Üretkenliği Engellemeden Verileri Koruyan Bir Yapay Zeka Politikası Oluşturma



Baş bilgi güvenliği görevlileri (CISO’lar) tehdit ortamında büyük bir değişimle karşı karşıyadır. Bir zamanlar şirketleri makineleri çalıştıran kişilere karşı koruyorlardı, ancak yapay zekadaki son gelişmelerle birlikte makinelerin kendisi de düşman haline geldi.

Önyargı, şeffaflık eksikliği, güvenlik ve veri gizliliği sorunlarının her zamankinden daha gerçek olması gibi endişeler göz önüne alındığında, teknoloji pazarlarda hızla benimsendiğinden CISO’ların bunları nasıl ele alacaklarını bilmesi gerekiyor.

Çalışanların yapay zekayı güvenli olmayan şekilde kullanmasına verilecek ani tepki elbette onu yasaklamak olacaktır ve bazı şirketler bu yolu izliyor. Ancak yapay zekanın işyerine sağladığı faydalar yadsınamaz ve önemli. Yapay zeka yaratıcılığı teşvik edebilir, verimliliği artırabilir ve görevleri otomatikleştirerek çalışanların daha yüksek değerli işler için özgür kalmasını sağlayabilir. Her gün başka bir şirket yapay zekadan yararlanan bir özellik ekliyor ve bu da yakın gelecekte hepimizin onunla arayüz oluşturmasını kaçınılmaz kılıyor. Peki bir güvenlik ekibi, şirketlerini, müşterilerini ve verilerini risklere karşı korurken çalışanların yapay zekanın faydalarını benimsemesini nasıl sağlayabilir? Cevap, yapay zekanın faydasını kabul eden ve aynı zamanda güvenli olmayan kullanımı azaltmak için net sınırlar belirleyen kapsamlı bir kurumsal yapay zeka politikasıdır.

Yapay Zekanın Oluşturduğu İç Tehdit

Birçok üretkenlik aracına eklenen yapay zeka özelliklerine ek olarak, üretken yapay zeka (GenAI) teknolojisinin temelini oluşturan büyük dil modellerinin (LLM’ler) yükselişi, iş riskini önemli ölçüde etkiledi. Geliştiriciler, satış görevlileri ve hatta üst düzey yöneticiler, sunumlar için yaratıcı grafikler ve görseller sağlamak veya önemli projeler için daha hızlı bir şekilde kod oluşturmak amacıyla ChatGPT gibi araçlardan yararlanma eğilimindedir. Her ne kadar bu zararsız gibi görünse de, çalışanlar istemeden fikri mülkiyet haklarını, kaynak kodlarını veya daha da kötüsü, düzenlenmiş müşteri verilerini bu sohbet robotlarına gönderebilir ve potansiyel olarak özel bilgilerin açığa çıkmasına neden olabilir.

Yeni ortaya çıkan kuruluşa özel lisanslar haricinde, LLM’ler genellikle kullanıcı girdilerini eğitim verileri olarak saklama hakkını saklı tutar. Bir yönetici, bir iş biriminin üç aylık performansını özetlemek için sunum içeriğini hızlı bir şekilde izlemek üzere bir Yüksek Lisans’a özel veya finansal veriler vermeyi pek düşünmeyebilir, ancak Yüksek Lisans bu verileri saklıyorsa, veri işleme yasalarına uyumunuz konusunda ciddi endişeler doğurur. On binlerce ChatGPT kimlik bilgisinin kanıtladığı gibi, bir Yüksek Lisans tarafından depolanan veriler mutlaka güvenli değildir.

GenAI’nin en endişe verici kullanımlarından biri yazılım geliştirmeyi içerir. Bir LLM kodu aldıktan sonra, başkalarının istemlerinden oluşturulan sonuçlarda yeniden ortaya çıkabilir. Bunu azaltmanın bir yolu, girdileri eğitim verileri olarak almayan kurumsal odaklı GenAI lisanslarını (ChatGPT Enterprise gibi) kullanmaktır. Bununla birlikte, bu yalnızca çalışanların LLM’leri kişisel cihazlarında kullanmaması durumunda işe yarayacaktır. Gölge BT uzun zamandır devam eden bir sorundu, ancak bunun sonuçları özellikle kurumsal olmayan LLM lisansları aracılığıyla hassas kod gönderen çalışanlar için çok ciddi.

Yapay Zeka Politikası Oluşturmanın Üç Adımı (ve Kalıcı Hale Getirmek İçin Dördüncü Adım)

Risklere rağmen yapay zekanın faydaları ve artan yaygınlığı abartılamaz. Yapay zeka kalıcıdır ve kurumsal odaklı GenAI lisanslarının sunulması, kesinlikle işletmeler arasında benimsenmenin daha da hızlı büyümesine neden olacaktır. CISO’lar, çalışan ve iş başarısını mümkün kılan yollar yaratırken aynı zamanda kuruluşlarını korumayı amaçlar; bu nedenle, yapay zeka kullanımını daha güvenli hale getiren resmi bir yapay zeka politikası tanımlamak daha etkili bir yaklaşımdır.

Riski en aza indiren gerekli korkulukları sağlarken uygun kullanımın ana hatlarını çizen bir yapay zeka politikasının başarılı bir şekilde oluşturulması, birkaç hususun dikkate alınmasını gerektirir:

  • Politika geliştirmeyi şirket çapında bir çaba haline getirin

Yapay zeka eninde sonunda her iş alanını etkileyecektir, dolayısıyla CISO (veya ofisi) tarafından özel olarak yazılan herhangi bir politika daha baştan başarısızlığa mahkumdur. Politika taslağının hazırlanması, işletme genelindeki kilit paydaşlarla işbirliğine dayalı bir süreç olmalıdır. Bu, risk potansiyelini, şirketin risk toleransını ve bir yapay zeka politikasının yaşaması gereken ikisi arasındaki orta yolu belirlemenin en iyi yoludur.

  • Genel temel kuralları belirleyin

Birçok yapay zeka kullanım durumunun incelikleri vardır ancak birkaç davranış açıkça sorumlu veya sorumsuzdur. Bunlar, etrafında bir politika oluşturulacak bir temel olarak kullanılmalıdır. Evrensel olarak istenmeyen uygulamalar arasında kaynak kodunun veya hassas verilerin (bir müşteriden veya şirketinizden) bu veriler üzerinde eğitim alma hakkını saklı tutan bir LLM’ye yüklenmesi ve çıktıların işinize dahil edilmeden önce doğrulanmaması yer alır. Evrensel olarak iyi uygulamalar arasında, verileri güvende tutmak için kurumsal lisansların kullanılması, kurumsal olmayan LLM’lere yalnızca zararsız veya kamuya açık verilerin girilmesi, çıktıların kapsamlı testlerle doğrulanması ve şirket fikri mülkiyet haklarının tehlikeye atılmamasının sağlanması yer alır.

  • Duruma göre kararlar almak için devam eden bir süreç oluşturun

Çalışanların istediklerini “evet ve…” yaklaşımıyla başarmalarına yardımcı olmaya odaklanan, “evet” şeklinde onaylayıcı bir güvenlik kültürü oluşturmanın değeri hakkında daha önce yazmıştım. Hiçbir yapay zeka politikası, olası her çalışan talebini karşılayacak kadar kapsamlı olmayacaktır. Çalışanların kullanım senaryolarını değerlendirme ve onay (veya onay için hangi değişikliklerin gerekli olduğuna dair tartışma) için gönderebilecekleri basit bir süreç oluşturmak önemlidir.

  • Bir politika uygulamaya konulduğunda, başarı hikayelerini destekleyin

Yapay zeka hakkındaki konuşmaların çoğunun varsayımlar etrafında tutkulu spekülasyonlar içerdiği göz önüne alındığında, somut kullanım örneklerine ve gerçek hayattaki kazanımlara odaklanmak, çalışanların bir yapay zeka politikasını ciddiye almasında uzun bir yol kat edebilir. Yapay zeka ile çalışmalarını güvenli bir şekilde hızlandırmanın yollarını bulan şirket vizyonerlerinin etkili bir rol oynayabileceği nokta burasıdır. Bunları vurgulayın, stratejilerini şirketin geri kalanına sunmalarını sağlayın ve daha fazla başarı öyküsü duyup paylaşmanın sizi heyecanlandırdığını açıkça belirtin. Bu durumda yapay zekanın verimli kullanımı başlı başına bir ödüldür, dolayısıyla dışsal ödüller muhtemelen gereksizdir.

Alanın ne kadar hızlı geliştiği göz önüne alındığında, şirket politikasında güncellemeler gerektiren yeni yapay zeka zorlukları kaçınılmaz olarak ortaya çıkacak. Ancak şirket genelinden alınan, açıkça ana hatları çizilen en iyi uygulamaları içeren ve değişiklikleri entegre etmek için basit bir süreç içeren bir politika, şirketin maruz kaldığı riskleri en aza indirirken çalışanların yapay zekanın faydalarından yararlanmasını sağlayan gerekli esnekliği sağlayacaktır.



Source link