Menjelang akhir tahun 2025, ada dua kenyataan tidak menyenangkan tentang AI yang perlu diperhatikan oleh setiap CISO.
Kebenaran #1: Setiap karyawan yang bisa menggunakan alat AI generatif untuk pekerjaan mereka. Meskipun perusahaan Anda tidak menyediakan rekening untuk mereka, meskipun kebijakan Anda melarangnya, meskipun karyawan tersebut harus membayar sendiri.
Wakil Presiden Produk di 1Password dan Pendiri Colloid.
Kebenaran #2: Setiap karyawan yang menggunakan AI generatif (atau mungkin sudah menggunakannya) akan memberikan informasi internal dan rahasia perusahaan kepada AI ini.
Meskipun Anda mungkin keberatan dengan penggunaan kata “setiap”, data konsensus dengan cepat bergerak ke arah ini. Menurut Microsoft, tiga perempat pekerja pengetahuan di dunia sudah menggunakan AI generatif dalam pekerjaannya pada tahun 2024, dan 78% dari mereka menggunakan alat AI mereka sendiri untuk bekerja.
Sementara itu, hampir sepertiga pengguna AI mengaku telah menempelkan konten sensitif ke chatbot publik; Dari jumlah tersebut, 14% mengaku sengaja membocorkan rahasia dagang perusahaan. Ancaman terbesar AI berkaitan dengan semakin melebarnya “kesenjangan akses-kepercayaan”.
Dalam kasus AI, hal ini mewakili perbedaan antara aplikasi bisnis yang disetujui namun dipercaya untuk mengakses data perusahaan dan semakin banyak aplikasi yang tidak tepercaya dan tidak dikelola yang mengakses data tersebut tanpa sepengetahuan tim TI atau keamanan.
Karyawan sebagai perangkat tanpa pengawasan
Pada dasarnya, karyawan menggunakan perangkat yang tidak diawasi, yang dapat menampung sejumlah aplikasi AI yang tidak diketahui, dan masing-masing aplikasi tersebut dapat menimbulkan banyak risiko terhadap data sensitif perusahaan.
Dengan mengingat fakta-fakta ini, mari kita pertimbangkan dua perusahaan hipotetis dan penggunaan AI mereka: kita akan menyebutnya Perusahaan A dan Perusahaan B.
Baik di Perusahaan A dan B, perwakilan pengembangan bisnis mengambil tangkapan layar Salesforce dan mengirimkannya ke AI untuk membuat email keluar yang sempurna untuk prospek berikutnya.
Para CEO menggunakannya untuk mempercepat uji tuntas terhadap target akuisisi baru-baru ini yang sedang dinegosiasikan. Tenaga penjualan melakukan streaming audio dan video dari panggilan penjualan ke aplikasi AI untuk mendapatkan pelatihan yang dipersonalisasi dan penanganan keberatan. Operasi Produk mengunggah lembar Excel berisi data penggunaan produk terkini dengan harapan menemukan wawasan penting yang terlewatkan oleh orang lain.
Untuk Perusahaan A, skenario di atas menunjukkan laporan cemerlang kepada dewan direksi tentang kemajuan inisiatif AI internal perusahaan. Bagi Perusahaan B, situasi ini menunjukkan daftar pelanggaran kebijakan yang serius, beberapa di antaranya menimbulkan konsekuensi hukum dan privasi yang serius.
Perbedaannya? Perusahaan A telah mengembangkan dan meluncurkan rencana pemberdayaan AI dan model tata kelolanya, dan Perusahaan B masih memperdebatkan apa yang harus dilakukan terhadap AI.
Tata Kelola AI: Dari “Apa” menjadi “Bagaimana” dalam Enam Pertanyaan
Sederhananya, organisasi tidak bisa menunggu lebih lama lagi untuk menangani tata kelola AI. “Laporan Biaya Pelanggaran Data” IBM pada tahun 2025 menggarisbawahi dampak dari kegagalan mengendalikan dan mengamankan AI dengan benar: 97% organisasi yang mengalami pelanggaran terkait AI tidak memiliki kontrol akses AI.
Jadi sekarang, tugasnya adalah merancang rencana yang mendukung AI yang mendorong penggunaan produktif dan mencegah perilaku ceroboh. Untuk memahami seperti apa pemberdayaan yang aman dalam praktiknya, saya memulai setiap lokakarya dewan dengan enam pertanyaan:
1. Kasus Penggunaan Bisnis Manakah yang Layak Mendapatkan Tenaga Kuda AI? Pikirkan kasus penggunaan khusus untuk AI, seperti “menyusun buletin kerentanan zero-day” atau “meringkas laporan pendapatan”. Fokus pada hasil, bukan hanya menggunakan AI untuk kepentingannya sendiri.
2. Alat pemeriksaan apa yang akan kami sediakan? Carilah alat AI yang diawasi dengan kontrol keamanan dasar, seperti tingkat perusahaan, yang tidak menggunakan data perusahaan untuk melatih model mereka.
3. Di mana kita bisa mendapatkan akun AI pribadi? Formalisasikan aturan untuk menggunakan AI pribadi pada laptop bisnis, perangkat pribadi, dan perangkat kontraktor.
4. Bagaimana kita melindungi data pelanggan dan menghormati setiap klausul kontrak sambil memanfaatkan AI? Memetakan masukan model terhadap kewajiban kerahasiaan dan peraturan daerah.
5. Bagaimana cara kami mendeteksi aplikasi web AI jahat, aplikasi asli, dan plugin browser? Carilah penggunaan shadow AI dengan memanfaatkan agen keamanan, log CASB, dan alat yang menyediakan ekstensi objek kaya dan plugin di browser dan editor kode.
6. Bagaimana kita mengajarkan kebijakan sebelum kesalahan terjadi? Setelah Anda memiliki kebijakan, secara proaktif latih karyawan mengenai kebijakan tersebut; Pagar pembatas tidak ada gunanya jika tidak ada yang melihatnya sampai wawancara keluar.
Jawaban Anda terhadap setiap pertanyaan akan bervariasi berdasarkan selera risiko Anda, namun keselarasan antara tim hukum, produk, SDM, dan keamanan tidak boleh dinegosiasikan.
Pada dasarnya, mengurangi kesenjangan akses-kepercayaan mengharuskan tim memahami dan mengaktifkan penggunaan aplikasi AI tepercaya di perusahaan mereka, sehingga karyawan tidak terdorong untuk menggunakan aplikasi yang tidak tepercaya dan tidak dipantau.
Tata kelola yang belajar sambil bekerja
Setelah Anda meluncurkan kebijakan, gunakan kebijakan tersebut seperti tumpukan kontrol lainnya: ukur, laporkan, sempurnakan. Bagian dari rencana yang kompeten adalah merayakan kemenangan dan visibilitas yang menyertainya.
Seiring dengan berkembangnya pemahaman Anda tentang penggunaan AI di organisasi Anda, Anda harus meninjau kembali rencana ini dan terus menyempurnakannya dengan pemangku kepentingan yang sama.
Sebuah pemikiran penutup untuk ruang rapat
Bayangkan kembali pertengahan tahun 2000-an, ketika SaaS memasuki perusahaan melalui laporan pengeluaran dan pelacak proyek. TI mencoba memasukkan domain yang tidak dikenal ke dalam daftar hitam, menunda pembiayaan spread kartu kredit, dan secara hukum bertanya-tanya apakah data pelanggan ada di “komputer orang lain”. Pada akhirnya, kami menerima bahwa tempat kerja telah berkembang, dan SaaS menjadi penting bagi bisnis modern.
AI generatif mengikuti lintasan yang sama dengan kecepatan lima kali lipat. Pemimpin yang mengingat kurva pembelajaran SaaS akan mengenali polanya: mengambil kendali sejak dini, mengukur secara konsisten, dan mengubah eksperimen pasar abu-abu kemarin menjadi keunggulan kompetitif di masa depan.
Lihat daftar perangkat lunak manajemen karyawan terbaik kami.
