CISO保障AI业务安全的五个优先事项

安全领导者必须成为AI的保障倡导者、风险专家
、业务优先数据管理员 、安全教育者和研究者，事项以下是保障如何引领你的企业走向更安全、更有效的业务优先AI使用之路。

当ChatGPT首次问世时，安全我询问了一个由CISO组成的事项小组，这对他们的保障网络安全计划意味着什么 。他们认识到了即将到来的业务优先变化，云计算但回顾了过去的安全颠覆性技术，如iPods、事项Wi-Fi接入点和SaaS应用程序进入企业界的保障情况
。大家的业务优先共识是 ，安全AI将成为一个类似的安全颠覆者 ，因此他们认为80%(或更多)的AI安全要求已经到位 。诸如强大的资产清单、数据安全、身份治理、亿华云漏洞管理等安全基础，将作为AI网络安全的基础。

快进到2025年 ，我的CISO朋友们说得对——但又不完全对。确实 ，一个健全且全面的企业安全计划可以作为AI安全的锚点 ，但剩下的20%比最初想象的要更具挑战性。AI应用正在迅速扩大攻击面，同时还将攻击面扩展到第三方合作伙伴 ，以及深入到软件供应链内部
，香港云服务器这意味着有限的可见性和盲点。AI通常根植于开源和API连接性 ，因此可能到处都存在影子AI活动。最后，AI创新正在迅速推进，使得负担过重的安全团队难以跟上步伐。

除了AI的技术方面外  ，值得注意的是，许多AI项目最终都以失败告终。根据标准普尔全球市场情报(S&P Global Market Intelligence)的研究，高防服务器2025年有42%的企业关闭了大部分AI倡议(相比之下，2024年这一比例为17%)
。此外 ，近一半(46%)的企业在AI概念验证还未进入生产阶段就已叫停。

为什么这么多AI项目会失败?行业研究指出 ，成本 、数据质量差 、缺乏治理、人才缺口以及扩展问题等是主要原因。

随着项目的失败和一系列安全挑战的出现，企业在确保稳健的免费模板AI创新和安全战略方面有一长串且不断增长的任务清单。当我最近与我的CISO朋友们会面时，他们经常强调以下五个优先事项：

1. 以强大的治理模型为起点

需要明确的是
，我所说的不仅仅是技术或安全  。事实上，AI治理模型必须始于业务和技术团队之间就AI如何以及在哪里用于支持企业使命达成的一致。

为了实现这一点，CISO应与CIO合作 ，服务器租用对业务领导者以及法律、财务等业务职能部门进行教育，以建立一个支持业务需求和技术能力的AI框架，该框架应遵循从构思到生产的生命周期 ，并包括伦理考虑、可接受的使用政策、透明度 、监管合规性以及成功指标 。

在此过程中
，CISO应审查现有的框架  ，如NIST AI风险管理框架
、ISO/IEC 42001:2023、联合国教科文企业关于人工智能伦理的建议  ，以及RockCyber的RISE(研究
、实施 、维持 、评估)和CARE(创建、采用、运行、进化)框架。企业可能需要创建一个适合其特定需求的“最佳”框架 。

2. 全面且持续地了解AI风险

要掌握企业的AI风险，首先要从基础做起 ，如AI资产清单、软件物料清单 、漏洞和暴露管理最佳实践以及AI风险登记册。除了基础卫生外，CISO和安全专业人员必须了解AI特有的威胁，如模型中毒、数据推断 、提示注入等。威胁分析师需要跟上新兴的战术、技术和程序(TTP)  ，这些用于AI攻击 。MITRE ATLAS是一个很好的资源 。

随着AI应用扩展到第三方 ，CISO将需要对第三方数据、AI安全控制
、供应链安全等进行定制审计 。安全领导者还必须关注新兴且经常变化的AI法规。欧盟AI法案是目前最全面的 ，强调安全性 、透明度
、非歧视性和环境友好性。其他法规，如科罗拉多州人工智能法案(CAIA)，可能会随着消费者反应、企业经验和法律判例法的演变而迅速变化。CISO应预期其他州 、联邦 、地区和行业法规的出现
。

3. 关注不断发展的数据完整性定义

你可能会认为这是显而易见的，因为机密性、完整性和可用性构成了网络安全的CIA三要素 ，但在信息安全领域 ，数据完整性一直侧重于未经授权的数据修改和数据一致性等问题。这些保护措施仍然是必要的 ，但CISO应扩大其视野 
，以包括AI模型本身的数据完整性和真实性。

为了说明这一点，这里有一些著名的数据模型问题示例。亚马逊创建了一个AI招聘工具，以帮助其更好地筛选简历并选择最合格的候选人 。不幸的是
，该模型主要使用男性导向的数据进行训练，因此它歧视女性申请者。同样，当英国创建一个护照照片检查应用程序时，其模型是使用白皮肤的人进行训练的 ，因此它歧视深色皮肤的人。

AI模型的真实性不是CISSP认证的一部分，但CISO必须将其作为AI治理责任的一部分来掌握
。

4. 在所有层面追求AI素养

每个员工
、合作伙伴和客户都将在某种程度上与AI合作 ，因此AI素养是一个高度优先事项。CISO应从自己的部门开始  ，对整个安全团队进行AI基础知识培训。

已建立的软件安全开发生命周期(SDLC)应进行修订，以涵盖AI威胁建模、数据处理 、API安全等内容
。开发者还应接受AI开发最佳实践的培训，包括大型语言模型(LLM)的OWASP十大安全风险 、谷歌的安全AI框架(SAIF)以及云安全联盟(CSA)的指导。

最终用户培训应包括可接受的使用 、数据处理、错误信息和深度伪造培训 。来自Mimecast等供应商的人类风险管理(HRM)解决方案可能是跟上AI威胁并为不同个体和角色定制培训所必需的。

5. 对用于网络安全的AI技术保持谨慎乐观的态度

我会将今天的AI安全技术归类为更像是“驾驶员辅助”，如巡航控制，而非自动驾驶。尽管如此
，事情正在迅速推进。

CISO应要求其员工识别离散的任务 ，如警报分类、威胁狩猎 、风险评分和创建报告，在这些任务中他们可能需要一些帮助 
，然后开始研究这些领域的新兴安全创新。

同时，安全领导者应与领先的安全技术合作伙伴安排路线图会议 。参加这些会议时，要准备好讨论具体需求 ，而不是听那些不切实际的PowerPoint演示。CISO还应直接询问供应商AI将如何用于现有技术的调优和优化。创新正在不断涌现，因此我认为值得在现有合作伙伴、竞争对手和初创企业中广泛寻找 
。

然而，要小心谨慎，许多AI“产品”实际上只是产品功能，AI应用需要大量资源，且开发和运营成本高昂 。一些初创企业将被收购 ，但许多可能会迅速衰落。买家要当心!

未来的机遇

我将以一个预测来结束这篇文章 ，目前 ，约70%的CISO向CIO汇报工作，我相信
，随着AI的普及，CISO的汇报结构将迅速发生变化 ，更多地将直接向CEO汇报，那些在AI业务和技术治理中发挥领导作用的人很可能会成为首批被提拔的人 。

很赞哦!（8）