Kuruluşlar operasyonları kolaylaştırmak ve rekabet avantajı elde etmek için giderek daha fazla üçüncü taraf AI araçlarını benimserken, aynı zamanda bir dizi yeni riski de davet ediyorlar. Birçok şirket hazırlıksız, bu yeni tehlikeleri azaltmak için net politikalardan ve yeterli çalışan eğitiminden yoksun.
Yapay zeka riskleri, BT ve güvenlik departmanlarının olağan şüphelilerinin çok ötesine uzanarak müşteri başarısı, pazarlama, satış ve finans için yeni güvenlik açıkları getiriyor. Gizlilik ihlallerinden ve taraflı algoritmalardan finansal kayıplara ve düzenleyici sorunlara kadar bu riskler, yeni bir düzeyde dikkat ve hazırlık gerektiriyor. Ufukta görünen yeni tehditler, yapay zeka etrafında politikalar oluşturmayı her zamankinden daha önemli hale getiriyor.
Yapay zekanın benimsenmesi için gerekli özenin gösterilmesi
Peki, CISO’lar AI benimsemesine nasıl yaklaşmalı? Yeni AI araçlarını değerlendirirken, CISO’lar birkaç temel faktörün riskini incelemelidir. Bu değerlendirmeler, yalnızca AI kullanan güvenlik araçları için değil, tüm iş departmanlarında AI’dan yararlanabilecek tüm araçlar için geçerlidir.
Birincisi, toplama ve işleme, depolama ve şifreleme gibi veri işleme uygulamalarıdır ve sağlam erişim kontrollerinin yerinde olduğundan emin olunmalıdır. Veri gizliliği de, GDPR ve CCPA gibi düzenlemeler için uyumluluk önlemlerinin yanı sıra anonimleştirme ve kullanıcı onayı için net politikalarla birlikte en önemli unsur olmalıdır. CISO’lar ayrıca, yeni AI araçlarının üçüncü taraf veri paylaşımını nasıl yönettiğine dair yönergeler belirlemeli ve satıcıların kuruluşun veri koruma standartlarını karşıladığından emin olmalıdır.
Model güvenliğini incelemek önemlidir. CISO’ların AI araçlarına yönelik kurcalama ve saldırılara karşı koruma aramaları gerekir. Aynı derecede önemli olan model şeffaflığıdır, kararlarını açıklayabilen ve adalet ve önyargı açısından denetlenebilen araçlar aramaktır. Hata işleme prosedürleri, düzenleyici uyumluluk ve yasal sorumluluk açıkça tanımlanmalıdır. Sorunlar ortaya çıktığında GRC ve/veya hukuk müşavirliğine net bir yükseltme yolu olması gerekir. CISO’lar ayrıca AI araçlarının mevcut sistemlerle entegrasyonunu, performanslarını ve güvenilirliklerini, etik etkilerini, kullanıcı etkisini, ölçeklenebilirliğini, satıcı desteğini ve değişikliklerin paydaşlara nasıl iletileceğini değerlendirmelidir.
Bu değerlendirmelere tabi tutulması gereken yalnızca AI odaklı araçlar değildir. Diğer üçüncü taraf araçların, CISO görünürlüğü olmadan otomatik olarak açılan küçük AI entegrasyonları olabilir. Örneğin, video konferans platformları, dahili ve harici aramaları otomatik olarak yazıya döken bir AI transkripsiyon aracına sahip olabilir. Bu durumda, AI aracının şirket ve müşteri verileriyle temas noktaları vardır, yani çalışanlar bundan yararlanabilmeden önce CISO’lar ve güvenlik ekipleri tarafından incelenmesi ve onaylanması gerekir.
Sorumlu AI kullanımı için koruma bariyerleri
Yapay zeka araçlarını değerlendirmek için bariyerler oluşturmanın ötesinde, şirketlerin her çalışanın araçları uygun şekilde nasıl kullanacağını ve riskleri nasıl azaltacağını bilmesini sağlamak için yapay zeka etrafında kabul edilebilir kullanım politikaları geliştirmesi de zorunludur. Her politika birkaç temel konuyu kapsamalıdır:
- Amaç ve Kapsam – Şirketiniz içinde yapay zeka kullanımının hedeflerini ve sınırlarını net bir şekilde tanımlayın, hangi araçların hangi amaçlarla yetkilendirildiğini belirtin.
- İzin verilen ve yasaklanan kullanımlar – Yapay zeka araçlarının kabul edilebilir ve kabul edilemez uygulamalarını ana hatlarıyla açıklayın ve çalışanların davranışlarını yönlendirecek özel örnekler verin.
- Veri güvenliği ve gizlilik yönergeleri – Şifreleme, erişim kontrolleri ve ilgili düzenlemelere uyum dahil olmak üzere hassas verileri işlemek için katı protokoller oluşturun. Veri doğruluğu kontrolleri, üretken AI araçlarının halüsinasyonlar üretmesini önlemek için önemlidir.
- Entegrasyon ve operasyonel bütünlük – Mevcut sistemler ve süreçler içerisinde yapay zekanın doğru entegrasyonu ve kullanımı için yönergeleri tanımlayın, sorunsuz bir çalışma sağlayın ve kesintileri en aza indirin.
- Risk yönetimi ve yaptırımı – Yapay zeka ile ilgili riskleri belirleme, değerlendirme ve azaltma prosedürlerini ve politika ihlallerinin sonuçlarını ana hatlarıyla belirtin.
- Şeffaflık ve hesap verebilirlik – Yapay zeka destekli kararları belgelemek ve gerekçelendirmek, şeffaflığı teşvik etmek ve paydaş güvenini oluşturmak için mekanizmalar kurun.
- En iyi uygulamalar ve eğitim – Şirket özelinde örneklerle kabul edilebilir kullanım politikasının tüm yönlerini kapsayan düzenli çalışan eğitimleri de dahil olmak üzere, sorumlu yapay zeka kullanımı konusunda kapsamlı rehberlik sağlayın.
Çalışan eğitimi, AI ile ilgili yönergeler ve politikalar oluşturmanın en kritik bileşenidir. Uygun eğitim olmadan, çalışanların AI risklerini ve bunların nasıl azaltılacağını anlamalarını sağlamak zordur. Birçok şirket için, şirket özelinde kullanım durumlarını ve risk örneklerini içermelerini sağlamak için yerel eğitim programları en iyisi olabilir. Çalışanlar için ne kadar az belirsizlik varsa o kadar iyidir.
Müşterilerinize AI kullanımını iletmek de önemlidir. Herhangi bir AI aracı müşteri verilerini alırsa, müşterilere hangi verilerin kullanıldığı, ne için kullanıldığı ve çıktıların nereye gittiği konusunda bildirim yapılmalıdır. Müşterilerin ayrıca verilerini AI araçlarıyla kullanmamayı seçmelerine izin verilmelidir.
Çözüm
Yapay zekanın dönüşüm potansiyeli sınırsızdır — yeni riskler getirme potansiyeli de öyle. Kullanımla ilgili sağlam politikalar ve yönergeler oluşturarak, güçlü veri yönetimi uygulayarak, kapsamlı risk değerlendirmeleri yaparak ve bir güvenlik farkındalığı kültürü oluşturarak, CISO’lar kuruluşlarının ihlal ve diğer sorunların riskini en aza indirirken yapay zekanın potansiyelinden yararlanmalarını sağlayabilir.