Connect with us

Lãnh đạo tư tưởng

Bóng Rộng của GenAI Đang Đặt Dữ Liệu Doanh Nghiệp Của Bạn Vào Nguy Cơ

mm
Published
A conceptual widescreen visualization of Generative AI (GenAI) shadow data, showing a glowing stream of digital particles emanating from a laptop. The stream splits, with some data flowing toward a sanctioned enterprise server and other disjointed streams drifting toward an unmonitored personal mobile device, illustrating a data visibility and governance gap in a modern office.

Các giải pháp trí tuệ nhân tạo tạo sinh (GenAI) không còn là thứ mà nhân viên doanh nghiệp chỉ đang “thử nghiệm”. Chúng đang được áp dụng và tích hợp vào công việc hàng ngày với tốc độ ngày càng nhanh. Theo một báo cáo, 40% tổ chức báo cáo sử dụng GenAI trong quy trình làm việc hàng ngày trong năm qua, và hơn 80% báo cáo rằng người dùng tương tác với các công cụ này hàng tuần.

Nhưng trong khi việc áp dụng AI đang gia tăng, thì khả năng hiển thị và kiểm soát lại không theo kịp. Khi GenAI được nhúng vào hộp thư email, trình soạn thảo mã, bộ công cụ cộng tác, trợ lý ảo và hơn thế nữa, nó được cấp quyền truy cập vào lượng dữ liệu nhạy cảm ngày càng lớn thông qua các lời nhắc, tải lên và hành động sao chép-dán—tất cả những điều này có khả năng bỏ qua các biện pháp kiểm soát truyền thống.

Kết quả là một kho dữ liệu bóng ngày càng lớn: thông tin quan trọng đối với doanh nghiệp chảy qua các dịch vụ SaaS, đám mây và tại chỗ với các biện pháp bảo vệ hạn chế về khả năng hiển thị, quản trị hoặc lưu giữ. Để đổi mới một cách bền vững và an toàn với các giải pháp AI, điều quan trọng là các doanh nghiệp hiện đại phải hiểu khoảng cách giữa áp dụng và kiểm soát này và học cách xử lý dữ liệu bóng trước khi nó vượt khỏi tầm kiểm soát của họ.

Bóng Rộng và Mờ của GenAI

Thách thức cốt lõi của dữ liệu bóng bắt nguồn từ việc thiếu ngữ cảnh. Trong khi các thách thức về CNTT bóng bị giới hạn ở các tệp ở trạng thái nghỉ, các ứng dụng được phê duyệt và các điểm thoát đã biết, thì ranh giới của dữ liệu bóng được AI thúc đẩy lại ít được xác định cứng nhắc hơn nhiều. Các nhóm không thể chỉ phát hiện và bảo mật các công cụ không xác định; họ cũng cần giám sát các mô hình AI được tích hợp vào các ứng dụng đã được phê duyệt như nền tảng email, giải pháp lưu trữ đám mây và CRM. Điều này làm đảo lộn các giải pháp “an toàn” mà họ đang làm việc và giám sát, và mở rộng phạm vi mối đe dọa của họ.

GenAI cũng thay đổi cách dữ liệu nhạy cảm di chuyển qua kiến trúc doanh nghiệp. Không giống như các quy trình làm việc dựa trên ứng dụng và tệp của các giải pháp SaaS truyền thống, nó hoạt động trên một lớp hội thoại liên tục, khuyến khích người dùng chia sẻ ngữ cảnh để đạt được kết quả tốt hơn. Điều này dẫn đến việc người dùng thực hiện các hành động sao chép-dán và tải lên thường xuyên có thể bao gồm các đoạn mã nguồn, hồ sơ khách hàng, tài liệu nội bộ và hơn thế nữa, tất cả đều thiếu quản trị chia sẻ dữ liệu phù hợp cho mức độ nhạy cảm tương ứng của chúng.

Hơn nữa, việc áp dụng GenAI thường không tuân theo một mô hình tập trung, rõ ràng. Không có hai người dùng dữ liệu doanh nghiệp nào giống hệt nhau, và việc họ theo đuổi các quy trình làm việc được tối ưu hóa và tự động hóa tiết kiệm thời gian có thể dẫn đến việc họ tận dụng nhiều giải pháp AI, từ đó tạo ra nhiều đường dẫn dữ liệu bị phân mảnh hơn. Nhân điều này lên trên toàn bộ lực lượng lao động của doanh nghiệp bạn, và bóng tối trở nên cực kỳ rộng lớn.

Tại Sao Chặn GenAI Sẽ Không Hiệu Quả

Đối mặt với những mối đe dọa này, phản ứng bản năng của nhiều tổ chức là chặn hoàn toàn—hoặc hạn chế chặt chẽ—quyền truy cập vào các công cụ GenAI. Mặc dù đây là một cách tiếp cận dễ hiểu, nhưng nó thường không hiệu quả như doanh nghiệp mong đợi. Một khi con ma GenAI đã ra khỏi cái chai, nói một cách hình tượng, thì cực kỳ khó để kiềm chế nó trở lại. Nhiều nhân viên sử dụng các công cụ này để hợp lý hóa quy trình làm việc hàng ngày của họ, biến GenAI thành một phần không thể thiếu trong việc lập kế hoạch và thực hiện nhiệm vụ.

Khi quyền truy cập bị hạn chế từ trên xuống, việc sử dụng khó có thể dừng lại; nó sẽ chỉ đơn giản di chuyển ra khỏi tầm nhìn. Nếu nhân viên chuyển sang sử dụng tài khoản cá nhân hoặc không được quản lý, doanh nghiệp sẽ mất hoàn toàn khả năng hiển thị về việc dữ liệu nào đang được chia sẻ và lưu giữ bởi các ứng dụng. Trên thực tế, một báo cáo phát hiện ra rằng 44% nhân viên đã sử dụng AI theo những cách vi phạm chính sách và hướng dẫn, trong khi một nghiên cứu khác báo cáo rằng 75% nhân viên sử dụng các công cụ AI không được phê duyệt thừa nhận đã chia sẻ thông tin có khả năng nhạy cảm với chúng. Khi những nhân viên có thiện chí vô tình vượt qua các biện pháp bảo vệ và tạo cơ hội cho dữ liệu nhạy cảm rời khỏi môi trường được quản lý và đi vào các hệ thống có kiểm soát không rõ ràng, nó tạo ra rủi ro nội bộ đáng kể, có thể khiến một tổ chức tốn trung bình 19,5 triệu đô la hàng năm. Bằng cách đẩy hoạt động của người dùng xa hơn vào các trình duyệt không được quản lý, tài khoản đám mây cá nhân hoặc các công cụ AI chuyên biệt, các doanh nghiệp tạo ra nhiều vectơ mối đe dọa hơn mà các nhóm bảo mật có thể không bao giờ nhìn thấy.

Theo cách này, dữ liệu bóng không phải là kết quả duy nhất của những nhân viên bất cẩn có quyền truy cập vào công cụ AI. Đó là một kết quả cấu trúc của thiết kế dễ tiếp cận, nhu cầu về ngữ cảnh và tính phổ biến tổng thể của GenAI. Và cho đến khi các doanh nghiệp có thể lấy lại khả năng hiển thị về cách thức và địa điểm dữ liệu bóng của họ chảy, việc áp dụng GenAI sẽ tiếp tục vượt xa khả năng quản lý rủi ro của họ.

Loại Bỏ Dữ Liệu Bóng với Khả Năng Hiển Thị và Bảo Vệ

Trong khi việc chặn hoàn toàn các giải pháp GenAI có thể không hiệu quả, các doanh nghiệp có thể hỗ trợ đổi mới AI đồng thời ngăn chặn sự gia tăng dữ liệu bóng bằng cách thực hiện ba hành động cốt lõi:

1. Thiết Lập Khả Năng Hiển Thị Xuyên Suốt

Các doanh nghiệp cần biết chính xác họ đang đối phó với điều gì trước khi có thể bảo vệ hiệu quả hệ sinh thái dữ liệu của mình. Điều này bắt đầu bằng việc vẽ nên một bức tranh hoàn chỉnh về các ứng dụng GenAI nào đang được nhân viên của họ sử dụng, bao gồm cả những ứng dụng được nhúng trong các công cụ được phê duyệt. Nó cũng mở rộng đến các loại dữ liệu—tài chính, sở hữu trí tuệ, thông tin nhận dạng cá nhân, thông tin sức khỏe được bảo vệ, hoặc thông tin được quy định khác—đang được chia sẻ với các ứng dụng này, cũng như nơi dữ liệu đang di chuyển qua các mạng tại chỗ, SaaS và đám mây. Nếu không có thông tin quan trọng này, các nhóm bảo mật và tuân thủ sẽ chỉ quản lý dựa trên các giả định thay vì hành vi thực tế, chính xác của nhân viên.

2. Áp Dụng Chính Sách Bảo Vệ Dữ Liệu Nhận Biết Ngữ Cảnh

Chỉ riêng khả năng hiển thị là không đủ nếu các biện pháp kiểm soát không thể thích ứng với cách GenAI đang được sử dụng. Các chính sách “cho phép hoặc chặn” cổ điển quá cứng nhắc đối với các quy trình làm việc AI đòi hỏi trao đổi dữ liệu hội thoại liên tục. Để bảo vệ hiệu quả các giải pháp này, các nhóm phải tạo ra các chính sách nhận biết ngữ cảnh đánh giá người dùng, dữ liệu và điểm đến trong thời gian thực. Điều này giúp có thể thực hiện hành động thực tế và tương xứng với hành vi của người dùng, chặn các lượt tải lên rủi ro, biên tập lại thông tin nhạy cảm trước khi nó rời khỏi môi trường, hoặc hướng dẫn nhân viên thử các giải pháp thay thế an toàn hơn. Những lan can tự động hóa này có thể được khắc sâu vào các nhiệm vụ hàng ngày hiệu quả hơn là việc gián đoạn hoàn toàn hoặc can thiệp thủ công, giúp việc sử dụng GenAI an toàn hơn mà không ức chế năng suất.

3. Đảm Bảo Thực Thi Chính Sách Nhất Quán

Các doanh nghiệp phải thực thi một bộ chính sách bảo vệ dữ liệu nhất quán duy nhất ở bất cứ nơi nào công việc diễn ra, tất cả mà không buộc các nhóm từ bỏ các công cụ mà họ đã trở nên phụ thuộc. Họ không nên “xé bỏ và thay thế” các công cụ đã được thiết lập, vì điều này sẽ làm gián đoạn đáng kể năng suất. Thay vào đó, họ nên thiết lập các chính sách thống nhất đi theo dữ liệu và người dùng xuyên suốt lưu trữ đám mây, nền tảng cộng tác, ứng dụng SaaS và trợ lý GenAI. Tính nhất quán này sẽ giảm cả rủi ro và ma sát, cho phép các nhóm bảo mật tránh quản lý các biện pháp kiểm soát bị phân mảnh và cho phép nhân viên làm việc trong các lan can có thể dự đoán được thay vì đối mặt với các lệnh cấm bất ngờ. Cuối cùng, một phản ứng chủ động và nhất quán sẽ hiệu quả hơn nhiều so với một phản ứng mang tính ứng phó và phân mảnh.

Hỗ Trợ Áp Dụng An Toàn & Bền Vững

Các công cụ GenAI đã trở nên quá nhanh chóng hòa quyện vào quy trình làm việc hàng ngày để các tổ chức có thể coi chúng như một rủi ro chuyên biệt hoặc thử nghiệm. Chúng không thể bị phớt lờ, cũng không thể bị nhổ bỏ hoàn toàn. Thay vào đó, các doanh nghiệp phải tìm ra con đường phía trước cho phép sử dụng AI đổi mới đồng thời tránh sự di chuyển mờ ám, không được bảo vệ của dữ liệu nhạy cảm xuyên suốt các hệ sinh thái dữ liệu. Thành công sẽ không đến từ việc đàn áp sự áp dụng, mà là cho phép nó một cách an toàn thông qua việc bảo vệ dữ liệu liên tục, theo ngữ cảnh và nhất quán ở bất cứ nơi nào dữ liệu của họ chảy.

Related Topics:
mm

Jesse Grindeland offers over two decades of innovative leadership across global sales, channels, and market strategies, making him an accomplished industry leader in today’s evolving landscape. Currently serving as VP of Global Channels Alliances at Skyhigh Security, Jesse is driving the evolution of the company’s partner ecosystem, to accelerate market execution and customer success, globally. Jesse has previously held roles at Microsoft, VMware, and Zscaler, where he led global teams across marketing, sales, engineering, and alliances.