ابحث
إغلاق
نموذج الاتصال
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
رئيسي
>
لماذا يجب على مسؤولي أمن المعلومات تطوير قوة عاملة آمنة إلكترونيًا في عصر الذكاء الاصطناعي

لماذا يجب على مسؤولي أمن المعلومات تطوير قوة عاملة آمنة إلكترونيًا في عصر الذكاء الاصطناعي

باختصار:

  • إن المنظمات التي تعمل على توسيع نطاق حلول الذكاء الاصطناعي تخلق الكفاءة ولكنها تثير مخاوف تتعلق بالأمن السيبراني حيث يسيء الموظفون التعامل مع البيانات الحساسة ويقعون فريسة لعمليات الاحتيال المدعومة بالذكاء الاصطناعي.
  • أظهر استطلاع "مساند 2024" أن 80% من المشاركين يشعرون بالقلق بشأن دور الذكاء الاصطناعي في الهجمات الإلكترونية، وأن 39% يفتقرون إلى الثقة في الاستخدام المسؤول للذكاء الاصطناعي.
  • من بين مسؤولي أمن المعلومات، 64% غير راضين عن تبني القوى العاملة غير المتخصصة في تكنولوجيا المعلومات لأفضل ممارسات الأمن السيبراني، مما يؤكد الحاجة إلى تدريب أفضل للموظفين لتقليل المخاطر.


بعد أشهر من التجارب، تتحرك المؤسسات نحو تنفيذ حلول الذكاء الاصطناعي على نطاق واسع، كما أصبحت برامج المؤسسات التي تستخدمها بالفعل في سير العمل اليومي مدعومة بالذكاء الاصطناعي بشكل متزايد. وفي حين تأمل هذه المؤسسات في جني الأرباح في الكفاءة والإنتاجية والإبداع، فإن هذا التحول يتطلب توجيهًا دقيقًا للوظيفة السيبرانية.

وقد أبلغت الشركات بالفعل عن تحديات مع اندفاع موظفيها نحو الذكاء الاصطناعي. فقد أسقط الموظفون الملكية الفكرية الحساسة في نماذج الذكاء الاصطناعي الخارجية. وقد خُدِعوا من خلال عمليات التزييف العميق المدعومة بالذكاء الاصطناعي، كما حدث مع كبير مسؤولي المالية (CFO) الذي طلب تحويل الأموال كما ورد في JEDDAH 1. أعرب ما يقرب من 80٪ من المستجيبين لاستطلاع مسانيد للمخاطر البشرية في الأمن السيبراني لعام 2024 (عبر musanid.sa) عن قلقهم بشأن استخدام الذكاء الاصطناعي في تنفيذ الهجمات السيبرانية وقال 39٪ إنهم غير واثقين من معرفتهم بكيفية استخدام الذكاء الاصطناعي بشكل مسؤول.

إن الوعد الذي تقدمه الذكاء الاصطناعي المعاصر هو إضفاء الطابع الديمقراطي على الوصول إلى التحليلات المتقدمة عبر وحدات الأعمال والموظفين، بما يتجاوز بكثير حدود قسم تكنولوجيا المعلومات. ولكن هذا لا يؤدي إلا إلى تضخيم القلق القديم بين المتخصصين في مجال الأمن السيبراني بشأن ممارسات الأمن والوعي في القوى العاملة. وفقًا لتحليل مسانيد، فإن ما يقرب من 50٪ من الأدبيات حول إدارة الإنترنت في المنظمات تنطوي على التدريب والتعليم، وهو ما يشكل أكبر موضوع في هذا المجال. وعلاوة على ذلك، فإن 64٪ من كبار مسؤولي أمن المعلومات (CISOs) الذين استطلعت آراءهم منظمة مسانيد العالمية غير راضين عن تبني القوى العاملة غير المتخصصة في تكنولوجيا المعلومات لأفضل ممارسات الأمن السيبراني. كيف يمكن للمنظمات إعداد قوتها العاملة بشكل أفضل للمخاطر السيبرانية التي تأتي مع تبني الذكاء الاصطناعي المتقدم؟

تكنولوجيا أكثر أمانًا، وقوى عاملة أكثر أمانًا

إن الواجهات سهلة الاستخدام هي السمة المميزة للذكاء الاصطناعي المعاصر، حيث توفر للموظفين غير التقنيين القدرة على أداء تدفقات بيانات وتحليلات أكثر تقدمًا من خلال قنوات مثل الاستعلام باللغة الطبيعية. لكن هذه البساطة خادعة. تحت السطح تكمن تعقيدات البرامج وسلسلة التوريد التي تفتقر العديد من الشركات إلى الرؤية بشأنها، وخاصة في حلول الطرف الثاني أو الثالث أو الرابع. يحتاج المستخدمون إلى فهم كيفية استخدام البيانات، كما هو الحال في التدريب على النماذج، فضلاً عن المخاطر المحيطة بانتهاكات البيانات والتسرب.

ارتفعت كمية البيانات المؤسسية التي يرسلها الموظفون إلى برامج المحادثة الآلية بنحو خمسة أضعاف 2 من مارس 2023 إلى مارس 2024، وفقًا لدراسة أجريت على 3 ملايين عامل. ومن بين موظفي قطاع التكنولوجيا، تم تصنيف 27.4٪ من تلك البيانات على أنها حساسة، ارتفاعًا من 10.7٪ في العام السابق. وهذا يعرض المؤسسات لخطر أكبر من تسرب البيانات وتجاوز ضوابط الأمان والعمليات. تتزايد التهديدات عندما تصل حلول الذكاء الاصطناعي الأكثر قوة إلى المزيد من البيانات، حيث يحاول المطورون تطبيق الذكاء الاصطناعي على مجموعات البيانات التي لم يتم ترخيصها أو تصنيفها أو مصادقتها بعد، مما يؤدي إلى تضخيم أي نقاط ضعف في الممارسات والبروتوكولات الحالية.

إن الآثار المترتبة على استخدام الذكاء الاصطناعي في القوى العاملة الأوسع على الأمن السيبراني تؤكد على القلق القائم منذ فترة طويلة بين مسؤولي أمن المعلومات وفرقهم بشأن ضعف الالتزام ببروتوكولات الأمن السيبراني. ووفقًا لدراسة رؤى القيادة العالمية للأمن السيبراني لعام 2023 التي أجرتها مؤسسة Musanid، فإن 64% من مسؤولي أمن المعلومات غير راضين عن تبني القوى العاملة غير المتخصصة في تكنولوجيا المعلومات لممارسات الأمن السيبراني الرائدة. ومن بين المستجيبين، تم ذكر ضعف الامتثال للممارسات الرائدة الراسخة خارج قسم تكنولوجيا المعلومات باعتباره ثالث أكبر تحدٍ داخلي للأمن السيبراني واستمر تحديد الخطأ البشري باعتباره أحد العوامل الرئيسية التي تمكن الهجمات السيبرانية.

لقد عانت الشركات منذ فترة طويلة من ظاهرة "تكنولوجيا المعلومات الظلية"، حيث يتم تبني حلول البرمجيات بشكل غير رسمي وخارج أطر الحوكمة الراسخة. وتؤدي الذكاء الاصطناعي إلى تفاقم المشكلة مع وجود العديد من الأدوات والحلول المتاحة الآن للفرق، مع احتمال زيادة مخاطر تعرض البيانات والملكية الفكرية مع قيام الموظفين بإدخال معلومات أكثر حساسية في أنظمة الذكاء الاصطناعي، مثل تفاصيل العملاء السرية، ورمز المصدر ومواد البحث والتطوير. يحدث هذا وسط وتيرة محمومة بالفعل للمبادرات الرقمية، حيث يجب على الوظيفة السيبرانية أن توازن بعناية بين تقديم دعمها وخبرتها لتمكين التحول الرقمي دون ترك المنظمة معرضة للخطر.

كما يأتي هذا في وقت تتزايد فيه المخاوف التنظيمية، حيث تدرك الحكومات كيف يمكن للاختراقات السيبرانية أن تنتشر عبر الاقتصاد وتؤثر على البنية الأساسية الحيوية. وتعمل الهيئات التنظيمية على زيادة الالتزامات المحيطة بالإفصاح عن حوادث الأمن السيبراني، حيث يصبح المديرون التنفيذيون مسؤولين شخصيًا عن الفشل في بعض الحالات.

درع أقوى: نهج ثلاثي الأبعاد للتكنولوجيا والحوكمة والعمليات

في ظل الضغوط التنافسية على تبني الذكاء الاصطناعي، لا ينبغي للمؤسسات أن تسمح لحوكمة الأمن السيبراني بأن تصبح عائقًا أمام التقدم. وبدلاً من ذلك، تحتاج الوظيفة إلى نهج جديدة لدعم التسريع المسؤول.

لتعزيز قوة عاملة آمنة سيبرانية، تحتاج الوظيفة إلى رؤية واضحة لكيفية استخدام أدوات الذكاء الاصطناعي في جميع أنحاء الشركة، الأمر الذي يتطلب نهجًا ثلاثي الأبعاد يركز على التكنولوجيا والحوكمة والعمليات.

وعلى صعيد التكنولوجيا، تعمل شركات الأمن والشبكات بالفعل على تطوير حلول تمكن فرق الأمن السيبراني من اكتشاف متى يتم استخدام خدمات الذكاء الاصطناعي معينة، وتتبع تدفق البيانات وتسلسلها وأتمتة الامتثال من خلال الضوابط والاختبارات المشتركة. ويستفيد آخرون من البيانات الموجودة بالفعل في شبكة المؤسسة لمراقبة النشاط، مثل المستندات التي يتم تحميلها أو المطالبات المستخدمة في وظيفة ChatGPT. كما يتم دمج الذكاء الاصطناعي بشكل متزايد في عمليات إدارة الحوادث. لكن التكنولوجيا مكملة لتقييم أعمق لملف المخاطر الخاص بالشركة.

ينبغي لسياسة الأمن السيبراني أن تركز على نمذجة التهديدات منذ البداية، بما في ذلك جرد خدمات الذكاء الاصطناعي من الجهات الخارجية والرابعة، من الهندسة المعمارية والخدمة نفسها إلى التكاملات وواجهات برمجة التطبيقات المطلوبة. إن نمذجة هذه التهديدات في مجموعها تسمح للمؤسسات بقياس المخاطر وتحديدها وإعلام تصميم الضوابط المناسبة. تحتاج المؤسسات أيضًا إلى تحديد الإجراءات اللازمة لضمان حماية البيانات وأحكام الخصوصية في تطوير نماذج الذكاء الاصطناعي وتكون مسؤولة عن مخرجات خوارزمياتها. يجب أن يشمل هذا ليس فقط متطلبات الامتثال ولكن الاعتبارات الأخلاقية.

يجب أن يكون تقييم التهديدات مدعومًا بنظام تشغيلي فعال يمكن أن يتطور للتعامل مع ما هو في الأساس حلول الذكاء الاصطناعي ومجموعات البيانات "الحية" من خلال ضمان التحقق المستمر من البيانات وتصنيفها وتحديد نطاقها، بما في ذلك حساسية الوسم وأهمية البيانات. وقد وجد بحثنا أن بعض الشركات لديها ما لا يقل عن 20٪ من بياناتها مصنفة أو مصنفة. من الناحية الواقعية، يجب على الشركات إعطاء الأولوية للوسم والتحقق لبياناتها الأكثر أهمية وحساسية لضمان حصولها على الضمانات المناسبة لقضايا مثل الهوية وإدارة الوصول وتدفق البيانات والوصول إلى البيانات والنسب.

إن نمذجة التهديدات والوصول إليها أمران بالغي الأهمية لتنفيذ نموذج فعال لحوكمة الأمن السيبراني، ولكن يتعين على المنظمات أن تدرك خطر الوقوع في آليات الاستجابة القديمة وغير الفعّالة. ويتمثل أحد الأساليب في تعيين خبير في مجال الذكاء الاصطناعي في مجلس الإدارة لمدة ستة أشهر بالتناوب مع منحه القدرة على ابتكار نموذج حوكمة جديد، بما في ذلك التركيز على التعليم والتدريب. كما أن المساءلة مطلوبة لضمان توزيع المسؤولية عن حوكمة الذكاء الاصطناعي بشكل مناسب بما يغطي الحضانة والملكية والاستخدام.

من أجل الذكاء الاصطناعي، قوة عاملة مطلعة على الأمن السيبراني لمكافحة أخطاء الموظفين

في حين تهيمن محاولات اختراق الذكاء الاصطناعي الغريبة مثل طلبات التحويل المصرفي المزيفة من المدير المالي، فإن خطأ الموظف يظل أبرز نقاط الضعف بالنسبة لمعظم المنظمات. يشكل الذكاء الاصطناعي والأمن السيبراني ناقل تهديد جديد، ويتطلب ضوابط تمنع الموظفين غير المصرح لهم من الحصول عمدًا أو عن غير قصد على معلومات حساسة ربما لم يكن لديهم إمكانية الوصول إليها أو التفاعل معها من قبل. والواقع أن الوعد الكامل للذكاء الاصطناعي هو إعطاء الموظفين الفرصة للاستعلام واستخراج القيمة من المزيد من البيانات أكثر من ذي قبل. ولا يمكن تحقيق ذلك إلا إذا كان الحصول على الإرشادات السيبرانية بنفس السهولة بالنسبة لهم.

كانت إحدى السمات المشتركة للشركات الناجحة التي حللناها في دراستنا "رؤية القيادة العالمية للأمن السيبراني لعام 2023"، والتي أطلقنا عليها اسم "المبدعون الآمنون"، هي دمج الأمن السيبراني في جميع مستويات المنظمة، من كبار المسؤولين التنفيذيين إلى القوى العاملة على نطاق واسع. قال نصف قادة الأمن السيبراني فقط بشكل عام إن تدريبهم السيبراني فعال. هل يمكن للذكاء الاصطناعي نفسه تقديم أساليب اتصال سيبراني أكثر فعالية ومنح الموظفين الدعم الذي يسعون إليه؟

على سبيل المثال، يمكن لبرامج الدردشة الأكثر تطوراً وبديهية تقديم المشورة بشأن أسئلة الموظفين حول البيانات الحساسة أو المقيدة، مما يقلل بدوره من الإجهاد الذي تعاني منه فرق الأمن السيبراني التي تستجيب للاستفسارات والإحباط الذي يعاني منه الموظفون الذين يخوضون في مستندات السياسة الطويلة والمعقدة. يمكن أن يؤدي تنفيذ آليات التحكم والاستعلام السهل إلى تقليل مخاطر تكنولوجيا المعلومات الخفية مثل إسقاط البيانات الحساسة أو الملكية الفكرية أو المواد المقيدة في نماذج الذكاء الاصطناعي.

وعندما يكون ذلك مناسبا، فإن استخدام الألعاب في التدريب السيبراني لتحسين الثقافة الرقمية لجذب الطبيعة التنافسية للناس وإشراكهم في برامج التدريب القائمة على التعلم والمكافأة يمكن أن يحسن كل من المشاركة والاهتمام. وهذا أمر بالغ الأهمية بشكل خاص للتواصل بشأن مخاطر نماذج الذكاء الاصطناعي التي تتجاوز الأساليب التقليدية مثل التصيد عبر البريد الإلكتروني، مثل التزييف العميق والوسائط الاصطناعية. وتسلط مثل هذه الحلول الضوء على الطرق الإيجابية العديدة التي يمكن أن تساعد بها التكنولوجيا نفسها في معالجة تحديات الأمن السيبراني المتزايدة.

مديرو البيانات الرئيسيون ومراكز التميز وأنماط التصميم

ولكي نضمن الأمن السيبراني في عصر الذكاء الاصطناعي، لا يكفي الاعتماد على التدريب والتكنولوجيا؛ بل يتعين علينا أن نسعى إلى إعادة تصميم المؤسسات، وخطوط الإبلاغ الجديدة والعمليات للسماح بمستويات معقولة من التبني وتجنب التعامل مع المخاطر السيبرانية في كل حالة على حدة. ولا ينبغي لبروتوكولات الحوكمة أن تصبح وسيلة لتجميد نشاط الذكاء الاصطناعي بشكل غير ملائم. وبدلاً من ذلك، تحتاج الشركات إلى تعديل وإعادة تصور المؤسسات والتقارير القيادية في بعض الأحيان من أجل خلق الحوافز والهياكل المناسبة.

على سبيل المثال، كان رؤساء البيانات يميلون إلى التركيز على تسخير البيانات لتحقيق قيمة الأعمال، مع تكامل أقل مع وظيفة التكنولوجيا وتقاطع أضعف مع وحدة الأمن السيبراني ومسؤولي أمن المعلومات. يجب أن يتغير هذا في عصر الذكاء الاصطناعي، عندما تكون هناك حاجة إلى عدسة الأمن السيبراني من خلال دورة حياة إدارة البيانات مع زيادة إمكانية استخدام البيانات في العمل. يجب على رؤساء البيانات التركيز بشكل أكبر على حوكمة البيانات والجودة والخصوصية، وهناك الآن مجموعة أوسع من المهارات مطلوبة في الفريق التنفيذي للأمن السيبراني ككل.

إن نطاق المهارات المطلوبة في الوظائف اليوم يتوسع في عدة اتجاهات في وقت واحد. وهنا، نستعرض بعضًا من العديد من الملامح التنفيذية للأمن السيبراني التي ظهرت في السنوات الأخيرة. وأفضل نهج هو بناء فريق يوازن بين مجموعة من التخصصات الواسعة، مع فهم أن لكل منها نقاط قوتها ونقاط ضعفها.

ملخص

تواجه المنظمات مخاطر سيبرانية متزايدة مع تكامل الذكاء الاصطناعي، مما يتطلب نهجًا متعدد الجوانب للأمن السيبراني. يجب أن تتطور استراتيجيات التدريب والحوكمة والتشغيل لمعالجة تعقيدات الذكاء الاصطناعي، وضمان الاستخدام المسؤول وحماية البيانات القوية. تبرز مراكز التميز كعنصر محوري في تنظيم تبني الذكاء الاصطناعي الآمن والتخفيف من ظواهر تكنولوجيا المعلومات الخفية.