Connect with us

Pemimpin pemikiran

Bagaimana Budaya Risiko AI Membentuk Keputusan Organisasi

mm
Published
Updated

Kontribusi dan kemampuan AI untuk memiliki dampak besar telah sebagian besar ‘dibicarakan’ selama beberapa tahun terakhir, tetapi sekarang telah tiba di setiap perusahaan, apakah itu menggunakan LLM, alur kerja otomatis, atau agen otonom penuh. Namun, terburu-buru untuk menerapkan teknologi ini tanpa pagar keamanan yang tepat dapat merusak arsitektur organisasi, mempertaruhkan infrastruktur TI, dan pada akhirnya membahayakan keunggulan kompetitif mereka. Selain itu, program AI setengah jadi dan kurangnya data dasar dapat menyebabkan lebih banyak risiko dan kerentanan daripada efisiensi.

Ini adalah mengapa perusahaan perlu mengadopsi dan menerapkan budaya risiko AI yang matang yang memprioritaskan protokol dan prosedur sebelum keuntungan dan kecepatan. Ini tidak hanya akan meningkatkan postur keamanan keseluruhan organisasi, tetapi juga memastikan alur kerja AI yang efisien dan berakar pada data kontekstual. Budaya risiko AI yang efektif tidak hanya ditentukan oleh teknologi, tetapi oleh sinergi internal yang diciptakan ketika CISO dan kepala departemen melihat bukti yang sama dan berbicara dengan satu suara.

Membuat Budaya Risiko AI yang Transparan dan Dapat Diukur

Untuk membangun budaya risiko AI yang sukses, CISO dan pemimpin keamanan perlu mempersenjatai tim untuk berlatih penilaian etis yang cepat dan menjauh dari kepatuhan buta ketika datang ke integrasi AI. Ini dimulai dengan mendefinisikan bagaimana budaya risiko AI dapat diselaraskan dengan tujuan bisnis. Definisi ini memungkinkan pemimpin untuk mengukur apakah karyawan mengadopsi perilaku sadar risiko, berpartisipasi dalam diskusi terbuka, dan berkontribusi pada budaya manajemen risiko proaktif.

Terdapat tiga pendekatan pengukuran utama yang dapat menentukan di mana penyesuaian perlu dilakukan dan seberapa efektif program tersebut: metrik respons insiden dan perilaku, identifikasi risiko, dan metrik keterlibatan dan kesadaran. Metrik respons insiden mengukur efektivitas program keamanan dan metrik perilaku menganalisis perilaku pengguna sebelum, selama, dan setelah insiden AI. Metrik identifikasi risiko melacak ancaman potensial AI sebelum mereka terwujud. Metrik keterlibatan dan kesadaran melacak efektivitas pelatihan dan perilaku karyawan dalam mengurangi risiko dengan aplikasi AI.

Metrik ini tidak hanya menggarisbawahi efektivitas langkah keamanan dan pertahanan ketika datang ke proyek AI, tetapi juga mengungkapkan apakah karyawan mengadopsi perilaku sadar risiko, merasa aman melaporkan masalah, dan secara aktif memprioritaskan manajemen risiko proaktif. Mereka membantu menunjukkan di mana gesekan ada, seperti keengganan untuk mengangkat kekhawatiran atau diskusi risiko yang tidak konsisten. Ini hanya dapat dicapai jika metrik tersebut dikomunikasikan dengan jelas, membantu karyawan memahami bagaimana mereka berkontribusi pada pergeseran budaya yang lebih besar dalam organisasi.

Di Mana Budaya Risiko AI Patah atau Berskala

Keberhasilan pengukuran ini pada akhirnya tergantung pada bagaimana pemimpin dan manajer menerjemahkannya menjadi perilaku yang berkelanjutan. Menentukan apakah budaya yang efektif menjadi terintegrasi atau terfragmentasi dari waktu ke waktu sangat penting di awal peluncuran inisiatif ini, dan itu dimulai dengan kepemimpinan yang mewakili komitmen dari atas ke bawah.

Manajemen menengah sering menentukan apakah pedoman risiko diperkuat atau dilewati. Misalnya, manajer produk yang memasukkan persyaratan keamanan ke dalam peta jalan membantu mengintegrasikan kesadaran risiko, sedangkan mereka yang menunda sampai setelah rilis melemahkan budaya yang dimaksudkan untuk dibuat oleh kepemimpinan. Kurangnya komitmen dari atas ke bawah, kelelahan perubahan dan ketidakstabilan, dan fondasi data yang tidak memadai dapat menghambat budaya risiko AI sebelum itu bahkan didirikan.

Budaya semacam ini tidak akan berkembang kecuali jika dibangun dalam lingkungan di mana karyawan merasa nyaman melaporkan insiden. Pemimpin dan manajer harus memprioritaskan menciptakan ruang untuk dialog terbuka dan pembelajaran berkelanjutan. Peran harus didefinisikan dengan jelas, pelatihan berkelanjutan harus disediakan, dan anggaran harus dialokasikan secara efektif.

Kedua, organisasi yang memiliki tingkat perputaran karyawan yang tinggi atau telah menjalani restrukturisasi baru mungkin menghadapi budaya keamanan yang tidak terintegrasi ke dalam fondasinya. Ini dapat menyebabkan inisiatif yang tidak konsisten dan prioritas yang tidak jelas untuk karyawan. Dalam kasus ini, pemantauan keamanan yang kuat di level jaringan, yang melihat semua aktivitas AI dan pergerakan data ke dalam dan ke luar organisasi, adalah cadangan penting untuk menjaga pertahanan tetap pada jalur melawan halusinasi dan manipulasi AI. Dengan baseline perilaku di level jaringan, tim keamanan dan TI dapat dengan cepat mendeteksi ketika layanan AI disalahgunakan, atau layanan AI tidak sah beroperasi dalam lingkungan mereka, dan mengambil tindakan untuk menghilangkan risiko.

Terakhir, menskala budaya risiko AI memerlukan data berkualitas tinggi, bersih, dan terhubung yang memastikan kedaulatan data, konsistensi, dan kepatuhan untuk platform dan alat AI dilatih. Kualitas data yang buruk dapat mengikis keterbacaan AI yang over time akan mendorong model lebih jauh dari jalur dan menyajikan output AI yang tidak benar, tidak konsisten, dan rusak.

Pengambilan Keputusan Melalui Budaya Risiko AI

Ketika keselarasan kepemimpinan, stabilitas, dan kedewasaan data mengambil alih, organisasi dapat berpindah dari respons yang terfragmentasi ke pengambilan keputusan yang terinformasi dan sadar risiko. Dengan kondisi untuk skala yang ditetapkan, budaya risiko AI menjadi lensa melalui mana pemimpin menafsirkan peristiwa, menilai trade-off, dan bertindak dengan tegas.

Budaya risiko AI yang kuat didukung oleh visibilitas yang kuat, dengan akses bersama ke informasi yang sama untuk tim keamanan, tim TI, dan semua departemen organisasi lainnya. Ketika semua tim dapat melihat wawasan yang sama dalam waktu nyata, termasuk timeline peristiwa, data ingress dan egress, dan perilaku yang terkait dengan pengguna tertentu, ada bukti konkrit tentang penggunaan AI dan risiko. Misalnya, jika agen AI tidak sah ditemukan dalam organisasi, semua tim harus dapat melihat bagaimana itu melewati kontrol keamanan perbatasan, pengguna mana yang berinteraksi dengannya, dan perangkat serta sistem apa yang diaksesnya. Ini memungkinkan proses lintas fungsional seperti protokol respons insiden bersama dan tinjauan risiko triwulanan di seluruh tim, sinyal kunci dari budaya risiko AI yang sukses di luar organisasi keamanan.

Intinya

Budaya risiko AI dimulai dengan definisi yang jelas dan pengukuran, tetapi berhasil hanya ketika kepercayaan, transparansi, dan akuntabilitas terintegrasi di seluruh organisasi. Komitmen kepemimpinan, stabilitas operasional, dan fondasi data yang kuat menentukan apakah kesadaran risiko berskala menjadi perilaku yang konsisten dan sadar risiko atau patah di bawah tekanan.

Ketika risiko AI terlihat, dibagikan, dan diterjemahkan menjadi prioritas khusus tim, itu menjadi penggerak pengambilan keputusan yang lebih baik, ketahanan, dan keunggulan kompetitif jangka panjang.

mm

Chad adalah Chief Information Security Officer di ExtraHop. Chad bertanggung jawab atas semua aspek risiko keamanan siber untuk ExtraHop, serta keamanan fasilitas, personil, dan keamanan fisik. Chad sebelumnya menjabat sebagai perwira Operasi Siber di Angkatan Udara AS selama 31 tahun, memegang lima peran keamanan siber tingkat senior yang mengembangkan dan mengimplementasikan peta jalan keamanan siber, strategi, dan kemampuan serta memberi saran kepada pimpinan eksekutif tentang masalah keamanan siber yang kritis. Selain itu, ia adalah operator siber yang memenuhi syarat dan memimpin tim pemburuan ancaman dan respons insiden siber untuk jaringan perusahaan global. Langsung sebelum ExtraHop, Chad adalah Chief Security Officer untuk Echelon Risk + Cyber, di mana ia mengarahkan strategi dan integrasi garis layanan keamanan ofensif dan defensif. Ia juga menjabat sebagai CISO dan menjadi vCISO untuk beberapa klien.