Banyak perusahaan dari berbagai industri mendorong karyawannya untuk pakai alat AI di tempat kerja. Para karyawan juga biasanya sangat semangat untuk memanfaatkan chatbot AI seperti ChatGPT. Sejauh ini, semua setuju, ya?
Namun ada satu masalah: Bagaimana cara perusahaan melindungi data sensitif perusahaan agar tidak disedot oleh alat-alat yang seharusnya meningkatkan produktivitas dan ROI? Soalnya, sangat menggoda untuk mengunggah informasi keuangan, data klien, kode rahasia, atau dokumen internal ke dalam chatbot atau alat coding AI favorit, untuk mendapatkan hasil yang cepat. Sebuah studi baru dari perusahaan keamanan data Varonis menemukan bahwa ‘shadow AI’—aplikasi AI generatif yang tidak disetujui—adalah ancaman besar untuk keamanan data. Alat-alat ini bisa melewati pengawasan IT perusahaan, yang bisa menyebabkan kebocoran data. Studi itu menemukan bahwa hampir semua perusahaan punya karyawan yang pakai aplikasi tidak resmi, dan hampir setengahnya punya karyawan yang pakai aplikasi AI yang dianggap berisiko tinggi.
Bagi para pemimpin keamanan informasi, salah satu tantangan utama adalah mengedukasi pekerja tentang apa saja risikonya dan apa yang perusahaan perlukan. Mereka harus memastikan bahwa karyawan paham jenis-jenis data yang ditangani perusahaan—mulai dari data perusahaan seperti dokumen internal, rencana strategis, dan catatan keuangan, hingga data pelanggan seperti nama, alamat email, detail pembayaran, dan pola penggunaan. Sangat penting juga untuk menjelaskan bagaimana setiap jenis data diklasifikasikan—misalnya, apakah data itu publik, hanya untuk internal, rahasia, atau sangat terbatas. Setelah dasar ini ada, kebijakan yang jelas dan batasan akses harus dibuat untuk melindungi data tersebut.
Mencari keseimbangan antara mendorong penggunaan AI dan membuat pagar pengaman
“Apa yang kita hadapi bukan masalah teknologi, tapi tantangan pengguna,” kata James Robinson, kepala petugas keamanan informasi di perusahaan keamanan data Netskope. Tujuannya, jelas dia, adalah memastikan karyawan menggunakan alat AI generatif dengan aman—tanpa membuat mereka takut untuk mengadopsi teknologi yang disetujui.
“Kita perlu memahami apa yang ingin dicapai oleh bisnis,” tambahnya. Daripada hanya bilang ke karyawan bahwa mereka melakukan kesalahan, tim keamanan harus berusaha memahami bagaimana orang menggunakan alat-alatnya, untuk memastikan kebijakannya sudah tepat—atau apakah perlu disesuaikan agar karyawan bisa berbagi informasi dengan tepat.
Jacob DePriest, kepala petugas keamanan informasi di penyedia perlindungan kata sandi 1Password, setuju. Dia bilang perusahaannya mencoba menciptakan keseimbangan dengan kebijakannya—untuk mendorong penggunaan AI dan juga mengedukasi agar pagar pengaman yang tepat tersedia.
Terkadang itu berarti melakukan penyesuaian. Misalnya, perusahaan itu merilis kebijakan tentang penggunaan AI yang dapat diterima tahun lalu, sebagai bagian dari pelatihan keamanan tahunan perusahaan. “Pada umumnya, temanya adalah ‘Tolong gunakan AI dengan bertanggung jawab; tolong fokus pada alat yang disetujui; dan ini adalah beberapa area penggunaan yang tidak bisa diterima.'” Tapi cara penulisannya membuat banyak karyawan jadi terlalu hati-hati, katanya.
“Itu masalah yang bagus, tapi para CISO tidak bisa hanya fokus pada keamanan saja,” katanya. “Kita harus memahami tujuan bisnis dan kemudian membantu perusahaan mencapai kedua-duanya, yaitu tujuan bisnis dan hasil keamanan. Saya pikir teknologi AI dalam dekade terakhir ini menyoroti kebutuhan akan keseimbangan itu. Jadi kami benar-benar mencoba mendekati ini secara beriringan antara keamanan dan mendukung produktivitas.”
Melarang alat AI untuk menghindari penyalahgunaan tidak bekerja
Tapi perusahaan yang pikir melarang alat tertentu adalah solusinya, harus pikir lagi. Brooke Johnson, Wakil Presiden Senior SDM dan keamanan di Ivanti, bilang perusahaannya menemukan bahwa di antara orang yang pakai AI generatif di kerja, hampir sepertiga menyembunyikan penggunaan AI mereka dari manajemen. “Mereka membagikan data perusahaan ke sistem yang belum diperiksa siapa-siapa, menjalankan permintaan melalui platform dengan kebijakan data yang tidak jelas, dan berpotensi membocorkan informasi sensitif,” katanya dalam sebuah pesan.
Naluri untuk melarang alat tertentu bisa dimengerti tapi salah, katanya. “Kamu tidak ingin karyawan jadi lebih jago menyembunyikan penggunaan AI; kamu ingin mereka transparan agar bisa dipantau dan diatur,” jelasnya. Itu artinya menerima kenyataan bahwa penggunaan AI tetap terjadi terlepas dari kebijakan, dan melakukan penilaian yang tepat tentang platform AI mana yang memenuhi standar keamanan kamu.
“Edukasi tim tentang risiko spesifik tanpa peringatan yang vague,” katanya. Bantu mereka memahami mengapa pagar pengaman tertentu ada, sarannya, sambil menekankan bahwa ini bukan untuk menghukum. “Ini tentang memastikan mereka bisa melakukan pekerjaannya dengan efisien, efektif, dan aman.”
AI otonom akan membuat tantangan baru untuk keamanan data
Pikir mengamankan data di era AI sudah rumit sekarang? AI agent akan membuatnya lebih menantang, kata DePriest.
“Untuk beroperasi dengan efektif, agen-agen ini butuh akses ke kredensial, token, dan identitas, dan mereka bisa bertindak atas nama seorang individu—mungkin mereka punya identitas sendiri,” katanya. “Contohnya, kita tidak ingin memfasilitasi situasi di mana seorang karyawan mungkin menyerahkan wewenang pengambilan keputusan kepada sebuah agen AI, yang bisa berdampak pada manusia.” Organisasi menginginkan alat untuk membantu memfasilitasi pembelajaran yang lebih cepat dan mensintesis data lebih cepat, tapi pada akhirnya, manusia yang harus bisa membuat keputusan kritis, jelasnya.
Apakah itu AI agent di masa depan atau alat AI generatif saat ini, menemukan keseimbangan yang tepat antara mendukung peningkatan produktivitas dan melakukannya dengan cara yang aman dan bertanggung jawab mungkin sulit. Tapi para ahli bilang setiap perusahaan menghadapi tantangan yang sama—dan mengatasinya akan menjadi cara terbaik untuk mengikuti gelombang AI. Risikonya nyata, tapi dengan kombinasi pendidikan, transparansi, dan pengawasan yang tepat, perusahaan bisa memanfaatkan kekuatan AI—tanpa menyerahkan kunci kerajaannya.
Jelajahi cerita lainnya dari Fortune AIQ, sebuah seri baru yang menceritakan bagaimana perusahaan-perusahaan di garis depan revolusi AI menghadapi dampak nyata teknologi ini.