Menjelang akhir tahun 2025, ada dua kebenaran yang tidak menyenangkan tentang AI yang perlu diingat oleh setiap CISO.
Kebenaran #1: Setiap karyawan yang bisa menggunakan generatif alat AI untuk pekerjaan mereka. Bahkan ketika perusahaan Anda tidak menyediakan rekening untuk mereka, bahkan ketika kebijakan Anda melarangnya, bahkan ketika karyawan tersebut harus membayar sendiri.
Wakil Presiden Produk di 1Password dan pendiri Kolide.
Kebenaran #2: Setiap karyawan yang menggunakan AI generatif akan (atau mungkin sudah) memberikan informasi internal dan rahasia perusahaan kepada AI ini.
Meskipun Anda mungkin keberatan dengan penggunaan kata “setiap”, data konsensus dengan cepat mengarah ke arah ini. Menurut MicrosoftPada tahun 2024, tiga perempat pekerja di bidang ilmu pengetahuan telah menggunakan AI generatif dalam pekerjaannya, dan 78% dari mereka menggunakan alat AI mereka sendiri untuk bekerja.
Sementara itu, hampir sepertiga pengguna AI mengakui bahwa mereka telah menempelkan materi sensitif ke publik chatbot; di antara mereka, 14% mengaku secara sukarela membocorkan rahasia dagang perusahaan. Ancaman terbesar AI berkaitan dengan perluasan “Kesenjangan Akses-Kepercayaan” secara keseluruhan.
Dalam kasus AI, ini mengacu pada perbedaan antara yang disetujui aplikasi bisnis yang dipercaya untuk mengakses data perusahaan dan semakin banyak aplikasi tidak tepercaya dan tidak dikelola yang memiliki akses ke data tersebut tanpa sepengetahuan tim TI atau keamanan.
Karyawan sebagai perangkat yang tidak diawasi
Pada dasarnya, karyawan menggunakan perangkat yang tidak diawasi, yang dapat menampung sejumlah aplikasi AI yang tidak diketahui, dan masing-masing aplikasi tersebut dapat menimbulkan banyak risiko terhadap data sensitif perusahaan.
Dengan mengingat fakta-fakta ini, mari kita pertimbangkan dua perusahaan fiktif dan penggunaan AI mereka: kita akan menyebutnya perusahaan A dan perusahaan B.
Baik di perusahaan A dan B, perwakilan pengembangan bisnis mengambil tangkapan layar Tenaga Penjualan dan memberikannya kepada AI untuk menciptakan outbound yang sempurna e-mail untuk target prospektif berikutnya.
Para CEO menggunakannya untuk mempercepat uji tuntas terhadap target akuisisi baru-baru ini yang sedang dinegosiasikan. Penjualan perwakilan melakukan streaming audio dan video dari panggilan penjualan ke aplikasi AI untuk mendapatkan pelatihan yang dipersonalisasi dan penanganan keberatan. Operasi produk sedang diunggah Unggul lembar dengan data penggunaan produk terkini dengan harapan menemukan wawasan penting yang terlewatkan oleh orang lain.
Untuk perusahaan A, skenario di atas mewakili laporan cemerlang kepada dewan direksi tentang kemajuan inisiatif AI internal perusahaan. Bagi perusahaan B, skenario ini mewakili daftar pelanggaran kebijakan serius yang mengejutkan, beberapa diantaranya menimbulkan konsekuensi serius terhadap privasi dan hukum.
Perbedaannya? Perusahaan A telah mengembangkan dan meluncurkan rencana pemberdayaan AI dan model tata kelolanya, dan Perusahaan B masih memperdebatkan apa yang harus dilakukan terhadap AI.
Tata Kelola AI: dari “apakah” hingga “bagaimana” dalam enam pertanyaan
Sederhananya, organisasi tidak bisa menunggu lebih lama lagi untuk menangani tata kelola AI. “Laporan Biaya Pelanggaran Data” IBM pada tahun 2025 menggarisbawahi kerugian akibat kegagalan mengatur dan mengamankan AI dengan benar: 97% organisasi yang mengalami pelanggaran terkait AI tidak memiliki kontrol akses AI.
Kini, tugasnya adalah menyusun rencana pemberdayaan AI yang mendorong penggunaan produktif dan membatasi perilaku sembrono. Agar dapat memahami seperti apa pemberdayaan yang aman dalam praktiknya, saya memulai setiap lokakarya dewan dengan enam pertanyaan:
1. Kasus penggunaan bisnis manakah yang layak mendapatkan tenaga AI? Pikirkan kasus penggunaan khusus untuk AI, seperti “menyusun buletin kerentanan zero-day” atau “meringkas laporan pendapatan”. Fokus pada hasil, bukan hanya penggunaan AI untuk kepentingannya sendiri.
2. Peralatan terverifikasi apa yang akan kami bagikan? Cari alat AI yang terverifikasi dengan kontrol keamanan dasar, seperti tingkat Perusahaan yang tidak menggunakan data perusahaan untuk melatih model mereka.
3. Di manakah kita bisa mengakses akun AI pribadi? Formalisasikan aturan untuk menggunakan AI pribadi laptop bisnisperangkat pribadi, dan perangkat kontraktor.
4. Bagaimana cara kami melindungi data pelanggan dan menghormati setiap klausul kontrak sambil tetap memanfaatkan AI? Memetakan masukan model terhadap kewajiban kerahasiaan dan peraturan daerah.
5. Bagaimana kita mengenali aplikasi web AI jahat, aplikasi asli, dan plugin browser? Carilah penggunaan shadow AI dengan memanfaatkan agen keamanan, log CASB, dan alat yang menyediakan ekstensi dan plugin inventaris terperinci ke dalam browser dan editor kode.
6. Bagaimana kita mengajarkan kebijakan sebelum kesalahan terjadi? Setelah Anda memiliki kebijakan, secara proaktif latih karyawan mengenai kebijakan tersebut; pagar pembatas tidak ada gunanya jika tidak ada yang melihatnya sampai wawancara keluar.
Jawaban Anda terhadap setiap pertanyaan akan bervariasi tergantung pada selera risiko Anda, namun keselarasan antara tim hukum, produk, SDM, dan keamanan tidak boleh dinegosiasikan.
Pada dasarnya, mempersempit Kesenjangan Akses-Kepercayaan mengharuskan tim memahami dan mengaktifkan penggunaan aplikasi AI tepercaya di seluruh perusahaan mereka, sehingga karyawan tidak terdorong untuk menggunakan aplikasi yang tidak dapat dipercaya dan tidak diawasi.
Tata kelola yang belajar sambil bekerja
Setelah Anda meluncurkan kebijakan, perlakukan kebijakan tersebut seperti tumpukan kontrol lainnya: Ukur, laporkan, sempurnakan. Bagian dari rencana pemberdayaan adalah merayakan kemenangan dan visibilitas yang menyertainya.
Seiring dengan berkembangnya pemahaman Anda tentang penggunaan AI di organisasi Anda, Anda harus meninjau kembali rencana ini dan menyempurnakannya dengan pemangku kepentingan yang sama secara terus menerus.
Sebuah pemikiran penutup untuk ruang rapat
Bayangkan kembali pertengahan tahun 2000-an, ketika SaaS menyusup ke dalam perusahaan melalui laporan pengeluaran dan pelacak proyek. TI mencoba memasukkan domain yang belum diperiksa ke dalam daftar hitam, bagian keuangan menolak keras penyebaran kartu kredit, dan bagian hukum bertanya-tanya apakah data pelanggan milik “komputer orang lain.” Pada akhirnya, kami menerima bahwa tempat kerja telah berevolusi, dan SaaS menjadi penting bagi bisnis modern.
AI generatif mengikuti lintasan yang sama dengan kecepatan lima kali lipat. Para pemimpin yang mengingat kurva pembelajaran SaaS akan mengenali polanya: Mengatur sejak dini, mengukur secara terus-menerus, dan mengubah eksperimen pasar abu-abu kemarin menjadi keunggulan kompetitif di masa depan.
Lihat daftar perangkat lunak manajemen karyawan terbaik kami.
