Wat is AI-governance?
Wat vind je hier?
- 1. Waarom is AI-governance belangrijk voor moderne ondernemingen?
- 2. Welke risico's helpt AI-governance te verminderen?
- 3. Kernfuncties van een AI-governanceprogramma
- 4. Implementatie van AI-governance in de praktijk
- 5. Wat is een AI-governancekader?
- 6. Hoe moeten organisaties de opties voor AI-governancecertificering evalueren?
- 7. Hoe AI-governance zich verhoudt tot SASE-beleidscontroles?
- 8. Veelgestelde vragen over AI-governance
- 9. AI-governance en de rol ervan in veilige bedrijfsvoering
AI-governance is een set van beleidslijnen, procedures en controles die zijn ontworpen om het gebruik van AI door een organisatie en de blootstelling aan bijbehorende risico’s te beheren. Hoewel AI een nuttige technologie is, brengt het verschillende risico’s voor het bedrijf met zich mee, zoals de mogelijkheid van datalekken of AI-hallucinaties die bedrijfsprocessen schaden.
Naarmate bedrijven afhankelijker worden van AI, is AI-governance cruciaal om de blootstelling aan beveiligingsrisico’s te beheren en te zorgen voor naleving van regelgeving. Naast beleidslijnen en procedures vereist een effectief AI-governanceprogramma technische controles om administratieve beleidslijnen en procedures af te dwingen.
Waarom is AI-governance belangrijk voor moderne ondernemingen?
De meeste moderne ondernemingen verkennen het potentieel van AI om bedrijfsprocessen te verbeteren. Met de opkomst van agentische AI omvat dit het vertrouwen op AI-agenten om autonoom te opereren, met weinig of geen menselijke supervisie. Dit introduceert aanzienlijke risico’s voor het bedrijf als AI-agenten fouten maken of bedrijfsbeleid schenden.
Bovendien betekent de groeiende integratie van AI in SaaS-oplossingen dat werknemers mogelijk ongeautoriseerde AI-oplossingen voor zakelijke doeleinden gebruiken. Deze schaduw-AI creëert het potentieel voor datalekken en andere AI-gerelateerde bedreigingen als een organisatie geen zicht heeft op en controle heeft over dit gebruik van AI.
AI-governance is essentieel om ervoor te zorgen dat het gebruik van AI is afgestemd op de behoeften van het bedrijf, de doelstellingen voor bedrijfsbeveiliging en de nalevingsvereisten. Ondernemingen moeten AI-specifieke beleidslijnen definiëren voor Secure Access Service Edge (SASE), Secure Web Gateway (SWG), Data Loss Prevention (DLP), Cloud Access Security Broker (CASB), en Zero Trust Network Access (ZTNA) om deze vereisten af te dwingen.
Welke risico’s helpt AI-governance te verminderen?
AI-tools kunnen verschillende risico’s voor het bedrijf introduceren met betrekking tot operaties, beveiliging en andere factoren. Enkele van de meest significante bedreigingen die een volwassen AI-governanceprogramma kan verminderen, zijn:
- Onnauwkeurige output: AI-tools kunnen onjuiste output produceren of ‘hallucinerend’ zijn door onvolledige of onjuiste trainingsdata. AI-governance kan helpen om hallucinaties te identificeren en hun effecten te beheren.
- Datalek: AI-tools met toegang tot gevoelige gegevens kunnen deze op verschillende manieren onthullen aan ongeautoriseerde derden. Gegevensbeveiligingsmaatregelen zijn essentieel om de gegevens die toegankelijk zijn voor AI te beheren en wat het met deze informatie doet.
- Schaduw-AI Ongeautoriseerd gebruik van AI-tools kan gevoelige informatie buiten de controle van het bedrijf brengen. AI-governanceprogramma’s kunnen helpen bij het detecteren en voorkomen van het gebruik van niet-goedgekeurde AI-tools.
- Misbruik van AI: Aanvallers of kwaadwillende insiders met toegang tot AI-tools kunnen deze gebruiken om gevoelige informatie te verzamelen of deze te beschadigen om schade aan het bedrijf te veroorzaken. Het monitoren en controleren van invoer naar AI-systemen kan beschermen tegen promptinjectie en misbruik van AI.
Kernfuncties van een AI-governanceprogramma
Een AI-governanceprogramma is ontworpen om de belangrijkste risico’s te identificeren en aan te pakken die samenhangen met het gebruik van AI door een organisatie. Dit omvat alles, van het beslissen welke gegevens aan een AI-model moeten worden gevoed tot het beheren van het gebruik van AI-ondersteunde tools in de onderneming en het waarborgen van de naleving van gegevensbeschermingsregels. Het bereiken van deze doelen is een meerfasen, continu proces, aangezien het gebruik van AI door een organisatie en de bijbehorende risico’s evolueren, en de beleidslijnen en procedures volwassener worden.
Beleidsontwikkeling en risicobeheersing
Bedrijfspolicies voor AI-governance moeten beleidslijnen definiëren die de verschillende aspecten van hun AI-operaties beheren. Enkele belangrijke beleidslijnen zijn:
- Aanvaardbaar gebruik van AI-tools
- Toegangscontrolebeleid voor AI-agenten
- Beperkingen voor gegevensverwerking en -deling voor AI
Deze beleidslijnen zullen waarschijnlijk in de loop van de tijd evolueren en moeten de regels voor interne versus externe tools specificeren. Bijvoorbeeld, een interne LLM die binnen het bedrijfsnetwerk opereert, kan meer toegang tot gevoelige informatie krijgen dan ChatGPT en andere AI-tools van derden.
Monitoring en toezicht op gebruik
Monitoring en zichtbaarheid van het gebruik van AI zijn essentieel voor gegevensbeveiliging en naleving van regelgeving. Als AI-systemen toegang krijgen tot beschermde informatie, moet de organisatie in staat zijn te verifiëren dat deze gegevens op de juiste manier worden gebruikt en beveiligd.
Belangrijke elementen van een AI-monitoringsprogramma zijn:
- Netwerkt hulpmiddelen om het gebruik van goedgekeurde en niet-goedgekeurde AI-tools te identificeren
- Zichtbaarheidstools voor gegevensbeveiliging om te monitoren op gevoelige gegevens die in en uit AI-tools stromen
- Het loggen van AI-sessies en het uitvoeren van beoordelingen van AI-interacties
- Rapporteren van het algehele gebruik van AI en verdachte interacties
Continue monitoring is essentieel om de potentiële beveiligingsbedreigingen die het gebruik van AI met zich meebrengt te beheren. Zodra er een datalek heeft plaatsgevonden of een AI-agent een fout maakt in een kritieke workflow, kan het te laat zijn om de schade te herstellen.
Implementatie van AI-governance in de praktijk
AI-governance wordt doorgaans geïmplementeerd via een iteratief proces, waarbij de organisatie nieuwe beleidslijnen en controles creëert naarmate het programma vordert of het gebruik van AI evolueert. Bijvoorbeeld, een organisatie kan aanvankelijk beleidslijnen definiëren die het gebruik van bepaalde AI-tools blokkeren en deze later bijwerken om hun gebruik met bepaalde beperkingen toe te staan.
Deze beleidslijnen moeten worden geïmplementeerd via samenwerking tussen beveiligings-, juridische-, IT- en compliance-teams. Dit zorgt ervoor dat de beleidslijnen voldoen aan de verschillende behoeften van de organisatie – bescherming tegen cyberaanvallen, juridische risico’s en niet-naleving – terwijl ze ook effectief handhaafbaar zijn. Beleidslijnen en controles moeten ook regelmatig worden herzien en bijgewerkt om hun effectiviteit te waarborgen en voortdurende verbeteringen uit te voeren.
Gedefinieerde goedgekeurde en beperkte AI-tools
Naarmate AI steeds meer wordt geïntegreerd in SaaS-oplossingen en andere software, moeten ondernemingen beslissen welke tools zijn toegestaan en welke zijn verboden. Deze beslissingen moeten gebaseerd zijn op een beoordeling van het risico dat met de tool is verbonden, in balans met de potentiële zakelijke voordelen die het biedt. Bijvoorbeeld, als een organisatie een SaaS-tool op zijn privécloud implementeert, vertegenwoordigt dit een heel andere risicopropositie dan een vergelijkbare tool die door een derde partij wordt beheerd. Interne tools kunnen meer vertrouwd zijn en toegang krijgen tot een breder scala aan gevoelige gegevens.
Zelfs na het sanctioneren van een bepaald hulpmiddel, moet een organisatie de toegang ervan controleren. Het definiëren van onboardingprocessen, acceptabel gebruik en gegevensverwerkingsbeleid biedt broodnodige zichtbaarheid en controle voor het gebruik van AI.
Beheer van gegevensaccesso en classificatieregels
Gegevenslekken en misbruik zijn een groot risico dat samenhangt met het gebruik van AI. Gegevens kunnen per ongeluk worden blootgesteld aan ongeautoriseerde derden of op manieren worden gebruikt die de gegevens, het bedrijf of zijn klanten in gevaar brengen.
Gegevensclassificatie en verwerkingsbeleid moeten gebaseerd zijn op de gevoeligheid die samenhangt met de gegevens. Bijvoorbeeld, een organisatie kan de meeste PII verbieden om door AI te worden verwerkt, maar interne tools toegang geven tot klantnamen en adressen. Echter, alle externe AI-systemen kunnen verboden zijn om toegang te krijgen tot PII om risico’s van datalekken en niet-naleving van regelgeving te beheersen.
Wat is een AI-governancekader?
AI-governancekaders zoals het NIST AI Risk Management Framework (RMF) zijn ontworpen om organisaties te helpen beleid en controles te creëren om hun AI-risico-exposure te beheren. Deze kaders dekken belangrijke componenten van AI-governance – verantwoordelijkheid, transparantie, beveiliging en toezicht – en beschrijven hoe organisaties hun programma’s kunnen creëren en ontwikkelen. Door programma’s op te bouwen met behulp van deze kaders, kunnen organisaties ook de naleving vereenvoudigen door regelgevende vereisten in kaart te brengen met controles binnen het kader.
Belangrijke elementen die in gemeenschappelijke kaders worden aangetroffen
AI-governancekaders kunnen verschillende doelen hebben en een verscheidenheid aan elementen omvatten. Enkele van de meest significante zijn:
- Modeldocumentatie: Modeldocumentatie beschrijft het gebruikte model, de trainingsgegevens en andere factoren ter ondersteuning van controleerbaarheid en verantwoordelijkheid.
- Biasevaluatie: Biasevaluaties proberen vooroordelen te identificeren die in een model kunnen bestaan door hun aanwezigheid in trainingsgegevens.
- Uitlegbaarheid: Uitlegbaarheid verwijst naar het vermogen om te begrijpen hoe een AI-model tot een beslissing is gekomen, wat de detectie van vooringenomenheid en fouten ondersteunt.
- Gegevenscontroles: Gegevenscontroles beperken de informatie die beschikbaar is voor een AI-systeem om de privacy en veiligheid van gegevens te beschermen.
- Impactbeoordelingen: Impactbeoordelingen bepalen de potentiële effecten van het inzetten van een AI-model op het bedrijf, klanten en de samenleving, zodat eventuele schade kan worden beheerd.
- Monitoring van modelverschuiving: Monitoring van modelverschuiving werkt om veranderingen in de prestaties van een model in de loop van de tijd te detecteren op basis van de blootstelling aan aanvullende gegevens en continue training.
- Documentatie van training: Documentatie van training biedt inzicht in hoe het model is gemaakt en ondersteunt auditing en naleving.
- Inferentieprocedures: Inferentieprocedures leggen uit hoe een model invoer verwerkt om uitvoer te genereren, wat nuttig is voor het evalueren van de betrouwbaarheid voor productiegebruik.
Hoe moeten organisaties de opties voor AI-governancecertificering evalueren?
AI-governancecertificeringen valideren de effectiviteit van de AI-governancebeleid van een organisatie. Deze certificeringen kunnen om verschillende redenen nuttig zijn, zoals naleving van regelgeving of het opbouwen van vertrouwen bij klanten en partners.
Bij het evalueren van AI-governancecertificeringen zijn de belangrijkste factoren om te overwegen:
- Reikwijdte en frequentie van audits
- Niveau van strengheid
- Afstemming op interne beleidslijnen
- Afstemming op wettelijke vereisten (GDPR, PCI DSS, enz.)
Hoe AI-governance zich verhoudt tot SASE-beleidscontroles?
AI-governanceprogramma’s hebben beperkte effectiviteit als beleid niet wordt afgedwongen via technische controles. SASE-architecturen zijn bij uitstek geschikt voor de handhaving van AI-beleid vanwege hun diepe en uitgebreide zichtbaarheid over het netwerkverkeer van een organisatie en de interactie met SaaS-oplossingen en andere programma’s.
Rol van SWG in AI-toezicht
SWG’s helpen organisaties om het webverkeer van gebruikers te monitoren en de beveiligingsbeleid van het bedrijf af te dwingen. Deze controles kunnen worden uitgebreid om AI-governance te ondersteunen door inhoud die naar en van AI-tools stroomt te inspecteren op gegevensexfiltratie, promptinjectie en andere bedreigingen. Deze zichtbaarheid in webgebaseerde bronnen biedt kritische controle over het groeiende gebruik van AI-ondersteunde SaaS-tools.
Rol van DLP in het Voorkomen van Gegevenslekken
Data loss prevention (DLP)-tools zijn ontworpen om het delen van gevoelige gegevens met ongeautoriseerde ontvangers te identificeren en te blokkeren. Met de opkomst van AI breidt het gebruik van DLP zich uit om het delen van gevoelige gegevens met AI-tools of het exfiltreren door AI-agenten te beperken. Hoewel DLP promptinjectie en soortgelijke risico’s niet kan beheren, kan het de impact ervan verminderen door de toegang tot gevoelige gegevens te controleren.
Identificeren van Shadow AI-tools
Shadow AI is een groeiende bedreiging met de proliferatie van SaaS-tools, browsergebaseerde apps, ongeautoriseerde browserextensies en andere onbeheerde AI-tools. Vaak hebben organisaties zonder een volwassen AI-governanceprogramma geen zicht op deze oplossingen, waardoor ze worden blootgesteld aan gegevensverlies en andere bedreigingen. Door het gebruik van ongeautoriseerde AI-apps te monitoren, kunnen organisaties hun gebruik blokkeren of beperken in overeenstemming met het bedrijfsbeleid.
Veelgestelde vragen over AI-governance
Wat is het doel van AI-governance?
AI-governance is ontworpen om de risico’s van AI-gebruik voor beveiliging, compliance en operaties te beheren. Een AI-governanceprogramma beheert het gebruik van AI en de gegevens die erin en eruit stromen om de belangrijkste AI-risico’s voor het bedrijf te mitigeren.
Wat is een AI-governancekader?
Een AI-governancekader is een hulpmiddel dat is ontworpen om organisaties te helpen hun eigen AI-governanceprogramma’s te ontwikkelen die voldoen aan beveiligings- en compliance-eisen. Een voorbeeld is het NIST AI Risk Management Framework (AI RMF), dat beveiligingsbest practices voor het beheer van AI-systemen beschrijft.
Hoe vermindert AI-governance het risico van Shadow AI?
Shadow AI is voornamelijk een risico wanneer een organisatie geen zicht heeft op en controle over ongeautoriseerd gebruik van AI-ondersteunde tools. AI-governance biedt de mogelijkheid om ongeautoriseerd AI-gebruik te detecteren en bedrijfs-AI-beleid af te dwingen om AI-gebruik in overeenstemming te brengen met bedrijfsbeleid.
Wie is verantwoordelijk voor AI-governance in een onderneming?
De verantwoordelijkheid voor AI-governance is verspreid over de organisatie, aangezien AI het bedrijf op verschillende manieren in gevaar kan brengen. Bijvoorbeeld, AI kan het risico van cyberaanvallen, rechtszaken of niet-naleving van regelgeving introduceren. Om deze reden wordt AI-governance het beste geïmplementeerd via een cross-functionele raad, inclusief de teams voor beveiliging, IT, juridische zaken en compliance, die ervoor zorgt dat AI-beleid en -controles voldoen aan de behoeften van alle delen van het bedrijf.
Is AI-governance vereist voor naleving van regelgeving?
Hoewel regelgeving mogelijk niet expliciet AI-governance vereist, is het vaak impliciet vereist door gegevensbeschermingswetten zoals de AVG en regelgeving zoals NIS2. Dit komt omdat AI-tools gevoelige gegevens in gevaar kunnen brengen van blootstelling, beschermd gegevens onjuist kunnen gebruiken of falen kunnen veroorzaken die de werking van kernsystemen beïnvloeden. AI-governanceprogramma’s kunnen helpen om te zorgen voor naleving van de vereisten van deze regelgeving.
AI-governance en de rol ervan in veilige bedrijfsvoering
Naarmate bedrijven afhankelijker worden van AI, door het toegang te geven tot gevoelige gegevens en kritieke workflows, is AI-governance essentieel. Het vroeg definiëren en handhaven van AI-governancebeleid helpt organisaties om het risico van kostbare incidenten te verminderen en een programma te implementeren dat kan opschalen en in de loop van de tijd kan rijpen.
Bij het creëren van een AI-governance is het van vitaal belang om ervoor te zorgen dat beleid en procedures worden ondersteund en afgedwongen door technische controles. Anders kunnen Shadow AI en aanvallers in staat zijn om beleid te schenden of te omzeilen om hun doelen te bereiken ten koste van de beveiliging en naleving van de organisatie.
SASE-oplossingen zijn hier bij uitstek geschikt voor, aangezien SWG-, DLP- en aanvaloppervlakzichtbaarheidcontroles kunnen worden uitgebreid om ook AI-bedreigingen en -oplossingen te dekken. Het implementeren van deze mogelijkheden als onderdeel van een geconvergeerd beveiligingsplatform met diepgaand zicht op al het WAN-verkeer helpt ook om zichtbaarheidsgaten te elimineren en het beheer te vereenvoudigen.
This page was machine-translated. If you notice any inaccuracies or have feedback, please feel free to send it to us here.