Connect with us

Pemimpin pemikiran

Mengapa Perusahaan Tetap Berhati-hati dengan AI — Dan Bagaimana Menggunakannya dengan Aman

mm
Published
Updated

AI telah mengambil alih dunia dengan cepat. Sementara beberapa organisasi adalah pelopor awal, banyak perusahaan telah mengambil pendekatan yang lebih berhati-hati — khawatir dengan privasi, kepatuhan, dan masalah operasional yang masih berlanjut hingga hari ini.

Saya telah bekerja pada ratusan penerapan yang melibatkan alat keamanan yang ditenagai AI dan melihat pola yang sama terjadi. Pembela memulai dengan antusiasme awal. Pilot menunjukkan janji. Kemudian datang debat internal, tinjauan hukum, dan akhirnya jeda sebagai organisasi tenggelam dalam analisis paralisis. Meskipun potensi besar AI untuk mengubah operasi keamanan, banyak perusahaan masih ragu untuk sepenuhnya menerima itu.

Dalam keamanan siber, kehati-hatian sering kali merupakan naluri yang tepat. Namun, menunda penerapan AI tidak akan menghentikan ancaman yang ditenagai AI yang sekarang tumbuh dalam skala dan frekuensi. Tantangan nyata adalah bagaimana mengadopsi AI secara aman, sengaja, dan tanpa mengorbankan kepercayaan.

Berikut adalah apa yang saya pelajari dari garis depan — dan apa yang saya sarankan untuk pemimpin keamanan yang siap untuk melangkah maju dengan kepercayaan.

1. Masalah Kepercayaan Data

Hambatan pertama dan terbesar adalah manajemen data. Banyak perusahaan sangat takut dengan gagasan bahwa data sensitif bisa bocor, disalahgunakan, atau — yang terburuk — digunakan untuk melatih model yang menguntungkan kompetitor. Pelanggaran keamanan yang sangat terkenal dan jaminan vendor yang samar hanya memperkuat ketakutan ini.

Ini bukan paranoia. Ketika Anda menangani PII pelanggan, kekayaan intelektual, atau data yang diatur, menyerahkan data tersebut kepada pihak ketiga dapat terasa seperti kehilangan kontrol. Dan sampai vendor melakukan pekerjaan yang lebih baik dalam memperjelas kebijakan mereka sekitar pemisahan data, retensi, keterlibatan pihak keempat, dan pelatihan model, adopsi akan tetap berhati-hati.

Ini adalah tempat di mana tata kelola menjadi sangat penting. CISO harus mengevaluasi vendor menggunakan kerangka kerja yang muncul seperti NIST AI Risk Management Framework atau ISO/IEC 42001, yang menawarkan panduan praktis tentang kepercayaan, transparansi, dan akuntabilitas dalam sistem AI.

2. Anda Tidak Dapat Meningkatkan Apa yang Tidak Anda Ukur

Hambatan lain yang umum adalah kurangnya metrik dasar. Banyak perusahaan tidak dapat mengukur kinerja saat ini, yang membuat membuktikan ROI alat AI hampir mustahil. Bagaimana Anda dapat mengklaim peningkatan efisiensi 40% jika tidak ada yang melacak berapa lama tugas itu sebelum otomatisasi?

Apakah itu mean time to detect (MTTD), tingkat positif palsu, atau jam yang diselamatkan analis SOC, organisasi perlu memulai dengan mengukur alur kerja saat ini. Tanpa data ini, kasus untuk AI tetap anekdot — dan sponsor eksekutif tidak akan menandatangani inisiatif skala besar tanpa angka yang nyata dan dapat dipertahankan.

Mulailah melacak KPI kunci sekarang, termasuk:

  • Mean Time to detect/respond (MTTD/MTTR)
  • Pengurangan positif palsu, negatif palsu, dan volume tiket
  • Waktu analis yang diselamatkan per insiden
  • Peningkatan cakupan (misalnya, kerentanan yang discan dan diperbaiki)
  • Insiden yang diselesaikan tanpa eskalasi

Dasar ini akan menjadi tulang punggung strategi justifikasi AI Anda.

3. Ketika Alat Bekerja Terlalu Baik

Secara ironis, salah satu alasan adopsi AI macet adalah bahwa beberapa alat bekerja terlalu baik — mengungkapkan lebih banyak risiko daripada yang organisasi siap untuk menangani.

Platform intelijen ancaman lanjutan, alat pemantauan dark web, dan solusi visibilitas yang ditenagai LLM sering mengungkapkan kredensial yang dicuri, domain yang mirip, atau kerentanan yang tidak terdeteksi sebelumnya. Alih-alih menciptakan kejelasan, visibilitas yang luar biasa ini dapat menghasilkan masalah baru: Di mana kita harus memulai?

Saya telah melihat tim menonaktifkan pemindaian lanjutan karena volume temuan menciptakan ketidaknyamanan politik atau anggaran. Visibilitas yang lebih baik menuntut prioritisasi yang lebih baik — dan kemauan untuk menghadapi masalah secara langsung.

4. Terkunci dalam Kontrak Warisan

Bahkan ketika alat yang lebih baik tersedia, banyak perusahaan terkunci dalam perjanjian multi-tahun dengan vendor warisan. Beberapa kontrak ini membawa hukuman keuangan yang sangat tinggi sehingga beralih di tengah masa kontrak adalah tidak mungkin.

Keamanan email adalah kasus klasik. Solusi modern sekarang menawarkan deteksi ancaman yang ditenagai AI, pemodelan perilaku, dan ketahanan bawaan untuk lingkungan hybrid. Namun, jika vendor Anda saat ini belum mempertahankannya dan Anda terjebak dalam perjanjian lima tahun, Anda secara efektif membeku di tempat sampai kontrak berakhir.

Ini bukan hanya tentang teknologi. Ini tentang waktu, pengadaan, dan perencanaan strategis.

5. Munculnya AI Bayangan

Adopsi AI tidak hanya terjadi dari atas ke bawah — itu terjadi di mana-mana, sering tanpa sepengetahuan keamanan. Penelitian kami menunjukkan bahwa lebih dari 85% karyawan sudah menggunakan alat AI seperti ChatGPT, Copilot, dan Bard. (tidak untuk menyebutkan DeepSeek dan TikTok!)

Tanpa pengawasan yang tepat, karyawan mungkin memasukkan data sensitif ke dalam alat publik, mengandalkan output yang halusinasi, atau secara tidak sengaja melanggar kebijakan perusahaan. Ini adalah mimpi buruk kepatuhan dan perlindungan data, dan berpura-pura itu tidak terjadi tidak menyelesaikan masalah.

Pemimpin keamanan perlu mengambil sikap proaktif dengan:

  • Membuat kebijakan penggunaan yang diterima
  • Memblokir aplikasi AI yang tidak disetujui dan mengalihkan pengguna ke alat yang disetujui
  • Menggelar platform AI yang aman dan disetujui untuk penggunaan internal
  • Melatih karyawan tentang penggunaan AI yang bertanggung jawab

Catatan Lapangan: Kebijakan Penggunaan AI tidak akan mengubah penggunaan. Anda tidak dapat menegakkan apa yang tidak Anda ketahui, jadi langkah pertama adalah mengukur penggunaan, lalu mengaktifkan penegakan.

6. Outsourcing Membawa Risiko Sendiri

Sedikit perusahaan yang memiliki infrastruktur untuk membangun dan menghosting model besar di dalam negeri. Ini berarti outsourcing sering kali merupakan satu-satunya jalur yang layak — tetapi itu membawa risiko pihak ketiga dan rantai pasokan yang CISO kenal terlalu baik.

Insiden seperti SolarWinds, Kaseya, dan pelanggaran Snowflake baru-baru ini menyoroti bagaimana kepercayaan mitra eksternal tanpa visibilitas dapat menyebabkan paparan besar. Ketika Anda mengoutsourcing infrastruktur AI, Anda mewarisi postur keamanan vendor — baik atau buruk.

Tidak cukup untuk mempercayai merek. Tuntut kejelasan tentang:

  • Siklus hidup model dan frekuensi pembaruan
  • Protokol respons insiden
  • Kontrol keamanan vendor dan riwayat kepatuhan
  • Pengisolasian data dan kontrol penyewa

7. Permukaan Serangan AI Memperluas

Ketika organisasi mengadopsi AI, mereka juga harus mempersiapkan diri untuk vektor ancaman khusus AI. Penyerang sudah bereksperimen dengan:

  • Pengacakan model (mengubah data pelatihan secara halus)
  • Injeksi prompt (memanipulasi perilaku LLM)
  • Input adversarial (menghindari deteksi)
  • Eksploitasi halusinasi (menipu pengguna untuk mempercayai output palsu)

Ini bukanlah teoretis. Mereka nyata dan tumbuh. Ketika pembela mengadopsi AI, mereka juga harus menyesuaikan strategi merah, pemantauan, dan respons mereka untuk memperhitungkan permukaan serangan baru dan unik ini.

8. Orang dan Proses Mungkin Adalah Hambatan Sebenarnya

Salah satu tantangan yang paling diabaikan adalah kesiapan organisasi. Alat AI sering memerlukan perubahan pada alur kerja, keterampilan, dan pola pikir.

Analisis perlu memahami kapan harus mempercayai AI, kapan harus menantangnya, dan bagaimana mengeskalasi secara efektif. Pemimpin perlu mengintegrasikan AI ke dalam proses pengambilan keputusan tanpa mengotomatisasi risiko secara buta.

Pelatihan, buku pedoman, dan manajemen perubahan harus berkembang seiring dengan teknologi. Adopsi AI bukanlah inisiatif teknologi. Ini adalah inisiatif transformasi manusia.

Jadi Apa yang Kita Bisa Lakukan?

Meskipun tantangan, saya percaya kuat bahwa manfaat AI dalam keamanan jauh melebihi risiko — jika dilakukan dengan benar. Berikut adalah bagaimana saya menyarankan organisasi untuk melangkah maju:

  • Mulai Kecil dan Uji dengan Ketat
  • Pilih kasus penggunaan yang terfokus dengan dampak yang dapat diukur. Jalankan pilot yang terkendali. Validasi kinerja. Bangun kepercayaan dengan data, bukan sensasi.
  • Bawa Hukum, Risiko, dan Keamanan dari Awal
  • Jangan tunggu sampai fase kontrak. Bawa hukum dan kepatuhan untuk memeriksa syarat penanganan data, risiko regulasi, dan implikasi rantai pasokan dari awal.

Ukur Semuanya

Lacak KPI sebelum dan setelah implementasi. Buat dasbor yang berbicara dalam bahasa keamanan dan bisnis. Metrik membuat atau menghancurkan pendanaan AI.

Pilih Mitra dengan Bukti Proyek Sukses di Dunia Nyata

Lihatlah melampaui demo. Tuntut referensi. Tanyakan tentang dukungan pascapenjualan, kompleksitas penerapan, dan hasil dalam lingkungan seperti milik Anda.

Apa yang Berikutnya? Kasus Penggunaan yang Muncul yang Layak Ditonton

Kita masih di awal perjalanan AI dalam keamanan. CISO yang berpikiran maju sudah menjelajahi:

  • Kopilot AI untuk Manajemen Firewall, GRC, dan otomatisasi kepatuhan
  • Menggunakan umpan ancaman yang ditingkatkan AI untuk mempercepat respons ancaman zero-day dan akurasi
  • Penipuan generatif dan simulasi serangan
  • Infrastruktur multi-vendor yang self-healing
  • Kontrol identitas berbasis risiko yang ditenagai AI berbasis perilaku

Kasus penggunaan ini berpindah dari laboratorium inovasi ke produksi. Organisasi yang membangun kekuatan sekarang akan jauh lebih siap untuk memanfaatkan.

Pikiran Terakhir: Menunda Bukan Pertahanan

AI sudah ada dan demikian pula dengan musuh yang ditenagai AI. Semakin lama Anda menunggu, semakin banyak tanah yang Anda hilangkan. Namun, ini tidak berarti Anda harus terburu-buru tanpa berpikir.

Dengan perencanaan yang hati-hati, tata kelola yang transparan, dan mitra yang tepat, organisasi Anda dapat mengadopsi AI secara aman — meningkatkan kemampuan tanpa mengorbankan kontrol.

Masa depan keamanan ditingkatkan. Satu-satunya pertanyaan adalah apakah Anda akan memimpin atau tertinggal.

mm

Pete Nicoletti menjabat sebagai CISO Amerika di Check Point Software Technologies, dengan peran kepemimpinan sebelumnya di Cybraics Defense, Hertz Global, dan Virtustream.