جو ريجنسبرجر، نائب الرئيس للأبحاث، Immuta – سلسلة المقابلات

يشغل جو ريجنسبرجر حاليًا منصب نائب رئيس الأبحاث في إموتا. رائد في مجال أمن البيانات، إموتا تمكن المؤسسات من فتح القيمة من بياناتها السحابية من خلال حمايتها وتوفير الوصول الآمن.

تم تصميم Immuta للتكامل بسلاسة في البيئة السحابية الخاصة بك، مما يوفر عمليات تكامل أصلية مع بائعي السحابة الرائدين. بعد NIST إطار الأمن السيبراني، يغطي Immuta غالبية احتياجات أمن البيانات لمعظم المؤسسات.

خلفيتك التعليمية في الفيزياء والرياضيات التطبيقية، كيف وجدت نفسك في نهاية المطاف تعمل في علوم البيانات والتحليلات؟

كان مجال عملي بعد التخرج هو فيزياء الطاقة العالية التجريبية. يتطلب تحليل البيانات في هذا المجال قدرًا كبيرًا من التحليل الإحصائي، وخاصةً فصل توقيعات الأحداث النادرة عن تلك الخاصة بأحداث الخلفية الأكثر تكرارًا. هذه المهارات مشابهة جدًا لتلك المطلوبة في علم البيانات.

هل يمكنك وصف دورك الحالي كنائب رئيس للأبحاث في شركة Immuta الرائدة في مجال أمن البيانات؟

في Immuta، نحن نركز على أمن البيانات. وهذا يعني أننا بحاجة إلى فهم كيفية استخدام البيانات، وكيف يمكن إساءة استخدامها، وتزويد متخصصي البيانات بالأدوات اللازمة لدعم مهمتهم، مع منع سوء الاستخدام. لذلك، يتضمن دورنا فهم متطلبات وتحديات متخصصي البيانات، خاصة فيما يتعلق باللوائح والأمان، والمساعدة في حل تلك التحديات. نريد تقليل المتطلبات التنظيمية وتمكين متخصصي البيانات من التركيز على مهمتهم الأساسية. دوري هو المساعدة في تطوير الحلول التي تقلل من تلك الأعباء. يتضمن ذلك تطوير أدوات لاكتشاف البيانات الحساسة، وطرق لأتمتة تصنيف البيانات، واكتشاف كيفية استخدام البيانات، وإنشاء عمليات تفرض سياسات البيانات لضمان استخدام البيانات بشكل صحيح.

ما هي أهم التحديات في حوكمة الذكاء الاصطناعي مقارنة بإدارة البيانات التقليدية؟

ذكر قادة التكنولوجيا أن حوكمة الذكاء الاصطناعي هي خطوة تالية طبيعية وتطور من حوكمة البيانات. ومع ذلك، هناك بعض الاختلافات الرئيسية التي يجب وضعها في الاعتبار. أولاً وقبل كل شيء، تتطلب إدارة الذكاء الاصطناعي مستوى من الثقة في مخرجات نظام الذكاء الاصطناعي. مع حوكمة البيانات التقليدية، كان قادة البيانات قادرين على التتبع بسهولة من الإجابة إلى النتيجة باستخدام نموذج إحصائي تقليدي. مع الذكاء الاصطناعي، تصبح إمكانية التتبع والنسب تحديًا حقيقيًا ويمكن أن تكون الخطوط غير واضحة بسهولة. إن القدرة على الثقة في النتيجة التي يصل إليها نموذج الذكاء الاصطناعي الخاص بك يمكن أن تتأثر سلبًا بالهلوسة والتشويش، وهو ما يمثل تحديًا فريدًا للذكاء الاصطناعي يجب حله من أجل ضمان الإدارة السليمة.

هل تعتقد أن هناك حلاً عالميًا لحوكمة الذكاء الاصطناعي وأمن البيانات، أم أنه أكثر تحديدًا لحالة معينة؟

"على الرغم من أنني لا أعتقد أن هناك نهجًا واحدًا يناسب الجميع لحوكمة الذكاء الاصطناعي في هذه المرحلة فيما يتعلق بتأمين البيانات، إلا أن هناك بالتأكيد اعتبارات يجب على قادة البيانات اعتمادها الآن لوضع أساس للأمن والحوكمة. عندما يتعلق الأمر بإدارة الذكاء الاصطناعي، فمن المهم حقًا أن يكون لديك سياق حول الغرض من استخدام نموذج الذكاء الاصطناعي ولماذا. إذا كنت تستخدم الذكاء الاصطناعي لشيء أكثر دنيوية وبتأثير أقل، فستكون حاسبة المخاطر الخاصة بك أقل بكثير. إذا كنت تستخدم الذكاء الاصطناعي لاتخاذ قرارات بشأن الرعاية الصحية أو تدريب مركبة ذاتية القيادة، فإن تأثير المخاطر الخاص بك سيكون أعلى بكثير. وهذا مشابه لإدارة البيانات؛ إن سبب استخدام البيانات لا يقل أهمية عن كيفية استخدامها.

لقد كتبت مؤخرًا مقالًا بعنوان "معالجة التهديدات الكامنة في ظل الذكاء الاصطناعي". ما هو Shadow AI ولماذا يجب على الشركات ملاحظة ذلك؟

"يمكن تعريف Shadow AI على أنه الاستخدام المارق لأدوات الذكاء الاصطناعي غير المصرح بها والتي تقع خارج إطار حوكمة المؤسسة. يجب أن تكون الشركات على دراية بهذه الظاهرة من أجل حماية البيانات لأن إدخال البيانات الداخلية في تطبيق غير مصرح به مثل أداة الذكاء الاصطناعي يمكن أن يشكل مخاطر هائلة. تعتبر تقنية Shadow IT معروفة بشكل عام ومن السهل نسبيًا إدارتها بمجرد اكتشافها. ما عليك سوى إيقاف تشغيل التطبيق والمضي قدمًا. مع Shadow AI، ليس لديك اتفاقية واضحة للمستخدم النهائي حول كيفية استخدام البيانات لتدريب نموذج الذكاء الاصطناعي أو حيث يقوم النموذج في النهاية بمشاركة استجاباته بمجرد إنشائها. في الأساس، بمجرد وجود هذه البيانات في النموذج، تفقد السيطرة عليها. من أجل التخفيف من المخاطر المحتملة للذكاء الاصطناعي الظلي، يجب على المؤسسات وضع اتفاقيات واضحة وعمليات رسمية لاستخدام هذه الأدوات إذا كانت البيانات ستغادر البيئة على الإطلاق.

هل يمكنك شرح مزايا استخدام التحكم في الوصول القائم على السمات (ABAC) على التحكم في الوصول القائم على الأدوار (RBAC) التقليدي في أمن البيانات؟

وظائف التحكم في الوصول المستند إلى الدور (RBAC) عن طريق تقييد التصاريح أو الوصول إلى النظام بناءً على دور الفرد داخل المنظمة. وتتمثل فائدة ذلك في أنه يجعل التحكم في الوصول ثابتًا وخطيًا لأنه لا يمكن للمستخدمين الوصول إلى البيانات إلا إذا تم تعيينهم لأدوار معينة محددة مسبقًا. في حين أن نموذج RBAC كان تقليديًا بمثابة وسيلة لعدم التدخل للتحكم في استخدام البيانات الداخلية، إلا أنه ليس غير قابل للتدمير بأي حال من الأحوال، واليوم يمكننا أن نرى أن بساطته هي أيضًا عيبه الرئيسي.

كان RBAC عمليًا بالنسبة لمنظمة أصغر ذات أدوار محدودة ومبادرات قليلة للبيانات. تعتمد المؤسسات المعاصرة على البيانات مع احتياجات البيانات التي تنمو بمرور الوقت. في هذا السيناريو الشائع بشكل متزايد، تنهار كفاءة RBAC. لحسن الحظ، لدينا خيار أكثر حداثة ومرونة للتحكم في الخيارات: التحكم في الوصول المستند إلى السمات (ABAC). يتخذ نموذج ABAC نهجًا أكثر ديناميكية للوصول إلى البيانات وأمانها من RBAC. وهو يحدد الأدوار المنطقية من خلال الجمع بين السمات التي يمكن ملاحظتها للمستخدمين والبيانات، وتحديد قرارات الوصول بناءً على تلك السمات. إحدى أعظم نقاط قوة ABAC هي طبيعتها الديناميكية والقابلة للتطوير. مع نمو حالات استخدام البيانات وتمكين ديمقراطية البيانات لعدد أكبر من المستخدمين داخل المؤسسات، يجب أن تكون عناصر التحكم في الوصول قادرة على التوسع مع بيئاتها للحفاظ على أمان البيانات المتسق. يميل نظام ABAC أيضًا إلى أن يكون بطبيعته أكثر أمانًا من نماذج التحكم في الوصول السابقة. علاوة على ذلك، فإن هذا المستوى العالي من أمان البيانات لا يأتي على حساب قابلية التوسع. وعلى عكس معايير التحكم في الوصول والحوكمة السابقة، فإن الطابع الديناميكي لشركة ABAC يخلق نموذجًا مقاومًا للمستقبل.

ما هي الخطوات الأساسية لتوسيع الوصول إلى البيانات مع الحفاظ على إدارة البيانات وأمنها بشكل قوي؟

يتم استخدام التحكم في الوصول إلى البيانات لتقييد الوصول والأذونات والامتيازات الممنوحة لمستخدمين وأنظمة معينة تساعد على ضمان أن الأفراد المصرح لهم فقط يمكنهم رؤية مجموعات بيانات محددة واستخدامها. ومع ذلك، تحتاج فرق البيانات إلى الوصول إلى أكبر قدر ممكن من البيانات للحصول على رؤى الأعمال الأكثر دقة. يمثل هذا مشكلة لفرق أمن البيانات والحوكمة المسؤولة عن ضمان حماية البيانات بشكل مناسب ضد الوصول غير المصرح به والمخاطر الأخرى. وفي بيئة الأعمال التي تعتمد على البيانات بشكل متزايد، لا بد من تحقيق التوازن بين هذه المصالح المتنافسة. في الماضي، حاولت المؤسسات تحقيق هذا التوازن باستخدام نهج سلبي للتحكم في الوصول إلى البيانات، مما أدى إلى اختناقات في البيانات وأعاق المؤسسات عندما يتعلق الأمر بالسرعة. لتوسيع الوصول إلى البيانات مع الحفاظ على حوكمة البيانات وأمنها بشكل قوي، يجب على المؤسسات اعتماد التحكم الآلي في الوصول إلى البيانات، والذي يقدم السرعة وخفة الحركة والدقة في عملية تطبيق القواعد على البيانات. هناك خمس خطوات يجب إتقانها لأتمتة التحكم في الوصول إلى البيانات:

1. يجب أن يكون قادرًا على دعم أي أداة يستخدمها فريق البيانات.
2. يحتاج إلى دعم جميع البيانات، بغض النظر عن مكان تخزينها أو تقنية التخزين الأساسية.
3. يتطلب الوصول المباشر إلى نفس البيانات المباشرة عبر المؤسسة.
4. يمكن لأي شخص، بأي مستوى من الخبرة، فهم القواعد والسياسات التي يتم تطبيقها على بيانات المؤسسة.
5. يجب أن تكون سياسات خصوصية البيانات موجودة في موقع مركزي واحد.
6. بمجرد إتقان هذه الركائز، يمكن للمؤسسات التحرر من النهج السلبي للتحكم في الوصول إلى البيانات وتمكين التحكم في الوصول إلى البيانات بشكل آمن وفعال وقابل للتطوير.

فيما يتعلق بمراقبة البيانات في الوقت الفعلي، كيف تعمل Immuta على تمكين المؤسسات من إدارة استخدام البيانات والمخاطر الأمنية بشكل استباقي؟

يمكّن عرض منتج Immuta’s Detect المؤسسات من إدارة استخدام البيانات الخاصة بها بشكل استباقي عن طريق تسجيل البيانات تلقائيًا بناءً على مدى حساسيتها وكيفية حمايتها (مثل إخفاء البيانات أو الغرض المعلن للوصول إليها) حتى تتمكن فرق البيانات والأمن من تحديد أولويات المخاطر و احصل على تنبيهات في الوقت الفعلي بشأن الحوادث الأمنية المحتملة. من خلال الكشف السريع عن مخاطر استخدام البيانات وتحديد أولوياتها باستخدام Immuta Detect، يمكن للعملاء تقليل الوقت اللازم لتخفيف المخاطر والحفاظ بشكل عام على أمان بيانات قوي لبياناتهم.

شكرا لك على المقابلة الرائعة ، القراء الذين يرغبون في معرفة المزيد يجب أن يزوروا إموتا.