рд╡рд┐рдЪрд╛рд░ рдиреЗрддрд╛

рд╢реИрдбреЛ рдПрдЖрдИ рдПрдХ рдбрд┐рдЬрд╝рд╛рдЗрди рд╡рд┐рдлрд▓рддрд╛ рд╣реИ, рди рдХрд┐ рд▓реЛрдЧреЛрдВ рдХреА рд╕рдорд╕реНрдпрд╛

рдкреНрд░рдХрд╛рд╢рд┐рдд

मैं चाहता हूं कि आप इस लेख से एक पंक्ति याद रखें। यदि आप बाकी सब कुछ भूल जाते हैं, तो यह याद रखें: शैडो एआई सुरक्षित मार्ग को धीमा मार्ग बनाने का सीधा परिणाम है।

यह एक गर्म ले नहीं है। यह एक पैटर्न है जिसे मैंने पच्चीस साल तक हर सुरक्षा डोमेन में देखा है – शैडो आईटी से लेकर बायोडी तक, और अब क्लाउड स्प्रावल के साथ भी। और अब यह एआई के साथ हो रहा है, लेकिन तेजी से और अधिक जोखिम के साथ।

जो अंतराल आपको रात में जागने के लिए रखना चाहिए

माइक्रोसॉफ्ट और लिंक्डइन के 2024 वर्क ट्रेंड इंडेक्स ने कुछ ऐसा संख्या में परिवर्तित किया है जो अधिकांश सुरक्षा नेताओं को पहले से ही उनके पेट में महसूस हो रहा था: 75% ज्ञान कार्यकर्ता कार्य में एआई टूल का उपयोग करते हैं, और 78% उनमें से अपने स्वयं के ला रहे हैं। यह प्रयोग नहीं है। यह एक कार्यबल है जिसने决定 किया है कि यह आईटी के लिए पकड़ने के लिए नहीं जा रहा है।

और यहाँ वह हिस्सा है जो चुभता है: शासन नहीं रख रहा है। एक 2025 चेकमार्क्स सर्वेक्षण में पाया गया कि केवल 18% संगठनों में एआई-सहायता प्राप्त कोड जेनरेशन को कवर करने वाली शासन नीतियां हैं -尽管 अधिकांश इंजीनियरिंग टीमें पहले से ही इन टूल्स का दैनिक उपयोग कर रही हैं। यदि अंतराल इतना व्यापक है तो कोड के लिए, कल्पना करें कि यह आपकी टीमों द्वारा चलाए जा रहे हर अन्य एआई-संचालित कार्य प्रवाह के लिए कैसा दिखता है। गोद लेने के लिए शासन की प्रतीक्षा नहीं है। यह इसे लपेट रहा है।

आपके लोग लापरवाह नहीं हो रहे हैं। वे तर्कसंगत हो रहे हैं। उन्होंने एक उपकरण पाया है जो उन्हें तेज बनाता है, और सुरक्षित रूप से इसका उपयोग करने के लिए आधिकारिक मार्ग में पाइथन स्थापित करना, जीसीपी परियोजनाएं बनाना, सेवा खाते बनाना, अपने लैपटॉप पर जेसन साखों को डाउनलोड करना, और स्थानीय एमसीपी सर्वर को कॉन्फ़िगर करना शामिल है। वास्तविक कहानी। वास्तविक परिणाम: व्यक्ति ने तीन चरणों में ही छोड़ दिया।

मैं जिस विफलता मोड को देखता रहता हूं

मुझे इस पैटर्न को ठोस बनाने दें। मैंने दर्जनों संगठनों में इसके विभिन्न रूपों को देखा है।

एक विपणन निदेशक एक ब्लॉग पोस्ट पढ़ता है: गूगल एनालिटिक्स एमसीपी सर्वर से जुड़े एआई सहायक, किसी भी एसईओ रिपोर्ट को कुछ सेकंड में चलाएं। यह अच्छा लगता है। वह ऐसा करना चाहता है।

तो वह अनियंत्रित मार्ग पर जाना शुरू करता है। निर्भरताएं स्थापित करें। एक क्लाउड परियोजना बनाएं। एक सेवा खाता बनाएं। अपने लैपटॉप पर एक प्रमाणीकरण फ़ाइल डाउनलोड करें। स्थानीय एकीकरण को कॉन्फ़िगर करें।

वह तीन चरणों में ही छोड़ देता है। बहुत अधिक घर्षण। गलत उपकरण गलत व्यक्ति के लिए।

अब मैंने जो कहा है उसे सुनें। समस्या विपणन निदेशक नहीं है। वह बुद्धिमान है। वह प्रेरित है। वह ठीक वह व्यक्ति है जिसे आप एआई टूल्स अपनाते हुए देखना चाहते हैं। समस्या यह है कि सुरक्षित मार्ग असुरक्षित एक से धीमा था।

यह हर विरासत पहुंच कार्यक्रम की विफलता मोड है जिसे मैंने कभी देखा है। जब नियंत्रित मार्ग अनियंत्रित एक से कठिन होता है, तो लोग अनियंत्रित एक को ढूंढ लेंगे। हर बार। और आप इसके बारे में उल्लंघन पर पता चलेगा, न कि पहले।

पाँच कब्र

मैंने देखा है कि संगठन इस समस्या को पाँच अलग-अलग तरीकों से हल करने की कोशिश करते हैं इससे पहले कि वे वास्तव में क्या काम करता है पर उतरें। प्रत्येक दृष्टिकोण उसी मूल कारण से विफल रहा: यह घर्षण जोड़ता है लेकिन गति नहीं जोड़ता है।

पहला प्रयास हर टीम को अपना एआई टूल चुनने देना है। परिणाम चौदह ओवरलैपिंग सदस्यताएं हैं और शून्य ऑडिट ट्रेल। आपने अपनाया लोकतांत्रिकरण और केंद्रीकृत कुछ भी नहीं।

दूसरा प्रयास सब कुछ एसएसओ के पीछे रखना है। एसएसओ लॉगिन का समाधान करता है। एसएसओ क्रिया का समाधान नहीं करता है। एक बार एजेंट प्रमाणित हो जाने के बाद, आपकी एसएसओ परत अगली बात के लिए अंधी है।

तीसरा प्रयास एजेंटों के बीच एक सेवा खाता साझा करना है। एक घटना बाद में, आपके पास शून्य विशेषता है। आप नहीं बता सकते कि कौन सा एजेंट क्या करता है जब कुछ गलत हो जाता है।

चौथा प्रयास एक एआई नीति लिखना और इसे विकि पर रखना है। मैंने देखा है कि एक संगठन ने छह सप्ताह बिताए एक व्यापक एआई स्वीकार्य उपयोग नीति तैयार करने में, इसे सभी हाथों में परिचालित किया, और फिर तीन महीने बाद पता चला कि कर्मचारियों के कम से कम एक तिहाई ने दस्तावेज़ खोला था। कोई विकि पेज नहीं पढ़ता है। लोग डिफ़ॉल्ट पढ़ते हैं – और एक विकि पेज कभी भी आसान नहीं होता है।

पाँचवा प्रयास हर एआई परियोजना के लिए एक केंद्रीकृत समीक्षा बोर्ड खड़ा करना है। आप सोचते हैं कि आप जिम्मेदार हो रहे हैं। आप एक बोतलनेक बना रहे हैं। एक तिमाही के भीतर, टीमें आपके चारों ओर मार्गदर्शन कर रही हैं – और आपने ठीक वही शैडो एआई समस्या बनाई है जिसे आप रोकने की कोशिश कर रहे थे।

प्रत्येक कब्र का एक ही शिलालेख है: लैपटॉप्स में बिखरे हुए प्रमाण पत्र, कोई ऑडिट ट्रेल नहीं, और बहुत सारे पार हुए अंगूठे।

जो इनवर्सन वास्तव में काम करता है

सुधार अधिक घर्षण नहीं है। यह एक इनवर्सन है।

पारंपरिक सुरक्षा खराब व्यवहार को रोकने के लिए घर्षण बनाती है। उपयोगकर्ता इसके चारों ओर मार्गदर्शन करते हैं। शैडो एआई दिखाई देता है। आप उल्लंघन पर पता चलते हैं।

इसे इनवर्स करें। प्रावधानित मार्ग को अनियंत्रित मार्ग से तेज बनाएं।

व्यावहारिक रूप से इसका क्या अर्थ है? उसी विपणन निदेशक – पाइथन और सेवा खातों से जूझने के बजाय – गूगल एनालिटिक्स एक्सेस का अनुरोध अपने एआई सहायक के भीतर से करता है। अनुरोध एक नीति इंजन में हिट करता है। कम जोखिम, ज्ञात उपकरण, ज्ञात उपयोगकर्ता – स्वचालित रूप से अनुमोदित। प्रमाण पत्र वॉल्टेड, स्कोप्ड और अल्पकालिक है। यह कभी उसके लैपटॉप को छू नहींता है। प्रत्येक प्रश्न लॉग किया जाता है। वह एक मिनट से कम समय में रिपोर्ट चला रही है।

समान व्यक्ति। वह परिणाम जो वह चाहती थी। एक अंश का समय। पूर्ण ऑडिट ट्रेल। अलग प्रोत्साहन। अलग परिणाम।

यह वही है जो एआई एक्सेस प्रबंधन दिखता है जब यह सही तरीके से बनाया जाता है। सबसे तेज़ मार्ग सबसे सुरक्षित मार्ग बन जाता है। आईटी के चारों ओर जाने के लिए प्रोत्साहन गायब हो जाता है – न कि इसलिए कि आप अनुपालन को अधिक कठिनता से लागू करते हैं, बल्कि इसलिए कि आप अनुपालन को वैकल्पिक से अधिक आसान बनाते हैं। जब आपका नियंत्रित मार्ग वास्तव में अनियंत्रित एक से तेज होता है, तो शैडो एआई अपने आप समाधान करना शुरू कर देता है।

जो मायने रखता है उसका मापन

यहाँ वह मीट्रिक है जो कभी नहीं जाता है: क्या प्रबंधित मार्ग अनियंत्रित मार्ग से तेज है? अनियंत्रित मार्ग प्रबंधित से तेज होने के क्षण से, शैडो एआई लौट आता है और आप फिर से शुरू करते हैं।

यह एक समय में माप नहीं है। यह एक निरंतर संकेत है। प्रत्येक बार जब आप एक कदम, एक समीक्षा, एक अनुमोदन जोड़ते हैं – पूछें कि क्या आपने अभी अनियंत्रित मार्ग को अधिक आकर्षक बना दिया है।

स्व-सेवा एक उत्पादकता सुविधा नहीं है। यह एक सुरक्षा सुविधा है। वह पंक्ति अधिकांश सुरक्षा टीमों को एक्सेस प्रबंधन के बारे में सोचने के तरीके को बदल देती है, और यह सबसे महत्वपूर्ण पुनरावृत्ति है जो मैं प्रदान कर सकता हूं। घर्षण जोखिम पैदा करता है – हर एक समय।

यदि आप एक व्यवहार चाहते हैं, तो इसे डिफ़ॉल्ट बनाएं। यदि आप एक व्यवहार नहीं चाहते हैं, तो इसे वैकल्पिक से अधिक कठिन बनाएं। उस सिद्धांत के लिए बनाएं, और आपकी अधिकांश शैडो एआई समस्या स्वयं हल हो जाएगी।

рдХреЗрд╡рд┐рди рдкреЗрдЬ рдПрдХ рд╕реБрд░рдХреНрд╖рд╛ рдиреЗрддрд╛ рд╣реИрдВ рдЬрд┐рдирдХреЗ рдкрд╛рд╕ рдпреВ.рдПрд╕. рд╕реИрдиреНрдп, рд╕реЗрд▓реНрд╕рдлреЛрд░реНрд╕, рдореНрдпреВрд▓рд╕реЙрдлреНрдЯ, рдлреНрд▓реЗрдХреНрд╕рдкреЛрд░реНрдЯ рдФрд░ рдХрдВрдбрдХреНрдЯрд░рд╡рди рдореЗрдВ 30+ рд╡рд░реНрд╖реЛрдВ рдХрд╛ рдЕрдиреБрднрд╡ рд╣реИред рд╡рд╣ рдПрдЬреЗрдВрдЯрд┐рдХ рдПрдЖрдИ рдХреЗ рдпреБрдЧ рдореЗрдВ рдкрд╣рдЪрд╛рди рд╢рд╛рд╕рди рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рд▓рд┐рдЦрддреЗ рд╣реИрдВред