Connect with us

Ashley Rose, grundare och VD för Living Security – Intervjuserie

Intervjuer

Ashley Rose, grundare och VD för Living Security – Intervjuserie

mm
Published

Ashley Rose, grundare och VD för Living Security, är en serieentreprenör och cybersäkerhetsinnovatör som fokuserar på att omdefiniera hur organisationer hanterar mänsklig risk i säkerhet. Sedan hon grundade företaget 2017 har hon lett utvecklingen av en datastyrd, beteendefokuserad approach till cybersäkerhet som går utöver traditionell medvetenhetsträning mot mätbar riskreducering och kulturell förändring. Med sin bakgrund inom produktledning och entreprenörskap har hon hjälpt till att skala upp Living Security till en snabbväxande SaaS-plattform som används av företagsorganisationer, samtidigt som hon bidrar till den bredare cybersäkerhetsekonomin som mentor, rådgivare och förespråkare för initiativ som Women in CyberSecurity.

Living Security är ett cybersäkerhetsföretag som fokuserar på Human Risk Management, som hjälper organisationer att identifiera, mäta och reducera risker förknippade med anställdas beteende. Dess plattform samlar in beteendemässig, identitets- och hotdata för att identifiera högriskanvändare och leverera riktad, realtidsutbildning och ingripanden som är utformade för att förhindra intrång innan de inträffar. Genom att kombinera analytik, automatisering och engagerande utbildningsmetoder som simuleringar och gamifierade upplevelser möjliggör företaget för företag att gå från regelefterlevnad till proaktiv, mätbar riskreducering över hela arbetsstyrkan.

Du grundade Living Security 2017 efter tidigare erfarenhet av att bygga och skala upp en konsumentprodukt och arbeta som produktägare. Vilken specifik ögonblick eller insikt ledde dig att skifta fokus till cybersäkerhet och mänsklig risk, och hur har den ursprungliga tesen hållit som AI blir en del av arbetsstyrkan?

2017 behandlade de flesta organisationer säkerhetsmedvetenhetsträning som en checkbox-övning, och det förändrade inte beteendet. Vändpunkten var insikten att om mänskligt beteende drev intrång, kunde svaret inte vara mer glömsk utbildning. Drew Rose, medgrundare av Living Security, ansvarade för säkerhetsprogram och började göra dem mer spelorienterade, byggde tidiga prototyper som blev cybersäkerhets-escape-rum. Vi såg förstahands att när man gjorde säkerhet till en upplevelse, engagerade sig människor, lärde och faktiskt förändrade beteende. Det blev grunden för Living Security.

Som medgrundare insåg Drew och jag snabbt att engagemanget bara var början. När vi skalförstorade dessa upplevelser till en plattform började vi se mönster i hur människor betedde sig, där de kämpade och där risk faktiskt koncentrerades. Det avslöjade en mycket större gap: organisationer hade ingen riktig insikt i mänsklig risk eller hur man reducerar den på ett riktat sätt. Den insikten ledde oss till att bana väg för Human Risk Management, som handlar om att identifiera, mäta och reducera risk baserat på individuellt beteende, åtkomst och hot, inte bara leverera utbildning. När AI blir en del av arbetsstyrkan har den ursprungliga tesen bara utvidgats: utmaningen är inte längre bara mänskligt beteende, utan hur människor och AI-system opererar tillsammans. Människor är fortfarande i centrum, men de hanterar och distribuerar nu AI-agenter, vilket innebär att man måste utöka insynen till dessa agenter och knyta den risken tillbaka till den enskilda individen. Det är vad som driver vår utveckling mot Workforce Security.

Du har hävdat att mänskligt fel är en ofullständig förklaring till intrång. Hur bör organisationer omdefiniera arbetsstyrkans risk idag när både mänskligt beteende och AI-styrd handling bidrar till angreppsytan?

Att ramla in intrång som “mänskligt fel” förenklar problemet och döljer var risken faktiskt kommer ifrån. Mänsklig risk är inte bara om misstag, utan formas av en kombination av beteende, åtkomst och exponering för hot. Vissa anställda har privilegerad åtkomst till känsliga system, vissa är mer frekvent måltavlor och vissa uppvisar riskigare beteenden, så risken för intrång är inte jämnt fördelad. För att verkligen förstå risken behöver organisationer insikt i var dessa faktorer sammanfaller och var mänsklig risk existerar.

Som ett resultat behöver organisationer gå utöver medvetenhetbaserade modeller och omdefiniera arbetsstyrkans risk som en gemensam, operativ utmaning, en som omfattar både mänsklig risk och AI-styrd handling. Detta innebär att fokusera på kontinuerlig insyn i hur arbetet utförs, förstå var risken koncentreras och tillämpa riktade, realtidsingripanden över en hybridarbetsstyrka snarare än att behandla risk som isolerade användarfel.

När slutar AI-system att vara verktyg och börjar behandlas som en del av arbetsstyrkan ur ett säkerhetsperspektiv?

AI-system slutar att vara bara verktyg och börjar behandlas som en del av arbetsstyrkan i och med att de vidtar åtgärder inom företagsmiljöer. Vid den punkten introducerar de risk på samma sätt som anställda gör: genom de åtgärder de vidtar, de behörigheter de opererar med och de data de berör. Skiftet för organisationer är att inse att AI-agenter inte bara är produktivitetslager – de är operativa deltagare och behöver styras, övervakas och säkras tillsammans med mänskliga användare inom ett enhetligt arbetsstyrkans riskmodell.

Hur bör företag närma sig styrning när risk inte längre är begränsad till anställda, utan sträcker sig till AI-agenter som opererar med varierande nivåer av autonomi och åtkomst?

Företag behöver gå utöver policybaserad styrning och behandla den som en kontinuerlig, beteendestyrd process som gäller både människor och AI-agenter. De flesta organisationer har redan AI-policys på plats, men gapet ligger i verkställighet och insyn, särskilt när anställda antar verktyg utanför sanktionerade miljöer och AI-system opererar med varierande nivåer av åtkomst.

Effektiv styrning börjar med att tydligt definiera godkänd användning baserat på roll och dataåtkomst, men den kräver också realtidsvägledning som är inbäddad i arbetsflöden och kontinuerlig mätning så att organisationer kan se var risk uppstår och anpassa sig. I slutändan måste styrningen återspegla hur arbetet faktiskt sker idag: över en hybridarbetsstyrka där både människor och AI-system fattar beslut, åtkommer data och introducerar risk.

Living Security har fokuserat kraftigt på beteendestyrd säkerhetsmodell. Hur översätter sig den filosofin när vissa beteenden nu kommer från AI-system snarare än människor?

Living Securitys beteendestyrd tillvägagångssätt utvidgas naturligt till AI eftersom fokus aldrig har varit bara på vem som skapar risk, utan hur risk introduceras genom åtgärder. Oavsett om det är en person eller ett AI-system visar sig risken i beteenden, hur data åtkommes, vilka åtgärder vidtas och hur beslut fattas inom arbetsflöden. När AI-system tar på sig mer operativt ansvar gäller samma modell: organisationer behöver insyn i dessa beteenden, tillsammans med förmågan att vägleda och ingripa i realtid.

Det var vad som ledde till utvecklingen av Livvy, AI-intelligensen som driver Living Security-plattformen – applicerar prediktiv intelligens och kontinuerlig övervakning över både mänsklig och AI-aktivitet. Istället för att behandla AI som en separat utmaning möjliggör det en mer enhetlig tillvägagångssätt där beteende, mänskligt eller maskinellt, kontinuerligt mäts, vägleds och hanteras inom en enda arbetsstyrkans riskmodell.

Många organisationer förlitar sig fortfarande på periodisk säkerhetsmedvetenhetsträning. Varför bryter den modellen ihop i moderna miljöer, och vad ser en verkligt anpassad, datastyrd tillvägagångssätt ut i praktiken?

Periodisk säkerhetsmedvetenhetsträning bryter ihop eftersom den byggdes för en statisk hotbild och antar att risk kan reduceras genom allmän utbildning. I verkligheten härrör de flesta incidenter från vardagliga operativa beteenden, inte från brist på utbildning, och risken är ofta koncentrerad bland en liten undergrupp av användare. En mer anpassad, datastyrd tillvägagångssätt fokuserar på att kontinuerligt identifiera var risken faktiskt existerar och leverera riktad, realtidsvägledning i arbetsflödet – skiftar från utbildningsfullbordan till mätbar riskreducering.

Er plattform betonar kvantifiering av mänsklig risk med hjälp av realvärldens data. Vilka är de viktigaste signalerna som organisationer bör spåra idag för att förstå risk dynamiskt snarare än retrospektivt?

Organisationer bör fokusera på beteende, identitet och åtkomst, samt hotexponering, signaler som återspeglar hur risk skapas och var den koncentreras över arbetsstyrkan. Det omfattar nu även AI, inklusive vilka verktyg anställda använder, vilken åtkomst dessa system har och hur de konfigureras eller promptas. På egen hand är dessa signaler användbara, men det verkliga värdet kommer från hur de kommer samman för att berätta en historia om risk.

Till exempel representerar en CFO som har åtkomst till finansiella system, inte använder MFA, använder AI-verktyg anslutna till känsliga data och är aktivt måltavla för phishing-kampanjer en mycket annorlunda nivå av risk jämfört med en BDR med begränsad åtkomst och lägre exponering. Risken ligger inte bara i vad någon gör, utan i vad de har åtkomst till, de system som agerar på deras vägnar och hur ofta de är måltavla. När man kan se dessa faktorer tillsammans kan man förstå var ett intrång är mest sannolikt att inträffa och vidta åtgärder i realtid, antingen genom att varna den enskilda individen, strama åt kontroller eller prioritera ingripande för den gruppen.

AI skapar nya sårbarheter, men det används också försvarande. Var ser du att balansen skiftar, och är vi på väg mot en nettopositiv eller nettonegativ säkerhetspåverkan från AI?

AI gör båda, utvidgar angreppsytan samtidigt som den förbättrar hur organisationer upptäcker och svarar på risk. Å ena sidan möjliggör det mer komplexa arbetsflöden och autonoma åtgärder som kan introducera nya sårbarheter; å andra sidan tillåter det säkerhetsteam att analysera beteende i stor skala och agera snabbare. Var balansen landar beror på hur väl organisationer anpassar sig. Just nu håller många på att komma ikapp med insyn och styrning, särskilt när AI används på sätt de inte fullständigt kartlagt. På lång sikt kan det bli nettopositivt, men bara om organisationer behandlar AI som en del av arbetsstyrkan och tillämpar samma nivå av övervakning, vägledning och kontroll som de gör för mänsklig risk.

Inte alla anställda eller AI-system utgör lika stor risk. Hur bör organisationer prioritera ingripande utan att skapa friktion eller övervakning?

Inte all risk är lika, och att behandla den som sådan skapar friktion. Nyckeln är att fokusera på var risken faktiskt koncentreras – eftersom ungefär 10% av användare driver 73% av risken – och tillämpa riktade ingripanden där snarare än över hela arbetsstyrkan. Det innebär att använda beteendemässig, åtkomst- och exponeringsdata för att prioritera vem och vad som behöver uppmärksamhet, och leverera vägledning i arbetsflödet snarare än att lägga till fler kontroller. Om det görs rätt minskar det friktionen genom att göra den säkra vägen den enklaste att följa, snarare än att öka övervakningen över alla.

Om vi framåtriktat fem år, vad kommer arbetsstyrkans säkerhet att se ut, och vad underskattar de flesta organisationer idag?

Om vi framåtriktat fem år kommer arbetsstyrkans säkerhet att definieras av hur väl organisationer kan förstå och hantera risk över både människor och AI-agenter som opererar tillsammans. Det kommer inte att handla om periodisk utbildning eller statiska kontroller, utan om kontinuerlig insyn, realtidsriskbedömning och förmågan att vidta åtgärder dynamiskt när beteende, åtkomst och hot förändras. Människor kommer fortfarande att vara i centrum, men de kommer att hantera och utöka sig genom AI, vilket innebär att säkerheten måste ta hänsyn till båda.

Vad de flesta organisationer underskattar är att det redan finns en insynsbrist i mänsklig risk idag, och AI förvärrar det. Många tror att de har en AI-strategi, men i verkligheten saknar de insyn i både sina människor och de verktyg som dessa människor använder. Steg ett är att förstå mänsklig risk, beteende, åtkomst och exponering för hot. Steg två är att utöka den insynen till AI-agenter som anställda använder, som bara är så kraftfulla och riskfyllda som den åtkomst och de beslut som människor ger dem. Utan den grunden opererar organisationer inte bara med en växande blind fläck över hela arbetsstyrkan.

Tack för den utmärkta intervjun, läsare som vill lära sig mer bör besöka Living Security.

Related Topics:
mm

Antoine är en visionär ledare och medgrundare av Unite.AI, driven av en outtröttlig passion för att forma och främja framtiden för AI och robotik. En serieentreprenör, han tror att AI kommer att vara lika omstörtande för samhället som elektricitet, och fångas ofta i extas över potentialen för omstörtande teknologier och AGI. Som en futurist, är han dedikerad till att utforska hur dessa innovationer kommer att forma vår värld. Dessutom är han grundare av Securities.io, en plattform som fokuserar på att investera i banbrytande teknologier som omdefinierar framtiden och omformar hela sektorer.