AI’nın işletmeleri daha hızlı, daha akıllı ve daha rekabetçi hale getirmesi gerekiyor, ancak çoğu proje yetersiz kalıyor. Bulut Güvenliği İttifakı (CSA), gerçek sorunun AI’yi devam edemeyen eski, sert süreçlere sıkıştıran şirketler olduğunu söylüyor.
CSA, “İşletme ve üretimde AI benimseme, başarılı olduğundan en az iki kat daha sık başarısız oluyor” diye yazıyor. “Şirketler AI’yi şeffaflık, uyarlanabilirlik ve gerçek zamanlı veri entegrasyonundan yoksun, eski, katı süreç yapılarına entegre etmeye çalışıyor.”
CSA, Dinamik Süreç Peyzajı (DPL) adı verilen bir model sunar. AI benimsemeyi parçalanmış otomasyondan ve yapılandırılmış, uyumlu ve stratejik olarak hizalanmış iş akışlarına doğru değiştiren bir çerçevedir.
Dinamik Süreç Manzarasına Genel Bakış (Kaynak: CSA)
Yönetişim Boşluğu
Çoğu otomasyon çabası parçalanıyor çünkü kuruluşlar süreç şeffaflığından yoksundur. Dinamik süreç peyzajı, AI’yı tanıtmadan önce ekiplerin temel iş akışlarını anlamalarını gerektirir. Bu, bağımlılıkların haritalanması, insan gözetim rollerinin tanımlanması ve veri akışlarının iyi anlaşılması anlamına gelir.
CISOS için yönetişim bahisleri yüksektir. Yanlış dağıtılan AI hassas verileri ortaya çıkarabilir, uyumluluk kurallarını bozabilir ve operasyonel güvenliği aşındırabilir. DPL çerçevesi, anomaliler meydana geldiğinde, kurcalama geçirmez günlükleri, döngüdeki insan (HITL) kontrol noktalarını ve artış tetikleyicilerini destekleyerek açıklanabilirlik ve denetlenebilirliği her AI kararına yerleştirmek için tasarlanmıştır.
AI’nın yapılandırılmış korkuluklarda özerk bir şekilde çalışmasına izin verirken uyumluluğu ciddiye alan bir modeldir.
Kontrolsüz güç bir yükümlülüktür
CSA, inovasyon ve pervasızlık arasında ayrım yapmak için bir noktaya değiniyor. AI’nın konuşlandırılabilmesi, özellikle düzenlenmiş ortamlarda veya insan hesap verebilirliğinin pazarlık edilemez olduğu anlamına gelmez.
“AI süreç manzarasını tasarlamıyor,” diye uyarıyor. “Gücü, süreçleri otomatikleştirmek, gerçek zamanlı ve veri odaklı kararlar vermek ve anomalilerin anında tespit edilmesine izin vermektir ve sistemin zamanında müdahale ve sürekli doğrulanmasına izin verir.”
Bu yaklaşım, güvenlik ve yönetişim liderlerine geri döner. AI sistemleriniz görünürlük, izlenebilirlik veya gözetim olmadan çalışıyorsa, yenilik yapmıyorsunuz. Kumar oynıyorsun.
Uygulamanın üç yolu
CSA, tek bir uygulama yöntemi reçete etmek yerine, DPL modelini benimsemek için üç stratejik seçeneği özetlemektedir:
1. Greenfield: Yeni iş birimleri veya girişimler için ideal. Bu, eski kısıtlamalar olmadan dinamik süreç manzarasını sıfırdan oluşturmanıza olanak tanır.
2. Paralel kum havuzu: Gölge ortamında mevcut süreçlerin yanında DPL’yi çalıştırın. Bu, sağlık veya finans gibi yüksek düzenlenmiş endüstriler için çok uygundur.
3. Olayla Tetiklenen Evlat Edinme: Uyum güncellemeleri veya rekabetçi baskılar nedeniyle değişim devam ettiğinde hedeflenen alanlarda DPL’yi uygulayın.
Her üç yöntem de AI sistemlerini üretime geçmeden önce önceden tanımlanmış KPI’lar, yükseltme yolları ve başarı kriterleri dahil olmak üzere sıkı kontroller gerektirir. CSA, otomasyonun yönetişim olgunluğunu aşmaması gerektiğini vurgulamaktadır.
CSA AI Yönetişim ve Uyum Çalışma Grubu eş başkanı Dr. Chantal Spleiss, “CISOS’un süreçler (iş) ve verileri (bilgi) için kapsamlı bir boşluk değerlendirmesi yapması gerekiyor” dedi. Ancak, tek başına teknik yetenek yeterli değildir. DPL’ye başarılı bir geçiş büyük ölçüde liderlik alımına ve işletme çapında bir değişim kültürüne bağlıdır. Spleiss, “Geçiş iş ve liderlik tarafından tamamen destekleniyorsa bir şirket DPL’ye hazır.” Diye açıklıyor. “Çalışanların, uyumluluk ve kalite departmanlarının ve veri yönetimi ekibinin mürettebatın bir parçası olduğu bir değişim kültürü son derece önemlidir.”
Bu dönüşüm sadece otomasyonun uygulanmasından daha fazlasıdır. Tüm işi yükseltebilecek stratejik bir değişimdir. Ancak temel bir çerçeve olmadan, DPL bir sorumluluk haline gelir. Spleiss, “Bu, temel çerçeveyi olabildiğince basit ve güvenilir tutmak için standartlar, en iyi uygulamalar ve düzenlemeler uygulayarak düzgün bir şekilde yapılmıyorsa, DPL-on DPL kendi karmaşıklığı altında çökebilir” diye uyarıyor.
Düzenlenmiş endüstrilerdeki kuruluşlar için titiz kum havuzu isteğe bağlı değildir. Bu yasal bir gerekliliktir. Spleiss, “Sandboxing esastır ve yasal olarak gereklidir ve zirve senaryolarını, kenar kasa iş akışlarını ve tam denetim-travomy incelemelerini kapsar” diye belirtiyor. Diğer sektörler için zorunlu olmasa da, esneklik ve güvenilirliği sağlamak için aynı yaklaşımın uygulanmasını şiddetle tavsiye eder.
Önce Vakfı Oluşturun
Birçok kuruluş, AI’nın gelişmesi için gereken dijital olgunluğa sahip değildir. Bu, güvenilir veri boru hatlarını, süreç görünürlüğünü ve yönetici alımını içerir. CSA, bu temelleri atlamanın, model ne kadar gelişmiş olursa olsun, herhangi bir AI girişimini sabote edebileceği konusunda uyarıyor.
Araştırmacılar temel hazır olma sorularını özetleyin:
- İş akışlarınız açıkça eşleniyor ve anlaşılıyor mu?
- Veri yönetişiminiz sağlam mı?
- Yerinde hitl süreçleriniz var mı?
- AI kararları açıklanabilir ve tersine çevrilebilir mi?
Bunlar, AI dağıtımlarını düzenleyicilere ve yönetim kuruluna savunma yükünü taşıyan CISO’lar için temel sorulardır.
Bu neden şimdi önemli
AB’nin AI Yasası ve NIS2 Direktifi gibi yeni düzenlemeler, kuruluşları ve yöneticilerini konuşlandırdıkları sistemlerden sorumlu tutuyor. CSA bu eğilimi ortaya koyuyor: “Avrupa mevzuatının NIS2 ve Dora’nın üst yönetimin kişisel hesap verebilirliğini bile vurguladığını belirtmek gerekir.”
Başka bir deyişle, AI sisteminiz kötü bir karar verirse, onu denetçilere açıklayan satıcı olmayacaktır. Sen olacaksın.