人工智能在工作场所的责任

关键要点

• 人工智能（AI）对IT的影响愈加显著，CISO需要对此负责。
• 一组CISO正在制定“快速指南”，帮助同行建立AI的基础使用标准。
• 企业对AI的态度各异，有的持观望态度，有的迫不及待希望采纳。
• 与会的专家们分享了他们对AI业务应用的看法和担忧。

随着人工智能（AI）在工作场所的影响愈发显著，责任迅速上升到首席信息安全官（CISO）的办公桌上。现如今，没有哪个网络安全战略能忽视这一技术所承诺的商业流程及其潜在的安全隐患。

为了帮助CISO更好地理解AI对IT的内部影响，一群CISO正在共同开发一份“快速指南”，旨在帮助同行们为将该技术整合到IT系统中建立基础参数。

“一些组织对AI的态度不一。有些组织在建立治理结构之前已经封锁了AI，而另一些则表示渴望赶上AI的潮流，并开始使用它，”
网络安全协作组织（Cybersecurity Collaborative）的内容与项目副总裁汤姆·斯库拉（Tom Scurrah）表示。

在2023年InfoSec世界大会上，斯库拉告诉与会者，AI的商业应用案例因公司的风险类型而异。因此，需要制定一份关于CISO使用AI的基本原则的通用指南的初稿。

分享舞台的还有来自CyberRisk Alliance的网络安全协作同行小组的成员，包括联想（Lenovo）的高级IT安全架构师杰森·莫滕森（JasonMortensen）、德克萨斯大学阿灵顿分校的CISO雪莉·尼范（Cheryl Nifong），以及LisataTherapeutics的CIO和CISO格雷格·伯金（Greg Berkin）。

这些专家是协作小组最近成立的AI安全工作组的成员。该倡议专注于与AI相关的CISO角色，帮助CISO了解AI基础知识，制定与AI相关的治理政策，并创建安全的AI操作环境。

除了为CISO提供的“快速指南”，该小组的任务还包括创建AI可接受使用策略、现有模型的安全控制、风险评估/控制检查表和董事会模板，所有这些都是为了使CISO的AI之旅更加确定。

以下是三位讨论小组成员关于AI商业应用的总结观点。

杰森·莫滕森：联想高级IT安全架构师

莫滕森表示，AI代表着联想的竞争优势。

“如果我们不使用AI，竞争对手就会使用，而我们就会被甩在后头，”莫滕森说道。他指出，安全团队必须充当支持者，并找到支持该技术的方法。而安全使用AI的一种方式是记录下任何使用类似ChatGPT程序的公司项目。

联想要求员工在使用AI时分享期望清单，内部分享开发的指南，并通过数字签名确认协议。

“这使我们能够理解员工使用AI的意图，并将他们与合适的安全人员和法律指导相匹配，”他说。“这也让我们在公司内有了更好的可视性。我们希望确保没有很多不同的人在解决同一个问题……或者希望他们能够一起协作。”

为了减少风险，另一项措施是禁止使用消费者级的工具版本，比如ChatGPT。“我们还有其他解决方案。我们引入了一些内部解决方案，还有AzureOpenAI服务，你实际上在使用GPT。但这是一个特定于组织的受限实例，”莫滕森解释道。

一个高度优先的关注点是数据外泄。“我不希望有人去免费的ChatGPT工具上说，‘这是我们未来八个季度的公司战略。给我总结一下我们怎么做到这一点’——而这些现在都在外面，”莫滕森表示。联想还非常关注版权侵权、第三方风险，以及确定输入数据到AI引擎中的员工是否确实有权访问这些数据。

雪莉·尼范：德克萨斯大学阿灵顿分校CISO

尼范表示，在大学环境中，已经不可能回到ChatGPT出现之前的日子。

尼范和大学CIO迪皮卡·查莱梅拉（Deepika Chalemela）成立了一个AI执行工作委员会，审查大学内AI的使用。其目标是制定AI控制和治理机制。

他表示，针对学生的AI政策很