Connect with us

Röportajlar

Nick Kathmann, LogicGate’de CISO/CIO – Röportaj Serisi

mm
Published
Updated

Nicholas Kathmann LogicGate’de Chief Information Security Officer (CISO) olarak görev yapmakta ve şirketin bilgi güvenliği programını yönetmekte, platform güvenlik yeniliklerini denetlemekte ve müşterilerle birlikte siber güvenlik risklerini yönetmektedir. 20 yılı aşkın IT ve 18+ yılı aşkın siber güvenlik deneyimiyle Kathmann, küçük işletmeler ve Fortune 100 şirketlerinde güvenlik operasyonları kurmuş ve yönetmiştir.

LogicGate bir risk ve uyum platformudur ve şirketlere governance, risk ve uyum (GRC) programlarını otomatikleştirmelerine ve ölçeklemelerine yardımcı olur. Bayrak ürünü Risk Cloud® aracılığıyla LogicGate, ekiplere empresa genelinde özelleştirilebilir iş akışları, gerçek zamanlı içgörüler ve entegrasyonlar ile riskleri tanımlamalarına, değerlendirmelerine ve yönetmelerine olanak tanır. Platform, üçüncü taraf riski, siber güvenlik uyumu ve iç denetim yönetimi dahil olmak üzere çeşitli kullanım örneklerini destekler ve şirketlerin daha çevik ve dayanıklı risk stratejileri oluşturmalarına yardımcı olur.

LogicGate’de CISO ve CIO olarak görev yapıyorsunuz — AI’nin bu rollerin sorumluluklarını gelecek 2-3 yıl içinde nasıl değiştireceğini düşünüyorsunuz?

AI zaten bu rolleri değiştiriyor, ancak gelecek 2-3 yıl içinde Agentic AI’nin iş süreçlerini günlük olarak ele alma şeklimizi yeniden hayal etme gücüne sahip bir yükseliş göreceğimize inanıyorum. IT yardım masasına genellikle giden şeyler — parolaları sıfırlama, uygulamaları yükleme ve daha fazlası — bir AI aracı tarafından ele alınabilir. Bir diğer kritik kullanım örneği, CISO’lar ve CIO’ların daha stratejik taleplere öncelik vermelerine olanak tanıyan tekrarlayıcı denetim değerlendirmelerini ele almak için AI aracılarını kullanmaktır.

Federal siber güvenlik ihraçları ve deregülasyon trendleriyle, şirketlerin AI’yi dağıtırken güçlü bir güvenlik duruşu nasıl korunabileceğini düşünüyorsunuz?

ABD’de deregülasyon trendi yaşarken, AB’de düzenlemeler aslında güçleniyor. Bu nedenle, çok uluslu bir şirketseniz, küresel düzenleyici gereksinimlere uymayı bekleyebilirsiniz. Sadece ABD’de faaliyet gösteren şirketler için, AI benimseme sürecinde bir öğrenme dönemi olacağını düşünüyorum. Bu şirketlerin güçlü AI yönetim politikaları oluşturması ve AI dağıtım sürecinde bazı insan denetimini koruması wichtig olduğunu düşünüyorum, böylece hiçbir şey kontrolden çıkmaz.

AI’yi mevcut siber güvenlik çerçevelerine entegre ederken bugün en büyük kör noktaları nerede görüyorsunuz?

Düşünebileceğim birkaç alan var, ancak en etkili kör nokta, verilerin nerede olduğu ve nerede dolaştığıdır. AI’nin tanıtılması, bu alanda denetimi daha da zor hale getirecektir. Satıcılar ürünlerinde AI özelliklerini etkinleştirmekte, ancak bu veriler her zaman AI modeline veya satıcıya doğrudan gitmemektedir. Bu, geleneksel güvenlik araçlarını, DLP ve web izlemeyi etkili bir şekilde köreltir.

AI yönetim stratejilerinin çoğunun “kağıt kaplanlar” olduğunu söylediniz. Çalışan bir yönetim çerçevesinin temel bileşenleri nelerdir?

“Kağıt kaplanlar” dediğimde, özellikle küçük bir ekibin süreçleri ve standartları bildiği, ancak organizasyon genelinde uygulanmadığı veya anlaşılmadığı yönetim stratejilerine atıfta bulunuyorum. AI çok yaygın, yani her gruba ve her ekibe etki ediyor. “Bir boyut herkesi uyuyor” stratejileri çalışmayacak. Güçlü bir yönetim çerçevesinin temel bileşenleri değişebilir, ancak IAPP, OWASP, NIST ve diğer danışmanlık organları, neyi değerlendirmek için khá iyi çerçeveler sunmaktadır. En zor kısım, gereksinimlerin her kullanım durumunda ne zaman uygulanacağını belirlemektir.

Şirketler AI model kaymasını nasıl önleyebilir ve sorumlulukla kullanımını zaman içinde nasıl garantileyebilir, politikalarını aşırı mühendislik yapmadan?

Kayma ve bozulma, teknoloji kullanımının bir parçasıdır, ancak AI bu süreci önemli ölçüde hızlandırabilir. Ancak, kayma çok büyük olursa, düzeltici önlemler gerekli olacaktır. Doğruluk, önyargı ve diğer kırmızı bayraklar için zaman içinde ölçen ve arayan kapsamlı bir test stratejisi gerekli. Şirketler önyargı ve kaymadan kaçınmak istiyorsa, önce bu sorunları tanımlamak ve ölçmek için araçlara sahip olmaları gerekir.

Değişim günlükleri, sınırlı politika güncellemeleri ve gerçek zamanlı geri bildirim döngülerinin, çevik AI yönetimini korumakta nasıl bir rol oynaması gerekir?

Şu anda riski ve sorumluluğu azaltmak için bir rol oynamakta, ancak müşterilerin ve kullanıcıların AI yönetimini gerçekleştirmesini, özellikle iletişim mekanizmalarındaki değişikliklerin çok sık gerçekleşmesi durumunda, engelliyor.

Ödeme veya kredi puanlamasıyla ilgili AI önyargısı ve ayrımcılık konusunda, özellikle “Şimdi Al, Sonra Öde” (BNPL) hizmetlerinde neler düşünüyorsunuz?

Geçen yıl, büyük, çok uluslu bir bankadaki bir AI/ML araştırmacıyla konuştum ve risk modelleri boyunca AI/LLM’ler üzerinde deneysel çalışıyordu. Modeller, büyük ve doğru veri kümeleriyle eğitilmiş olsalar da, onaylama veya reddetme için gerçekten şaşırtıcı, dayanağı olmayan kararlar alacaktı. Örneğin, bir sohbet kaydında veya müşterilerle iletişim kurarken “büyük kredi” kelimeleri geçerse, modeller varsayılan olarak krediyi reddedecekti — müşteri bunu söylemiş olsun veya banka çalışanı söylemiş olsun. AI’ye güveniliyorsa, bankaların daha iyi bir denetim ve hesap verebilirlik ihtiyacı vardır ve bu “şaşırma” durumları en aza indirilmelidir.

Yüksek riskli kararlar alan algoritmaları nasıl denetlenebilir veya değerlendirilebilir — ve kim sorumlu tutulmalıdır?

Bu, algoritmaları ve modelleri gerçek zamanlı olarak sürekli test etmeye ve benchmark yapmaya ihtiyaç duyulan kapsamlı test modeline geri dönmektedir. Bu zor olabilir, çünkü model çıktısı istenen sonuçlar verebilir ve insanların anormallikleri tanımlaması gerekebilir. Bir banka örneği olarak, tüm kredileri reddeden bir model mükemmel bir risk değerlendirmesine sahip olacaktır, çünkü hiçbir kredi asla temerrüde düşmeyecektir. Bu durumda, modeli veya algoritmayı uygulayan organizasyon, modelin sonucundan sorumlu olmalıdır, tıpkı insanların karar aldığında olduğu gibi.

Daha fazla şirketin siber sigorta gerektirmesiyle, AI araçlarının hem risk manzarasını hem de sigorta poliçe yazımını nasıl değiştirdiğini düşünüyorsunuz?

AI araçları, büyük miktarda veriyi yaymak ve kalıplar veya eğilimler bulmak için harikadır. Müşteri tarafında, bu araçlar organizasyonun gerçek riskini anlamak ve bu riski yönetmek için çok önemli olacaktır. Sigorta şirketinin tarafında, bu araçlar tutarlılıkları bulmaya ve zaman içinde olgunlaşan organizasyonları bulmaya yardımcı olacaktır.

Şirketler AI’yi nasıl proaktif olarak kullanabilir ve bugünün sigorta pazarında daha iyi şartlar için nasıl pazarlık yapabilir?

AI’yi riski azaltmak ve daha iyi sigorta şartları için pazarlık yapmak için kullanmanın en iyi yolu, gürültüyü ve dikkati dağıtanları filtrelemektir, böylece en önemli risklere odaklanabilirsiniz. Bu riskleri kapsamlı bir şekilde azaltırsanız, siber sigorta oranlarınız düşmelidir. Risklerin sheer hacmiyle boğulmak çok kolaydır. Her bir sorunu ele almaya çalışırken, en kritik olanlara odaklanmak çok daha büyük bir etkiye sahip olabilir.

Şirketlerin AI’yi sorumlu bir şekilde uygulamak — ancak nereden başlayacaklarını bilmemek için — birkaç taktik adım önerir misiniz?

İlk olarak, kullanım durumunuzu ve istenen sonuçları belirlenmesi gerekir. Herkes AI’yi uygulamak ister, ancak önce hedeflerinizi düşünmek ve oradan geriye doğru çalışmak önemlidir — bunu birçok organizasyonun bugün zorlandığını düşünüyorum. Kullanım durumunuzu iyi anladıktan sonra, farklı AI çerçevelerini araştırabilir ve hangi uygulamalı kontrollerin kullanım durumunuza ve uygulamanıza önemli olduğunu anlayabilirsiniz. Güçlü AI yönetimi, risk azaltma ve verimlilik için iş açısından kritiktir, çünkü otomasyon sadece veri girişinin полез olduğu kadar kullanışlıdır. AI’yi kullanan organizasyonlar, bunu sorumlu bir şekilde yapmalıdır, çünkü iş ortakları ve potansiyel müşteriler, AI saçaklanması ve kullanımı hakkında zor sorular sormaktadır. Cevap bilmemek, iş anlaşmalarını kaçırmak anlamına gelebilir ve doğrudan gelir etkileyebilir.

5 yıl içinde en büyük AI ile ilgili güvenlik riskinin ne olacağını öngörüyorsunuz — ve bugün nasıl hazırlanabiliriz?

Öngörüm, Agentic AI’nin daha fazla iş sürecine ve uygulamalarına entegre edildiği medida, saldırganların bu ajanları manipüle ederek kötü niyetli sonuçlar elde etmeleri olacaktır. Müşteri hizmetleri ajanlarının manipülasyonuna şahit olduk ve bu, yetkisiz anlaşmalar ve iadeler ile sonuçlandı. Tehdit aktörleri, dil hilelerini kullanarak politikaları atladı ve ajanın karar alma sürecini engelledi.

Related Topics:
mm

Antoine bir vizyoner lider ve Unite.AI'in kurucu ortağıdır ve AI ve robotik geleceğini şekillendirmek ve tanıtmak için sarsılmaz bir tutkuyla hareket etmektedir. Bir seri girişimci olarak, toplum için elektrik kadar yıkıcı olacağına inandığı AI'nin potansiyeli hakkında sık sık konuşur ve coşkusunu dile getirir.
Bir futurist olarak, bu yeniliklerin dünyamızı nasıl şekillendireceğini keşfetmeye adanmıştır. Ayrıca, Securities.io kurucusudur, bu platform geleceği yeniden tanımlayan ve tüm sektörleri yeniden şekillendiren teknolojilere yatırım yapmaya odaklanmıştır.