Makine öğrenimi ve üretken yapay zeka, bilgi çalışanlarının işlerini yapma biçimini değiştiriyor. Her şirket “bir yapay zeka şirketi” olmaya heveslidir, ancak yapay zeka çoğu zaman bir kara kutu gibi görünebilir ve güvenlik, düzenleme ve gizlilik riskleri korkusu inovasyonu engelleyebilir. Yöneticiler, yatırım yapma ve ROI’yi kanıtlama konusunda büyük bir baskı altındadır, ancak çoğu zaman yasal veya uyumluluk kaygıları olmadan süreci tamamlamalarını sağlayacak uygun korkuluklardan ve araçlardan yoksundurlar.
Üst düzey yöneticiler, yönetim kurulu direktörleri ve güvenlik ekipleriyle yaptığım yüzlerce toplantıda, yapay zekayı benimseme konusunda birbiriyle çelişen iki zihniyetin olduğu benim için çok açık bir şekilde ortaya çıktı. Bir tarafta gaz dediğim kişiler var; yatırım yapmaya istekli iş dünyası ve teknoloji liderleri. Diğerinde ise güvenlik, hukuk, uyumluluk ve diğer yönetişim ekiplerinin frenleri var. Şimdi, frene basmak doğası gereği olumsuz gibi görünebilir ama her iki tarafın da önemli noktaları var. Sonuçta yeni bir Lamborghini’nin frenlerinin olmadığını bilseydiniz direksiyonuna geçmezdiniz, değil mi? Paradoksal olarak bizi yavaşlatan şeyin aslında bize hızlı gitme güvenini verdiği ortaya çıktı.
Peki, çatışma olmadan yenilik yapmamıza olanak sağlayacak etkili, düşünceli kararlar almak için bu iki zihniyeti nasıl dengeleyebiliriz? Bu zorlu sularda yol alırken kurumsal güvenlik liderlerine verebileceğim önemli tavsiyeleri burada bulabilirsiniz.
(Gerçek) riskleri anlayın
Güvenlik, yönetim ve hukuk ekiplerinin elinde çok şey var. Düzeltilmesi gereken güvenlik açıklarının, savunma yapılması gereken saldırıların, korunması gereken yüzey alanının ve uyulması gereken düzenlemelerin/standartların giderek artan listesi bunaltıcı olabilir. Ancak “fren” tarafının kendileri için geçerli olmayabilecek riskler konusunda endişelendiğini sık sık gözlemledim.
Öncelikle şirketlerin tüm olası en kötü senaryoları analiz ederek çıkmaza girmek yerine yapay zeka kullanım durumlarıyla ilgili riskleri tanımlamaları gerekiyor.
Gerçekçi olmak gerekirse, ortaya çıkması en muhtemel sorunlar yetersiz erişim kontrolleri, düşük veri kalitesi ve yetersiz veri kökeninden kaynaklanmaktadır. Ancak herhangi bir projenin hayata geçmesinden önce, gaz ve fren kamplarının kendileriyle en ilgili vakalar üzerinde uyum sağlamak için bir araya gelmesi gerekiyor.
“Gaz” insanları “fren” kampını nasıl kendi taraflarına çekebilir?
Güvenlik şirketleri dışında bir işletmenin yalnızca güçlü bir güvenlik programına sahip olması yeterli değildir. Daha ziyade güvenlik, şirketin misyonunu ve stratejisini destekleyen bir fonksiyondur. Ancak güvenlik uzmanları, yüksek risklerin her köşede olduğunu düşünecek şekilde eğitilmiştir. Hiç kimse uyumluluk düzenlemelerini ihlal ettiği için haberlerde yer almak istemez.
Gerçek şu ki, eğer güvenlik ve hukuk ekipleri işleri statükoyu koruma konusunda inatçı davranırlarsa, iş sonunda onları geride bırakacaktır. Bu grubun inovasyonu teşvik etmesine yardımcı olmak için müşterilerle buluştuğumda paylaştığım en etkili tavsiye bu.
Müşteri odaklı bir süreç oluşturmak için “gaz” çalışanları “fren” çalışanlarıyla işbirliği yapmalıdır. Bu, işletmenin yapay zeka kullanım durumları için nasıl onay isteyebileceğine ilişkin alım, değerlendirme ve kuralcı rehberlik sağlamak üzere hizmet düzeyi hedeflerini (SLO’lar) ve iş öncelikleriyle uyumlu proaktif iletişimi gerektirmelidir. Karar verme, deterministik bir yapay zeka öncesi dünya için özel olarak oluşturulmuş statik bir güvenlik standardına göre deltaların ölçülmesine dayanmamalıdır. Bunun yerine kuruluşun öncelikleri ve risk toleransı ile uyumlu hale getirilmelidir.
“Fren” insanları nasıl “gaz” insanları kendi taraflarına çekebilir?
İnsanlarla bulundukları yerde tanışırsanız ve sohbete onların misyon ve vizyonunu benimseyerek yaklaşırsanız, onların çok daha anlayışlı olduklarını göreceksiniz.
Bir CISO olarak, bir hastanedeki doktor liderlerine yaklaşıp onlardan veri ihlalini önlemek için belirli teknik kontrolleri uygulamaya koymalarını istesem, cevapları muhtemelen şaşkınlık verici olurdu. Hastanenin veri ihlallerini önlemesi gerektiğini belirten herhangi bir stratejik iş hedefi bulunmamaktadır. Bunun yerine CISO, konuşmayı kendi çıkarlarına en uygun şekilde şekillendirebilir: “Hasta bakımını güvenilir bir şekilde sunmak için istenmeyen aksaklıkları azaltmak amacıyla uygulamamız gereken bazı kontroller var.” “WIFM” (benim için ne ifade ettiği) açık olduğundan, hekim liderlerinin bu konuyu sonuçlandırma konusunda daha istekli ve motive olmaları muhtemeldir.
Daha sonra, eğer gerekli beceriler henüz şirket içinde mevcut değilse, ortamın değerlendirilmesi için üçüncü taraflara güvenin. Uyumluluk değerlendirmeleri, düzenleyiciler, müşteri üçüncü taraf değerlendirmeleri ve kırmızı ekip testleri, uyguladığınız önlemlerin değerini kanıtlamanın yollarıdır.
Ayrıca sektör etkinliklerine katılmanızı ve güvenlikteki en son yeniliklere kulak vermenizi öneririm. Kendi kuruluşunuza neleri uygulayabileceğinizi görmek için bu araçları ve süreçleri uygulamaya koyan karar vericilerle ağ oluşturarak diğerlerinden önde olan şirketleri bulun.
Tersine, diğer şirketlerin hatalarını not etmek yararlı olacaktır. Güvenlikte ideal sonuç bir olayın olmaması olduğundan, bir güvenlik çerçevesinin değerini kanıtlamak zor olabilir. Bu bazen yönetim kurulu üyelerinin mevcut araçların değerini unutmasına neden olabilir. Tanınmış şirketlerin kamu güvenliği etkinlikleri düzenlediğinde, bu, güvenlik önlemlerinizi güçlendirmek ve aynı olaya karşı neden bağışık olduğunuza ve yatırımın neden işe yaradığına dair bir analiz sağlamak için bir fırsattır.
Net bir haritayla küçük başlayın ve ardından yola çıkın
Unutmayın: Yapay zeka stratejinizdeki isim değil, sıfattır. Belirli kullanım durumlarıyla küçük başlayın: örneğin müşteri desteği, arama, işbirliği ve yazılım geliştirme. Teknoloji veya veri ekiplerinin yapay zekadan elde edilen değeri göstermek için bir kullanım senaryosu tanımladığı durumlarda işletme hangi iş sorununun çözüldüğünden emin olamayabilir. İşletmeyi en baştan dahil etmek ve sorunu tanımlamalarını sağlamak, teknoloji ve veri ekiplerinin uyum içinde kalmasına yardımcı olacaktır.
Henüz net değilse, ham verilerden makine öğrenimi modellerine kadar farklı yapay zeka sistemi bileşenlerindeki riskleri değerlendirip kategorize etmeye yönelik bir güvenlik çerçevesi çok önemlidir.
Sağlık hizmetleri ve finansal hizmetler gibi yüksek düzeyde düzenlemeye tabi sektörler bile yapay zekadan değer buluyor. Aslında, bunu benimseyen en hızlı büyüyen sektörlerin onlar olduğunu gördük. Gördüğüm şirketler, en cesur deneylerle en büyük başarıyı “gaz” ve “fren” kamplarını birleştirerek elde ettiler. Bu iki grubun uyum içinde çalışmasını sağlamak bizim çıkarımızadır.