शॉन रोचे, सीनियर डायरेक्टर ऑफ प्रोडक्ट मार्केटिंग एंड वैल्यू इंजीनियरिंग, ऑब्सीडियन सिक्योरिटी – इंटरव्यू सीरीज

शॉन रोचे, ऑब्सीडियन सिक्योरिटी में प्रोडक्ट मार्केटिंग और वैल्यू इंजीनियरिंग के सीनियर डायरेक्टर, सास सिक्योरिटी, एआई सिक्योरिटी और गो-टू-मार्केट रणनीति पर केंद्रित क्रॉस-फंक्शनल पहलों का नेतृत्व करते हैं। उन्होंने कंपनी के पहले एकीकृत उपयोग केस फ्रेमवर्क विकसित करने में एक प्रमुख भूमिका निभाई है, जिसमें बिक्री, विपणन और ग्राहक सफलता को मापने योग्य व्यवसायिक परिणामों के साथ संरेखित किया जाता है, साथ ही जेनएआई और एआई एजेंट सिक्योरिटी समाधानों के लॉन्च की देखरेख भी की जाती है। ऑब्सीडियन सिक्योरिटी से पहले, रोचे ने फोर्टर, अवियाट्रिक्स और ओक्टा जैसी कंपनियों में नेतृत्व पदों पर कार्य किया, जहां उन्होंने व्यवसाय मूल्य परामर्श, मूल्य निर्धारण रणनीति, ग्राहक मूल्य इंजीनियरिंग और कार्यकारी स्तर के आरओआई विश्लेषण में विशेषज्ञता प्राप्त की। उनकी पृष्ठभूमि में साइबर सुरक्षा, उद्यम सॉफ्टवेयर रणनीति और वित्तीय अनुसंधान का संयोजन शामिल है, जिससे उन्हें उद्यम ग्राहकों के लिए तकनीकी क्षमताओं को मापने योग्य व्यवसायिक प्रभाव में अनुवादित करने का व्यापक अनुभव प्राप्त होता है।

ऑब्सीडियन सिक्योरिटी एक साइबर सुरक्षा कंपनी है जो आधुनिक क्लाउड वातावरण में सास अनुप्रयोगों, एआई एजेंटों, पहचानों और उद्यम एकीकरणों की सुरक्षा पर केंद्रित है। कंपनी एक एकीकृत मंच प्रदान करती है जो संगठनों को खतरों का पता लगाने, सास सुरक्षा मुद्रा का प्रबंधन करने, डेटा एक्सेस को नियंत्रित करने और व्यावसायिक रूप से महत्वपूर्ण अनुप्रयोगों जैसे माइक्रोसॉफ्ट 365, सेल्सफोर्स, स्लैक और अन्य क्लाउड सेवाओं में जोखिम भरे कार्यों की निगरानी करने में मदद करने के लिए डिज़ाइन की गई है। हाल के वर्षों में, ऑब्सीडियन ने एआई एजेंट सुरक्षा में विस्तार किया है, जो उद्यमों को सास प्लेटफार्मों, डेटा और कार्य प्रवाहों के साथ स्वायत्त एआई प्रणालियों के परस्पर संवाद पर वास्तविक समय में दृष्टि प्राप्त करने में मदद करता है। क्राउडस्ट्राइक, ओक्टा, साइलेंस और कार्बन ब्लैक जैसी कंपनियों में सुरक्षा नेताओं द्वारा स्थापित, ऑब्सीडियन खुद को एक अंत-से-अंत सास और एआई सुरक्षा मंच के रूप में स्थापित करता है जो क्लाउड और एजेंटिक एआई वातावरणों की बढ़ती जटिलता को संबोधित करने के लिए बनाया गया है।

आपने अपना करियर व्यवसाय मूल्य, जोखिम रणनीति और सास सुरक्षा के बीच के संगम पर बनाया है, अब ऑब्सीडियन सिक्योरिटी में मूल्य इंजीनियरिंग और उत्पाद विपणन का नेतृत्व कर रहे हैं। एआई-संचालित सास पारिस्थितिकी तंत्र की सुरक्षा पर ध्यान केंद्रित करने के लिए आपको क्या आकर्षित किया, और ऑब्सीडियन का दृष्टिकोण उभरती एजेंटिक प्रौद्योगिकियों जैसे ओपनक्लॉज़ के संबंध में कैसे भिन्न है?

मेरे पूरे करियर में, सबसे बड़ा अंतराल हमेशा यह रहा है कि सुरक्षा क्या नहीं देख सकती है, क्योंकि यही वह जगह है जहां वास्तव में उल्लंघन होते हैं। हमने इसे उन घटनाओं में देखा है जहां अव्यवस्थित या अप्रबंधित प्रणालियों ने ऐसा प्रदर्शन किया जो पारंपरिक नियंत्रणों द्वारा नहीं पकड़ा जा सका। और मैंने इसी गतिविधि को आधुनिक पुलों के साथ देखा है जो लोग प्रमुख प्लेटफ़ॉर्म में जुड़ने के लिए उपयोग करते हैं, या ऐसे कनेक्शन जो सामान्य सुरक्षा दृश्यता से बाहर थे, और कुछ मामलों में यहां तक कि जब आईटी टीम ने सोचा था कि वे अक्षम कर दिए गए थे। उन अनुभवों ने मुझे यह स्पष्ट कर दिया कि जोखिम का कितना हिस्सा प्रणालियों के बीच के जोड़ में रहता है, न कि केवल उन प्रणालियों के भीतर जिन्हें हम सुरक्षित मानते हैं।

यह वास्तविकता छाया आईटी से छाया एआई में स्थानांतरित हो रही है, जहां नए उपकरण और एजेंट-चालित कार्य प्रवाह तेजी से प्रकट हो सकते हैं और फैल सकते हैं जितनी तेजी से शासन रणनीतियां उन्हें पकड़ सकती हैं। कई सुरक्षा दृष्टिकोण प्रतिक्रिया देने का प्रयास करते हैं और सब कुछ एक ही नियंत्रण विमान में केंद्रित करने का प्रयास करते हैं। लेकिन यह मॉडल वितरित वातावरण में टूट जाता है, खासकर जब महत्वपूर्ण डेटा और गतिविधि तीसरे पक्ष के अनुप्रयोगों के भीतर होती है जिन्हें आप स्वामित्व नहीं रखते हैं और पूरी तरह से नियंत्रित नहीं कर सकते हैं।

यही कारण है कि मुझे एआई-संचालित सास पारिस्थितिकी तंत्र की सुरक्षा में आकर्षित किया गया, और यही कारण है कि ऑब्सीडियन का दृष्टिकोण इतना आकर्षक है। सास उल्लंघनों की संख्या में 300% की वृद्धि हुई है, फिर भी अधिकांश संगठनों को अभी भी यह देखने के लिए उचित दृश्यता नहीं मिली है कि ये अनुप्रयोग कैसे उपयोग किए जा रहे हैं। यही हमारे द्वारा ध्यान केंद्रित किया जाने वाला अंतराल है, ताकि आप समझ सकें कि वास्तव में उद्यम में क्या हो रहा है और जहां जोखिम मौजूद है। जब एजेंटिक प्रौद्योगिकियां जैसे ओपनक्लॉज़ परिपक्व होती हैं, तो यह दृष्टिकोण और भी महत्वपूर्ण हो जाता है, क्योंकि जोखिम केवल यह नहीं है कि क्या एक एजेंट को कertain डेटा तक पहुंच प्राप्त है, लेकिन यह भी कि यह क्या एक्सेस कर सकता है और यह कितनी तेजी से कार्य कर सकता है।

एनवीडिया जीटीसी के बाद एजेंटिक एआई प्रणालियों जैसे ओपनक्लॉज़ पर महत्वपूर्ण ध्यान आकर्षित किया जा रहा है। आपके दृष्टिकोण से, ये प्रणालियां पिछले एआई उपकरणों से सुरक्षा जोखिम के मामले में क्या मौलिक रूप से भिन्न हैं?

गैर-मानव पहचान क्या हैं और उन्हें कैसे सुरक्षित किया जाए, यह सुरक्षा टीमों के लिए महत्वपूर्ण हो गया है, क्योंकि 68% आईटी सुरक्षा घटनाएं अब मशीन पहचानों को शामिल करती हैं और आधे उद्यमों ने एक सुरक्षा उल्लंघन का अनुभव किया है जो अप्रबंधित गैर-मानव पहचानों के कारण हुआ है। सुरक्षा उद्योग ने मुख्य रूप से सास सुरक्षा मुद्रा प्रबंधन और मानव पहचान शासन पर ध्यान केंद्रित किया है, जबकि गैर-मानव पहचान पृष्ठभूमि में प्रसारित हो रही हैं। अब, जब संगठन प्रशासनिक विशेषाधिकारों के साथ एआई एजेंटों को बड़े पैमाने पर तैनात करते हैं, तो शासन घाटा महत्वपूर्ण हो जाता है।

एजेंटिक प्रणालियों जैसे ओपनक्लॉज़ दोनों वास्तविक एजेंटिक एआई का वादा और जोखिम दिखाते हैं। यह पहली बार है जब हम एआई को वास्तविक स्वायत्तता के साथ जंगल में छोड़ रहे हैं, जो एक संकीर्ण, पर्यवेक्षित कार्य प्रवाह से परे काम कर रहा है।

जोखिम तेजी से बदलता है जब ये क्षमताएं अधिक व्यापक रूप से सुलभ हो जाती हैं, जो गैर-विशेषज्ञों के लिए इन महत्वपूर्ण प्रणालियों को बातचीत करने और संभावित रूप से शोषण करने के लिए बाधा को कम करता है। लोग पहले से ही अपने सास वातावरण में एआई एजेंटों को जोड़ रहे हैं और कई तरीकों से खतरे के परिदृश्य का विस्तार कर रहे हैं, जिनमें एपीआई कुंजियां, मूल एकीकरण और तीसरे पक्ष के अनुप्रयोग शामिल हैं। हालांकि, हर नए एजेंट-सक्षम कार्य प्रवाह में पहुंच के मार्गों की संख्या बढ़ जाती है।

हाल के वर्सेल उल्लंघन इस बढ़ते खतरे को दर्शाता है जिसका सामना सुरक्षा टीमें करती हैं। जब आप एक तीसरे पक्ष के ऐप को अधिकृत करते हैं, तो आप वास्तव में उस ऐप के बुनियादी ढांचे के साथ-साथ उनके क्लाउड प्रदाता, उनके विकासकर्ताओं, उनकी स्वयं की जुड़ी सेवाओं पर भी विश्वास कर रहे हैं। अधिकांश संगठनों को यह नहीं पता है कि उन्होंने वास्तव में क्या सहमति दी है, और यह मुद्दा एजेंटिक एआई के प्रचुर उपयोग से और बढ़ जाता है।

बहुत से एआई एजेंटों के पास वास्तविक हार्नेस नहीं है जो उन्हें नियंत्रित रख सके। जब आपके पास फिंगरप्रिंट तक पहुंच नहीं है या कमजोर गार्डरेल हैं, तो यह जानना मुश्किल है कि एजेंट ने क्या किया, क्या छुआ और क्या बदला जब तक कि घटना के बाद नहीं। यह संयोजन ही जोखिम प्रोफ़ाइल को मौलिक रूप से अलग बनाता है जो पिछले एआई उपकरणों से अलग है।

क्या आप एक वास्तविक दुनिया के दृश्य के माध्यम से हमें यह समझाने में मदद कर सकते हैं कि यह जोखिम एक उद्यम के लिए कैसे साकार हो सकता है?

जोखिम जैसे ओपनक्लॉज़ के साथ वास्तविक होते हैं जब ये एजेंट वास्तविक उत्पादन वातावरण में स्थापित होते हैं, जो कि पहले से ही हो रहा है।

अधिकांश संगठन यह सुनिश्चित करने पर केंद्रित हैं कि सही व्यक्ति एजेंट तक पहुंच सके और एजेंट अपेक्षित रूप से व्यवहार करे। हालांकि, कुछ संगठन यह नहीं सोचते हैं कि जब एक एजेंट दूसरे एजेंट के साथ बातचीत करना शुरू करता है।

यही वह जगह है जहां हमले की सतह तेजी से बढ़ जाती है। एक बार जब एक प्रणाली के आउटपुट दूसरी प्रणाली में कार्यों के लिए ट्रिगर बन जाते हैं। नेता परस्पर क्रियाओं और लेखा परीक्षा ट्रेल्स पर नियंत्रण खो देते हैं। ये एजेंट सास एपीआई के माध्यम से भी जुड़ रहे हैं, जिनमें से अधिकांश अभी भी उचित गेटवे या सुरक्षा संरक्षण की कमी है।

औसत उद्यम पहले से ही सैकड़ों एजेंटों को चला रहा है, जो पिछले वर्ष में लगभग 100x बढ़ गया है। जब टीमें वास्तव में देखती हैं, तो 38% मध्यम, उच्च या महत्वपूर्ण जोखिम कारक ले जाते हैं, जिनमें से अधिकांश के पास कोई दस्तावेज़ मालिक नहीं है, कई ऐसे खातों द्वारा बनाए गए हैं जो अब मौजूद नहीं हैं, उत्पादन प्रणालियों में लाइव कनेक्टर के साथ और शून्य निष्पादन इतिहास के साथ।

इस अंतर को बंद करने के लिए अनुप्रयोगों के भीतर गहरी दृश्यता की आवश्यकता है ताकि यह समझा जा सके कि वे प्रत्येक प्रणाली में, प्रत्येक डेटासेट के लिए, प्रत्येक संभावित इनवोकर के लिए क्या वास्तव में कर सकते हैं। उस उचित संदर्भ के बिना, आप केवल आधे चित्र के साथ काम कर रहे हैं। नेताओं को रणनीतियों को बदलने की भी आवश्यकता है ताकि वे निर्माण के समय से लेकर निष्पादन के समय तक पहुंच सकें, ताकि कार्रवाई को उस समय रोका जा सके जब यह निष्पादित हो रही हो, न कि जब नुकसान पहले से ही हो चुका हो।

कई संगठन मानते हैं कि उनके पास पहले से ही सास सुरक्षा के लिए पर्याप्त उपाय हैं। एजेंटिक एआई के परिदृश्य में यह धारणा कहां टूट जाती है?

कई संगठन मानते हैं कि उन्होंने पहले ही सास सुरक्षा को “हल” कर लिया है, लेकिन यह धारणा तेजी से एजेंटिक एआई को अपनाने के साथ चुनौती का सामना कर रही है। सास सुरक्षा अक्सर एक बॉक्स के रूप में माना जाता है जिसे चेक किया जाना है: बजट को मंजूरी दी जाती है, एक उपकरण तैनात किया जाता है, और समस्या को हल माना जाता है। वास्तव में, हालांकि, सास एपीआई जो इन वातावरणों का समर्थन करते हैं उन्हें पूरी तरह से नियंत्रित करने के लिए लाया गया है, मुख्य रूप से इसलिए कि वास्तव में उद्यम दृश्यता नहीं है कि एपीआई पर क्या हो रहा है और सास संपत्ति एक दूसरे से क्या बात कर रही हैं।

यह एक संरचनात्मक अंधे धब्बे का निर्माण करता है, जहां उद्यम पहचानों और एंडपॉइंट्स को सुरक्षित कर सकते हैं, लेकिन उन्हें सास डेटा तक पहुंच की स्पष्ट दृष्टि की कमी है, और एपीआई चलने पर क्या होता है। परिणामस्वरूप, कई संगठन अभी भी खुले इंटरनेट पर महत्वपूर्ण प्रणालियों में सीधे जा रहे हैं, बिना यह जाने कि एपीआई-चालित परस्पर क्रिया का पैमाना और व्यवहार क्या है।

एजेंटिक एआई इस अंतर को उजागर कर रहा है, जो टीमों को बंद करने से पहले ही चुनौतियों को तेजी से प्रस्तुत कर रहा है, और इस प्रकार एपीआई वार्ता के लिए एक उत्प्रेरक बन रहा है।

स्वायत्त एआई एजेंटों के साथ काम करते समय जो कई प्रणालियों में डेटा एक्सेस, मूव और एक्ट कर सकते हैं, उद्यमों को शासन कैसे पुनः सोचें?

कोई भी नेता नहीं चाहता कि एआई अपनाने की प्रक्रिया को धीमा कर दें, खासकर जब दबाव बढ़ रहा है तो तेजी से आगे बढ़ना या मापने योग्य आउटपुट दिखाना है, यहां तक कि टोकन खपत का भी उपयोग मूल्यांकन में किया जा रहा है। कई मामलों में, एआई मांग सीईओ से सीधे आ रही है, जो बोर्ड या यहां तक कि सार्वजनिक हितधारकों को प्रगति की रिपोर्ट कर रहे हैं, जो दबाव को और बढ़ा देता है। उस वातावरण में, जहां “एआई की कीमत पर” डिफ़ॉल्ट मुद्रा बन जाती है, मिसकॉन्फ़िगरेशन और अधिक अनुमति वाले पहुंच को वास्तविक रूप से पारंपरिक शासन चक्रों के माध्यम से तेजी से ठीक नहीं किया जा सकता है।

मुद्दा यह है कि एजेंटिक प्रणालियां दुरुस्त करने का इंतजार नहीं करती हैं। वे सास अनुप्रयोगों के भीतर डेटा और गतिविधि का पता लगा सकते हैं, श्रृंखला की क्रियाएं और कार्य प्रवाह को कई सास अनुप्रयोगों में निष्पादित कर सकते हैं, अक्सर मानव द्वारा हस्तक्षेप करने से पहले ही दस या अधिक कदम पूरे कर लेते हैं।

यही कारण है कि शासन अब केवल विकास चक्र में पहले मुद्दों को पकड़ने के बारे में नहीं है, बल्कि एजेंट वास्तव में कार्य कर रहा है जब नियंत्रण के बारे में है। सुरक्षा नेताओं को एजेंटों पर नियंत्रण नहीं हो सकता है यदि नियंत्रण केवल दुरुपयोग के बाद होता है।

एक ऐसे विश्व में जहां एजेंट सास प्रणालियों में स्वायत्त निर्णय ले रहे हैं, एजेंटिक-एआई संचालित खतरों के खिलाफ सुरक्षा करने का एकमात्र व्यवहार्य दृष्टिकोण रनटाइम शासन के माध्यम से है। इस दृष्टिकोण के लिए निष्पादन के बाद के पता लगाने से परे जाने की आवश्यकता है, ताकि विशेषाधिकार वृद्धि, अत्यधिक डेटा एक्सेस और नीति उल्लंघनों को रोका जा सके इससे पहले कि वे संगठन को प्रभावित करें। इन नियंत्रणों को ओवासपी मानकों और उद्योग के सर्वोत्तम अभ्यासों के साथ संरेखित किया जाना चाहिए, यह सुनिश्चित करने के लिए कि एजेंट स्पष्ट और प्रवर्तनीय सीमाओं के भीतर काम करते हैं – ताकि टीमें एजेंटिक एआई को अपनाने की गति के साथ तालमेल रख सकें बिना नवाचार को समझौता किए।

एक तकनीकी दृष्टिकोण से, सास वातावरण में एजेंटिक एआई द्वारा पेश की जाने वाली सबसे अधिक उपेक्षित कमजोरियां क्या हैं?

जब संगठन एक नए सास टूल को अपनाते हैं, तो वे अक्सर पाते हैं कि एआई कार्यक्षमता चुपचाप जोड़ी जा रही है या डिफ़ॉल्ट रूप से सक्षम की जा रही है। समस्या यह है कि ये क्षमताएं अक्सर उसी स्तर के कॉन्फ़िगरेशन नियंत्रण या ऑडिटेबिलिटी के साथ नहीं आती हैं जिस पर सुरक्षा टीमें पारंपरिक सास सुविधाओं पर भरोसा करती हैं। परिणामस्वरूप, जब कोई कार्रवाई की जाती है, तो यह बताना मुश्किल हो जाता है कि यह मानव उपयोगकर्ता द्वारा शुरू किया गया था या स्वायत्त एजेंट द्वारा। कई मामलों में, उद्यमों के पास एआई कार्यक्षमता को बंद करने का विकल्प भी नहीं होता है, क्योंकि ये क्षमताएं सास अनुप्रयोग में निहित होती हैं।

यह अस्पष्टता एक बड़ा अंधा धब्बा पैदा करती है सुरक्षा और शासन के लिए। यदि एक एम्बेडेड एआई सुविधा उपयोगकर्ता की ओर से निर्णय ले रही है, तो संगठनों के पास अक्सर कोई स्पष्ट तरीका नहीं होता है कि इरादा का पता लगाने के लिए, निर्णय लॉजिक को समझने के लिए, या यहां तक कि यह भी निर्धारित करने के लिए कि किसी विशिष्ट क्रिया को क्या प्रेरित किया।

जोखिम तब और भी बढ़ जाता है जब आप सास के भीतर एआई आपूर्ति श्रृंखला पर विचार करते हैं। ये एम्बेडेड एआई क्षमताएं अक्सर अपस्ट्रीम मॉडल, सेवाओं और तीसरे पक्ष के एकीकरण पर निर्भर करती हैं। यदि आपूर्ति श्रृंखला का कोई भी हिस्सा समझौता किया जाता है, खराब हो जाता है या हेरफेर किया जाता है, तो सास अनुप्रयोग में एआई हमले के मार्ग में सक्रिय भागीदार बन सकता है।

सास के भीतर एआई परत ने अपने आप में एक नई जोखिम वर्ग पेश किया है जिसे अपने अधिकार में निगरानी और शासन की आवश्यकता है। इन एम्बेडेड एआई प्रणालियों के व्यवहार और उन पर निर्भर डेटा की दृश्यता के बिना, संगठन अपनी बढ़ती सास हमले की सतह से अंधे हैं।

आप व्यापक रूप से व्यवसाय मूल्य और जोखिम को मापने में काम कर चुके हैं। असुरक्षित एआई एजेंटों से जुड़े वित्तीय और प्रतिष्ठा जोखिम को कैसे मापा जाना चाहिए?

यदि एक एआई एजेंट का दुरुपयोग किया जाता है या एक उल्लंघन का कारण बनता है, तो तात्कालिक प्रभाव घटना से परे है; यह संगठन की प्रतिक्रिया है जो उसके बाद होती है। यह घटना एआई को अपनाने और स्केल करने की दर को धीमा कर देती है क्योंकि नेता अधिक सावधानी बरतने लगते हैं। एक बार जब विश्वास टूट जाता है, तो यह बहुत मुश्किल हो जाता है कि जो नवाचार इंजन ने पहले स्थान पर मूल्य को चलाया था उसे पुनः आरंभ किया जाए।

यह गतिविधि बाहरी हितधारकों तक भी फैलती है। बोर्ड, ग्राहक और शेयरधारक सभी जिम्मेदार तैनाती की अपेक्षा करते हैं, और किसी भी विफलता जो स्वायत्त एजेंटों से जुड़ी हुई है वह तेजी से एक विधायी और प्रतिष्ठा मुद्दा बन जाती है। जब सुरक्षा डिज़ाइन द्वारा निर्मित नहीं होती है, तो संगठनों को प्रतिक्रियात्मक बातचीत में शामिल होने के लिए मजबूर किया जाता है नियंत्रण और सुरक्षा के बारे में, जो व्यावसायिक निर्णय लेने को धीमा कर देता है।

एक और अधिक संरचनात्मक वित्तीय जोखिम है जो अक्सर अनदेखा किया जाता है। जब एआई एजेंटों के परिधीय विस्फोट की धारणा बढ़ती है, तो कंपनियां अधिक रूढ़िवादी हो जाती हैं कि वे पूंजी कैसे आवंटित करते हैं। कुछ मामलों में, इसका मतलब है कि निवेश को रोकना या संभावित घटनाओं की रक्षा के लिए विलंब करना।

इस अर्थ में, एआई एजेंटों को सुरक्षित करना केवल जोखिम मिटाने का अभ्यास नहीं है, बल्कि एक राजस्व और विकास वार्ता है। जो संगठन एआई को विश्वास के साथ तैनात कर सकते हैं, जानते हुए कि एजेंटों को नियंत्रित और नियंत्रित किया जा रहा है, वे तेजी से आगे बढ़ सकते हैं, जबकि जिन्हें उस विश्वास की कमी है, वे स्वाभाविक रूप से खुद को धीमा कर देंगे। 2026 में, गति के साथ विश्वास को जोड़ने की यह क्षमता एक सुपरपावर बन रही है।

एआई को तेजी से अपनाने और जिम्मेदार तैनाती के बीच स्पष्ट रूप से एक तनाव है। कंपनियों के लिए जो नवाचार करना चाहती हैं लेकिन अपने जोखिम प्रोफाइल को बढ़ाना नहीं चाहती हैं, एक संतुलित रणनीति क्या दिखती है?

वर्तमान में, एआई अपनाने और जिम्मेदार तैनाती के बीच सबसे बड़ा अंतर संचार है। कई उद्यम सास वातावरण में सक्रिय रूप से एआई का उपयोग कर रहे हैं, लेकिन वे निरंतर रूप से बाहरी रूप से यह नहीं बता रहे हैं कि यह कैसे उपयोग किया जा रहा है और कौन से सुरक्षा उपाय लागू किए गए हैं। यह कमी वास्तव में जोखिम को बढ़ा सकती है, क्योंकि यह ग्राहकों और भागीदारों को सबसे खराब स्थिति का अनुमान लगाने के लिए छोड़ देता है, बजाय इसके कि वे वास्तव में लागू नियंत्रणों को समझें।

एक अधिक संतुलित दृष्टिकोण जिम्मेदार एआई उपयोग को मूल्य प्रस्ताव के हिस्से के रूप में मानता है, न कि केवल एक आंतरिक अनुपालन अभ्यास के रूप में। उद्यमों के लिए अपने वातावरण में एआई के शासन के बारे में अधिक स्पष्ट होने का अवसर है, जिसमें यह भी शामिल है कि एआई क्या कर सकता है और क्या नहीं, और संवेदनशील प्रणालियों के साथ परस्पर क्रिया करने पर कौन से सुरक्षा उपाय मौजूद हैं। इस तरह की स्पष्टता विश्वास बनाने में मदद करती है जो एआई को सुरक्षित रूप से स्केल करने में मदद करती है।

कंपनियां जो अपने सास वातावरण में एआई के उपयोग और नियंत्रण को स्पष्ट रूप से बता सकती हैं, और यह प्रदर्शित कर सकती हैं कि यह एक संरचित, दृश्य तरीके से किया जा रहा है, वे नवाचार को तेजी से आगे बढ़ा सकते हैं बिना जोखिम की धारणा को बढ़ाए।

जैसे ही अधिक उद्यम एजेंटिक एआई के साथ प्रयोग करते हैं, सुरक्षा टीमों को आज क्या तात्कालिक कदम उठाने चाहिए ताकि वे अगले उल्लंघन की सुर्खियों में न आ जाएं?

एजेंटिक एआई न केवल एक नई जोखिम वर्ग पेश करता है, बल्कि उन जोखिमों को भी तेजी से बढ़ाता है जिन्हें संगठन अभी तक नहीं देख पा रहे हैं। वास्तव में, छाया एआई औसत उल्लंघन लागत में $670K जोड़ता है। हालांकि, मूल मुद्दा दृश्यता है। जब संगठनों को यह नहीं पता होता है कि एआई का उपयोग कहां किया जा रहा है या यह कैसे प्रणालियों के साथ परस्पर क्रिया कर रहा है, तो घटनाओं का पता लगाने और उन्हें नियंत्रित करने में अधिक समय लगता है, जो वित्तीय और नियामक प्रभाव दोनों को बढ़ाता है।

पहला तात्कालिक कदम व्यवसाय भर में दृश्यता स्थापित करना है। सुरक्षा टीमों को सास अनुप्रयोगों में स्वीकृत और अस्वीकृत एआई उपयोग की स्पष्ट तस्वीर की आवश्यकता है, न केवल अनुप्रयोग स्तर पर बल्कि कार्य प्रवाह में जहां एआई सक्रिय रूप से निर्णय ले रहा है या प्रभावित कर रहा है।

एक बार जब दृश्यता मौजूद होती है, तो ध्यान नीति में अनुवादित करने और इसे उन प्रणालियों में एम्बेड करने में स्थानांतरित हो जाता है जहां काम वास्तव में होता है। इसका अर्थ है व्यवसाय के साथ संरेखित करना कि एआई का उपयोग कैसे किया जाना चाहिए, और फिर दस्तावेज़ीकरण से तकनीकी नियंत्रणों में जाना जो एंडपॉइंट्स, सास प्लेटफ़ॉर्म और एजेंटिक प्रणालियों में संचालित होते हैं। जितनी जल्दी ये नियंत्रण निष्पादन पथ में पेश किए जाते हैं, उतनी ही कम संभावना है कि छाया एआई और स्वायत्त एजेंटों से उच्च-लागत वाली घटनाएं उत्पन्न हों।

एजेंटिक एआई प्रणालियों के गहराई से एकीकरण के रूप में उद्यम बुनियादी ढांचे में आगे बढ़ने के साथ, सुरक्षा परिदृश्य कैसे विकसित होगा?

संगठनों को एआई-संचालित खतरों का मुकाबला करने के लिए एआई-मूल सुरक्षा की आवश्यकता होगी। ये प्रणालियां मशीन गति पर संचालित होनी चाहिए, मूल रूप से सुरक्षा संचालन को फिर से परिभाषित करती हैं। मानव अभी भी लूप में रहेंगे, लेकिन रणनीतिक पर्यवेक्षण की ओर स्थानांतरित हो जाएंगे, संदर्भ और निर्णय लागू करते हुए जो एआई अभी भी कमी है।

यह परिवर्तन सुरक्षा टीमों की संरचना को भी बदल देता है। टीमें छोटी नहीं हो सकती हैं, लेकिन उनका दायरा काफी बढ़ जाएगा, स्वचालन और एआई-संचालित टूलिंग के माध्यम से एक ही सुरक्षा पेशेवर के लिए एक बहुत बड़ी सतह क्षेत्र के लिए जिम्मेदार।

इसके अलावा, एजेंटिक वातावरण में, निगरानी और पता लगाना पर्याप्त नहीं है। संगठनों को वास्तविक प्रवर्तन तंत्र को लागू करने की आवश्यकता होगी। इसका अर्थ है स्विच की क्षमता वाले प्रणालियों का निर्माण: क्षमताओं को चालू या बंद करने, वास्तविक समय में व्यवहार को प्रतिबंधित करने और उन प्रणालियों को अलग करने की क्षमता जो व्यापक उद्यम को खतरे में डाल सकती है। एआई में आपूर्ति श्रृंखला जोखिम इतना बड़ा है कि वास्तव में आर्किटेक्चर में एम्बेडेड नियंत्रण की आवश्यकता है।

आगे बढ़ते हुए, एआई संभावित रूप से मानव गति और क्षमता से परे तेजी से बढ़ सकता है। लेकिन बातचीत को जोखिम पर ही केंद्रित नहीं करना चाहिए; यह अवसर पर भी शामिल होना चाहिए। जैसे बच्चों को पालना, एआई गलतियां करेगा और बढ़ेगा, लेकिन इसके पास हमें पार करने की भी क्षमता है। विजेता वे होंगे जो बड़े पैमाने पर एआई को अपनाते हुए सुरक्षित रूप से और विश्वास के साथ तैनात करने के लिए आवश्यक नियंत्रण प्रणालियों का निर्माण करते हैं। धन्यवाद इस महान साक्षात्कार के लिए, पाठक जो अधिक जानना चाहते हैं उन्हें ऑब्सीडियन सिक्योरिटी पर जाना चाहिए।