Bu podcast’te, Vigitrust CEO’su Mathieu Gorge ile yapay zeka (AI) işleme ve eğitim sırasında verilerin yarattığı uyum riskleri hakkında konuşuyoruz. Buradaki temel zorluklar, veri kümeleri eğitildikçe, daha fazla veri oluşturulduğu ve verilerin de çoğaltıldıkça uyumlu olmasını sağlamak zor olabilir.
Burada Gorge, yapay zekaya ne beslendiğini, neyin ortaya çıktığını, nereye gittiğini, kime erişebileceğini ve nasıl depolandığını ve uyumlu olup olmadığını bilme ihtiyacından bahsediyor.
Ayrıca, kullanılabilecek güvenlik ve uyum çerçeveleri ve organizasyonel güvenlik kültürüne AI uyumluluğu oluşturma ihtiyacı ile de ilgilenmektedir.
Bir CIO’nun bilmesi gereken depolama ve yedeklemeye referansla yapay zeka ve uyumun en sonuncusu nedir?
Bildiğiniz gibi, AI benimseme gerçekten her yerde büyüyor ve AB’nin bazı AI düzenlemelerini konuşlandırdığını gördük.
Ayrıca AI’ya uyum sağlayan bazı çerçeveler gördük, örneğin NIST bir AI çerçevesi olan NIST. Bazı güvenlik derneklerinin kendi standartlarını zorladığını gördük. Bulut Güvenlik İttifakı’nı, aynı zamanda ISACA’dan Issa’dan çalışma gruplarını da düşünebilirim, hepsi rehberlik sağlar.
Dikkate almamız gereken şey, büyük olasılıkla daha fazla AI ile ilgili düzenleme göreceğimizdir. Bazıları ulusal olacak, bazıları federal olacak, bazıları uluslararası olacak, biraz gizlilikle gördüğümüz gibi. Ve siber güvenlik standartlarının evrimi ile AI standartları, yönetişim standartları arasında bir karşılaştırma yapmak önemlidir.
Başlangıçta, yaklaşık 25 yıl önce, ağ güvenliği, BT güvenliği ve veri güvenliği konusunda yaklaşık 100 standart vardı. Ve bugünlerde sadece HIPAA, PCI, NIST, ISO, CIS vb. Umudum, aynı şeyi AI ile yapacağımız, ancak daha hızlı bir şekilde yapacağımız, böylece bir veri sınıflandırması, veri gizliliği ve depolama perspektifinden AI dağıtımlarını yönetmeye odaklanabilmemizdir.
Temellere bakarsanız, AI yönetişimi gerçekten nedir? ABD’de, AB ve diğer ülkelerde düzenlenen AI yönetişimi gerçekten şu anlama geliyor: “Eh, bu yeni veri işleme yolumuz var. Bu nedenle, verilerin nereden geldiğini anlamalıyız. Bu verileri gerçekten kullanma ve bunu ne amaçla tedavi etmek için bir AI sistemine koyma yetkimiz var mı?”
Veriler belirli bir biçimde gelir.
[Questions include:]
Çıkıyor mu [of AI processing] Farklı bir veri formunda, veri dosyasında veya başka bir şey?
Bu bizi uyumluluktan mı çıkarıyor?
Bu uyumun kolaylaştırılması mı?
Verilere kim erişiyor?
Bu verileri nasıl sakladığımız konusunda güvencelerimiz var mı?
Ne kadar süreyle saklamamız gerekiyor?
Nereye dayandığımıza bağlı olarak bu veriler hakkında ne kadar rapor vermemiz gerekecek?
Bu verileri sakladığımızda nerede depolanması gerekiyor?
Bu nedenle, AI ile ilgili sorun, daha fazla AI sistemi dağıttığımızda, verileri esasen eskisinden çok daha fazla çarpmamızdır. Ve böylece, eskisinden çok daha fazla veri oluşturuyoruz ve verilerin bir yerde depolanması gerekiyor.
Ve sizi uygunluktan çıkarmayacak şekilde saklanmalıdır. Bu nedenle, AI ekosisteminizi izlemeniz ve verilerin nasıl geldiğini, nasıl çıktığını, kime erişebileceğini ve nerede sakladığınızı düzenlemeniz gerekir.
CIO, karmaşıklık potansiyel kapsamı göz önüne alındığında, kuruluşlarındaki AI operasyonlarına uyum sağlama işine nasıl yaklaşmalıdır?
Bence CIO’nun rolü AI’ya ne tür bilgilerin girdiğini anlamak olmalı. Günün sonunda, Baş Bilgi Görevlisi, üçüncü taraflar tarafından erişilebilen, nasıl erişilebileceği vb. Sistemlere gelen bilgileri yönetmekten sorumludur. Ve böylece, herhangi bir CIO’nun STK’ları veya güvenlik ekibi ile birlikte çalışmasını ve Global AI düzenlemesi ve politikasına bakmasını şiddetle tavsiye ederim.
Ve Uluslararası Gizlilik Profesyonelleri Derneği IAPP’ye bakmanızı şiddetle tavsiye ederim. Web sitelerinde, veri sınıflandırması, veri dağıtım, depolama ve uyumluluk gereksinimleri açısından çeşitli çerçeveleri ve gereksinimlerini anlamanıza olanak tanıyan bir AI yasası ve politika izleyicisi vardır.
AI çözümlerini ve AI dağıtımlarını zorluyorsanız, bu sistemler için bir evlat edinme kültürünü zorlamanız gerekir, ancak bununla veri yönetimi, bilgi yönetimi ve güvenlik kültürünü de zorlamanız gerekir. Aksi takdirde, uyumdan düşeceksiniz
Mathieu Gorge, Vigitrust
Yapılacak bir sonraki şey, personeliniz için eğitim yaptığınızda, daha verimli ve daha üretken olmalarını sağlayan daha fazla AI tabanlı sistemleri sunduklarından, AI ile riskleri de anladıklarından emin olmaktır.
Bunları e -posta için eğittiğimiz gibi, sosyal ağlar için, diğer şeyler için, CIO, sadece organizasyonun iş kültüründe değil, aynı zamanda sistemin güvenlik ve bilgi ve veri yönetimi kültüründe aynı zamanda AI’yı entegre etme kavramını zorlamalıdır.
Başka bir deyişle, AI çözümlerini ve AI dağıtımlarını zorluyorsanız, bu sistemler için bir evlat edinme kültürünü zorlamanız gerekir, ancak bununla veri yönetimi, bilgi yönetimi ve güvenlik kültürünü de zorlamanız gerekir. Aksi takdirde, uyumdan düşeceksiniz.
Bu nedenle, ekosisteminize, AI’yı birden fazla sistemde çeşitli iş nedenleriyle nasıl kullanmayı planladığınıza bakın, bir yerlerde bir AI politika izleyicisine bakın ve daha sonra bunu organizasyonunuzun DNA’sının bir parçası haline getirmesi için politikanıza uygulamaya çalışın.
Çünkü AI konuşlandırılmaya devam edecek. İşe fayda sağlayacak daha fazla AI tabanlı çözüm olacak.
Soru şu ki, veri yönetiminize fayda sağlayacak mı? Daha karmaşık hale getirecek mi? Potansiyel olarak, eğer yönetmezseniz, ancak iyi AI yönetişim çerçeveleri kullanıyorsanız ve bunları kuruluşunuz için önemli olanlara damıtmaya çalışırsanız, AI dağıtım ve AI uyumluluğu için iyi bir stratejiye girersiniz.