Senior executives gebruiken in toenemende mate ongeautoriseerde AI-tools, wat een groeiend probleem vormt voor informatiebeveiliging. Uit een onderzoek van Microsoft-partner TrustedTech blijkt dat bijna twee derde van de senior beslissers deze zogenoemde shadow AI toepast, tegenover slechts 31 procent van de medewerkers op lager niveau. Dit gebeurt ondanks dat driekwart van de werknemers zich bewust is van de beveiligings- en privacyrisico’s die hiermee gepaard gaan.
TrustedTech stelt in een whitepaper dat gebruikers van shadow AI zich bewust zijn van de risico’s, maar deze bewust negeren. Het probleem ligt volgens hen niet bij training, maar bij cultuur, incentives en het ontbreken van goede alternatieven. Vaak ontbreekt het aan goedgekeurde AI-tools die voldoen aan de wensen van gebruikers. Mensen kiezen daarom voor shadow AI omdat de beschikbare, goedgekeurde tools minder effectief zijn of helemaal niet bestaan. Dit verandert pas wanneer de officiële tools daadwerkelijk bruikbaar zijn.
Het gebruik van shadow AI door CEO’s en andere topbestuurders brengt extra uitdagingen met zich mee voor CISOs en CIOs. Zij hebben vaak niet de autoriteit om het gebruik van ongecontroleerde AI te verbieden, terwijl het bieden van geschikte AI-tools noodzakelijk is om shadow AI te voorkomen. Andy Nolan, VP technologie bij TrustedTech, benadrukt dat governance alleen werkt als het voorbeeld van bovenaf komt. Wanneer leiders de regels omzeilen, ontstaat het signaal dat snelheid belangrijker is dan beveiliging en compliance, wat het naleven van standaarden binnen de organisatie bemoeilijkt.
Daarnaast werken executives vaak met zeer gevoelige informatie, zoals financiële data, strategische plannen en klantgegevens. CISOs en CIOs kunnen niet simpelweg als AI-politie optreden, omdat hun rol is om innovatie veilig te faciliteren. Dit vereist afstemming binnen het bestuur, duidelijke governance en het aanbieden van veilige AI-tools die gebruikers daadwerkelijk willen gebruiken. Als het leiderschap deze aanpak omarmt, volgt de rest van de organisatie meestal vanzelf.
Amit Maloo, CISO bij AI-inkoopbedrijf Ivalua, stelt dat het gebruik van shadow AI door senior executives CISOs en CIOs in een onmogelijke positie plaatst. Zij zijn verantwoordelijk voor de risico’s, maar hebben geen zicht op het gebruik van ongecontroleerde AI. Beslissingen die met deze tools worden genomen, zoals financiële verplichtingen en contractbeoordelingen, laten geen auditspoor achter, wat risico’s vergroot.
Een deel van het probleem is dat goedgekeurde AI-tools vaak niet aansluiten bij de behoeften van gebruikers. Maloo benadrukt dat alleen beleid niet voldoende is; governance moet samengaan met gebruiksvriendelijkheid. Als officiële AI-tools niet snel genoeg meegaan met de bedrijfsvoering, zoeken medewerkers en leidinggevenden hun eigen oplossingen. Organisaties die het veiligste pad ook het makkelijkste maken, zullen succesvoller zijn. Meer regels en beperkingen vertragen shadow AI, maar stoppen het niet, vooral niet als gebruikers senior genoeg zijn om disciplinaire risico’s te dragen. CIOs kunnen beter focussen op het bieden van tools die volledige toegang geven tot benodigde systemen en data, zodat er geen keuze meer is tussen een capabele maar ongecontroleerde tool en een veilige maar beperkte optie.
Reacties
Geef een reactie
Vereiste velden zijn gemarkeerd met *