Bahaya dari Tidak ke AI

Saya menelepon ke panggilan perusahaan klien potensial minggu lalu. Semua orang keamanan dan jaringan hadir, plus manajemen. Berbagai presenter yang membahas topik-topik saat ini. Lalu seseorang mulai menjelaskan bagaimana tim teknisnya menggunakan AI dalam pekerjaan sehari-hari.

Presenter tersebut sangat bersemangat. Ia telah menemukan cara untuk mengompresi tiga hari pekerjaan manual menjadi beberapa menit menggunakan alat AI. Sangat keren, bukan? Saya memahami apa yang dia lakukan – dan mengapa dia melakukannya. Ini adalah janji AI!

Tapi sebagai orang keamanan di ruangan, saya berpikir: “Oh Tuhan.” “Apa alat itu? Siapa yang memiliki alat itu?” Karena ia memasukkan informasi pelanggan ke dalam platform-platform tersebut – data harga. Mungkin informasi keuangan? Apa pun itu. Semua untuk mempercepat alur kerjanya.

Jadi, saya bertanya pertanyaan yang jelas: “Apakah Anda memiliki kebijakan AI?” Kami mencari. Menemukan kalimat yang terkubur dalam penggunaan yang dapat diterima. Sesuatu yang samar tentang alat AI. Apakah ada orang yang benar-benar membacanya? Mungkin tidak. Anda menandatangani saat onboarding, dan selesai.

Orang Anda Sudah Menggunakan AI

Inilah yang saya pelajari berbicara dengan perusahaan di seluruh industri: AI sudah ada di mana-mana, apakah Anda mengakui atau tidak. Penelitian terbaru mengkonfirmasi kenyataan ini – 75% pekerja sekarang menggunakan AI di tempat kerja, hampir dua kali lipat dalam enam bulan.

Minggu lalu di Houston, saya bertemu dengan seseorang yang perusahaannya melakukan pengeboran minyak. Mereka memiliki platform AI yang menganalisis komposisi tanah dan pola cuaca untuk mengoptimalkan lokasi pengeboran. Ia menjelaskan bagaimana mereka mempertimbangkan data curah hujan – “Kami tahu hujan 18 hari lebih banyak daripada di daerah ini, sehingga kapasitas minyak mungkin lebih tinggi, yang memungkinkan pengeboran untuk lebih dalam.”

Sementara itu, saya menggunakan AI untuk membuat itinerary untuk Jerman. Saya telah berbicara dengan perusahaan di bidang kesehatan yang menggunakan AI untuk platform telehealth. Tim keuangan yang menjalankan model risiko. Saya bahkan bertemu dengan seseorang yang menjalankan bisnis lemon yang menggunakan AI dengan cara tertentu.

Poinnya adalah: AI ada di setiap industri, setiap alur kerja. Ini tidak akan datang – sudah ada. Dan sebagian besar organisasi ini berada di kapal yang sama dengan kita. Mereka tahu orang-orang mereka menggunakan AI. Mereka hanya tidak tahu bagaimana mengelolanya.

Shadow IT Menjadi Berbahaya Dengan Cepat

Apakah Anda tahu apa yang terjadi ketika Anda mengatakan kepada orang-orang bahwa mereka tidak bisa menggunakan AI? Ini persis seperti mengatakan kepada remaja Anda untuk tidak pernah minum. Selamat, sekarang mereka akan menjadi orang-orang yang minum dengan cara yang paling tidak aman, karena Anda telah menciptakan larangan.

Angka-angka membuktikan kenyataan ini: 72% penggunaan AI generatif di perusahaan adalah shadow IT, dengan karyawan menggunakan akun pribadi untuk mengakses aplikasi AI.

Orang-orang pergi mendapatkan laptop kedua. Mereka menggunakan ponsel pribadi yang tidak dilindungi oleh keamanan perusahaan. Lalu mereka menggunakan AI dengan cara apa pun. Tiba-tiba Anda kehilangan visibilitas dan menciptakan celah yang tepat yang Anda coba hindari.

Saya telah melihat pola ini sebelumnya. Tim keamanan yang mengatakan “tidak” untuk semua hal akhirnya mendorong orang-orang ke bawah tanah – dan kehilangan semua pengawasan atas apa yang sebenarnya terjadi.

Keamanan Menjadi Musuh

Ada persepsi bahwa tim keamanan adalah “orang jahat di basement.” Orang-orang berpikir: “Oh, keamanan mungkin akan mengatakan tidak dengan cara apa pun, jadi tidak apa-apa dengan orang-orang itu. Saya akan melakukannya dengan cara apa pun.”

Kami telah menciptakan kesalahpahaman ini. Dan dengan AI, orang-orang memiliki bias untuk menganggap kami akan menutup mereka, sehingga mereka tidak repot-repot bertanya. Itu membunuh komunikasi yang sebenarnya Anda inginkan.

Saya memiliki seorang pengembang yang datang kepada saya setelah presentasi konferensi. Ia menggunakan API setiap hari dan telah mencoba mendapatkan perhatian tim keamanan tentang pengujian dan validasi. Tapi ia telah memutuskan untuk tidak bertanya karena ia mengira mereka akan mengatakan tidak.

Defisit Kepercayaan Menghabiskan Semua

Inilah percakapan yang Anda inginkan: seseorang dari pemasaran datang kepada Anda dan mengatakan, “Hai, saya ingin menggunakan alat AI ini. Apa kebijakan kami tentang hal itu? Bagaimana saya menggunakan itu dengan aman?” Itu adalah cara yang tepat untuk bermitra dengan keamanan.

Kami akan memeriksa itu. Kami memahami AI akan menjadi bagian dari bisnis. Kami tidak akan mengatakan tidak untuk itu – kami ingin orang-orang menggunakan itu dengan aman. Tapi kami membutuhkan percakapan itu terlebih dahulu.

Ketika orang-orang menganggap keamanan akan memblokir semua, mereka berhenti bertanya. Mereka mendaftar dengan email pribadi, memulai memasukkan data perusahaan ke dalam platform yang tidak diverifikasi, dan Anda kehilangan semua visibilitas dan kontrol. Hasilnya dapat diprediksi: 38% karyawan berbagi informasi pekerjaan yang sensitif dengan alat AI tanpa izin majikan.

Organisasi akan menggunakan AI tidak peduli apa. Pertanyaannya adalah: bagaimana kami memastikan karyawan kami dapat menggunakan itu dengan aman tanpa membahayakan data perusahaan, privasi, atau keamanan?

Mulai Dengan Ya yang Cerdas, Bukan Tidak yang Kosong

Inilah yang sebenarnya berhasil: komunikasi proaktif. Kirimkan buletin atau jalankan webinar 30 menit yang mengatakan, “Kami mengizinkan AI dalam organisasi. Ini cara menggunakan itu dengan aman.” Rekam sesi untuk orang-orang yang melewatkan mereka.

Tunjukkan contoh karyawan yang bermitra dengan keamanan dengan sukses. Buat kemitraan itu terlihat bukan sebagai entitas yang samar yang orang-orang anggap akan menutup mereka.

Anda perlu membangun kepercayaan dari waktu ke waktu antara keamanan dan karyawan. Pada akhirnya, kami semua menggunakan AI dengan cara besar dan kecil. Saya menggunakan AI untuk merencanakan perjalanan Jerman – mengatakan kepada itu untuk membuat itinerary tiga hari dan mendapatkan perjalanan yang luar biasa.

Dari sudut pandang organisasi, kami perlu mengakui di mana AI berada dalam bisnis. Apakah itu akan meningkatkan pendapatan? Mungkin. Kasus bisnisnya jelas: AI telah berpindah dari ‘eksperimen’ ke ‘esensial,’ dengan pengeluaran perusahaan melompat 130%. Jadi, apa yang kami lakukan? Bagaimana kami menyediakan perlindungan sambil memungkinkan produktivitas?

Tujuan bukanlah kontrol yang sempurna, itu tidak mungkin. Tujuan adalah adopsi AI yang terinformasi dengan pengaman yang benar-benar bekerja dalam praktek. Risiko baru untuk keamanan adalah menjadi terisolasi dari penggunaan AI – penggunaan yang terjadi dengan atau tanpa Anda.

Untuk organisasi yang serius tentang mendapatkan ini dengan benar, para ahli merekomendasikan mengembangkan kebijakan tata kelola AI yang jelas yang menyeimbangkan kebutuhan bisnis dengan persyaratan keamanan sebelum penggunaan AI yang samar benar-benar kehilangan kontrol.