最基本的安全意識計劃會教育大眾如何識別外部人員和惡意分子通過釣魚、網絡攻擊、社交攻擊等手段盜取信息的威脅。 

但員工或用戶培訓必須增加對內部風險的關注，并且不能只進行一次，這必須是一項持續(xù)的努力。 

現(xiàn)在，隨著AI在軟件中的普及和GenAI的廣泛可用，確保提高認識的努力包括如何通過點擊鼠標來消除商業(yè)秘密保護比以往任何時候都更為重要。 

缺乏對數(shù)據(jù)、安全和隱私的保護將導致繼續(xù)出現(xiàn)收集用戶數(shù)據(jù)的情況，并將其放入數(shù)據(jù)湖中以訓練其AI引擎，同樣，像ChatGPT這樣的公開可用AI引擎本身也不免于遭到入侵。 

CISO應該審查美國政府的AI政策 

如果你需要一個更好處理數(shù)據(jù)的內部政策路線圖，請看看今年早些時候美國聯(lián)邦政府推出的主動措施，即管理和預算辦公室（OMB）關于聯(lián)邦機構使用AI的政策。 

這項OMB政策之所以顯著，是因為它是首個旨在限制AI風險的全國性政策，同時利用其優(yōu)勢，所有聯(lián)邦機構必須在2024年12月1日之前“在使用AI可能影響美國人權利或安全的情況下實施具體的保障措施”。 

各地的CISO都應認真研究這項OMB政策，將其與他們自己內部關于實施AI的政策（無論是內部還是外部）進行對比，并與供應商、合作伙伴和客戶的AI保護措施進行比較。 

OMB政策的實施將擴展到與政府合作且其解決方案中包含AI的實體。雖然其重點是保護個人權利和安全，但這些保障措施絕對包括對數(shù)據(jù)的保護，這正是CISO們可以從中汲取見解的地方。 

影子AI仍在系統(tǒng)中活躍 

我之前曾談到影子AI的現(xiàn)實情況，就像影子IT一樣，控制這些實例往往像試圖阻止水從堤壩溢出一樣困難——水總是會找到出路。 

我們都記得三星是最早通過實踐學習這一點的公司之一，當時他們的一名工程師將一個設計推送到Open AI的引擎中，意圖改進它，卻無意中暴露了商業(yè)秘密。 

毫無疑問，每位CISO都有關于員工將公司內部數(shù)據(jù)發(fā)送到AI工具中以進行優(yōu)化和改進的故事。 

實際上，在最近的RSA大會期間，我有多位高管提到過如何通過AI引擎查詢“Xyz Inc.計劃如何進入市場？”從而揭示營銷計劃的情況。AI引擎曾學習過這些內容，并在響應中展示出來——某人在某處將市場進入計劃加載到AI中進行優(yōu)化，而AI引擎將其吐了出來，對進行此類查詢的競爭對手來說，這是一筆意外之財。 

同樣，專業(yè)社交網絡如LinkedIn鼓勵個人突出他們正在從事的工作、研究內容、旅行地點以及團隊成員情況。 

從競爭情報的角度來看，分享的沖動直接為那些希望獲取相關實體信息的人填補了空白，如果分享的是尚未發(fā)布或私有的技術，商業(yè)秘密保護就不復存在，因為內容沒有得到充分保護。 

CISO們可以做些什么來傳達內部風險的相關信息？ 

解決方案并不復雜，但需要的不僅僅是向員工、承包商、合作伙伴和供應商發(fā)布公告或命令。 

Code42的CEO Joe Payne告訴我，公司在代碼外泄方面的下降約為32%，這歸因于實時培訓的積極效果。他補充說，培訓視頻提供了對觀察到的事件的清晰明確反饋，并以積極的方式進行，這有助于教育和威懾。 

雖然實施內部風險管理工具有助于增強知識產權的保護，防止泄露或盜竊，但培訓環(huán)節(jié)至關重要。 

此外，CISO需要深入了解他們希望阻止的行為背后的原因。為什么員工會將知識產權從受保護的環(huán)境轉移到未受保護或未批準的環(huán)境？是他們自己的主動行為嗎？還是他們的上級要求他們這樣做？ 

也許現(xiàn)有的工具不足以完成任務，而完成任務的壓力被認為比遵守規(guī)則更重要。 

所有這些都可能無意中使公司面臨更大的風險，而實時培訓和回頭獲取反饋可以為CISO提供必要的數(shù)據(jù)，以改善培訓環(huán)境，并在需要時通過聯(lián)系管理層鏈條，調整下屬的工作方向采取進一步行動。