Connect with us

生成式人工智能的广泛阴影正将您的企业数据置于风险之中

思想领袖

生成式人工智能的广泛阴影正将您的企业数据置于风险之中

mm
Published
A conceptual widescreen visualization of Generative AI (GenAI) shadow data, showing a glowing stream of digital particles emanating from a laptop. The stream splits, with some data flowing toward a sanctioned enterprise server and other disjointed streams drifting toward an unmonitored personal mobile device, illustrating a data visibility and governance gap in a modern office.

生成式人工智能(GenAI)解决方案已不再是企业员工仅仅“试用”的新鲜事物。它们正以日益加快的速度被采纳并融入日常工作。根据一份报告,过去一年中,40%的组织报告在日常工作流中使用GenAI,超过80%的组织报告用户每周都会使用这些工具。

然而,尽管AI的采用率在上升,可见性和控制力却未能同步跟进。随着GenAI嵌入到电子邮件收件箱、代码编辑器、协作套件、虚拟助手等更多应用中,它通过提示词、上传和复制粘贴操作,获得了访问日益增多的敏感数据的权限——所有这些操作很可能绕过了传统的控制措施。

其结果就是形成了一个不断增长的影子数据池:这些对业务至关重要的信息在SaaS、云和本地服务之间流动,却缺乏足够的可见性、治理或保留保障措施。为了可持续且安全地利用AI解决方案进行创新,现代企业必须理解这种采用与控制之间的差距,并学会在影子数据失控之前加以应对。

GenAI广泛而模糊的阴影

影子数据的核心挑战源于上下文的缺失。影子IT的挑战仅限于静态文件、已批准的应用程序和已知的出口点,而AI驱动的影子数据的边界则远没有那么严格的定义。团队不仅需要发现和保护未知的工具;他们还需要监控集成到已批准应用程序(如电子邮件平台、云存储解决方案和CRM系统)中的AI模型。这颠覆了他们一直使用和监控的“安全”解决方案,并扩大了其威胁面。

GenAI也改变了敏感数据在企业架构中的流动方式。与传统SaaS解决方案基于应用程序和文件的工作流不同,它运行在一个连续的、对话式的交互层上,鼓励用户分享上下文以获得更好的结果。这导致用户执行常规的复制粘贴操作和上传,其中可能包含源代码片段、客户记录、内部文档等,所有这些数据都缺乏针对其各自敏感级别的适当数据共享治理。

此外,GenAI的采用往往并不遵循清晰、集中的模式。没有两个企业数据用户是完全相同的,他们对优化工作流程和节省时间的自动化的追求,可能促使他们利用众多AI解决方案,这反过来又创造了更加碎片化的数据路径。将这种情况乘以企业的全体员工,其阴影范围将变得极其广泛。

为何阻止GenAI行不通

面对这些威胁,许多组织的本能反应是彻底阻止——或以其他方式严格限制——对GenAI工具的访问。虽然这是一种可以理解的做法,但其效果往往不如企业所期望的那样。可以说,一旦GenAI这个“精灵”被放出瓶子,要把它收回去就极其困难。许多员工使用这些工具来简化日常工作流程,将GenAI深深融入他们的任务规划和执行中。

当从上层限制访问时,使用行为不太可能停止;它只会转入地下。如果员工转而使用个人或非托管账户,企业将完全丧失对应用程序正在共享和保留哪些数据的可见性。事实上,一份报告发现,44%的员工已经以违反政策和指导方针的方式使用了AI,而另一项研究报告称,75%使用未经批准AI工具的员工承认曾向这些工具分享潜在敏感信息。当善意的员工在不知情的情况下绕过安全措施,并为敏感数据离开受控环境、进入控制措施不明的系统创造机会时,就会产生重大的内部风险,这可能使组织每年平均损失1950万美元。通过将用户活动进一步推向非托管浏览器、个人云账户或小众AI工具,企业创造了更多安全团队可能永远无法看到的威胁向量。

如此一来,影子数据并非仅仅是拥有AI工具访问权限的鲁莽员工造成的。它是GenAI易于访问的设计、对上下文的需求以及整体普遍性的结构性结果。在企业能够重新获得对其影子数据如何流动及流向何处的可见性之前,GenAI的采用速度将继续超过其管理相关风险的能力。

通过可见性和保护消除影子数据

虽然完全阻止GenAI解决方案可能行不通,但企业可以通过采取三项核心行动来支持AI创新,同时遏制影子数据的扩散:

1. 建立端到端的可见性

企业需要确切知道他们正在处理什么,才能有效保护其数据生态系统。这首先要全面了解员工正在使用哪些GenAI应用程序,包括那些嵌入在已批准工具中的应用程序。它还需要延伸到与这些应用程序共享的数据类型——财务数据、知识产权、个人身份信息、受保护的健康信息或其他受监管信息——以及数据在本地、SaaS和云网络中的流向。没有这些关键信息,安全和合规团队就只能基于假设进行治理,而非基于准确、真实的员工行为。

2. 应用情境感知的数据保护策略

如果控制措施无法适应GenAI的使用方式,仅靠可见性是不够的。经典的“允许或阻止”策略对于需要持续、对话式数据交换的AI工作流来说过于僵化。为了有效保护这些解决方案,团队必须创建情境感知策略,实时评估用户、数据和目的地。这使得对用户行为采取现实且相称的措施成为可能,例如阻止高风险上传、在敏感信息离开环境前进行编辑,或指导员工尝试更安全的替代方案。这些自动化防护措施可以比完全中断或手动干预更有效地融入日常任务中,从而使GenAI的使用更安全,同时不影响生产力。

3. 确保策略执行的一致性

企业必须在任何工作发生的地方强制执行一套统一的数据保护策略,同时又不强迫团队放弃他们已依赖的工具。他们不应“拆除并替换”已建立起来的工具,因为这会严重破坏生产力。相反,他们应该建立统一的策略,让这些策略跟随数据和用户跨越云存储、协作平台、SaaS应用程序和GenAI助手。这种一致性将降低风险和摩擦,使安全团队能够避免管理碎片化的控制措施,并使员工能够在可预测的防护范围内工作,而不是面对意外的禁令。最终,积极主动且一致的反应将比被动且碎片化的反应有效得多。

支持安全且可持续的采用

GenAI工具已迅速融入日常工作流程,组织不能再将其视为小众或实验性风险。它们既不能被忽视,也无法被彻底根除。相反,企业必须找到一条前进的道路,既能实现创新的AI使用,又能避免敏感数据在数据生态系统中以隐蔽、不受保护的方式流动。成功不会来自压制采用,而是通过在数据流动的任何地方,通过持续、情境感知且一致的数据保护,来安全地实现采用。

Related Topics:
mm

Jesse Grindeland offers over two decades of innovative leadership across global sales, channels, and market strategies, making him an accomplished industry leader in today’s evolving landscape. Currently serving as VP of Global Channels Alliances at Skyhigh Security, Jesse is driving the evolution of the company’s partner ecosystem, to accelerate market execution and customer success, globally. Jesse has previously held roles at Microsoft, VMware, and Zscaler, where he led global teams across marketing, sales, engineering, and alliances.