Yapay zekanın kurumsal ortamlarda artan rolü, etkili AI yönetişimini yürütme baş bilgi güvenlik görevlilerinin (CISOS) aciliyetini artırmıştır. Gelişmekte olan herhangi bir teknoloji söz konusu olduğunda, yönetişim zordur – ancak etkili yönetişim daha da zordur. Çoğu kuruluş için ilk içgüdüsü katı politikalara cevap vermektir. Bir politika belgesi yazın, bir dizi kısıtlamayı dolaşın ve riskin bulunduğunu umun. Ancak, etkili yönetişim bu şekilde çalışmaz. AI’nın her gün nasıl kullanıldığını şekillendiren canlı bir sistem olmalı, organizasyonları inovasyonun hızını yavaşlatmadan güvenli dönüştürücü değişim yoluyla yönlendiriyor.
CISO’lar için, güvenlik ve hız arasındaki dengeyi bulmak AI çağında kritiktir. Bu teknoloji aynı anda internetin başlangıcından bu yana karşılaştığı en büyük fırsatı ve en büyük risk işletmelerini temsil ediyor. Korkuluklar olmadan çok hızlı hareket edin ve hassas veriler istemlere sızar, Gölge AI çoğalır veya düzenleyici boşluklar yükümlülük haline gelir. Çok yavaş hareket edin ve rakipler rekabet etmek için çok güçlü dönüştürücü verimliliklerle ilerler. Her iki yol da Cisos’un işlerine mal olabilecek sonuçlarla birlikte gelir.
Buna karşılık, yapay zeka benimseme girişimlerinin kuruluşun güvenlik işlevi tarafından istikrarlı hale getirildiği bir “hiçbir departmanı” yönetemezler. Bunun yerine, güvenlik fonksiyonunun gerçek bir gelir sağlayıcısı olarak hizmet etmesi için yönetimsel risk toleransı ve iş öncelikleri ile yönetişimi eşleştirerek evet için bir yol bulmak çok önemlidir. Bu makale boyunca, CISO’ların bu değişimi yapmasına ve ölçekte güvenli bir şekilde benimsenmesini sağlayan AI yönetişim programlarını yönlendirmesine yardımcı olabilecek üç bileşeni paylaşacağım.
1. Yerde neler olduğunu anlayın
Chatgpt Kasım 2022’de ilk geldiğinde, çoğu Cisos’un çalışanlara ne yapmamaları gerektiğini söyleyen katı politikalar yayınlamak için uğraştığını biliyorum. Hassas veri sızıntısının meşru bir endişe olduğunu düşünerek olumlu bir niyetten geldi. Bununla birlikte, bu “belge geriye dönük” yaklaşımından yazılan politikalar teoride harika olsa da, nadiren pratikte çalışırlar. AI’nın ne kadar hızlı geliştiği nedeniyle, AI yönetişimi bir kuruluş içindeki yerde gerçekte neler olduğunu açıklayan “gerçek dünya ileri” bir zihniyetle tasarlanmalıdır. Bu, CISOS’un AI hakkında temel bir anlayışa sahip olmasını gerektirir: gömülü olduğu teknolojinin kendisi, SaaS platformlarının bunu sağladığı ve çalışanların işlerini yapmak için nasıl kullandıkları.
AI envanterleri, model kayıtları ve çapraz fonksiyonel komiteler terim gibi gelebilir, ancak güvenlik liderlerinin bu AI akıcılığını geliştirmelerine yardımcı olabilecek pratik mekanizmalardır. Örneğin, bir AI Malzeme Yasası (AIBOM), bir AI modelini besleyecek bileşenlere, veri kümelerine ve harici hizmetlere görünürlük sunar. Tıpkı bir Yazılım Malzeme Yasası’nın (SBOM) üçüncü taraf bağımlılıklarını açıkladığı gibi, bir AIBOM liderlerin hangi verilerin kullanıldığını, nereden geldiğini ve hangi riskleri getirdiğini bilmesini sağlar.
Model kayıtları, halihazırda kullanımda olan AI sistemleri için benzer bir rol sunmaktadır. Hangi modellerin konuşlandırıldığını, en son güncellendiklerini ve “kara kutu yayılmasını” önlemek için nasıl performans gösterdiklerini ve yama, hizmetten çıkarma veya ölçeklendirme kullanımıyla ilgili kararları bilgilendirmek için nasıl performans gösterdiklerini izlerler. AI komiteleri, gözetimin güvenliğe veya yalnız başına düşmemesini sağlar. Genellikle belirlenmiş bir yapay zeka kurumu veya risk memuru tarafından yönetilen bu gruplar, yasal, uyum, İK ve iş birimlerinden temsilcileri içerir – yönetişimi sessiz bir direktiften yönetişimi, güvenlik endişelerini iş sonuçlarıyla dolduran ortak bir sorumluluğa dönüştürür.
2. Politikaları organizasyonun hızına hizalayın
Gerçek dünyadaki ileri politikalar olmadan, güvenlik liderleri genellikle gerçekçi bir şekilde sunamayacakları kontrolleri kodlama tuzağına düşerler. Bunu ilk elden bir ciso meslektaşım aracılığıyla gördüm. Çalışanların zaten yapay zekayı denediğini bilerek, işgücü boyunca çeşitli genai uygulamalarının sorumlu olarak benimsenmesini sağlamak için çalıştı. Bununla birlikte, yeni bir CIO organizasyona katıldığında ve kullanımda çok fazla Genai uygulaması olduğunu hissettiğinde, CISO, işletme çapında bir platform seçilene kadar tüm Genai’yi yasaklamaya yönlendirildi. Bir yıl sonra, bu tek platform hala uygulanmamıştı ve çalışanlar, organizasyonu AI güvenlik açıklarını gölgelemek için açıklayan onaylanmamış Genai araçları kullanıyorlardı. CISO, uygulanamaz bir çözüm uygulama yetkisi olmadan eleştiri alamadığı bir battaniye yasağını zorlamaya çalışırken sıkışmıştı.
Bu tür bir senaryo, politikalar yürütülebildiklerinden daha hızlı yazıldığında veya örgütsel kabul hızını tahmin edemediklerinde ortaya çıkar. Kağıt üzerinde belirleyici görünen politikalar, liderlik değişiklikleri, yerleşik AI işlevselliği ve çalışanların yeni araçları çalışmalarına entegre etmeleri organik yolları ile evrimleşmezlerse hızlı bir şekilde kullanılabilir. Yönetişim, uyum sağlayacak kadar esnek olmalıdır, yoksa güvenlik ekiplerini imkansızı uygulayarak bırakma riskiyle karşı karşıya kalır.
İleriye giden yol, politikaları canlı belgeler olarak tasarlamaktır. İşletme gibi gelişmeli, gerçek kullanım durumları tarafından bilgilendirilmeli ve ölçülebilir sonuçlarla uyumlu olmalıdırlar. Yönetişim de politikada duramaz; Günlük çalışmaya rehberlik eden standartlara, prosedürlere ve taban çizgilerine dönüşmesi gerekir. Ancak o zaman çalışanlar pratikte güvenli AI benimsemesinin nasıl göründüğünü biliyorlar.
3. AI yönetişimini sürdürülebilir hale getirin
Güçlü politikalar ve yol haritaları mevcut olsa bile, çalışanlar AI’yı resmi olarak onaylanmayan şekillerde kullanmaya devam edecektir. Güvenlik liderlerinin hedefi AI’yı yasaklamak değil, sorumlu kullanmak en kolay ve en çekici seçeneği yapmak olmalıdır. Bu, satın alınmış veya evde yetiştirilenler olsun, kurumsal sınıf AI araçlarıyla donatmak anlamına gelir, bu nedenle güvensiz alternatiflere ulaşmaları gerekmez. Buna ek olarak, olumlu davranışları vurgulamak ve güçlendirmek anlamına gelir, böylece çalışanlar korkulukları izlemede değer görürler.
Sürdürülebilir yönetişim, AI kullanmak Ve AI’nın Korunmasıiki sütunu SANS Institute’un yakın zamanda yayınlanan Secure Ai Blueprint. AI’yı etkili bir şekilde yönetmek için CISOS, SOC ekiplerini siber savunma için AI’yı etkili bir şekilde kullanmaları için güçlendirmelidir – gürültü azaltma ve zenginleştirmeyi otomatikleştirmek, tehdit istihbaratına karşı tespitleri doğrulamak ve analistlerin yükseliş ve olay yanıtı için döngüde kalmasını sağlamak. Ayrıca, SANS kritik AI güvenlik yönergelerinde belirtildiği gibi AI sistemlerini rakip tehditlerden korumak için doğru kontrollerin mevcut olmasını sağlamalıdırlar.
SANS Cyber Defense Girişimi 2025’te daha fazla bilgi edinin
Bu Aralık ayında SANS, LDR514’ü sunacak: Washington’da SANS Cyber Savunma Girişimi 2025’te güvenlik stratejik planlaması, politika ve liderlik bu ders, genel yönetişim tavsiyesinin ötesine geçmek ve kuruluşları güvence altına alacak işgal edilen güvenlik programlarının nasıl oluşturulacağını öğrenmek isteyen liderler için tasarlanmıştır. Eylem edilebilir politikaların nasıl oluşturulacağı, yönetişimin iş stratejisi ile nasıl hizalanacağı ve güvenliği kültüre yerleştirmeyi kapsayacaktır, böylece işletmenizi AI dönemi aracılığıyla güvenli bir şekilde yönlendirebilirsiniz.
AI yönetişimini bir iş sağlayıcısına dönüştürmeye hazırsanız, burada SANS CDI 2025’e kaydolun.
Not: Bu makaleye SANS Institute Üyesi Frank Kim katkıda bulundu.