Ashley Rose, Fundadora e CEO da Living Security – Série de Entrevistas

Ashley Rose, Fundadora e CEO da Living Security, é uma empreendedora serial e inovadora em cibersegurança focada em redefinir como as organizações abordam o risco humano na segurança. Desde a fundação da empresa em 2017, ela liderou o desenvolvimento de uma abordagem de cibersegurança baseada em dados e comportamento que vai além do treinamento de conscientização tradicional em direção à redução de risco mensurável e mudança cultural. Com base em seu background em liderança de produtos e empreendedorismo, ela ajudou a escalar a Living Security em uma plataforma de SaaS de rápido crescimento usada por organizações de empresas, enquanto também contribui para o ecossistema mais amplo de cibersegurança como mentora, assessora e defensora de iniciativas como Women in CyberSecurity.

Living Security é uma empresa de SaaS de cibersegurança que se concentra em Gerenciamento de Risco Humano, ajudando as organizações a identificar, medir e reduzir os riscos associados ao comportamento dos funcionários. Sua plataforma agrega dados comportamentais, de identidade e de ameaças para identificar usuários de alto risco e fornecer treinamento e intervenções direcionadas e em tempo real projetados para prevenir violações antes que ocorram. Ao combinar análise, automação e métodos de treinamento envolventes, como simulações e experiências gamificadas, a empresa permite que as empresas mudem de segurança baseada em conformidade para redução de risco proativa e mensurável em toda a força de trabalho.

Você fundou a Living Security em 2017 após experiências anteriores construindo e escalando um negócio de produtos de consumo e trabalhando como proprietária de produtos. Qual foi o momento ou realização específica que a levou a mudar para a cibersegurança e se concentrar no risco humano, e como essa tese original se manteve à medida que a IA se torna parte da força de trabalho?

Em 2017, a maioria das organizações tratava o treinamento de conscientização de segurança como um exercício de marcação de caixas, e não estava mudando o comportamento. O ponto de virada foi a realização de que, se o comportamento humano estava impulsionando violações, a resposta não poderia ser mais treinamento esquecível. Drew Rose, co-fundador da Living Security, estava executando programas de segurança ele mesmo e começou a gamificar, construindo protótipos iniciais que se tornaram salas de escape de cibersegurança. Vimos em primeira mão que, quando você tornava a segurança experiencial, as pessoas se engajavam, aprendiam e realmente mudavam o comportamento. Isso se tornou a base para a Living Security.

Como co-fundadores, Drew e eu rapidamente percebemos que o engajamento era apenas o ponto de partida. À medida que escalamos essas experiências em uma plataforma, começamos a ver padrões em como as pessoas se comportavam, onde elas lutavam e onde o risco estava realmente concentrado. Isso expôs uma lacuna muito maior: as organizações não tinham visibilidade real sobre o risco humano ou como reduzi-lo de forma direcionada. Essa percepção nos levou a pioneirar o Gerenciamento de Risco Humano, que é sobre identificar, medir e reduzir o risco com base no comportamento individual, acesso e ameaças, e não apenas fornecer treinamento. À medida que a IA se torna incorporada à força de trabalho, essa tese original se expandiu: o desafio não é mais apenas o comportamento humano, mas como os humanos e os sistemas de IA operam juntos. Os humanos ainda estão no centro, agora gerenciando e implantando agentes de IA, o que significa que você precisa estender a visibilidade para esses agentes e vincular esse risco ao indivíduo. É isso que está impulsionando nossa evolução para a Segurança da Força de Trabalho.

Você argumentou que o erro humano é uma explicação incompleta para as violações. Como as organizações devem repensar o risco da força de trabalho hoje, quando tanto o comportamento humano quanto as ações impulsionadas por IA estão contribuindo para a superfície de ataque?

Encarar as violações como “erro humano” simplifica demais o problema e obscurece de onde o risco realmente vem. O risco humano não é apenas sobre erros, é moldado por uma combinação de comportamento, acesso e exposição a ameaças. Alguns funcionários têm acesso privilegiado a sistemas sensíveis, alguns são alvos mais frequentes e alguns exibem comportamentos mais arriscados, então o risco de violações não é distribuído uniformemente. Para realmente entender o risco, as organizações precisam ter visibilidade sobre onde esses fatores se cruzam e onde o risco humano existe.

Como resultado, as organizações precisam ir além dos modelos baseados em conscientização e repensar o risco da força de trabalho como um desafio operacional compartilhado, que abrange tanto o risco humano quanto as ações impulsionadas por IA. Isso significa se concentrar em visibilidade contínua sobre como o trabalho é realizado, entender onde o risco está concentrado e aplicar intervenções direcionadas e em tempo real em toda a força de trabalho híbrida, em vez de tratar o risco como erros isolados de usuário.

Quando os sistemas de IA param de ser apenas ferramentas e começam a ser tratados como parte da força de trabalho do ponto de vista de segurança?

Os sistemas de IA param de ser apenas ferramentas e começam a ser tratados como parte da força de trabalho no momento em que tomam ações dentro dos ambientes de empresa. Nesse ponto, eles introduzem risco da mesma forma que os funcionários: através das ações que tomam, das permissões com que operam e dos dados que tocam. A mudança para as organizações é reconhecer que os agentes de IA não são apenas camadas de produtividade — eles são participantes operacionais e precisam ser governados, monitorados e seguros ao lado dos usuários humanos dentro de um modelo de risco de força de trabalho unificado.

Como as empresas devem abordar a governança quando o risco não está mais limitado aos funcionários, mas se estende aos agentes de IA que operam com diferentes níveis de autonomia e acesso?

As empresas precisam ir além da governança baseada em políticas e tratá-la como um processo contínuo e direcionado pelo comportamento que se aplica tanto aos humanos quanto aos agentes de IA. A maioria das organizações já tem políticas de IA em vigor, mas a lacuna está na aplicação e visibilidade, especialmente à medida que os funcionários adotam ferramentas além dos ambientes sancionados e os sistemas de IA operam com diferentes níveis de acesso.

A governança eficaz começa com a definição clara do uso aceitável com base no papel e no acesso a dados, mas também requer orientação em tempo real incorporada aos fluxos de trabalho e medição contínua para que as organizações possam ver onde o risco está surgindo e adaptar. Em última análise, a governança deve refletir como o trabalho realmente acontece hoje: em uma força de trabalho híbrida onde tanto os humanos quanto os sistemas de IA estão tomando decisões, acessando dados e introduzindo risco.

A Living Security se concentrou fortemente em modelos de segurança baseados em comportamento. Como essa filosofia se traduz quando alguns comportamentos agora vêm de sistemas de IA em vez de humanos?

A abordagem baseada em comportamento da Living Security se estende naturalmente à IA porque o foco nunca foi apenas em quem está criando o risco, mas como o risco é introduzido por meio de ações. Seja uma pessoa ou um sistema de IA, o risco aparece em comportamentos, como os dados são acessados, quais ações são tomadas e como as decisões são executadas dentro dos fluxos de trabalho. À medida que os sistemas de IA assumem mais responsabilidade operacional, o mesmo modelo se aplica: as organizações precisam de visibilidade sobre esses comportamentos, juntamente com a capacidade de orientar e intervir em tempo real.

Foi isso que levou ao desenvolvimento do Livvy, a inteligência de IA que alimenta a plataforma da Living Security — aplicando inteligência preditiva e monitoramento contínuo em ambas as atividades humanas e de IA. Em vez de tratar a IA como um desafio separado, isso permite uma abordagem mais unificada onde o comportamento, humano ou de máquina, é continuamente medido, orientado e gerenciado dentro de um modelo de risco de força de trabalho único.

Muitas organizações ainda dependem de treinamento de conscientização de segurança periódico. Por que esse modelo quebra em ambientes modernos, e como uma abordagem verdadeiramente adaptativa e baseada em dados parece na prática?

O treinamento de conscientização de segurança periódico quebra porque foi construído para um cenário de ameaças estático e assume que o risco pode ser reduzido por meio de educação ampla. Na realidade, a maioria dos incidentes decorre de comportamentos operacionais do dia a dia, e não da falta de treinamento, e o risco é frequentemente concentrado entre um subconjunto pequeno de usuários. Uma abordagem mais adaptativa e baseada em dados se concentra em identificar continuamente onde o risco realmente existe e fornecer orientação direcionada e em tempo real no fluxo de trabalho — mudando da conclusão do treinamento para a redução de risco mensurável.

Sua plataforma enfatiza a quantificação do risco humano usando dados do mundo real. Quais são os sinais mais importantes que as organizações devem acompanhar hoje para entender o risco de forma dinâmica em vez de retrospectiva?

As organizações devem se concentrar no comportamento, identidade e acesso, e exposição a ameaças, sinais que refletem como o risco é criado e onde se concentra na força de trabalho. Isso agora se estende à IA também, incluindo quais ferramentas os funcionários estão usando, quais acessos esses sistemas têm e como estão sendo configurados ou solicitados. Por si só, esses sinais são úteis, mas o valor real vem de como eles se juntam para contar uma história sobre o risco.

Por exemplo, um CFO que tem acesso a sistemas financeiros, não usa MFA, usa ferramentas de IA conectadas a dados sensíveis e está sendo ativamente alvo de campanhas de phishing representa um nível de risco muito diferente do que um BDR com acesso limitado e exposição mais baixa. O risco não está apenas no que alguém faz, mas no que tem acesso, nos sistemas que agem em seu nome e com que frequência está sendo alvo. Quando você pode ver esses fatores juntos, pode entender onde uma violação é mais provável de ocorrer e tomar ação em tempo real, seja alertando o indivíduo, restringindo os controles ou priorizando a intervenção para esse grupo.

A IA está criando novas vulnerabilidades, mas também está sendo usada defensivamente. Onde você vê o equilíbrio mudando, e estamos indo em direção a um impacto de segurança líquido positivo ou negativo da IA?

A IA está fazendo ambos, expandindo a superfície de ataque enquanto também melhora como as organizações detectam e respondem ao risco. Por um lado, está permitindo fluxos de trabalho mais complexos e ações autônomas que podem introduzir novas vulnerabilidades; por outro, permite que as equipes de segurança analisem o comportamento em escala e ajam mais rapidamente. Onde o equilíbrio cai depende de como as organizações se adaptam. No momento, muitas ainda estão pegando a visibilidade e a governança, especialmente à medida que a IA é usada de maneiras que elas não mapearam completamente. A longo prazo, pode ser líquido positivo, mas apenas se as organizações tratam a IA como parte da força de trabalho e aplicam o mesmo nível de monitoramento, orientação e controle que aplicam ao risco humano.

Nem todos os funcionários ou sistemas de IA representam risco igual. Como as organizações devem priorizar a intervenção sem criar fricção ou super-vigilância?

Não todos os riscos são iguais, e tratá-los como se fossem é o que cria fricção. A chave é se concentrar em onde o risco está realmente concentrado — já que cerca de 10% dos usuários impulsionam 73% do risco — e aplicar intervenções direcionadas lá, em vez de aplicar amplamente em toda a força de trabalho. Isso significa usar dados de comportamento, acesso e exposição para priorizar quem e o que precisa de atenção, e fornecer orientação no fluxo de trabalho em vez de adicionar mais controles. Feito corretamente, reduz a fricção tornando o caminho seguro o mais fácil a seguir, em vez de aumentar a vigilância em todos.

Se avançarmos cinco anos, como a segurança da força de trabalho parecerá, e o que a maioria das organizações ainda subestima hoje?

Se avançarmos cinco anos, a segurança da força de trabalho será definida por quão bem as organizações podem entender e gerenciar o risco em ambas as ações humanas e de IA operando juntas. Não será sobre treinamento periódico ou controles estáticos, será sobre visibilidade contínua, avaliação de risco em tempo real e a capacidade de tomar ação dinamicamente à medida que o comportamento, o acesso e as ameaças mudam. Os humanos ainda estarão no centro, mas estarão gerenciando e estendendo a si mesmos por meio da IA, o que significa que a segurança precisa levar em conta ambos.

O que a maioria das organizações está subestimando é que já há uma lacuna de visibilidade no risco humano hoje, e a IA está agravando isso. Muitos pensam que têm uma estratégia de IA, mas na realidade, falta visibilidade tanto para as pessoas quanto para as ferramentas que essas pessoas estão usando. O passo um é entender o risco humano, comportamento, acesso e exposição a ameaças. O passo dois é estender essa visibilidade para os agentes de IA que os funcionários estão usando, que são tão poderosos e arriscados quanto o acesso e as decisões que os humanos lhes dão. Sem essa base, as organizações não estão apenas atrasadas em relação à IA, estão operando com pontos cegos crescentes em toda a força de trabalho.

Obrigado pela grande entrevista, leitores que desejam aprender mais devem visitar Living Security.