Connect with us

Ashley Rose, Living Security’nin Kurucu Ortağı ve CEO’su – Röportaj Serisi

Röportajlar

Ashley Rose, Living Security’nin Kurucu Ortağı ve CEO’su – Röportaj Serisi

mm
Published

Ashley Rose, Living Security’nin Kurucu Ortağı ve CEO’su, insan riskini güvenlikte yeniden tanımlamak için odaklanan bir dizi girişimci ve siber güvenlik yenilikçisidir. Şirketin 2017’de kurulmasından bu yana, geleneksel farkındalık eğitiminden ölçülebilir risk azaltmasına ve kültürel değişime doğru davranışa odaklanan, veri odaklı bir yaklaşımın geliştirilmesine liderlik etmiştir. Ürün liderliği ve girişimcilik alanındaki geçmişine dayanarak, Living Security’yi hızlı büyüyen bir SaaS platformuna dönüştürmüş ve Women in CyberSecurity gibi girişimlere mentor, danışman ve savunucu olarak daha geniş siber güvenlik ekosistemine katkıda bulunmuştur.

Living Security bir siber güvenlik SaaS şirketidir ve İnsan Risk Yönetimi üzerine odaklanır, böylece organizasyonlar çalışan davranışlarıyla ilgili riskleri tanımlayabilir, ölçebilir ve azaltabilir. Platform, davranışsal, kimlik ve tehdit verilerini birleştirerek yüksek riskli kullanıcıları belirler ve güvenlik ihlallerini önlemek için hedefe yönelik, gerçek zamanlı eğitim ve müdahaleler sağlar. Analitik, otomasyon ve simülasyonlar ve oyunlaştırma gibi eğitim yöntemlerini birleştirerek, şirketler güvenlik farkındalığını uyum tabanlı güvenlikten proaktif, ölçülebilir risk azaltmaya dönüştürebilir.

2017’de Living Security’yi, daha önce bir tüketici ürünleri işini inşa etme ve ölçeklendirme ve ürün sahibi olarak çalışma deneyiminizden sonra kurmuştunuz. Siber güvenliğe ve insan riskine odaklanmanıza yol açan özel bir an veya anlayış nedir ve bu orijinal tezin asistanın işgücüne dahil olmasıyla nasıl dayanmaktadır?

2017’de çoğu organizasyon güvenlik farkındalık eğitimini bir onay kutusu egzersizi olarak tedavi ediyordu ve bu davranışın değişmesine neden olmuyordu. Dönüm noktası, insan davranışı ihlallere neden oluyorsa, cevabın daha unutulabilir eğitim olamayacağıydı. Living Security’nin Kurucu Ortağı Drew Rose, güvenlik programlarını kendisi yürütüyordu ve bunları oyunlaştırıyordu, siber güvenlik kaçış odaları haline gelen erken prototipler oluşturuyordu. İlk elden gördük ki, güvenlik deneyimlendiğinde, insanlar katılım gösterdi, öğrendi ve aslında davranışlarını değiştirdi. Bu, Living Security’nin temeli oldu.

Kurucu ortaklar olarak Drew ve ben, katılımın sadece başlangıç noktası olduğunu nhanh chóng gerçekleştirdik. O deneyimleri bir platforma ölçeklendirdikçe, insanların nasıl davrandığını, nerede mücadele ettiğini ve nerede riskin gerçekten yoğunlaştığını görmek için kalıplar görmeye başladık. Bu, çok daha büyük bir boşluğu ortaya çıkardı: organizasyonlar insan riskine veya onu hedefe yönelik bir şekilde nasıl azaltacağına gerçek bir görünürlüğe sahip değildi. Bu anlayış, İnsan Risk Yönetimi’ni öncülük etmemize yol açtı, bu da bireysel davranış, erişim ve tehditlere dayanarak riski tanımlamaya, ölçmeye ve azaltmaya ilişkin bir şeydir, sadece eğitim verilmesinden daha fazlasıdır. Asistan işgücüne dahil olurken, bu orijinal tezin sadece genişlediğini görüyoruz: zorluk artık sadece insan davranışı değil, aynı zamanda insanların ve asistan sistemlerinin birlikte nasıl çalıştıklarıdır. İnsanlar hala merkezde, şimdi asistan ajanlarını yönetiyorlar ve dağıtıyorlar, bu da bu riski bireye bağlamanız gerektiğini anlamına geliyor. Bu, Workforce Security’ye evrimimizi yönlendiren şeydir.

İnsan hatasının ihlaller için eksik bir açıklama olduğunu savunuyorsunuz. İnsan davranışı ve asistan tarafından alınan eylemler saldırı yüzeyine katkıda bulunduğu bugün organizasyonların işgücü riskini nasıl yeniden düşünmesi gerekir?

İhlalleri “insan hatası” olarak çerçevelemek sorunu basitleştirir ve risk nereden geldiğini gizler. İnsan riski sadece hatalardan ibaret değil, davranış, erişim ve tehditlere maruz kalma ile şekillenir. Bazı çalışanlar duyarlı sistemlere özel erişim sahiptir, bazıları daha sık hedeflenmektedir ve bazıları daha riskli davranışlar sergiler, bu nedenle ihlal riskleri eşit olarak dağılmaz. Riski gerçekten anlamak için organizasyonlar, bu faktörlerin kesiştiği noktaya ve insan riskinin nerede olduğu konusunda görünürlüğe ihtiyaç duyar.

Sonuç olarak, organizasyonlar, farkındalık tabanlı modellerin ötesine geçmeli ve işgücü riskini, hem insan riski hem de asistan tarafından alınan eylemleri içeren, paylaşılan, operasyonel bir zorluk olarak yeniden düşünmelidir. Bu, sürekli olarak işlerin nasıl yürütüldüğüne dair görünürlüğe odaklanmayı, riskin nerede yoğunlaştığını anlamayı ve hibrit bir işgücü boyunca gerçek zamanlı, hedefe yönelik müdahaleler uygulamayı içerir, bu da riski izole edilmiş kullanıcı hataları olarak tedavi etmek yerine gerçekleştirilir.

Asistan araçları artık kod yazıyor, iş akışlarını yönetiyor ve hatta kararlar veriyor. Asistan sistemleri, güvenlik açısından işgücüün bir parçası olarak muamele görmeye başladığı nokta nedir?

Asistan sistemleri, işgücüün bir parçası olarak muamele görmeye başladıkları anda, şirket içi ortamlarda eylem aldıkları anda, riski aynı şekilde tanıtırlar: aldıkları eylemler, sahip oldukları izinler ve dokundukları veriler aracılığıyla. Organizasyonlar için değişim, asistan ajanlarının yalnızca üretkenlik katmanları olmadıklarını, operasyonel katılımcılar olduklarını ve insan kullanıcılarla birlikte birleşik bir işgücü risk modeli içinde yönetilmeleri, izlenmeleri ve güvence altına alınmaları gerektiğini tanımaktır.

İnsanlara değil, değişen özerklik ve erişim seviyeleriyle çalışan asistan ajanlarına da uzanan riskle organizasyonlar, yönetimi nasıl yaklaşmalıdır?

Organizasyonlar, politika tabanlı yönetimden, insanlara ve asistan ajanlarına uygulanabilen, davranışa dayalı bir sürece geçmelidir. Çoğu organizasyon zaten asistan politikalarına sahiptir, ancak boşluk, özellikle çalışanlar onaylanmış ortamların ötesinde araçlar benimserken ve asistan sistemleri değişen erişim seviyeleriyle çalışırken, uygulama ve görünürlükte ortaya çıkar.

Etkili yönetim, rol ve veri erişimine dayalı kabul edilebilir kullanımın açık bir şekilde tanımlanmasıyla başlar, ancak aynı zamanda iş akışlarına gömülü gerçek zamanlı rehberlik ve sürekli ölçüm gerektirir, böylece organizasyonlar riskin nerede ortaya çıktığını görebilir ve adapte olabilir. Sonunda, yönetim, bugün nasıl çalışıldığına yansımalıdır: hem insanlar hem de asistan sistemleri kararlar alıyor, veri erişimi sağlıyor ve risk tanıtıyor olan bir hibrit işgücü boyunca.

Living Security, davranışa dayalı güvenlik modellerine odaklandı. Felsefe, bazı davranışların artık asistan sistemlerinden değil, insanlardan geldiği zaman nasıl çevrilir?

Living Security’nin davranışa dayalı yaklaşımı, asistanın doğal bir şekilde uzantısıdır, çünkü odak, riski oluşturanın kim olduğu değil, riskin eylemler, veri erişimi ve kararlar aracılığıyla nasıl tanıtıldığı üzerinedir. İnsanların veya asistan sistemlerinin davranışları, riskin nerede ortaya çıktığını ve müdahale gerektiren noktaları gösterir. Asistan sistemleri daha fazla operasyonel sorumluluk aldıkça, aynı model uygulanır: organizasyonlar, bu davranışlara dair görünürlüğe ve rehberlik ve müdahale yeteneğine ihtiyaç duyar.

Bu, Living Security platformunu güçlendiren Livvy adlı asistan zekasının geliştirilmesine yol açtı – hem insan hem de asistan faaliyeti boyunca öngörücü zeka ve sürekli izleme uygulayarak. Asistanı ayrı bir zorluk olarak tedavi etmek yerine, daha birleşik bir yaklaşım sağlar, burada davranış, insan veya makine, sürekli olarak ölçülür, rehberlik edilir ve tek bir işgücü risk modeli içinde yönetilir.

Çok sayıda organizasyon hala periyodik güvenlik farkındalık eğitimine güveniyor. Bu model modern ortamlarda neden bozuluyor ve gerçekten uyarlanabilir, veri odaklı bir yaklaşım nedir?

Periyodik güvenlik farkındalık eğitimi, statik bir tehdit manzarası için inşa edildiğinden ve riskin geniş eğitim yoluyla azaltılabileceği varsayımı nedeniyle bozulur. Gerçekte, çoğu olay, eğitim eksikliğinden değil, günlük operasyonel davranışlardan kaynaklanmaktadır ve risk, tüm işgücü boyunca eşit olarak dağılmaz. Daha uyarlanabilir, veri odaklı bir yaklaşım, riskin nerede gerçekten olduğunu sürekli olarak tanımlamaya ve iş akışında hedefe yönelik, gerçek zamanlı rehberlik sağlamaya odaklanır, bu da eğitim tamamlama yerine ölçülebilir risk azaltmasına geçişi sağlar.

Platformunuz, gerçek dünya verilerini kullanarak insan riskini nicelendirmeye vurgu yapıyor. Organizasyonların riski dinamik olarak anlamak için bugün hangi en önemli sinyalleri izlemeleri gerekir, değil de retrospektif olarak?

Organizasyonlar, davranış, kimlik ve erişim, ve tehditlere maruz kalma sinyallerine odaklanmalıdır, bunlar riskin nasıl oluşturulduğunu ve işgücü boyunca nasıl yoğunlaştığını yansıtan sinyallerdir. Bu sinyaller, kendi başlarına faydalıdır, ancak gerçek değer, birlikte risk hakkında bir hikaye anlatma şekillerinde yatmaktadır.

Örneğin, mali sistemlere erişim sağlayan, MFA kullanmayan, duyarlı verilere bağlı asistan araçlarını kullanan ve aktif olarak phishing kampanyalarıyla hedeflenen bir CFO, sınırlı erişim ve daha düşük maruz kalma ile bir BDR’den çok daha farklı bir risk seviyesini temsil eder. Risk, sadece birinin ne yaptığından ibaret değil, erişimine sahip olduğu şey, adına hareket eden sistemler ve ne sıklıkla hedeflendiğidir. Bu faktörleri birlikte gördüğünüzde, nerede bir ihlalın meydana gelebileceğini anlayabilir ve gerçek zamanlı olarak müdahale edebilirsiniz, bu da bireyi uyarmak, kontrolleri sıkılaştırmak veya bu gruba müdahaleyi önceliklendirmek anlamına gelebilir.

Asistan yeni zafiyetler yaratıyor, ancak aynı zamanda savunma olarak kullanılıyor. Denge nerede değişiyor ve asistanın güvenlik etkisinin net olarak olumlu mu yoksa net olarak olumsuz mu olacağını düşünüyorsunuz?

Asistan her iki şeyi yapıyor, saldırı yüzeyini genişletirken aynı zamanda organizasyonların riski tespit etmesine ve buna tepki vermesine de yardımcı oluyor. Bir yandan, daha karmaşık iş akışları ve özerk eylemler ermögiliyor, bu da yeni zafiyetler tanıtılmasına neden olabilir; diğer yandan, güvenlik ekiplerinin davranışları ölçeklenebilir bir şekilde analiz etmesine ve daha hızlı hareket etmesine olanak tanır. Denge, organizasyonların nasıl adapte olduğuna bağlıdır. Şu anda, birçok organizasyon masih görünürlük ve yönetim konusunda geri kalıyor, özellikle asistan, tam olarak haritalanmamış şekillerde kullanılıyor. Uzun vadeli olarak, net olarak olumlu olabilir, ancak yalnızca organizasyonlar asistanı işgücüün bir parçası olarak tedavi eder ve insan tarafından oluşturulan risk için aynı düzeyde izleme, rehberlik ve kontrolü uygularlar.

Tüm çalışanlar veya asistan sistemleri eşit risk oluşturmaz. Organizasyonlar, sürtünme veya aşırı gözetim yaratmadan nasıl müdahale önceliklendirebilir?

Tüm risk eşit değildir ve onu böyle tedavi etmek sürtünme yaratır. Anahtar, riskin gerçekten yoğunlaştığı noktaya odaklanmaktır – yaklaşık %10 kullanıcı %73 risk yaratır – ve orada hedefe yönelik müdahaleler uygulamaktır, tüm işgücü boyunca değil. Bu, davranışsal, erişim ve maruz kalma verilerini kullanarak, kimin ve neye dikkat edilmesi gerektiğini önceliklendirmeyi ve iş akışında rehberlik sağlamayı içerir, bu da herkesi izlemek yerine güvenli yolu en kolay yolu takip etmeyi azaltır.

Eğer beş yıl ileriye gidebilirsek, işgücü güvenliği nasıl görünür ve çoğu organizasyon bugün hala hangi konuyu küçümsüyor?

Eğer beş yıl ileriye gidebilirsek, işgücü güvenliği, organizasyonların insan ve asistan ajanlarının birlikte nasıl çalıştığını anlamak ve yönetmek zorunda kalacağı şekilde tanımlanacaktır. Periyodik eğitim veya statik kontroller hakkında olmayacak, sürekli görünürlük, gerçek zamanlı risk değerlendirmesi ve davranış, erişim ve tehditlerin değişmesi üzerine dinamik olarak harekete geçme yeteneği hakkında olacak. İnsanlar hala merkezde olacak, ancak asistanlar aracılığıyla kendilerini genişletecekler, bu da güvenliğin hem insan hem de asistan tarafından oluşturulan riski hesaba katması gerektiğini anlamına geliyor.

Çoğu organizasyon, bugün zaten insan riskinde bir görünürlük boşluğu olduğunu ve asistanın bunu artırıyor olduğunu küçümsüyor. Birçoğu, asistan stratejilerine sahip olduklarını düşünüyor, ancak gerçekte, hem insanlara hem de çalışanların kullandığı araçlara dair görünürlüğe sahip değiller. İlk adım, insan riskini, davranışı, erişimi ve tehditlere maruz kalma hiểumektedir. İkinci adım, bu görünürlüğü, insanlara verdiği erişim ve kararları verdikleri için aynı düzeyde riskli olan asistan ajanlarına genişletmektir. Bu temel olmadan, organizasyonlar sadece asistanın gerisinde değil, tüm işgücü boyunca artan kör noktalara sahip oluyorlar.

Harika röportaj için teşekkür ederiz, daha fazla bilgi edinmek isteyen okuyucular Living Security sitesini ziyaret edebilir.

mm

Antoine bir vizyoner lider ve Unite.AI'in kurucu ortağıdır ve AI ve robotik geleceğini şekillendirmek ve tanıtmak için sarsılmaz bir tutkuyla hareket etmektedir. Bir seri girişimci olarak, toplum için elektrik kadar yıkıcı olacağına inandığı AI'nin potansiyeli hakkında sık sık konuşur ve coşkusunu dile getirir.
Bir futurist olarak, bu yeniliklerin dünyamızı nasıl şekillendireceğini keşfetmeye adanmıştır. Ayrıca, Securities.io kurucusudur, bu platform geleceği yeniden tanımlayan ve tüm sektörleri yeniden şekillendiren teknolojilere yatırım yapmaya odaklanmıştır.