Bu yardımda net güvenlik görüşmesinde, CDW’deki Field CISO Aaron McCray, AI’nın CISO rolünü taktik siber güvenlik koruyucusundan nasıl stratejik bir işletme risk danışmanına dönüştürdüğünü tartışıyor. Yapay zeka şimdi iş işlevlerine gömülü olan CISO’lar, işletme çapında yönetişim ve risk yönetimi çabalarına öncülük ediyor. Ayrıca pratik zorluklar, yeni beceri setleri ve yapay zeka güvenlik kültürleri oluşturma konusunda bilgi paylaşıyor.
Yapay zeka şimdi iş işlevlerine gömülürken, bir CISO’nun rolü kurumsal çapında AI yönetişim ve risk yönetimini denetlemek için nasıl gelişiyor?
CISO’nun rolü artık sadece güvenlik duvarlarının ve uç noktaların koruyucusu değil. Rol, taktik bir siber güvenlik lideri olarak faaliyet göstermekten stratejik bir işletme risk danışmanına giderek daha fazla değişiyor – şimdi masada AI riski yönetim kurulu düzeyinde tavsiyede bulunuyor. Yeni CDW araştırmaları, BT liderlerinin% 85’inin AI’nın siber güvenlik sağlayabileceğine inandığını ve neredeyse dörtte üçünün bunu yapmak için zaten uyguladığını gösteriyor.
Yapay zeka daha gömülü hale geldikçe, modern CISO, AI’nın sorumlu bir şekilde kullanılmasını ve uyum ve iş hedefleriyle uyumlu olarak kullanılmasını sağlayan yönetişim çerçevelerinin şekillendirilmesine yardımcı oluyor. Bu, meslektaşım Walt Powell’ın “CISO 2.0 ila CISO 3.0” olarak adlandırdığı temel bir değişimdir-burada CISO’nun rolünün siber güvenlik görevlisinden, kantitatif finansal risk yönetimi gerçekleştirmeyi amaçlayan ve karar verme süreci gerçekleştirmeyi amaçlayan stratejik lidere kaymıştır.
Cisos’un AI güdümlü güvenlik araçlarını, özellikle görünürlük, açıklanabilirlik veya yanlış pozitifler etrafında dağıtırken karşılaştıkları pratik zorluklar nelerdir?
Yapay zeka haline geldiğinde, insan gözetimi gerektiren engeller devam etmektedir. Çıktıların denetlenmesine ve kolayca sindirilebilir bir dile ayrılmasına izin veren AI işlevine görünürlüğün sağlanması, özellikle teknolojiye güven oluşturmak aklında olduğu için merkezi bir zorluk olacaktır. AI araçları inanılmaz derecede güçlüdür, ancak özellikle düzenlenmiş endüstrilerde nasıl karar verdiklerini açıklamak önemlidir. Yapay zeka dağıtım ivme kazandıkça ve bunun bir kısmı, çıktıların nasıl oluşturulduğuna dair şeffaflık gerektirirken, CISOS hem verimliliği hem de doğruluğu dengelemelidir.
Ayrıca, yanlış pozitifler gerçek bir konudur. AI odaklı güvenlik araçları, alakasız veya düşük öncelikli olduğu ortaya çıkan uyarılarla ekipleri sulandırabilir. Takımlar sürekli olarak yanlış alarmları kovalarken, uyanık yorgunluk yaratır ve dikkati gerçek tehditlerden yönlendirir. Bu sadece yanıt sürelerini yavaşlatmakla kalmaz, aynı zamanda sistemin kendisine olan güveni de aşındırabilir.
Entegrasyon başka bir engeldir. Bu araçların mevcut altyapı ile çalışması gerekir ve bu her zaman basit değildir. Birçok kuruluşun eski sistemler, bulut ortamları ve üçüncü taraf platformlarının karmaşık bir patchwork’ü vardır. Bu karışıma yapay zeka getirilmesi dikkatli bir planlama gerektirir – uyumluluk sağlamak, veri akışlarını yönetmek ve tüm temas noktalarında güvenliği korumak. Bir AI aracı mevcut iş akışlarıyla uyumlu değilse, etkinliği önemli ölçüde düşer. Sadece yeni bir aracı takmakla ilgili değil; AI’nın değer sağlayabileceği kesintisiz, güvenli bir ekosistemin düzenlenmesi ile ilgilidir.
AI, hem kendileri hem de ekipleri için CISOS’un gerekli beceri setini nasıl değiştiriyor?
AI, CISO’nun gerekli beceri setini, veri bilimine akıcılık, makine öğrenimi temelleri ve AI modellerinin nasıl değerlendirileceğini anlamak için siber güvenliğin ötesinde genişletiyor – sadece teknik olarak değil, bir yönetişim ve risk perspektifinden. AI’nın nasıl çalıştığını ve nasıl sorumlu kullanılacağını anlamak esastır.
Neyse ki, AI takımlarımızı nasıl eğittiğimizi de geliştirdi. Örneğin, içeriği kişiselleştiren ve gerçek dünya senaryolarını simüle eden uyarlanabilir öğrenme platformları, beceri boşluğunu daha etkili bir şekilde kapatmaya yardımcı oluyor.
Nihayetinde, AI alanında başarılı olmak için, hem CISOS hem de ekiplerinin AI modellerinin nasıl eğitildiğini, güvendikleri verileri ve tanıtabilecekleri riskleri kavraması gerekecektir.
CISOS, güvenlik işlemleri için üçüncü taraf yapay zeka araçlarını nasıl değerlendirmeli ve veteriner yapmalıdır? “Kırmızı bayraklar” nelerdir?
Cisos her zaman hesap verebilirlik ve şeffaflığa öncelik vermelidir. Dikkat edilmesi gereken kırmızı bayraklar, her ikisi de şirketleri savunmasız bırakan açıklanabilirlik veya yetersiz denetim yeteneklerini içeriyor. Hassas verileri nasıl ele aldığını ve benzer ortamlarda başarıyı kanıtlayıp kanıtlamadığını anlamak önemlidir.
Bunun ötesinde, aracın yönetişim modelinizle ne kadar iyi uyumlu olduğunu, denetlenebileceğini ve mevcut sistemlerinize iyi entegre olduğunu değerlendirmek de hayati önem taşır.
Son olarak, aşırı yayılan yetenekler veya destek için belirsiz bir yol haritası sağlamak, dikkatle ilerleme işaretleridir. Bir satıcı, zamanla nasıl korunacaklarını, güncelleyeceklerini veya geliştireceklerini ifade etmiyorsa-veya dağıtım sonrası sorunların nasıl ele alınacağı konusunda şeffaflık yoksa, kuruluşunuzu riske atar. Araçlarının bugün neler yapabileceği konusunda gerçekçi olan ve ihtiyaçlarınız ve tehdit peyzaj değişimi olarak sizinle birlikte gelişmeye kararlı olan ortaklara ihtiyacınız var.
Organizasyonlarında AI-Fuent Güvenlik Kültürü kurmaya çalışan CISO’lara ne tavsiye edersiniz?
Eğitimle başlayın. AI, öğrenmeyi daha etkili bir şekilde ele alan kişiye yönelik kişiselleştirilmiş kurs içeriği yaratıyor. Eğitim modülleri uyarlanabilir öğrenmeyi kullanabilir ve birisinin içeriği kavrama ve anlama yeteneğini izleyebilir. Farklı öğrenme stillerini hedeflemek için simülasyon stratejileri getirerek süreci oyunlaştırmayı bile deneyebilirsiniz. Kaynaklar orada ve hızla gelişiyorlar. Anahtar, ekibinizin AI güdümlü bir güvenlik ortamında başarılı olmak için ihtiyaç duydukları temel bilgilere ve uygulamalı deneyime sahip olmasını sağlamak için şimdi zaman yatırmaktır.