商业与技术洞察公司Gartner调查显示,在中国,人工智能(AI)的快速采用,正以史无前例的速度改变着业务运营。中国数字工作者采用AI工具的速度远快于其全球同行。因此,关于AI使用的决策正日益去中心化,这将发生在企业机构的各个层面,而不仅仅是在IT或网络安全部门内部。
网络安全防护措施的发展速度赶不上AI的快速发展步伐,导致网络安全有效性出现差距。Gartner于近日发布企业需关注的三大要务,以应对三大治理挑战,从而弥合这一差距并保障AI创新。
扩展网络安全意识和培训计划,将AI风险和场景纳入考虑
在启动任何AI网络安全培训之前,首席信息官(CIO)及其网络安全团队必须首先了解,企业机构各部门员工与AI技术的互动方式以及他们所面临的威胁。应开展AI用例发现计划,以识别出最有可能使用生成式AI工具的员工及其处理的数据类型,以及可能使企业机构暴露于数据泄露、提示注入或合规违规等威胁之下的员工行为方式。网络安全、人力资源、合规和各业务部门领导应充分协作,以绘制企业机构各部门的AI用例图。
Gartner研究总监于淼表示:“除了扩展基于计算机的传统网络安全培训以纳入AI主题培训模块之外,将微学习和即时 (JIT)提示嵌入到日常工作流程中,也是一种提供及时和有针对性的指导、减轻AI相关网络风险的高效方式。”
复用创新治理能力和发现工具,以识别影子AI风险
积极研究影子AI在企业内部的使用方式,有助于CIO及其网络安全团队培养安全、负责任的 AI驱动型创新文化。企业应实施发现、清点和指导影子AI使用的计划,而不是依赖于颁布限制性禁令,因为这往往会迫使风险行为变得更加难以察觉。
Gartner高级研究总监赵宇表示:“CIO及其网络安全团队没必要另起炉灶,进行重复性建设,而是应复用已经以某种形式存在的AI资产清单和可见性来增强网络安全监督,以提升工作的有效性。将AI创新作为优先任务的企业机构通常已经在使用集中式平台,对照AI战略目标来跟踪AI用例、项目或模型。”
采用基于风险的分层治理方法,以平衡风险与敏捷性
企业机构应首先更新和增强其现有的网络风险评估方法,以应对AI特定问题,而不是创建一个独立的重复框架。由于许多基础风险评估方法、流程和标准同时适用于AI和传统IT系统,因此可将AI考虑因素纳入现有实践,以确保一致、全面的风险覆盖,同时避免不必要的复杂性。
Gartner研究总监于淼表示:“AI风险评估与传统IT风险评估的不同之处在于,前者着眼于具体用例,而不是仅仅关注底层系统、模型或技术。尽管传统的网络安全风险评估通常在资产或应用层面进行,但AI风险评估必须虑及AI部署方式和部署地点,以及受影响的人员及其决策的潜在后果。这意味着风险评估应纳入用例特定因素,包括自主程度,并重新校准风险评分模型,从而为AI特定因素赋予适当的权重。在关键领域(例如医疗保健、金融)中的高度自主AI系统,即使技术漏洞风险较低,也可能需要更高的风险评级。”
