AI Sudah Ada di Dalam Bisnis Anda. Jika Anda Tidak Mengamankannya, Anda Tertinggal

Terlepas dari apakah Anda telah resmi menerapkan AI di seluruh organisasi Anda atau belum, AI sudah ada di sana. Karyawan menggunakan ChatGPT untuk menyusun dokumen, kemungkinan mengunggah data sensitif ke perangkat daring untuk mempercepat analisis, dan mengandalkan perangkat generatif untuk mempercepat semuanya, mulai dari kode untuk layanan pelanggan. AI terus berjalan, baik dengan atau tanpa Anda, dan hal itu seharusnya membuat para CISO terjaga di malam hari.

Perkembangan diam-diam perangkat AI yang belum terverifikasi di setiap departemen telah menciptakan lapisan TI bayangan baru yang berkembang pesat. Lapisan ini terdesentralisasi, sebagian besar tidak terlihat, dan penuh risiko. Dari pelanggaran kepatuhan hingga kebocoran data dan pengambilan keputusan yang tidak terlacak, konsekuensi dari mengabaikan gelombang penggunaan AI ini nyata adanya. Namun, masih banyak perusahaan yang berpikir mereka dapat mengatasinya dengan kebijakan atau firewall.

Faktanya, AI tidak bisa diblokir. Ia hanya bisa diamankan. Dan semakin cepat perusahaan menerima hal ini, semakin cepat pula mereka dapat mulai menutup celah berbahaya yang telah diciptakan oleh AI.

Shadow AI menyusup ke dalam organisasi, dan ini merupakan titik buta keamanan

Kita pernah melihat pola ini sebelumnya. Adopsi cloud dimulai di awal tahun 2010-an persis seperti ini, dengan tim-tim beralih ke alat yang membantu mereka bergerak lebih cepat, seringkali tanpa persetujuan tim keamanan. Banyak tim keamanan mencoba menolak perubahan, tetapi akhirnya terpaksa melakukan pembersihan reaktif begitu terjadi pelanggaran, kesalahan konfigurasi, atau kegagalan kepatuhan.

Saat ini, hal yang sama terjadi dengan AI. Menurut kami, Laporan Keamanan AI 2024, lebih dari separuh organisasi menggunakan AI untuk mengembangkan aplikasi khusus mereka sendiri, namun hanya sedikit yang memiliki visibilitas ke lokasi model tersebut, cara konfigurasinya, atau apakah model tersebut mengungkap data sensitif.

Hal ini menimbulkan dua risiko:

1. Karyawan menggunakan alat publik untuk mengakses data milik pribadi atau data sensitif, yang memaparkan informasi tersebut ke sistem eksternal tanpa pengawasan.
2. Tim internal menerapkan model AI tanpa kontrol keamanan memadai, yang mengakibatkan kerentanan yang dapat dieksploitasi dan praktik buruk yang dapat gagal dalam audit.

AI bayangan bukan hanya masalah keamanan, tetapi juga bisa menjadi krisis tata kelola. Jika Anda tidak dapat melihat di mana AI digunakan, Anda tidak dapat mengelola bagaimana AI dilatih, data apa yang dapat diaksesnya, atau keluaran apa yang dihasilkannya. Dan jika Anda tidak melacak keputusan AI, Anda kehilangan kemampuan untuk menjelaskan atau membelanya, sehingga Anda rentan terhadap risiko regulasi, reputasi, atau operasional.

Mengapa alat keamanan tradisional kurang efektif

Sebagian besar alat keamanan tidak dirancang untuk menangani AI. Alat-alat tersebut tidak mengenali artefak model, tidak dapat memindai jalur data spesifik AI, dan tidak tahu cara melacak interaksi LLM atau menerapkan tata kelola model. Bahkan alat yang ada pun cenderung lebih berfokus pada bagian-bagian kecil dari teka-teki, sehingga organisasi kesulitan menemukan solusi titik tanpa pandangan yang kohesif.

Itu masalahnya. Keamanan AI tidak bisa hanya menjadi pelengkap atau pelengkap. Keamanan AI harus terintegrasi dengan cara Anda mengelola lingkungan cloud, melindungi data, dan menyusun strategi bisnis Anda. DevSecOps Jika tidak, Anda meremehkan betapa pentingnya AI bagi operasional Anda dan kehilangan kesempatan untuk mengamankannya sebagai bagian inti dari infrastruktur bisnis Anda.

Mitos “blokir saja” harus diakhiri

Memang menggoda untuk berpikir bahwa Anda bisa menyelesaikan masalah ini dengan pelarangan menyeluruh melalui kebijakan "tanpa alat AI pihak ketiga" atau "tanpa eksperimen internal". Tapi itu hanya angan-angan. Sederhananya, karyawan saat ini menggunakan alat AI untuk mempercepat pekerjaan mereka. Dan mereka tidak melakukannya dengan niat jahat, mereka melakukannya karena memang berhasil.

AI merupakan pengganda kekuatan dan orang-orang akan memanfaatkannya selama itu membantu mereka memenuhi tenggat waktu, mengurangi kerja keras, atau memecahkan masalah dengan lebih cepat.

Mencoba memblokir perilaku itu secara langsung tidak akan menghentikannya. Itu hanya akan membuatnya semakin tersembunyi. Dan ketika terjadi kesalahan, Anda akan berada di posisi terburuk tanpa visibilitas, tanpa kebijakan, dan tanpa rencana respons.

Gunakan AI secara strategis, aman, dan terlihat

Pendekatan yang lebih cerdas adalah merangkul AI secara proaktif, tetapi sesuai keinginan Anda. Pendekatan ini dimulai dengan tiga hal:

1. Berikan karyawan opsi yang aman dan disetujui. Jika Anda ingin menghindari penggunaan alat yang berisiko, Anda perlu menawarkan alternatif yang aman. Baik itu LLM internal, alat pihak ketiga yang terverifikasi, atau asisten AI terintegrasi dalam sistem inti, kuncinya adalah memenuhi kebutuhan karyawan di mana pun mereka berada, dengan alat yang sama cepatnya tetapi jauh lebih aman.

2. Tetapkan kebijakan yang jelas dan tegakkan. Tata kelola AI harus spesifik, dapat ditindaklanjuti, dan mudah diikuti. Jenis data apa yang dapat dibagikan dengan perangkat AI? Apa saja batasannya? Siapa yang bertanggung jawab untuk meninjau dan menyetujui proyek AI internal? Publikasikan kebijakan Anda dan pastikan mekanisme penegakannya, baik teknis maupun prosedural, sudah tersedia.

3. Berinvestasilah dalam visibilitas dan pemantauan. Anda tidak dapat mengamankan apa yang tidak dapat Anda lihat. Anda membutuhkan alat yang dapat mendeteksi penggunaan AI bayangan, mengidentifikasi kunci akses yang terekspos, menandai model yang salah konfigurasi, dan menyoroti di mana data sensitif mungkin bocor ke dalam set pelatihan atau keluaran. Manajemen postur AI dengan cepat menjadi sama pentingnya dengan manajemen postur keamanan cloud.

CISO perlu memimpin transisi ini

Suka atau tidak, ini adalah momen yang menentukan bagi kepemimpinan keamanan. Peran CISO bukan lagi sekadar melindungi infrastruktur. Perannya kini lebih terkait dengan memungkinkan inovasi dengan aman, yang berarti membantu organisasi memanfaatkan AI untuk bergerak lebih cepat sekaligus memastikan keamanan, privasi, dan kepatuhan terintegrasi dalam setiap langkah.

Kepemimpinan itu terlihat seperti:

• Mendidik dewan dan eksekutif mengenai risiko AI yang nyata vs. yang dipersepsikan
• Membangun kemitraan dengan tim teknik dan produk untuk menanamkan keamanan lebih awal dalam penerapan AI
• Berinvestasi pada alat-alat modern yang memahami cara kerja sistem AI
• Membangun budaya di mana penggunaan AI yang bertanggung jawab adalah tugas semua orang

CISO tidak perlu menjadi pakar AI di ruangan tersebut, tetapi mereka perlu mengajukan pertanyaan yang tepat. Model apa yang kita gunakan? Data apa yang mereka gunakan? Apa saja batasan yang ada? Bisakah kita membuktikannya?

Intinya: Tidak melakukan apa pun adalah risiko terbesar

AI telah mengubah cara bisnis kita beroperasi. Baik itu tim layanan pelanggan yang mampu memberikan balasan lebih cepat, tim keuangan yang menganalisis prakiraan, atau pengembang yang mempercepat alur kerja mereka, AI telah tertanam dalam pekerjaan sehari-hari. Mengabaikan kenyataan ini tidak akan memperlambat adopsi, justru mengundang titik buta, kebocoran data, dan kegagalan regulasi.

Jalan paling berbahaya ke depan adalah tidak bertindak. Para CISO dan pemimpin keamanan harus menerima kenyataan yang sudah ada: AI sudah ada. Ia ada di sistem Anda, ada di alur kerja Anda, dan tidak akan hilang. Pertanyaannya adalah apakah Anda akan mengamankannya sebelum menimbulkan kerusakan yang tidak dapat Anda perbaiki.

Terimalah AI, tetapi jangan pernah tanpa pola pikir yang mengutamakan keamanan. Itulah satu-satunya cara untuk tetap terdepan dalam menghadapi perkembangan selanjutnya.