som reflekterer hvordan risiko skapes og hvor den konsentreres over arbeidsstokken. Det omfatter nå også AI, inkludert hvilke verktøy ansatte bruker, hvilken tilgang disse systemene har, og hvordan de konfigureres eller promptes. På egen hånd er disse signalene nyttige, men den virkelige verdien kommer fra hvordan de kommer sammen for å fortelle en historie om risiko.

For eksempel representerer en CFO som har tilgang til finansielle systemer, ikke bruker MFA, bruker AI-verktøy koblet til sensitive data, og er aktivt målrettet av phishing-kampanjer, en helt annen nivå av risiko enn en BDR med begrenset tilgang og lavere eksponering. Risikoen ligger ikke bare i hva noen gjør, men i hva de har tilgang til, systemene som handler på deres vegne, og hvor ofte de blir målrettet. Når du kan se disse faktorene sammen, kan du forstå hvor et brudd er mest sannsynlig å skje og handle i sanntid, enten det er å varsle den enkelte, stramme kontrollene eller prioritere inngrep for den gruppen.

AI skaper nye sårbarheter, men det brukes også defensivt. Hvor ser du balansen skifte, og er vi på vei mot en netto-positiv eller netto-negativ sikkerhetspåvirkning fra AI?

AI gjør begge deler, utvider angrepsflaten samtidig som det forbedrer hvordan organisasjonene oppdager og responderer på risiko. På den ene siden, muliggjør det mer komplekse arbeidsflyter og autonome handlinger som kan introdusere nye sårbarheter; på den andre siden, lar det sikkerhetsteamene analysere atferd i stor skala og handle raskere. Hvor balansen lander, avhenger av hvor godt organisasjonene tilpasser seg. For tiden er mange organisasjoner fortsatt i ferd med å fange opp visibilitet og styring, spesielt når AI brukes på måter de ikke fullstendig har kartlagt. På lang sikt kan det være netto-positivt, men bare hvis organisasjonene behandler AI som en del av arbeidsstokken og anvender samme nivå av overvåking, veiledning og kontroll som de gjør for menneskelig-drevne risiko.

Ikke alle ansatte eller AI-systemer utgjør like stor risiko. Hvordan bør organisasjonene prioritere inngrep uten å skape friksjon eller over-overvåking?

Ikke all risiko er like, og å behandle den på den måten er hva som skaper friksjon. Nøkkelen er å fokusere på hvor risiko faktisk er konsentrert — siden omtrent 10% av brukerne driver 73% av risiko — og anvende målrettede inngrep der, i stedet for å anvende dem bredt over hele arbeidsstokken. Det betyr å bruke atferds-, tilgangs- og eksponeringsdata til å prioritere hvem og hva som trenger oppmerksomhet, og levere veiledning i arbeidsflyten i stedet for å legge på flere kontroller. Gjort riktig, reduserer det friksjonen ved å gjøre den sikre veien den enkleste å følge, i stedet for å øke overvåking over alle.

Hvis vi skynder oss fem år frem, hva vil arbeidsstokk-sikkerhet se ut som, og hva underskattes mest av organisasjonene i dag?

Hvis vi skynder oss fem år frem, vil arbeidsstokk-sikkerhet bli definert av hvor godt organisasjonene kan forstå og håndtere risiko over både mennesker og AI-agenter som opererer sammen. Det vil ikke være om periodisk trening eller statiske kontroller, det vil være om kontinuerlig visibilitet, sanntids-risikovurdering og evnen til å handle dynamisk etterhvert som atferd, tilgang og trusler endrer seg. Mennesker vil fremdeles være i sentrum, men de vil håndtere og utvide seg selv gjennom AI, noe som betyr at sikkerheten må ta hensyn til begge.

Hva de fleste organisasjonene underskatter, er at det allerede er et visuelt gap i menneskelig risiko i dag, og AI forsterker det. Mange tror de har en AI-strategi, men i virkeligheten mangler de visibilitet inn i både mennesker og verktøyene disse menneskene bruker. Første skritt er å forstå menneskelig risiko, atferd, tilgang og eksponering for trusler. Andre skritt er å utvide denne visibiliteten til AI-agenter ansatte bruker, som bare er like kraftfulle og risikable som tilgangen og beslutningene mennesker gir dem. Uten denne grunnlaget, er organisasjonene ikke bare etter AI, de opererer med økende blinde flekker over hele arbeidsstokken.

Takk for det flotte intervjuet, lesere som ønsker å lære mer, bør besøke Living Security.

Related Topics:
mm

Antoine er en visjonær leder og grunnleggende partner i Unite.AI, drevet av en urokkelig lidenskap for å forme og fremme fremtiden for AI og robotikk. En seriegründer, han tror at AI vil være like disruptiv for samfunnet som elektrisitet, og blir ofte tatt i å tale om potensialet for disruptiv teknologi og AGI.
Som en futurist, er han dedikert til å utforske hvordan disse innovasjonene vil forme vår verden. I tillegg er han grunnleggeren av Securities.io, en plattform som fokuserer på å investere i banebrytende teknologier som omdefinerer fremtiden og omformer hele sektorer.