Connect with us

Ashley Rose, Người sáng lập và Giám đốc điều hành của Living Security – Loạt phỏng vấn

Phỏng vấn

Ashley Rose, Người sáng lập và Giám đốc điều hành của Living Security – Loạt phỏng vấn

mm
Published

Ashley Rose, Người sáng lập và Giám đốc điều hành của Living Security, là một doanh nhân连 tiếp và nhà đổi mới an ninh mạng tập trung vào việc định nghĩa lại cách các tổ chức giải quyết rủi ro con người trong an ninh. Kể từ khi thành lập công ty vào năm 2017, cô đã lãnh đạo việc phát triển một cách tiếp cận dựa trên dữ liệu, tập trung vào hành vi đối với an ninh mạng, vượt ra ngoài đào tạo nhận thức truyền thống hướng tới giảm thiểu rủi ro và thay đổi văn hóa có thể đo lường được. Dựa trên nền tảng của mình trong lãnh đạo sản phẩm và doanh nghiệp, cô đã giúp mở rộng Living Security thành một nền tảng SaaS phát triển nhanh được sử dụng bởi các tổ chức doanh nghiệp, đồng thời cũng đóng góp vào hệ sinh thái an ninh mạng rộng lớn hơn với tư cách là người cố vấn, người tư vấn và người ủng hộ các sáng kiến như Phụ nữ trong An ninh mạng.

Living Security là một công ty SaaS an ninh mạng tập trung vào Quản lý Rủi ro Con người, giúp các tổ chức xác định, đo lường và giảm thiểu rủi ro liên quan đến hành vi của nhân viên. Nền tảng của nó tổng hợp dữ liệu hành vi, danh tính và威脅 để xác định người dùng có rủi ro cao và cung cấp đào tạo và can thiệp theo thời gian thực được nhắm mục tiêu để ngăn chặn các vụ vi phạm trước khi chúng xảy ra. Bằng cách kết hợp phân tích, tự động hóa và phương pháp đào tạo hấp dẫn như mô phỏng và trải nghiệm được trò chơi hóa, công ty cho phép các doanh nghiệp chuyển từ nhận thức an ninh tuân thủ sang giảm thiểu rủi ro có thể đo lường được một cách chủ động trên toàn lực lượng lao động.

Bạn đã thành lập Living Security vào năm 2017 sau khi có kinh nghiệm xây dựng và mở rộng một doanh nghiệp sản phẩm tiêu dùng và làm việc như một chủ sở hữu sản phẩm. Moment hoặc nhận thức cụ thể nào đã dẫn bạn đến việc chuyển sang an ninh mạng và tập trung vào rủi ro con người, và làm thế nào luận điểm ban đầu đó đã đứng vững khi AI trở thành một phần của lực lượng lao động?

Vào năm 2017, hầu hết các tổ chức đều coi đào tạo nhận thức an ninh như một bài tập kiểm tra, và nó không thay đổi hành vi. Điểm chuyển đổi là nhận ra rằng nếu hành vi con người đang thúc đẩy các vụ vi phạm, thì câu trả lời không thể chỉ là đào tạo dễ quên hơn. Drew Rose, Đồng sáng lập của Living Security, đã chạy các chương trình an ninh của chính mình và bắt đầu trò chơi hóa chúng, xây dựng các nguyên mẫu đầu tiên trở thành phòng thoát an ninh mạng. Chúng tôi đã chứng kiến tận mắt rằng khi bạn làm cho an ninh trở nên trải nghiệm, mọi người sẽ tham gia, học hỏi và thực sự thay đổi hành vi. Đó đã trở thành nền tảng cho Living Security.

Khi là đồng sáng lập, Drew và tôi đã nhanh chóng nhận ra rằng sự tham gia chỉ là điểm xuất phát. Khi chúng tôi mở rộng những trải nghiệm này thành một nền tảng, chúng tôi bắt đầu thấy các mẫu trong cách mọi người hành xử, nơi họ gặp khó khăn và nơi rủi ro thực sự tập trung. Đó đã暴 lộ một khoảng trống lớn hơn: các tổ chức không có tầm nhìn thực sự về rủi ro con người hoặc cách giảm thiểu nó một cách có针对性. Sự hiểu biết đó đã dẫn chúng tôi đến việc tiên phong trong Quản lý Rủi ro Con người, điều này liên quan đến việc xác định, đo lường và giảm thiểu rủi ro dựa trên hành vi cá nhân, truy cập và威脅, không chỉ cung cấp đào tạo. Khi AI trở thành một phần của lực lượng lao động, luận điểm ban đầu đó đã mở rộng: thách thức không chỉ là hành vi con người, mà còn là cách con người và hệ thống AI hoạt động cùng nhau. Con người vẫn ở trung tâm, hiện đang quản lý và triển khai các tác nhân AI, điều đó có nghĩa bạn phải mở rộng tầm nhìn đến các tác nhân đó và gắn rủi ro đó với cá nhân. Đó là điều đang thúc đẩy sự tiến hóa của chúng tôi vào Bảo mật Lực lượng lao động.

Bạn đã lập luận rằng lỗi của con người là một lời giải thích không đầy đủ cho các vụ vi phạm. Làm thế nào các tổ chức nên suy nghĩ lại về rủi ro lực lượng lao động ngày nay khi cả hành vi con người và hành động được thúc đẩy bởi AI đều góp phần vào bề mặt tấn công?

Khung cảnh các vụ vi phạm như “lỗi của con người” đơn giản hóa vấn đề và che giấu nơi rủi ro thực sự đến từ đâu. Rủi ro con người không chỉ là về những sai lầm, mà còn được định hình bởi sự kết hợp của hành vi, truy cập và phơi nhiễm với威脅. Một số nhân viên có quyền truy cập đặc biệt vào các hệ thống nhạy cảm, một số bị nhắm mục tiêu thường xuyên hơn và một số thể hiện hành vi rủi ro hơn, vì vậy rủi ro của các vụ vi phạm không được phân bố đều. Để thực sự hiểu rủi ro, các tổ chức cần có tầm nhìn vào nơi các yếu tố đó giao nhau và nơi rủi ro con người tồn tại.

Do đó, các tổ chức cần vượt ra ngoài các mô hình dựa trên nhận thức và suy nghĩ lại về rủi ro lực lượng lao động như một thách thức hoạt động chung, một thách thức bao gồm cả rủi ro con người và hành động được thúc đẩy bởi AI. Điều này có nghĩa là tập trung vào tầm nhìn liên tục về cách công việc được thực hiện, hiểu nơi rủi ro tập trung và áp dụng các can thiệp theo thời gian thực, có针对性 trên một lực lượng lao động hỗn hợp thay vì coi rủi ro như những sai lầm của người dùng bị cô lập.

Công cụ AI hiện đang soạn thảo mã, xử lý các quy trình làm việc và thậm chí đưa ra quyết định. Tại điểm nào thì hệ thống AI ngừng trở thành công cụ và bắt đầu được coi là một phần của lực lượng lao động từ góc độ an ninh?

Hệ thống AI ngừng trở thành công cụ và bắt đầu được coi là một phần của lực lượng lao động vào lúc chúng thực hiện hành động trong môi trường doanh nghiệp. Tại điểm đó, chúng giới thiệu rủi ro giống như nhân viên làm: thông qua các hành động chúng thực hiện, các quyền chúng hoạt động và dữ liệu chúng chạm vào. Sự thay đổi đối với các tổ chức là nhận ra rằng các tác nhân AI không chỉ là lớp sản xuất – chúng là những người tham gia hoạt động, và chúng cần được quản lý, giám sát và bảo mật cùng với người dùng con người trong một mô hình rủi ro lực lượng lao động thống nhất.

Làm thế nào các doanh nghiệp nên tiếp cận quản trị khi rủi ro không còn giới hạn ở nhân viên, mà còn mở rộng đến các tác nhân AI hoạt động với các mức độ tự chủ và truy cập khác nhau?

Các doanh nghiệp cần vượt ra ngoài quản trị dựa trên chính sách và coi đó là một quá trình liên tục, được thúc đẩy bởi hành vi, áp dụng cho cả con người và tác nhân AI. Hầu hết các tổ chức đã có chính sách AI tại chỗ, nhưng khoảng trống là trong việc thực thi và tầm nhìn, đặc biệt là khi nhân viên áp dụng các công cụ ngoài môi trường được phê duyệt và hệ thống AI hoạt động với các mức độ truy cập khác nhau.

Quản trị hiệu quả bắt đầu với việc xác định rõ việc sử dụng được chấp nhận dựa trên vai trò và truy cập dữ liệu, nhưng nó cũng đòi hỏi hướng dẫn theo thời gian thực được nhúng vào các quy trình làm việc và đo lường liên tục để các tổ chức có thể thấy nơi rủi ro đang xuất hiện và thích nghi. Cuối cùng, quản trị phải phản ánh cách công việc thực sự xảy ra ngày nay: trên một lực lượng lao động hỗn hợp nơi cả con người và hệ thống AI đều đưa ra quyết định, truy cập dữ liệu và giới thiệu rủi ro.

Living Security đã tập trung nhiều vào các mô hình an ninh dựa trên hành vi. Làm thế nào triết lý đó dịch sang khi một số hành vi hiện đến từ hệ thống AI chứ không phải con người?

Tiếp cận dựa trên hành vi của Living Security mở rộng một cách tự nhiên đến AI vì sự tập trung không bao giờ chỉ là về ai tạo ra rủi ro, mà về cách rủi ro được giới thiệu thông qua các hành động. Cho dù đó là một người hay một hệ thống AI, rủi ro xuất hiện trong hành vi, cách dữ liệu được truy cập, các hành động được thực hiện và quyết định được thực hiện trong các quy trình làm việc. Khi hệ thống AI đảm nhận nhiều trách nhiệm hoạt động hơn, mô hình đó vẫn áp dụng: các tổ chức cần có tầm nhìn vào những hành vi đó, cùng với khả năng hướng dẫn và can thiệp theo thời gian thực.

Điều đó đã dẫn đến sự phát triển của Livvy, trí tuệ AI cung cấp năng lượng cho nền tảng Living Security – áp dụng trí tuệ dự đoán và giám sát liên tục trên cả hoạt động của con người và AI. Thay vì coi AI như một thách thức riêng biệt, nó cho phép một cách tiếp cận thống nhất hơn nơi hành vi, con người hay máy, được đo lường, hướng dẫn và quản lý liên tục trong một mô hình rủi ro lực lượng lao động thống nhất.

Nhiều tổ chức vẫn phụ thuộc vào đào tạo nhận thức an ninh định kỳ. Tại sao mô hình này bị phá vỡ trong các môi trường hiện đại, và một cách tiếp cận thích ứng, dựa trên dữ liệu thực sự trông như thế nào trong thực tế?

Đào tạo nhận thức an ninh định kỳ bị phá vỡ vì nó được xây dựng cho một cảnh quan威脅 tĩnh và giả định rằng rủi ro có thể được giảm thiểu thông qua giáo dục rộng rãi. Trong thực tế, hầu hết các sự cố bắt nguồn từ hành vi hoạt động hàng ngày, không phải là thiếu đào tạo, và rủi ro thường tập trung trong một tập hợp con người dùng. Một cách tiếp cận thích ứng, dựa trên dữ liệu tập trung vào việc liên tục xác định nơi rủi ro thực sự tồn tại và cung cấp hướng dẫn theo thời gian thực, có针对性 trong dòng công việc – thay đổi từ việc hoàn thành đào tạo sang giảm thiểu rủi ro có thể đo lường được.

Nền tảng của bạn nhấn mạnh việc định lượng rủi ro con người bằng dữ liệu thế giới thực. Những tín hiệu quan trọng nhất mà các tổ chức nên theo dõi ngày nay để hiểu rủi ro một cách động, chứ không phải hồi cứu?

Các tổ chức nên tập trung vào hành vi, danh tính và truy cập, cũng như phơi nhiễm với威脅, những tín hiệu phản ánh cách rủi ro được tạo ra và nơi nó tập trung trên lực lượng lao động. Điều đó hiện mở rộng đến AI cũng như, bao gồm cả các công cụ mà nhân viên đang sử dụng, quyền truy cập mà các hệ thống đó có và cách chúng được cấu hình hoặc kích hoạt. Mỗi tín hiệu riêng biệt là hữu ích, nhưng giá trị thực sự đến từ cách chúng kết hợp lại để kể một câu chuyện về rủi ro.

Ví dụ, một Giám đốc tài chính có quyền truy cập vào các hệ thống tài chính, không sử dụng MFA, sử dụng các công cụ AI kết nối với dữ liệu nhạy cảm và đang bị nhắm mục tiêu tích cực bởi các chiến dịch phishing đại diện cho một mức độ rủi ro rất khác so với một BDR có quyền truy cập hạn chế và phơi nhiễm thấp hơn. Rủi ro không chỉ nằm trong những gì ai đó làm, mà còn là những gì họ có quyền truy cập, các hệ thống hoạt động thay mặt họ và họ bị nhắm mục tiêu thường xuyên như thế nào. Khi bạn có thể thấy những yếu tố đó cùng nhau, bạn có thể hiểu nơi một vụ vi phạm có khả năng xảy ra nhất và hành động theo thời gian thực, cho dù đó là cảnh báo cho cá nhân, thắt chặt các biện pháp kiểm soát hoặc ưu tiên can thiệp cho nhóm đó.

AI đang tạo ra các điểm yếu mới, nhưng nó cũng đang được sử dụng một cách phòng thủ. Bạn thấy sự cân bằng đang thay đổi như thế nào, và chúng ta đang hướng tới một tác động an ninh ròng tích cực hay tiêu cực từ AI?

AI đang làm cả hai, mở rộng bề mặt tấn công trong khi cũng cải thiện cách các tổ chức phát hiện và phản ứng với rủi ro. Một mặt, nó cho phép các quy trình làm việc phức tạp hơn và các hành động tự chủ; mặt khác, nó cho phép các đội an ninh phân tích hành vi theo quy mô và hành động nhanh hơn. Sự cân bằng phụ thuộc vào cách các tổ chức thích nghi. Hiện tại, nhiều tổ chức vẫn đang theo kịp về tầm nhìn và quản trị, đặc biệt là khi AI được sử dụng theo những cách mà họ chưa hoàn toàn lập bản đồ. Về lâu dài, nó có thể là ròng tích cực, nhưng chỉ khi các tổ chức coi AI như một phần của lực lượng lao động và áp dụng cùng mức độ giám sát, hướng dẫn và kiểm soát như họ làm với rủi ro do con người tạo ra.

Không tất cả nhân viên hoặc hệ thống AI đều tạo ra rủi ro như nhau. Làm thế nào các tổ chức nên ưu tiên can thiệp mà không tạo ra ma sát hoặc giám sát quá mức?

Không phải tất cả rủi ro đều như nhau, và việc coi nó như vậy là điều tạo ra ma sát. Khóa là tập trung vào nơi rủi ro thực sự tập trung – vì khoảng 10% người dùng tạo ra 73% rủi ro – và áp dụng các can thiệp có针对性 ở đó thay vì trên toàn bộ lực lượng lao động. Điều đó có nghĩa là sử dụng dữ liệu hành vi, truy cập và phơi nhiễm để ưu tiên ai và cái gì cần chú ý, và cung cấp hướng dẫn trong dòng công việc thay vì thêm các biện pháp kiểm soát. Khi thực hiện đúng, nó giảm ma sát bằng cách làm cho con đường an toàn trở thành con đường dễ dàng nhất để theo dõi, thay vì tăng giám sát trên mọi người.

Nếu chúng ta nhanh chóng chuyển đến năm năm, bảo mật lực lượng lao động sẽ trông như thế nào, và điều gì mà hầu hết các tổ chức vẫn đang đánh giá thấp ngày nay?

Nếu chúng ta nhanh chóng chuyển đến năm năm, bảo mật lực lượng lao động sẽ được định nghĩa bởi khả năng của các tổ chức trong việc hiểu và quản lý rủi ro trên cả con người và hệ thống AI hoạt động cùng nhau. Nó sẽ không chỉ là đào tạo định kỳ hoặc kiểm soát tĩnh, mà là về tầm nhìn liên tục, đánh giá rủi ro theo thời gian thực và khả năng hành động động khi hành vi, truy cập và威脅 thay đổi. Con người vẫn sẽ ở trung tâm, nhưng họ sẽ quản lý và mở rộng mình thông qua AI, điều đó có nghĩa là an ninh phải tính đến cả hai.

Điều mà hầu hết các tổ chức đang đánh giá thấp là đã có một khoảng trống về tầm nhìn trong rủi ro con người ngày nay, và AI đang làm cho nó trở nên tồi tệ hơn. Nhiều người nghĩ rằng họ có một chiến lược AI, nhưng trên thực tế, họ thiếu tầm nhìn vào cả con người và các công cụ mà con người đang sử dụng. Bước một là hiểu rủi ro con người, hành vi, truy cập và phơi nhiễm với威脅. Bước hai là mở rộng tầm nhìn đó đến các tác nhân AI mà nhân viên đang sử dụng, những tác nhân đó chỉ mạnh và rủi ro như quyền truy cập và quyết định mà con người trao cho chúng. Không có nền tảng đó, các tổ chức không chỉ tụt lại phía sau về AI, mà còn hoạt động với những điểm mù ngày càng tăng trên toàn bộ lực lượng lao động của họ.

Cảm ơn vì cuộc phỏng vấn tuyệt vời, những người đọc muốn tìm hiểu thêm nên truy cập Living Security.

Related Topics:
mm

Antoine là một nhà lãnh đạo có tầm nhìn và là đối tác sáng lập của Unite.AI, được thúc đẩy bởi một niềm đam mê không ngừng nghỉ để định hình và thúc đẩy tương lai của AI và robot. Là một doanh nhân liên tục, ông tin rằng AI sẽ gây ra sự gián đoạn cho xã hội giống như điện, và thường bị bắt gặp nói về tiềm năng của các công nghệ gây gián đoạn và AGI.
Như một futurist, ông dành để khám phá cách những đổi mới này sẽ định hình thế giới của chúng ta. Ngoài ra, ông là người sáng lập của Securities.io, một nền tảng tập trung vào đầu tư vào các công nghệ tiên tiến đang định nghĩa lại tương lai và thay đổi toàn bộ lĩnh vực.