Kako bi CISO trebalo da odgovori na shadow AI u organizaciji
CSO Online donosi praktičan okvir za odgovor na shadow AI, odnosno neodobrenu upotrebu AI alata unutar organizacije. Tekst preporučuje da se najpre proceni stvarni rizik, zatim razume zašto zaposleni posežu za takvim alatima, pa da se odluči da li ih treba ugasiti ili formalno uvesti, uz obavezno unapređenje AI governance modela. Naglasak nije na paničnoj reakciji, već na proceni posledica po podatke, procese, usklađenost i bezbednost poslovanja.
Ovo nije vest o jednom incidentu, već koristan operativni okvir za firme koje shvataju da shadow AI ne mogu potpuno da spreče. Problem često nije sam AI alat, već podaci koje zaposleni u njega unose, odsustvo jasnih pravila i činjenica da biznis koristi alate brže nego što bezbednosni i pravni timovi stižu da ih procene. Za organizacije koje već imaju shadow IT iskustvo, ovo je praktično upozorenje da se isti obrazac sada seli na AI.
- Mapirati gde se u organizaciji već koristi neodobren AI i koje vrste podataka se u njega unose
- Procijeniti da li je u konkretnim slučajevima došlo do curenja podataka, regulatornog rizika ili operativnog poremećaja
- Razgovarati sa korisnicima da bi se razumelo zašto koriste neodobrene alate i da li već postoji odobrena alternativa
- Uvesti jasan proces za procenu, odobravanje ili blokiranje AI alata uz učešće bezbednosti, pravnog, privatnosti i biznisa
- Ažurirati AI governance, obuke i pravila odgovornosti kako bi zaposleni znali šta je dozvoljeno, a šta nije