Într-o perioadă în care utilizarea AI a devenit o modă și chiar, în anumite organizații, o necesitate; cei care administrează sistemele de securitate trebuie să devină experți în riscuri, profesori, cercetători, administratori de date și multe altele.
Iată cum o organizația va putea utiliza, în siguranță, dar și eficient AI.
Atunci când a apărut ChatGPT, în ianuarie 2023, pentru multe organizații existau deja implementate măsuri de securitate, care acopereau, în mare, cerințele de securitate AI. Dar, AI a dus, printre multe alte vulnerabilități, la o extindere masivă a suprafeței de atac, mai ales în zona de parteneri de business, dar și în lanțul de aprovizionare software. Adică o vizibilitate limitată și multe unghiuri moarte.
Ei bine, ce ar trebui să facă organizațiile care doresc, totuși, să utilizeze beneficiile AI?
Alegeți un framework de administrare
Acest model ar trebuie să înceapă cu alinierea echipelor ce gestionează procese de business, cu echipele care gestionează procese tehnologice; având ca scop comun continuitatea afacerii.
Pentru asta, organizația ar trebui să educe liderii din organizație, dar și să adapteze procesele organizaționale, cu scopul de a stabili un cadrul organizațional bazat pe AI, care să susțină cerințele de business si capacitățile tehnice. Adică un cadru de business bazat pe ciclul PDCA, de la concepție până la producție, având incluse aspecte etice, politici și proceduri de utilizarea acceptabilă, transparență, conformitate cu cerințe legale și de reglementare, dar și parametrii de performanță.
Ei bine, ați putea începe cu implementare unui sistem de management bazat pe ISO/IEC 42001:2023. Dar, dacă doriți să asigurați că vă îmbunătățiți organizația, pentru a fi pregătită în utilizarea AI, ați putea începe prin alinierea cu cerințele legale ( EU AI ACT – REGULATION (EU) 2024/1689, GDPR, HIPAA, etc), recomandările etice ale celor de la UNESCO (Recommendation on the Ethics of Artificial Intelligence) privind etica inteligenței artificiale, după care vă asigurați că aveți un sistem de management îmbunătăți cel puțin pe baza:
- NIST AI Risk Management Framework,
- ISO/IEC 27001:2002,
- ISO/IEC 23894:2023,
- ISO/IEC 27005:2022,
- ISO/ IEC 42005:2025
- ISO 9001:2015 ( dacă intrați sub incidența EU AI ACT).
Implementați un proces de gestionare a riscurilor privind utilizarea AI
Gestionarea riscurilor AI, la nivel de organizație, ar trebui să înceapă cu un inventar al activelor informaționale și AI, după care, identificate care sunt cele mai bune metode de gestionare a vulnerabilităților și expuneri, iar la final se completează un registru de risc AI.
Pe măsură ce aplicațiile AI se extind la terți, organizația va avea nevoie de auditarea sistemelor AI ale terților, a controalelor de securitate AI, etc. Iar toate acestea vor fi realizate ținând cont și de cerințele legale și de reglementare, dar și de cerințele părților interne și externe.
Reevaluați definiția integrității informațiilor
In lumea securității informației, integritatea datelor s-a concentrat pe probleme precum modificările neautorizate ale datelor și consecvența datelor. Adică triada CIA a securității informației. Aceste protecții sunt încă necesare, dar organizația ar trebui să-și extindă domeniul de aplicare pentru a include integritatea datelor și veridicitatea modelelor AI în sine.
Conștientizare în cadrul organizației
Fiecare angajat, fiecare manager, partener, furnizor și client va lucra cu AI. Tocmai din acest motiv, instruirea periodică și conștientizarea cu privire la securitatea informației trebuie să conțină și o instruire fundamentală despre prelucrarea datelor utilizând AI. Instruirea utilizatorilor finali ar trebui să includă, printre altele, utilizarea acceptabilă, manipularea datelor, dezinformarea și instruirea deepfake.
Rămâneți optimiști cu privire la tehnologiile AI, dar pregătiți-vă pentru a vă securiza organizația
Astăzi, foarte multe organizații dar și utilizatori, folosesc tehnologia AI ca și un asistent al activităților curente. Dar, cu toate acestea, utilizarea AI va deveni o activitatea integrată în activitățile noastre curente, fapt care va duce la o expunerea masivă a organizaților la amenințările rezultate din utilizarea AI.
De aceea, organizațiile ar trebui să integreze personalul propriu în metodele de apărare, cum ar fi calificarea alertelor, identificarea amenințărilor, evaluarea riscurilor, raportarea evenimentelor și incidentelor; adică organizația va trebui să se asigure că are stabilite rolurile și transmise responsabilitățile, cu privire la utilizarea AI, respectiv să identifice modul în care AI este utilizată pentru reglarea și optimizarea tehnologiei existente. Iar pe baza acestor elemente identificate, să îmbunătățească măsurile actuale de securitate, pentru a fi pregătite să protejeze organizația de vulnerabilitățile ce pot fi introduse de tehnologiile AI, dar și să poată răspundă eficient la amenințările ce pot rezulta din utilizarea AI.
Concluzie
Pentru ca o organizație să fie pregătită de viitor, va fi forțată de clienți și concurență să utilizeze, sub o formă sau alta, tehnologiile AI. Pentru ca totuși, organizația să se protejeze, va trebui să respecte cerințele legale, actuale și viitoare, fapt care va duce la îmbunătățirea măsurilor de securitate existente, dar și creșterea costurilor, dat fiind faptul că funcționalitățile AI vor fi livrate sub formă de funcții suplimentare pachetelor software sau platformelor IT existente.
Iar ca și cireașa de pe tort, dacă organizația dumneavoastră intră sub incidența EU AI ACT, aveți riscul de fi amendați cu amenzi de 3% din cifra de afaceri globală sau 15 milioane de euro.
