Ashley Rose, Założyciel i Dyrektor Generalny Living Security – Seria Wywiadów

Ashley Rose, Założyciel i Dyrektor Generalny Living Security, jest doświadczonym przedsiębiorcą i innowatorem w dziedzinie cyberbezpieczeństwa, skupionym na zmianie sposobu, w jaki organizacje podechodzą do ryzyka związanego z ludźmi w bezpieczeństwie. Od założenia firmy w 2017 roku, poprowadziła rozwój podejścia opartego na danych i zachowaniach w dziedzinie cyberbezpieczeństwa, które wykracza poza tradycyjne szkolenia świadomościowe w kierunku pomiaru redukcji ryzyka i zmiany kulturowej. Wykorzystując swoje doświadczenie w zakresie przywództwa produktowego i przedsiębiorczości, pomogła rozwinąć Living Security w szybko rosnącą platformę SaaS używaną przez organizacje przedsiębiorstw, a także przyczyniła się do szerszego ekosystemu cyberbezpieczeństwa jako mentor, doradca i orędownik inicjatyw takich jak Women in CyberSecurity.

Living Security to firma SaaS z dziedziny cyberbezpieczeństwa, która koncentruje się na Zarządzaniu Ryzykiem Ludzkim, pomagając organizacjom identyfikować, mierzyć i redukować ryzyko związane z zachowaniami pracowników. Jej platforma agreguje dane behawioralne, tożsamościowe i zagrożeń, aby wskazać użytkowników o wysokim ryzyku i dostarczyć ukierunkowane, rzeczywiste szkolenia i interwencje mające na celu zapobieganie naruszeniom zanim wystąpią. Łącząc analitykę, automatyzację i angażujące metody szkoleniowe, takie jak symulacje i doświadczenia grywalizowane, firma umożliwia przedsiębiorstwom przejście od świadomości bezpieczeństwa opartej na zgodności do proaktywnej, pomiarowej redukcji ryzyka w całej ich siatce roboczej.

Założyłaś Living Security w 2017 roku po wcześniejszym doświadczeniu w budowaniu i skalowaniu biznesu produktowego oraz pracy jako właściciel produktu. Jaki konkretny moment lub uzasadnienie skłoniło Cię do zmiany kierunku na cyberbezpieczeństwo i skupienia się na ryzyku ludzkim, i jak ta pierwotna teza utrzymała się, gdy AI staje się częścią siły roboczej?

W 2017 roku większość organizacji traktowała szkolenia świadomościowe jako ćwiczenie polegające na odhaczaniu punktów, i nie zmieniało to zachowań. Punkt zwrotny nastąpił, gdy zrealizowałam, że jeśli ludzkie zachowania powodowały naruszenia, odpowiedzią nie mogło być więcej niezapadających w pamięć szkoleń. Drew Rose, Współzałożyciel Living Security, prowadził programy bezpieczeństwa i zaczął je grywalizować, tworząc wczesne prototypy, które stały się pokojami zagadek cyberbezpieczeństwa. Zobaczyliśmy na własne oczy, że gdy zrobisz bezpieczeństwo doświadczalnym, ludzie angażują się, uczą i naprawdę zmieniają swoje zachowania. To stało się podstawą dla Living Security.

Jako współzałożyciele, Drew i ja szybko zrealizowaliśmy, że zaangażowanie to tylko punkt wyjścia. Gdy skalowaliśmy te doświadczenia w platformę, zaczęliśmy dostrzegać wzorce w tym, jak ludzie zachowują się, gdzie mają trudności i gdzie ryzyko jest naprawdę skoncentrowane. To ujawniło znacznie większą lukę: organizacje nie miały prawdziwej widoczności ryzyka ludzkiego ani sposobu, aby je w sposób ukierunkowany redukować. To spostrzeżenie skłoniło nas do pionierskiego Zarządzania Ryzykiem Ludzkim, które polega na identyfikowaniu, mierzeniu i redukowaniu ryzyka w oparciu o indywidualne zachowania, dostęp i zagrożenia, a nie tylko dostarczaniu szkoleń. Gdy AI staje się częścią siły roboczej, ta pierwotna teza rozwinęła się jeszcze bardziej: wyzwanie nie polega już tylko na ludzkim zachowaniu, ale na tym, jak ludzie i systemy AI współpracują. Ludzie nadal są w centrum, teraz zarządzają i wdrażają agenci AI, co oznacza, że trzeba rozszerzyć widoczność na tych agentów i powiązać to ryzyko z osobą. To napędza naszą ewolucję w kierunku Bezpieczeństwa Siły Roboczej.

Utrzymywałaś, że błąd ludzki to niepełne wyjaśnienie dla naruszeń. Jak organizacje powinny przebudować ryzyko siły roboczej dzisiaj, gdy zarówno ludzkie zachowania, jak i działania napędzane przez AI przyczyniają się do powierzchni ataku?

Opisywanie naruszeń jako „błędu ludzkiego” upraszcza problem i zaciemnia, skąd tak naprawdę pochodzi ryzyko. Ryzyko ludzkie nie dotyczy tylko pomyłek, jest kształtowane przez kombinację zachowań, dostępu i narażenia na zagrożenia. Niektórzy pracownicy mają przywilejowany dostęp do wrażliwych systemów, niektórzy są częściej atakowani, a niektórzy wykazują bardziej ryzykowne zachowania, więc ryzyko naruszeń nie jest równomiernie rozłożone. Aby naprawdę zrozumieć ryzyko, organizacje potrzebują widoczności tam, gdzie te czynniki się krzyżują i gdzie istnieje ryzyko ludzkie.

W związku z tym organizacje powinny wyjść poza modele oparte na świadomości i przebudować ryzyko siły roboczej jako wspólny, operacyjny wyzwanie, które obejmuje zarówno ryzyko ludzkie, jak i działania napędzane przez AI. Oznacza to koncentrowanie się na ciągłej widoczności, jak praca jest wykonywana, zrozumienie, gdzie ryzyko jest skoncentrowane, i stosowanie ukierunkowanych, rzeczywistych interwencji w hybrydowej siatce roboczej, zamiast traktowania ryzyka jako izolowanych błędów użytkowników.

Narzędzia AI są teraz tworzone, obsługują przepływy pracy i nawet podejmują decyzje. W którym momencie systemy AI przestają być narzędziami i zaczynają być traktowane jako część siły roboczej z perspektywy bezpieczeństwa?

Systemy AI przestają być tylko narzędziami i zaczynają być traktowane jako część siły roboczej w momencie, gdy podejmują działania w środowiskach przedsiębiorstw. W tym momencie wprowadzają ryzyko w ten sam sposób, co pracownicy: przez działania, które podejmują, uprawnienia, z którymi operują, i dane, których dotykają. Zmiana dla organizacji polega na uznaniu, że agenci AI nie są tylko warstwami produktywności — są uczestnikami operacyjnymi i wymagają zarządzania, monitorowania i zabezpieczania obok użytkowników ludzkich w ramach ujednoliconego modelu ryzyka siły roboczej.

Jak przedsiębiorstwa powinny podejść do zarządzania, gdy ryzyko nie jest już ograniczone do pracowników, ale rozciąga się na agenci AI działające z różnymi poziomami autonomii i dostępu?

Przedsiębiorstwa powinny wyjść poza zarządzanie oparte na polityce i traktować je jako ciągły, zachowanie-stymulowany proces, który dotyczy zarówno ludzi, jak i agentów AI. Większość organizacji już ma polityki AI w miejscu, ale luka polega na egzekwowaniu i widoczności, szczególnie gdy pracownicy przyjmują narzędzia poza środowiskami zatwierdzonymi, a systemy AI operują z różnymi poziomami dostępu.

Skuteczne zarządzanie zaczyna się od wyraźnego określenia dopuszczalnego użytku na podstawie roli i dostępu do danych, ale wymaga również rzeczywistych wskazówek osadzonych w przepływach pracy i ciągłego pomiaru, aby organizacje mogły zobaczyć, gdzie ryzyko się pojawia, i dostosować się. Ostatecznie zarządzanie musi odzwierciedlać, jak praca naprawdę się odbywa dzisiaj: w hybrydowej siatce roboczej, gdzie zarówno ludzie, jak i systemy AI podejmują decyzje, dostęp do danych i wprowadzają ryzyko.

Living Security skupiła się intensywnie na modelach bezpieczeństwa opartych na zachowaniach. Jak ta filozofia tłumaczy się, gdy niektóre zachowania pochodzą teraz z systemów AI, a nie z ludzi?

Podejście Living Security oparte na zachowaniach rozszerza się naturalnie na AI, ponieważ koncentruje się nie tylko na tym, kto tworzy ryzyko, ale jak ryzyko jest wprowadzane przez działania. Niezależnie od tego, czy to osoba, czy system AI, ryzyko pojawia się w zachowaniach, dostępie do danych, działaniach podejmowanych w ramach przepływów pracy i decyzjach podejmowanych wewnątrz nich. Gdy systemy AI podejmują coraz więcej operacyjnej odpowiedzialności, ten sam model ma zastosowanie: organizacje potrzebują widoczności tych zachowań, wraz z możliwością kierowania i interwencji w czasie rzeczywistym.

To doprowadziło do rozwoju Livvy, inteligencji AI, która napędza platformę Living Security — stosując predykcyjną inteligencję i ciągłe monitorowanie zarówno ludzkiej, jak i aktywności AI. Zamiast traktowania AI jako odrębnego wyzwania, umożliwia bardziej ujednolicone podejście, w którym zachowanie, ludzkie czy maszynowe, jest ciągle mierzone, kierowane i zarządzane w ramach jednego modelu ryzyka siły roboczej.

Wiele organizacji nadal polega na okresowych szkoleniach świadomości bezpieczeństwa. Dlaczego ten model się rozpadnie w nowoczesnych środowiskach, i jaki jest prawdziwie adaptacyjny, oparty na danych podejście w praktyce?

Okresowe szkolenia świadomości bezpieczeństwa rozpadają się, ponieważ zostały zbudowane dla statycznego krajobrazu zagrożeń i zakładają, że ryzyko można zmniejszyć poprzez ogólne wykształcenie. W rzeczywistości większość incydentów wynika z codziennych zachowań operacyjnych, a nie braku szkoleń, a ryzyko jest często skoncentrowane wśród niewielkiej części użytkowników. Bardziej adaptacyjne, oparte na danych podejście koncentruje się na ciągłym identyfikowaniu, gdzie ryzyko naprawdę istnieje, i dostarczaniu ukierunkowanych, rzeczywistych wskazówek w trakcie pracy — przechodząc od ukończenia szkoleń do pomiarowej redukcji ryzyka.

Twoja platforma podkreśla ilościowanie ryzyka ludzkiego przy użyciu danych z świata rzeczywistego. Jakie są najważniejsze sygnały, które organizacje powinny śledzić dzisiaj, aby zrozumieć ryzyko dynamicznie, a nie retrospekywnie?

Organizacje powinny koncentrować się na zachowaniach, tożsamości i dostępie, oraz narażeniu na zagrożenia, sygnałach, które odzwierciedlają, jak ryzyko jest tworzone i gdzie się koncentruje w siatce roboczej. To teraz obejmuje również AI, w tym jakie narzędzia pracownicy używają, jaki dostęp mają te systemy, i jak są konfigurowane lub uruchamiane. Same te sygnały są użyteczne, ale prawdziwa wartość pochodzi z tego, jak łączą się one, aby opowiedzieć historię o ryzyku.

Na przykład, CFO, który ma dostęp do systemów finansowych, nie używa uwierzytelniania dwuskładnikowego, używa narzędzi AI połączonych z wrażliwymi danymi i jest aktywnie atakowany przez kampanie phishingowe, reprezentuje zupełnie inny poziom ryzyka niż BDR z ograniczonym dostępem i niższym narażeniem. Ryzyko nie leży tylko w tym, co ktoś robi, ale w tym, do czego ma dostęp, systemy działające w jego imieniu i jak często jest atakowany. Gdy możesz zobaczyć te czynniki razem, możesz zrozumieć, gdzie najprawdopodobniej nastąpi naruszenie i podjąć działanie w czasie rzeczywistym, czy to alertując osobę, zwiększając kontrolę, czy priorytetowo traktując interwencję dla tej grupy.

AI tworzy nowe słabości, ale jest również używana obronnie. Gdzie widzisz przesunięcie równowagi, i czy zmierzamy w kierunku sieciowo pozytywnego czy negatywnego wpływu bezpieczeństwa z AI?

AI robi obie rzeczy: rozszerza powierzchnię ataku, a jednocześnie poprawia, jak organizacje wykrywają i reagują na ryzyko. Z jednej strony umożliwia bardziej złożone przepływy pracy i autonomiczne działania, które mogą wprowadzać nowe słabości; z drugiej strony pozwala zespołom bezpieczeństwa na analizę zachowań w skali i działanie szybciej. Gdzie ląduje równowaga, zależy od tego, jak dobrze organizacje się adaptują. Na razie wiele z nich nadal dogania widoczność i zarządzanie, szczególnie gdy AI jest używana w sposób, którego nie w pełni zmapowały. Długoterminowo może to być sieciowo pozytywne, ale tylko jeśli organizacje traktują AI jako część siły roboczej i stosują ten sam poziom monitorowania, kierowania i kontroli, co w przypadku ryzyka generowanego przez ludzi.

Nie wszyscy pracownicy ani systemy AI stanowią równego ryzyka. Jak organizacje powinny priorytetowo traktować interwencje, nie tworząc tarcia ani nadmiernej inwigilacji?

Nie wszystkie ryzyka są równe, a traktowanie ich w ten sposób tworzy tarcie. Kluczem jest skoncentrowanie się na tym, gdzie ryzyko jest naprawdę skoncentrowane — ponieważ około 10% użytkowników generuje 73% ryzyka — i zastosowanie ukierunkowanych interwencji tam, zamiast na całej siatce roboczej. Oznacza to używanie danych behawioralnych, dostępu i narażenia, aby priorytetowo traktować, kto i co wymaga uwagi, i dostarczanie wskazówek w trakcie pracy, zamiast nakładania dodatkowych kontroli. Zrobione prawidłowo, redukuje tarcie, czyniąc bezpieczną ścieżkę najłatwiejszą do naśladowania, zamiast zwiększania inwigilacji wśród wszystkich.

Gdy przyspieszymy do przodu o pięć lat, jaki będzie wyglądał bezpieczeństwo siły roboczej, i co większość organizacji nadal niedocenia dzisiaj?

Gdy przyspieszymy do przodu o pięć lat, bezpieczeństwo siły roboczej będzie definiowane przez to, jak dobrze organizacje mogą zrozumieć i zarządzać ryzykiem wśród ludzi i agentów AI działających razem. Nie będzie to już o okresowych szkoleniach lub statycznych kontrolach, ale o ciągłej widoczności, ocenie ryzyka w czasie rzeczywistym i możliwości podjęcia działań dynamicznie, gdy zachowania, dostęp i zagrożenia się zmieniają. Ludzie nadal będą w centrum, ale będą zarządzać i rozszerzać się za pomocą AI, co oznacza, że bezpieczeństwo musi uwzględniać zarówno ludzi, jak i AI.

Co większość organizacji nadal niedocenia, to fakt, że już istnieje luka widoczności ryzyka ludzkiego, a AI ją powiększa. Wiele myśli, że mają strategię AI, ale w rzeczywistości brakuje im widoczności zarówno ludzi, jak i narzędzi, których używają. Krok pierwszy to zrozumienie ryzyka ludzkiego, zachowań, dostępu i narażenia na zagrożenia. Krok drugi to rozszerzenie tej widoczności na agenci AI, których pracownicy używają, które są tak samo potężne i ryzykowne, jak dostęp i decyzje, które ludzie im dają. Bez tej podstawy organizacje nie tylko są w tyle za AI, ale działają z rosnącymi punktami ślepości w całej swojej siatce roboczej.

Dziękuję za wspaniały wywiad, czytelnicy, którzy chcą dowiedzieć się więcej, powinni odwiedzić Living Security.