2025’in sonuna yaklaştığımız şu günlerde yapay zeka hakkında her CISO’nun dikkate alması gereken iki rahatsız edici gerçek var.
Gerçek #1: İmkanı olan her çalışan üretkenliği kullanıyor Yapay zeka araçları onların işi için. Şirketiniz onlara bir hesap vermese bile, politikanız bunu yasaklasa bile, çalışanın cebinden ödeme yapmak zorunda kalsa bile.
1Password Ürün Başkan Yardımcısı ve Kolide’nin kurucusu.
Gerçek #2: Üretken yapay zekayı kullanan her çalışan, bu yapay zekaya dahili ve gizli şirket bilgilerini sağlayacaktır (veya muhtemelen zaten vermiştir).
Benim “her” terimini kullanmama itiraz edebilirsiniz, ancak fikir birliği verileri hızla bu yöne doğru ilerliyor. Buna göre Microsoft2024 yılında gezegendeki bilgi çalışanlarının dörtte üçü işlerinde zaten üretken yapay zeka kullanıyordu ve %78’i işe kendi yapay zeka araçlarını getiriyordu.
Bu arada, yapay zeka kullanıcılarının neredeyse üçte biri hassas materyalleri kamuya açık hale getirdiklerini itiraf ediyor sohbet robotları; Bunların arasında %14’ü gönüllü olarak şirketin ticari sırlarını sızdırdığını itiraf ediyor. Yapay zekanın en büyük tehdidi “Erişim-Güven Açığının” genel olarak genişlemesiyle ilgilidir.
Yapay zeka durumunda bu, onaylananlar arasındaki farkı ifade eder. iş uygulamaları şirket verilerine erişme konusunda güvenilen uygulamalar ve BT veya güvenlik ekiplerinin bilgisi olmadan bu verilere erişimi olan, giderek artan sayıda güvenilmeyen ve yönetilmeyen uygulamalar.
İzlenmeyen cihazlar olarak çalışanlar
Temel olarak çalışanlar, çok sayıda bilinmeyen AI uygulamasını barındırabilen, izlenmeyen cihazlar kullanıyor ve bu uygulamaların her biri, hassas kurumsal veriler için çok fazla risk oluşturabilir.
Bu gerçekleri aklımızda tutarak iki kurgusal şirketi ve bunların yapay zeka kullanımını ele alalım: Onlara A şirketi ve B şirketi adını vereceğiz.
Hem A hem de B şirketinde iş geliştirme temsilcileri aşağıdakilerin ekran görüntülerini alıyor: Satış gücü ve mükemmel giden yolu oluşturmak için onları yapay zekaya besliyoruz e-posta bir sonraki muhtemel hedefleri için.
CEO’lar bunu, müzakere altındaki son satın alma hedeflerine ilişkin durum tespitini hızlandırmak için kullanıyor. Satış Temsilciler, kişiselleştirilmiş koçluk ve itiraz yönetimi almak için satış çağrılarından ses ve videoyu AI uygulamalarına aktarıyor. Ürün işlemleri yükleniyor excel Herkesin kaçırdığı temel bilgileri bulma umuduyla en son ürün kullanım verilerini içeren sayfalar.
A şirketi için yukarıdaki senaryo, şirketin dahili yapay zeka girişimlerinin nasıl ilerlediği konusunda yönetim kuruluna sunulan parlak bir raporu temsil ediyor. B Şirketi için senaryo, bazıları ciddi mahremiyet ve yasal sonuçlar doğuran ciddi politika ihlallerinin şok edici bir listesini temsil ediyor.
Fark? A Şirketi zaten yapay zeka etkinleştirme planını ve yönetişim modelini geliştirip uygulamaya koydu ve B Şirketi hala yapay zeka konusunda ne yapması gerektiğini tartışıyor.
Yapay zeka yönetişimi: altı soruda “olup olmayacağından” “nasıl”a
Basitçe söylemek gerekirse, kuruluşların yapay zeka yönetişimini ele almak için daha fazla beklemeyi göze alamaz. IBM’in 2025 “Veri İhlalinin Maliyeti Raporu”, yapay zekayı uygun şekilde yönetme ve güvence altına alma konusundaki başarısızlığın maliyetini vurguluyor: Yapay zeka ile ilgili bir ihlale maruz kalan kuruluşların %97’sinde yapay zeka erişim kontrolleri yoktu.
Şimdi iş, üretken kullanımı teşvik eden ve dikkatsiz davranışları azaltan bir yapay zeka etkinleştirme planı hazırlamaktır. Güvenli etkinleştirmenin pratikte nasıl görünebileceğine dair fikir edinmek için her yönetim kurulu çalıştayına altı soruyla başlıyorum:
1. Hangi iş kullanım durumları yapay zeka gücünü hak ediyor? Yapay zekaya yönelik “sıfır günlük bir güvenlik açığı bülteni taslağı hazırlamak” veya “kazanç çağrısını özetlemek” gibi belirli kullanım örneklerini düşünün. Yapay zekanın yalnızca kendi iyiliği için kullanılmasına değil, sonuçlara odaklanın.
2. Hangi incelenmiş araçları dağıtacağız? Modellerini eğitmek için şirket verilerini kullanmayan Kurumsal katmanlar gibi temel güvenlik kontrollerine sahip, incelenmiş yapay zeka araçlarını arayın.
3. Kişisel yapay zeka hesaplarına nereden ulaşacağız? Kişisel yapay zekayı kullanma kurallarını resmileştirin iş dizüstü bilgisayarlarıkişisel cihazlar ve yüklenici cihazları.
4. Yapay zekadan yararlanmaya devam ederken müşteri verilerini nasıl koruruz ve her sözleşme maddesini nasıl yerine getiririz? Model girdilerini gizlilik yükümlülüklerine ve bölgesel düzenlemelere göre haritalayın.
5. Sahte AI web uygulamalarını, yerel uygulamaları ve tarayıcı eklentilerini nasıl tespit edeceğiz? Güvenlik aracılarından, CASB günlüklerinden ve tarayıcılara ve kod düzenleyicilere ayrıntılı envanter uzantıları ve eklentileri sağlayan araçlardan yararlanarak gölge yapay zeka kullanımını arayın.
6. Hatalar oluşmadan politikayı nasıl öğreteceğiz? Politikalarınızı belirledikten sonra çalışanları proaktif olarak bunlar konusunda eğitin; Çıkış görüşmesine kadar kimse onları göremezse korkulukların bir anlamı yoktur.
Her soruya vereceğiniz yanıtlar risk iştahınıza göre değişecektir ancak hukuk, ürün, İK ve güvenlik ekipleri arasındaki uyum tartışılamaz olmalıdır.
Temel olarak Erişim-Güven Açığı’nı daraltmak, ekiplerin şirket genelinde güvenilir yapay zeka uygulamalarının kullanımını anlamasını ve etkinleştirmesini gerektirir; böylece çalışanlar güvenilmez ve denetlenmeyen uygulama kullanımına yönelmez.
İş sırasında öğrenen yönetim
Politikanızı başlattıktan sonra ona diğer kontrol yığınları gibi davranın: Ölçün, raporlayın, hassaslaştırın. Etkinleştirme planının bir parçası da zaferleri ve onunla birlikte gelen görünürlüğü kutlamaktır.
Kuruluşunuzda yapay zeka kullanımına ilişkin anlayışınız arttıkça, bu planı tekrar gözden geçirmeyi ve aynı paydaşlarla sürekli olarak iyileştirmeyi beklemelisiniz.
Toplantı odası için kapanış düşüncesi
SaaS’ın gider raporları ve proje takipçileri aracılığıyla işletmeye girdiği 2000’li yılların ortalarını düşünün. BT, incelenmemiş alanları kara listeye almaya çalıştı, finans, kredi kartlarının yayılmasına karşı çıktı ve hukuk, müşteri verilerinin “başka birinin bilgisayarına” ait olup olmadığını merak etti. Sonunda iş yerlerinin geliştiğini ve SaaS’ın modern iş dünyasının vazgeçilmezi haline geldiğini kabul ettik.
Üretken yapay zeka aynı yörüngeyi beş kat daha hızlı izliyor. SaaS öğrenme eğrisini hatırlayan liderler şu modeli tanıyacaktır: Erken yönetin, sürekli ölçüm yapın ve dünün gri piyasa deneyimini yarının rekabet avantajına dönüştürün.