最基本的安全意識計劃會教育大眾如何識別外部人員和惡意分子通過釣魚、網絡攻擊、社交攻擊等手段盜取信息的威脅。
但員工或用戶培訓必須增加對內部風險的關注,并且不能只進行一次,這必須是一項持續的努力。
現在,隨著AI在軟件中的普及和GenAI的廣泛可用,確保提高認識的努力包括如何通過點擊鼠標來消除商業秘密保護比以往任何時候都更為重要。
缺乏對數據、安全和隱私的保護將導致繼續出現收集用戶數據的情況,并將其放入數據湖中以訓練其AI引擎,同樣,像ChatGPT這樣的公開可用AI引擎本身也不免于遭到入侵。
CISO應該審查美國政府的AI政策
如果你需要一個更好處理數據的內部政策路線圖,請看看今年早些時候美國聯邦政府推出的主動措施,即管理和預算辦公室(OMB)關于聯邦機構使用AI的政策。
這項OMB政策之所以顯著,是因為它是首個旨在限制AI風險的全國性政策,同時利用其優勢,所有聯邦機構必須在2024年12月1日之前“在使用AI可能影響美國人權利或安全的情況下實施具體的保障措施”。
各地的CISO都應認真研究這項OMB政策,將其與他們自己內部關于實施AI的政策(無論是內部還是外部)進行對比,并與供應商、合作伙伴和客戶的AI保護措施進行比較。
OMB政策的實施將擴展到與政府合作且其解決方案中包含AI的實體。雖然其重點是保護個人權利和安全,但這些保障措施絕對包括對數據的保護,這正是CISO們可以從中汲取見解的地方。
影子AI仍在系統中活躍
我之前曾談到影子AI的現實情況,就像影子IT一樣,控制這些實例往往像試圖阻止水從堤壩溢出一樣困難——水總是會找到出路。
我們都記得三星是最早通過實踐學習這一點的公司之一,當時他們的一名工程師將一個設計推送到Open AI的引擎中,意圖改進它,卻無意中暴露了商業秘密。
毫無疑問,每位CISO都有關于員工將公司內部數據發送到AI工具中以進行優化和改進的故事。
實際上,在最近的RSA大會期間,我有多位高管提到過如何通過AI引擎查詢“Xyz Inc.計劃如何進入市場?”從而揭示營銷計劃的情況。AI引擎曾學習過這些內容,并在響應中展示出來——某人在某處將市場進入計劃加載到AI中進行優化,而AI引擎將其吐了出來,對進行此類查詢的競爭對手來說,這是一筆意外之財。
同樣,專業社交網絡如LinkedIn鼓勵個人突出他們正在從事的工作、研究內容、旅行地點以及團隊成員情況。
從競爭情報的角度來看,分享的沖動直接為那些希望獲取相關實體信息的人填補了空白,如果分享的是尚未發布或私有的技術,商業秘密保護就不復存在,因為內容沒有得到充分保護。
CISO們可以做些什么來傳達內部風險的相關信息?
解決方案并不復雜,但需要的不僅僅是向員工、承包商、合作伙伴和供應商發布公告或命令。
Code42的CEO Joe Payne告訴我,公司在代碼外泄方面的下降約為32%,這歸因于實時培訓的積極效果。他補充說,培訓視頻提供了對觀察到的事件的清晰明確反饋,并以積極的方式進行,這有助于教育和威懾。
雖然實施內部風險管理工具有助于增強知識產權的保護,防止泄露或盜竊,但培訓環節至關重要。
此外,CISO需要深入了解他們希望阻止的行為背后的原因。為什么員工會將知識產權從受保護的環境轉移到未受保護或未批準的環境?是他們自己的主動行為嗎?還是他們的上級要求他們這樣做?
也許現有的工具不足以完成任務,而完成任務的壓力被認為比遵守規則更重要。
所有這些都可能無意中使公司面臨更大的風險,而實時培訓和回頭獲取反饋可以為CISO提供必要的數據,以改善培訓環境,并在需要時通過聯系管理層鏈條,調整下屬的工作方向采取進一步行動。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號