Connect with us

Ashley Rose, Fondator și CEO al Living Security – Seria de interviuri

Interviuri

Ashley Rose, Fondator și CEO al Living Security – Seria de interviuri

mm
Published
Updated

Ashley Rose, Fondator și CEO al Living Security, este un antreprenor serial și inovator în domeniul securității cibernetice, axat pe redefinirea modului în care organizațiile abordează riscul uman în securitate. De la fondarea companiei în 2017, el a condus dezvoltarea unei abordări bazate pe date și comportament pentru securitatea cibernetică, care se extinde dincolo de trainingul tradițional de conștientizare spre reducerea riscului măsurabil și schimbarea culturală. În calitate de lider de produs și antreprenor, el a ajutat la scalarea Living Security într-o platformă SaaS în creștere rapidă, utilizată de organizații enterprise, și a contribuit la ecosistemul mai larg de securitate cibernetică ca mentor, consilier și avocat pentru inițiative precum Women in CyberSecurity.

Living Security este o companie de securitate cibernetică SaaS care se axează pe gestionarea riscului uman, ajutând organizațiile să identifice, să măsoare și să reducă riscurile asociate cu comportamentul angajaților. Platforma sa agregă date comportamentale, de identitate și de amenințare pentru a identifica utilizatorii cu risc ridicat și a furniza training și intervenții țintite în timp real, proiectate pentru a preveni încălcările înainte de a apărea. Prin combinarea analizei, automatizării și metodelor de training angajante, cum ar fi simulările și experiențele gamificate, compania permite întreprinderilor să treacă de la securitatea bazată pe conformitate la reducerea riscului măsurabil și proactivă pe întreaga forță de muncă.

Ați fondat Living Security în 2017, după experiența anterioară de a construi și scala o afacere de produse pentru consumatori și de a lucra ca proprietar de produs. Care a fost momentul sau realizarea specifică care v-a determinat să vă axați pe securitatea cibernetică și pe riscul uman, și cum s-a menținut acea teză originală pe măsură ce inteligența artificială devine parte a forței de muncă?

În 2017, majoritatea organizațiilor tratau trainingul de conștientizare a securității ca pe un exercițiu de bifare a casetelor, și nu schimba comportamentul. Punctul de cotitură a fost realizarea că, dacă comportamentul uman era cel care genera încălcări, răspunsul nu putea fi doar un training mai uitat. Drew Rose, co-fondator al Living Security, conducea programe de securitate și a început să gamifice, construind prototipuri timpurii care au devenit camere de scăpare cibernetice. Am văzut direct că, atunci când faceți securitatea experiențială, oamenii se implică, învață și chiar schimbă comportamentul. Acesta a devenit fundamentul pentru Living Security.

Cu Drew, am realizat rapid că implicarea era doar punctul de start. Pe măsură ce am scalat acele experiențe într-o platformă, am început să vedem tipare în modul în care oamenii se comportau, unde au dificultăți și unde riscul era de fapt concentrat. Acest lucru a expus o lacună mult mai mare: organizațiile nu aveau nicio vizibilitate reală asupra riscului uman sau asupra modului de a-l reduce într-un mod țintit. Acea perspectivă ne-a condus să inovăm gestionarea riscului uman, care se axează pe identificarea, măsurarea și reducerea riscului pe baza comportamentului individual, accesului și amenințărilor, și nu doar pe furnizarea de training. Pe măsură ce inteligența artificială devine încorporată în forța de muncă, acea teză originală s-a extins doar: provocarea nu mai este doar comportamentul uman, ci modul în care oamenii și sistemele de inteligență artificială operează împreună. Oamenii sunt încă în centrul, acum gestionând și implementând agenți de inteligență artificială, ceea ce înseamnă că trebuie să extindem vizibilitatea asupra acelor agenți și să legăm acel risc de individ. Acesta este ceea ce ne conduce spre evoluția noastră către Securitatea forței de muncă.

Ați argumentat că eroarea umană este o explicație incompletă pentru încălcări. Cum ar trebui organizațiile să reevalueze riscul forței de muncă astăzi, când atât comportamentul uman, cât și acțiunile conduse de inteligență artificială contribuie la suprafața de atac?

Încadrarea încălcărilor ca “erori umane” simplifică prea mult problema și ascunde de fapt de unde provine riscul. Riscul uman nu este doar despre greșeli, ci este modelat de o combinație de comportament, acces și expunere la amenințări. Unii angajați au acces privilegiat la sisteme sensibile, unii sunt ținta mai frecventă, și unii exibă comportamente mai riscante, astfel încât riscul de încălcări nu este distribuit uniform. Pentru a înțelege cu adevărat riscul, organizațiile au nevoie de vizibilitate asupra intersecției acestor factori și asupra locurilor în care există riscul uman.

Ca urmare, organizațiile trebuie să se extindă dincolo de modelele bazate pe conștientizare și să reevalueze riscul forței de muncă ca o provocare operațională comună, care acoperă atât riscul uman, cât și acțiunile conduse de inteligență artificială. Acest lucru înseamnă concentrarea asupra vizibilității continue asupra modului în care se desfășoară munca, înțelegerea locurilor în care riscul este concentrat și aplicarea de intervenții țintite și în timp real asupra unei forțe de muncă hibride, mai degrabă decât tratarea riscului ca greșeli izolate ale utilizatorilor.

Uneltele de inteligență artificială redactează acum cod, gestionează fluxuri de lucru și chiar iau decizii. La ce punct sistemele de inteligență artificială încetează să mai fie doar unelte și încep să fie tratate ca parte a forței de muncă din perspectiva securității?

Sistemele de inteligență artificială încetează să mai fie doar unelte și încep să fie parte a forței de muncă în momentul în care iau acțiuni în interiorul mediilor enterprise. În acel moment, ele introduc risc în același mod în care o fac angajații: prin acțiunile pe care le iau, permisiunile cu care operează și datele pe care le ating. Schimbarea pentru organizații constă în recunoașterea faptului că agenții de inteligență artificială nu sunt doar straturi de productivitate – ci participanți operaționali, și au nevoie de guvernanță, monitorizare și securitate alături de utilizatorii umani într-un model de risc al forței de muncă unificat.

Cum ar trebui întreprinderile să abordeze guvernanța atunci când riscul nu mai este limitat la angajați, ci se extinde și la agenții de inteligență artificială care operează cu niveluri variate de autonomie și acces?

Întreprinderile trebuie să se extindă dincolo de guvernanța bazată pe politici și să o trateze ca pe un proces continuu și condus de comportament, care se aplică atât oamenilor, cât și agenților de inteligență artificială. Majoritatea organizațiilor au deja politici de inteligență artificială în vigoare, dar lacuna este în aplicarea și vizibilitatea lor, mai ales când angajații adoptă unelte dincolo de mediile sancționate și sistemele de inteligență artificială operează cu niveluri variate de acces.

Guvernanța eficientă începe cu definirea clară a utilizării acceptabile pe baza rolului și accesului la date, dar necesită și îndrumare în timp real încorporată în fluxurile de lucru și măsurare continuă, astfel încât organizațiile să poată vedea unde apare riscul și să se adapteze. În cele din urmă, guvernanța trebuie să reflecte modul în care se desfășoară munca în realitate: pe o forță de muncă hibridă în care atât oamenii, cât și sistemele de inteligență artificială iau decizii, accesează date și introduc risc.

Living Security s-a axat puternic pe modelele de securitate conduse de comportament. Cum se traduce această filozofie atunci când unele comportamente provin de la sisteme de inteligență artificială și nu de la oameni?

Abordarea condusă de comportament a Living Security se extinde în mod natural la inteligența artificială, deoarece accentul a fost întotdeauna pe modul în care riscul este introdus prin acțiuni. Indiferent dacă este vorba de o persoană sau de un sistem de inteligență artificială, riscul apare în comportamente, în modul în care se accesează datele, în acțiunile întreprinse și în modul în care se iau decizii în fluxurile de lucru. Pe măsură ce sistemele de inteligență artificială își asumă responsabilități operaționale mai mari, același model se aplică: organizațiile au nevoie de vizibilitate asupra acestor comportamente, împreună cu capacitatea de a ghida și interveni în timp real.

Aceasta a condus la dezvoltarea Livvy, inteligența artificială care alimentează platforma Living Security – aplicând inteligență predictivă și monitorizare continuă atât asupra activității umane, cât și asupra celei de inteligență artificială. În loc de a trata inteligența artificială ca pe o provocare separată, permite o abordare mai unificată în care comportamentul, uman sau mașină, este măsurat, ghidat și gestionat în mod continuu într-un model de risc al forței de muncă unic.

Multe organizații încă se bazează pe trainingul periodic de conștientizare a securității. De ce se prăbușește acest model în mediile moderne, și ce arată o abordare cu adevărat adaptivă și condusă de date în practică?

Trainingul periodic de conștientizare a securității se prăbușește pentru că a fost construit pentru un peisaj de amenințări statice și presupune că riscul poate fi redus prin educație generală. În realitate, majoritatea incidentelor provin din comportamente operaționale de zi cu zi, nu din lipsa de training, și riscul este adesea concentrat printre un subset mic de utilizatori. O abordare mai adaptivă și condusă de date se concentrează pe identificarea continuă a locurilor în care există cu adevărat risc și furnizarea de îndrumare țintită și în timp real în fluxul de lucru – trecând de la finalizarea trainingului la reducerea măsurabilă a riscului.

Platforma dvs. subliniază cuantificarea riscului uman utilizând date din lumea reală. Care sunt cele mai importante semnale pe care organizațiile ar trebui să le urmărească astăzi pentru a înțelege riscul în mod dinamic, mai degrabă decât retrospectiv?

Organizațiile ar trebui să se concentreze asupra comportamentului, identității și accesului, precum și asupra expunerii la amenințări, semnale care reflectă modul în care se creează și se concentrează riscul pe întreaga forță de muncă. Acest lucru se aplică și inteligenței artificiale, inclusiv a uneltelor pe care le utilizează angajații, accesul pe care îl au și modul în care sunt configurate sau promptate. În sine, aceste semnale sunt utile, dar valoarea reală vine din modul în care se combină pentru a spune o poveste despre risc.

De exemplu, un CFO care are acces la sisteme financiare, nu utilizează autentificare cu doi factori, utilizează unelte de inteligență artificială conectate la date sensibile și este țintă a unor campanii de phishing reprezintă un nivel de risc foarte diferit față de un reprezentant de vânzări cu acces limitat și expunere mai mică. Riscul nu este doar în ceea ce face cineva, ci și în ceea ce are acces, sistemele care acționează în numele său și cât de des este țintă. Când puteți vedea aceste factori împreună, puteți înțelege unde este cel mai probabil să apară o încălcare și puteți lua măsuri în timp real, fie alertând individul, fie strângând controlul, fie prioritizând intervenția pentru acel grup.

Inteligența artificială creează noi vulnerabilități, dar este și utilizată în mod defensiv. Unde se deplasează echilibrul, și ne îndreptăm spre un impact de securitate net pozitiv sau net negativ din partea inteligenței artificiale?

Inteligența artificială face ambele: extinde suprafața de atac, dar și îmbunătățește modul în care organizațiile detectează și răspund la risc. Pe de o parte, permite fluxuri de lucru mai complexe și acțiuni autonome care pot introduce noi vulnerabilități; pe de altă parte, permite echipelor de securitate să analizeze comportamentul la scară și să acționeze mai rapid. Unde se stabilește echilibrul depinde de modul în care organizațiile se adaptează. În prezent, multe sunt încă în curs de a prinde din urmă vizibilitatea și guvernanța, mai ales când inteligența artificială este utilizată în moduri pe care nu le-au cartografiat pe deplin. Pe termen lung, poate fi net pozitiv, dar doar dacă organizațiile tratează inteligența artificială ca parte a forței de muncă și aplică același nivel de monitorizare, ghidare și control ca și pentru riscul generat de oameni.

Nu toți angajații sau sistemele de inteligență artificială prezintă riscuri egale. Cum ar trebui organizațiile să prioritizeze intervenția fără a crea fricțiuni sau supraveghere excesivă?

Nu toate riscurile sunt egale, și tratarea lor ca atare este ceea ce creează fricțiuni. Cheia este să se concentreze asupra locurilor în care riscul este de fapt concentrat – deoarece aproximativ 10% dintre utilizatori generează 73% din risc – și să aplice intervenții țintite acolo, mai degrabă decât în mod generalizat pe întreaga forță de muncă. Acest lucru înseamnă utilizarea datelor comportamentale, de acces și de expunere pentru a prioritiza cine și ce are nevoie de atenție, și furnizarea de îndrumare în fluxul de lucru, mai degrabă decât adăugarea de controale suplimentare. Realizat corect, reduce fricțiunile prin faptul că face ca drumul securizat să fie cel mai ușor de urmat, mai degrabă decât creșterea supravegherii asupra tuturor.

Dacă facem un salt înainte în timp, cinci ani de acum înainte, ce va arăta securitatea forței de muncă, și ce subestimează majoritatea organizațiilor astăzi?

Dacă facem un salt înainte în timp, cinci ani de acum înainte, securitatea forței de muncă va fi definită de modul în care organizațiile pot înțelege și gestiona riscul atât pentru oameni, cât și pentru agenții de inteligență artificială care operează împreună. Nu va fi vorba despre training periodic sau controale statice, ci despre vizibilitate continuă, evaluarea riscului în timp real și capacitatea de a lua măsuri dinamice pe măsură ce comportamentul, accesul și amenințările se schimbă. Oamenii vor rămâne în centrul, dar vor gestiona și extinde capacitățile lor prin inteligența artificială, ceea ce înseamnă că securitatea trebuie să țină cont de ambele.

Ce subestimează majoritatea organizațiilor este faptul că există deja o lacună de vizibilitate a riscului uman astăzi, și inteligența artificială o amplifică. Multe cred că au o strategie de inteligență artificială, dar, în realitate, lipsesc vizibilitatea asupra atât a oamenilor, cât și a uneltelor pe care le utilizează. Pasul unu este înțelegerea riscului uman, comportamentului, accesului și expunerii la amenințări. Pasul doi este extinderea acestei vizibilități asupra agenților de inteligență artificială pe care îi utilizează angajații, care sunt la fel de puternici și riscanți precum accesul și deciziile pe care oamenii le acordă. Fără această bază, organizațiile nu sunt doar în urmă cu inteligența artificială, ci operează cu puncte oarbe în creștere pe întreaga forță de muncă.

Mulțumim pentru interviul excelent; cititorii care doresc să afle mai multe pot vizita Living Security.

mm

Antoine este un lider vizionar și partener fondator al Unite.AI, condus de o pasiune neclintita pentru a da forma și a promova viitorul inteligenței artificiale și al roboticii. Un antreprenor serial, el crede că inteligența artificială va fi la fel de disruptivă pentru societate ca și electricitatea, și este adesea prins vorbind cu entuziasm despre potențialul tehnologiilor disruptive și al inteligenței artificiale generale.

Ca futurist, el este dedicat explorării modului în care aceste inovații vor modela lumea noastră. În plus, el este fondatorul Securities.io, o platformă axată pe investiții în tehnologii de ultimă generație care redefinesc viitorul și reshapă întregi sectoare.