Kuruluşlar AI araçlarından yararlanmaktan çekinmemelidir, ancak verimliliği en üst düzeye çıkarmak ve organizasyonel riski azaltmak arasında doğru dengeyi bulmaları gerekir. Yerine koymaları gerekiyor:
1. Kesintisiz bir AI güvenlik politikası
Yapay zeka daha önce sadece geliştiricilerin veya uzmanların etkileşime girdiği bir teknoloji olabilir, ancak bugün şirketler içindeki her düzeyde çalışanlar, AI kullanıyorlar. Bu nedenle kuruluşlar, kullanma yetkisine sahip oldukları tüm çalışanları ve bu sistemlerle paylaşmalarına izin verilen veri türlerini eğitmelidir.
Şirketlerin bu teknolojiyi güvenli bir şekilde kullanması ve kullanması için iyi tanımlanmış bir politika şarttır. Bu teknoloji, otomasyon ve makinelere organizasyonel karar vermede daha fazla güç vererek hızlı hareket etmeye ve yenilik yapmaya devam edecektir ve şirketler için ilk savunma hattı, tüm şirketin farkında olduğu ve abone olduğu açık, erişilebilir bir AI politikasıdır.
Bir güvenlik politikasının uygulanması aynı zamanda bir kuruluş için hangi risk derecelendirmelerinin kabul edilebilir olduğunu ve çevre değiştikçe risk derecelendirmelerini yeniden önceliklendirme yeteneği anlamına gelir.
Her zaman hata ve yanlış pozitif olacak. Farklı kuruluşlar, operasyonlarına ve veri duyarlılıklarına bağlı olarak farklı risk toleranslarına veya farklı yorumlara sahiptir.
Kuruluşların bir güvenlik politikasının amacının, çalışan iş akışlarını kesintiye uğratmamak veya takip etmeyi zorlaştırmak, ancak nihayetinde kuruluşu ve müşterilerini korumak olduğunu hatırlamaları önemlidir. Güvenlik politikaları ne kadar kesintisiz olursa, bir şirket içindeki kişilerin AI inovasyonundan yararlanmak için onları atlamaya çalışması daha az olasıdır.
2. Geliştiricilerin güvenli kod bilgisine sahip olduğundan emin olun
AI kullanımı etrafında açık güvenlik politikalarını sunmanın yanı sıra, şirketler geliştiricilerinin daha hızlı bir oranda kod yazmalarına yardımcı olmak için yeni AI araçları ve temsilcileri kullanma arzusunu da dikkate almalıdır. Bu durumda, şirketler güvenlik ekiplerinin prospektif AI araçlarını test etmelerini ve geliştiricilerinin, ortak güvenlik açıkları, güvenli tasarım ilkeleri ve yazılım özelliklerinin güvenli bir şekilde uygulanması – sürekli olarak kendilerini artırmak için kod yazma konusunda eğitildiğinden emin olmalıdır.
Bu tür bir bilgiye sahip bir geliştiriciye sahip olmak, üretimde gerçekleşen bir ihlal ile kuruluşları artan AI benimsemesinden kaynaklanabilecek potansiyel güvenlik açıklarından korumak ile korunan kötü niyetli saldırılar arasındaki fark olabilir.
Bununla birlikte, gerçek şu ki, geliştiricilerin sadece az bir kısmı kolej veya üniversite ortamlarında öğreniyor ve o zaman bile, ABD’deki ilk 50 lisans bilgisayar bilimi programından biri, ana dallar için güvenli kod veya uygulama güvenliği alanında bir kurs gerektiriyor.
Geliştiricilerin temel kodlama bilgisinin ötesine uzanan güvenli bir kod zihniyetine sahip olması gerekir. Geliştiriciler tarafından yazılan kodun açık, zarif ve güvenli olması gerekir. Değilse, bu yazılı kodu saldırı için açık bırakır. Bu nedenle, endüstri tarafından yönlendirilen güvenli kodlama eğitimi, bir kuruluşun DNA’sına, özellikle de zaten yaygın olan AppSec ikileminin mevcut teknoloji işten çıkarmaları ile yoğunlaştırıldığı bir dönemde inşa edilmelidir.
Bu eğitim:
“Kenara kutusu” farkındalığının ötesine geçin
Bir kerelik eğitim programları artık yeterli değil; Eğitim, daha iyi mimari anlayış ve karar verme için gelişen bir yolculuk olmalıdır. Asla bir kene kutusu, “tek ve bitmiş” bir yaklaşım olmamalı, bunun yerine sürekli bir süreç olmamalıdır. Hızlı hareket eden kötü niyetli AI ajanları, sıfır gün güvenlik açıkları ve giderek daha karmaşık unsurları içeren tedarik zincirleri çağında, eğitim, mevcut bilgilere sahip ekipleri güçlendirmek için güvenlik tehditlerinin yanı sıra gelişmelidir.
Ölçülebilir hedefler belirleyin
Herhangi bir eğitim programının başarılı olmasını sağlamak için, ilerlemeyi ölçmek için kullanılabilecek bilgileri toplamak önemlidir. Bu, örneğin, eğitimden önce ve sonra bir geliştiricinin kodunda görünen güvenlik açıklarının sayısı olabilir.
Geliştiriciler eğitimleri yoluyla ilerledikçe, geri bildirim sağlamak iyileştirmeyi teşvik etmeye yardımcı olur ve çalışanların güvenlik şampiyonları programlarıyla meşgul olmalarını sağlar. Somut raporlar sunmak, paydaşlardan alım ve destek almaya da yardımcı olur. Kanıtlanmış başarıyı paylaşarak, güvenlik eğitiminin sürekli bir yönetim kuruluna savunulması gerekmez.
Alakalı kalmak
Eğitimin, ilgili kodlama dillerinde ve organizasyondaki rolüne özgü geliştiricilerin günlük sorunlarına ve iş akışlarına göre değişmesi önemlidir. Geliştiricilerin her gün kullandığı dil ve sorunlar için çok ileri, çok temel veya alakasızsa hiçbir eğitim yankılanmayacaktır. Dahası, geliştiricilere sadece çözümün ne olduğu değil, neden önemli olduğu bağlamla sağlanıyor.
Güvenlik başarısını teşvik etmek
Kuruluşlar, günlük çalışmalarında sürekli olarak güvenlik en iyi uygulamalarını uygulayanlara teşvik ve ödüller sunmalıdır. Bunların parasal olmak zorunda değil, ama bir işletmenin kültürüne en uygun olanı. Güvenlik “şampiyonlar” daha sonra örnekler belirleyebilir, başkalarıyla etkileşime girebilir ve değişimi organik olarak etkileyebilir.