Hoewel bedrijfsleiders wereldwijd AI willen omarmen om snel te innoveren, blijven robuuste beveiligingspraktijken achter. Er ontstaat een kloof tussen de CISO en de rest van het management.
Er ontstaat een kloof tussen de rol en de verantwoordelijkheid van de CISO enerzijds, en de AI-ambitie van de rest van het bedrijfsmanagement anderzijds. Dat blijkt uit een onderzoek van NTT Data, uitgevoerd bij 2.300 sensorprofielen inclusief 1.500 C-niveau managers in 34 landen.
Het onderzoek geeft aan dat 95 procent van de bevraagden generatieve AI als een innovatiemotor ziet. Daar handelen bedrijven naar: 99 procent plant verdere AI-investeringen. Veiligheid wordt daarbij in theorie niet vergeten: 94 procent investeert ook meer in security.
Brede kloof
In de praktijk hinkt de beveiliging echter achterop. Amper 24 procent van de bevraagde CISO’s denkt dat zijn organisatie een robuust framework heeft uitgewerkt dat de risico’s en de voordelen correct balanceert.
38 procent van hen denkt dat de GenAI-strategie effectief goed is afgestemd om de beveiligingsstrategie. De CEO’s zien het rooskleuriger: 51 procent denkt dat die balans wel snor zit.
De discrepantie tussen de optimistische blik van de CEO en de rest van de C-niveau-managers langs de ene kant, en de visie van de CISO langs de andere, is groot. 69 procent van de CISO’s geeft bijvoorbeeld aan dat hun team op dit moment onvoldoende vaardigheden heeft om de GenAI-uitdagingen tot een goed einde te brengen. Verder denkt maar 20 procent van de CEO’s dat de interne richtlijnen rond beleid en verantwoordelijkheid onduidelijk zijn, tegenover 54 procent van de CISO’s.
lees ook
‘Helft cybersecurityteams heeft niets in de pap te brokken bij AI-uitrol en -ontwikkeling’
Het hoeft dan niet te verwonderen dat 45 procent van de CISO’s uiteindelijk een negatief sentiment heeft rond GenAI. Ze voelen zich onder druk gezet, bedreigd en overweldigd. Bij bevraagden in een andere rol deelt slechts negentien procent die negatieve gevoelens.
Ingebouwde beveiliging
Het lijkt erop dat breed gedragen enthousiasme voor AI ervoor zorgt dat gekende fouten opnieuw worden gemaakt. Snelle implementatie zorgt voor minder adequate beveiliging. Toch moet ook bij AI beveiliging deel van het ontwerp en de implementatie zijn, vanaf het begin. Eerder onderzoek van ISACA toonde al aan dat zoiets al te vaak niet het geval is. De helft van de beveiligingsteams heeft niets in de pap te brokken bij de ontwikkeling van toepassingen.
Een uitgewerkt framework, rekening houdend met relevante wetgeving, is eveneens onontbeerlijk voor een structureel veilige uitrol van AI. Volgens het rapport is er op dat vlak nog veel werk aan de winkel, en alleszins meer dan de CEO denkt.