Nu we het einde van 2025 naderen, zijn er twee ongemakkelijke waarheden over AI die elke CISO dicht bij het hart moet houden.
Waarheid nr. 1: Iedere medewerker die dat kan, maakt gebruik van de generatieve methode Hulpmiddelen voor kunstmatige intelligentie voor hun werk. Zelfs als uw bedrijf hen geen account verstrekt, zelfs als uw beleid dit verbiedt, zelfs als de werknemer uit eigen zak moet betalen.
Vice-president Product bij 1Password en oprichter van Kolide.
Waarheid #2: Elke medewerker die generatieve AI gebruikt, zal (of heeft waarschijnlijk al) deze AI voorzien van interne en vertrouwelijke bedrijfsinformatie.
Hoewel u misschien bezwaar maakt tegen mijn gebruik van ‘alles’, gaan de consensusgegevens snel in deze richting. Seconde Microsoftin 2024 maakte driekwart van de kenniswerkers op de planeet al gebruik van generatieve AI op het werk, en 78% van hen gebruikte hun eigen AI-instrumenten.
Ondertussen geeft bijna een derde van alle AI-gebruikers toe gevoelig materiaal openbaar te maken chatbots; Van hen geeft 14% toe vrijwillig bedrijfsgeheimen openbaar te hebben gemaakt. De grootste bedreiging voor AI betreft een algehele uitbreiding van de ‘toegangsvertrouwenskloof’.
In het geval van AI verwijst dit naar het verschil tussen de goedgekeurde zakelijke apps vertrouwd om toegang te krijgen tot bedrijfsgegevens en het groeiende aantal niet-vertrouwde en onbeheerde apps die toegang hebben tot die gegevens zonder medeweten van IT- of beveiligingsteams.
Werknemers als niet-gecontroleerde apparaten
In wezen gebruiken werknemers niet-gecontroleerde apparaten, die een groot aantal onbekende AI-apps kunnen bevatten, en elk van deze apps kan veel risico’s met zich meebrengen voor gevoelige bedrijfsgegevens.
Laten we, met deze feiten in gedachten, eens kijken naar twee fictieve bedrijven en hun gebruik van AI: we noemen ze Bedrijf A en Bedrijf B.
In zowel bedrijf A als bedrijf B maken vertegenwoordigers van de bedrijfsontwikkeling screenshots van Salesforce en voer ze door naar kunstmatige intelligentie om de perfecte outbound te creëren e-mail op zoek naar hun volgende potentiële doelwit.
CEO’s gebruiken het om het due diligence-onderzoek naar recente overnamedoelstellingen waarover wordt onderhandeld, te versnellen. Verkoop vertegenwoordigers streamen audio en video van verkoopgesprekken naar AI-apps voor gepersonaliseerde coaching en bezwaarafhandeling. Bewerkingen worden op het product geladen Excel werkbladen met recente productgebruiksgegevens in de hoop de belangrijkste informatie te vinden die alle anderen hebben gemist.
Voor bedrijf A vertegenwoordigt het bovenstaande scenario een positief rapport aan de raad van bestuur over de voortgang van de interne AI-initiatieven van het bedrijf. Voor bedrijf B vertegenwoordigt het scenario een schokkende lijst van ernstige beleidsschendingen, waarvan sommige ernstige juridische en privacygevolgen hebben.
Het verschil? Bedrijf A heeft zijn AI-enablementplan en bestuursmodel al ontwikkeld en geïmplementeerd, terwijl bedrijf B nog steeds aan het debatteren is over wat het met AI moet doen.
AI-governance: van ‘als’ naar ‘hoe’ in zes vragen
Simpel gezegd: organisaties kunnen het zich niet veroorloven nog langer te wachten om AI-governance onder de knie te krijgen. IBM’s ‘Cost of a Data Breach Report’ uit 2025 benadrukt de kosten die gepaard gaan met het niet adequaat beheren en beschermen van AI: 97% van de organisaties die te maken kregen met een AI-gerelateerde inbreuk beschikte niet over AI-toegangscontroles.
De taak is dus nu om een AI-enablementplan te creëren dat productief gebruik bevordert en roekeloos gedrag beperkt. Om te begrijpen hoe secure enablement er in de praktijk uit kan zien, begin ik elke boardworkshop met zes vragen:
1. Welke zakelijke use cases verdienen de kracht van AI? Denk na over specifieke gebruiksscenario’s voor AI, zoals ‘schrijf een zero-day kwetsbaarheidsbulletin’ of ‘vat een inkomstenoproep samen’. Focus op resultaten, niet alleen op het gebruik van AI op zich.
2. Welke geselecteerde tools gaan we inzetten? Zoek naar doorgelichte AI-tools met basisbeveiligingscontroles, zoals Enterprise-lagen die geen bedrijfsgegevens gebruiken om hun modellen te trainen.
3. Waar komen we bij persoonlijke AI-accounts? Formaliseer de regels voor het gebruik van persoonlijke AI zakelijke laptopspersoonlijke apparaten en apparaten van aannemers.
4. Hoe beschermen we klantgegevens en komen we elke contractclausule na, terwijl we gebruik maken van kunstmatige intelligentie? Breng modelinputs voor privacyverplichtingen en regionale regelgeving in kaart.
5. Hoe detecteer ik frauduleuze AI-webapps, native apps en browserplug-ins? Zoek naar schaduw-AI-gebruik door gebruik te maken van beveiligingsagenten, CASB-logboeken en tools die gedetailleerde inventarisuitbreidingen en plug-ins bieden in browsers en code-editors.
6. Hoe kunnen we de politiek onderwijzen voordat er fouten worden gemaakt? Zodra het beleid eenmaal is ingevoerd, traint u medewerkers er proactief op; vangrails zijn nutteloos als niemand ze ziet tot het exit-interview.
De antwoorden op elke vraag zullen variëren afhankelijk van uw risicobereidheid, maar de afstemming tussen juridische, product-, HR- en beveiligingsteams mag niet onderhandelbaar zijn.
Uiteindelijk vereist het dichten van de kloof tussen toegang en vertrouwen dat teams het gebruik van vertrouwde AI-apps in het hele bedrijf begrijpen en mogelijk maken, zodat werknemers niet worden gedwongen om onbetrouwbare, niet-gecontroleerde apps te gebruiken.
Een bestuur dat leert tijdens het werk
Als het beleid eenmaal is gelanceerd, behandel het dan net als elke andere controlestapel: meten, rapporteren, verfijnen. Onderdeel van een enablementplan is het vieren van overwinningen en de zichtbaarheid die daarmee gepaard gaat.
Naarmate uw begrip van het gebruik van AI in uw organisatie toeneemt, mag u verwachten dat u dit plan opnieuw zult bekijken en het voortdurend zult verfijnen met dezelfde belanghebbenden.
Een laatste gedachte voor de vergaderruimte
Denk eens terug aan het midden van de jaren 2000, toen SaaS de onderneming binnensloop via onkostendeclaraties en projecttrackers. IT probeerde ongecontroleerde domeinen op de zwarte lijst te zetten, de financiële sector verzette zich tegen de verspreiding van creditcards en de juridische afdeling vroeg zich af of klantgegevens op ‘de computer van iemand anders’ thuishoorden. Uiteindelijk accepteerden we dat de werkplek was geëvolueerd en dat SaaS essentieel was geworden voor het moderne bedrijfsleven.
Generatieve AI volgt hetzelfde traject met vijf keer de snelheid. Leiders die zich de SaaS-leercurve herinneren, zullen het patroon herkennen: bestuur vroeg, meet voortdurend en transformeer het grijze marktexperiment van gisteren in het concurrentievoordeel van morgen.
Bekijk onze lijst met de beste software voor personeelsbeheer.
