和所有與技術(shù)相關(guān)的事情一樣�,影子IT也在不斷演變。
影子IT不再只是處理某個員工特定需求的SaaS應(yīng)用程序或是銷售人員為了隨時訪問工作文件偷偷使用的個人黑莓手機�。如今����,影子IT更可能涉及AI,因為員工在未經(jīng)IT部門知曉或許可的情況下測試各種AI工具�����。
根據(jù)數(shù)據(jù)保護軟件制造商Cyberhaven的研究�����,影子AI的數(shù)量驚人���。根據(jù)其2024年春季的AI采用和風險報告���,74%的ChatGPT在工作中的使用是通過非公司賬戶進行的,94%的Google Gemini使用是通過非公司賬戶進行的���,Bard的使用率則達到了96%�����。結(jié)果是�,未經(jīng)授權(quán)的AI正在吞噬公司的數(shù)據(jù)����,因為員工將法律文件����、人力資源數(shù)據(jù)�����、源代碼和其他敏感的公司信息輸入到未經(jīng)IT部門批準的AI工具中�。
研究公司Gartner的副總裁分析師Arun Chandrasekaran表示���,影子AI幾乎是不可避免的�。員工對AI工具充滿好奇�����,認為它們可以減輕繁重的工作并提高生產(chǎn)力�。有些人想要掌握這些工具的使用,以避免被技術(shù)淘汰���,還有一些人已經(jīng)習慣于在個人任務(wù)中使用AI��,現(xiàn)在希望在工作中也能使用這項技術(shù)����。
會出現(xiàn)什么問題?
這些理由似乎合理,Chandrasekaran承認���,但它們并不能證明影子AI給企業(yè)帶來的風險是合理的����。
“大多數(shù)企業(yè)希望避免影子AI�����,因為風險巨大���。”他說�。
例如���,Chandrasekaran說�����,很有可能會暴露敏感數(shù)據(jù)��,并且專有數(shù)據(jù)可能會幫助AI模型(特別是開源模型)變得更智能����,從而幫助可能使用相同模型的競爭對手。
與此同時���,許多員工缺乏有效使用AI所需的技能�,這進一步提高了風險水平����。他們可能沒有足夠的技能向AI模型提供正確的數(shù)據(jù)以生成高質(zhì)量的輸出�,或者沒有足夠的技能輸入正確的提示以產(chǎn)生最佳的輸出,也無法驗證輸出的準確性����。例如,員工可以使用GenAI創(chuàng)建計算機代碼�����,但如果他們不理解代碼的語法或邏輯���,就無法有效檢查代碼中的問題�。“這可能是相當有害的��。”Chandrasekaran說。
與此同時����,影子AI可能會在員工之間引發(fā)混亂,因為秘密使用AI的員工可能會比那些沒有引入這種工具的員工擁有不公平的優(yōu)勢����。“雖然這還不是一個主導(dǎo)趨勢,但這是我們在與企業(yè)領(lǐng)導(dǎo)者的討論中聽到的一個擔憂��。”Chandrasekaran說�����。
影子AI還可能引發(fā)法律問題��。例如���,未經(jīng)批準的AI可能非法訪問了他人的知識產(chǎn)權(quán)��,使企業(yè)需要為侵權(quán)行為負責�����,它可能引入偏見的結(jié)果�,違反反歧視法和公司政策,或者它可能產(chǎn)生錯誤的輸出并傳遞給客戶和客戶��,這些情況都可能給企業(yè)帶來責任��,使其需要對造成的任何違反或損害負責�����。
事實上���,當AI系統(tǒng)失敗時�����,企業(yè)已經(jīng)在面臨后果。舉個例子:2024年2月����,加拿大一個法庭裁定,加拿大航空公司因其AI聊天機器人向消費者提供了錯誤信息而需承擔責任���。
在該案件中���,聊天機器人是一種經(jīng)過批準的技術(shù)����,IT領(lǐng)導(dǎo)者表示���,這恰恰說明即使是官方的技術(shù)也存在很高的風險�,為什么還要通過放任影子IT不受控制來增加更多風險呢?
防止災(zāi)難的10種方法
就像過去的影子IT一樣���,沒有一種一勞永逸的解決方案可以防止未經(jīng)批準的AI技術(shù)的使用或其可能帶來的后果����。
然而���,CIO可以采取各種策略來幫助消除未經(jīng)批準的AI的使用����,防止災(zāi)難�,并在出現(xiàn)問題時限制影響范圍。以下是IT領(lǐng)導(dǎo)者分享的CIO可以采取的10種方法���。
1. 制定AI使用規(guī)范
第一步是與其他高管合作制定AI使用規(guī)范�����,明確說明何時���、何地以及如何使用AI�����,并重申企業(yè)對未經(jīng)IT批準的技術(shù)使用的整體禁止����,Wells Fargo隱私合規(guī)執(zhí)行董事兼非營利治理協(xié)會ISACA新興趨勢工作組成員David Kuo說�����,這聽起來很明顯���,但大多數(shù)企業(yè)尚未制定這一規(guī)范。根據(jù)ISACA在2024年3月對3270名數(shù)字信任專業(yè)人士的調(diào)查�,只有15%的企業(yè)有AI政策(即使70%的受訪者表示他們的員工使用AI,60%的受訪者表示員工使用GenAI)�����。
2. 提高對風險和后果的認識
Kuo承認第1步的局限性:“你可以制定一個使用規(guī)范��,但人們總會違反規(guī)則。”所以要警告他們可能發(fā)生的事情����。
“必須在整個企業(yè)內(nèi)提高對AI風險的認識,CIO需要更積極地解釋風險并在整個組織內(nèi)傳播這些風險的認識��。”全球?qū)I(yè)服務(wù)和解決方案公司Genpact的AI/ML服務(wù)全球負責人Sreekanth Menon說���。概述與AI相關(guān)的風險以及未經(jīng)批準使用該技術(shù)所帶來的更高風險���。
Kuo補充道:“這不能是一次性的培訓,也不能只是說‘不要這樣做’��。你必須教育你的員工����。告訴他們可能會遇到的問題以及他們不當行為的后果。”
3. 管理預(yù)期
盡管AI的采用率在迅速上升�,但研究表明,企業(yè)領(lǐng)導(dǎo)者對利用智能技術(shù)的信心在下降����,領(lǐng)導(dǎo)力咨詢公司Russell Reynolds Associates的全球AI實踐負責人Fawad Bajwa說。Bajwa認為���,信心下降部分是由于對AI的期望與實際能力之間的不匹配��。
他建議CIO們教育員工在哪些地方����、何時、如何以及在多大程度上AI可以提供價值�����。
“在企業(yè)內(nèi)對你想要實現(xiàn)的目標達成一致將有助于校準信心�����。”他說����,這反過來可以阻止員工自行追求AI解決方案,希望找到解決所有問題的靈丹妙藥���。
4. 審查并加強訪問控制
數(shù)字化轉(zhuǎn)型解決方案公司UST的首席戰(zhàn)略官兼CIO Krishna Prasad表示,圍繞AI的最大風險之一是數(shù)據(jù)泄露�。
當然,這種風險在計劃好的AI部署中也存在��,但在這些情況下,CIO可以與業(yè)務(wù)�、數(shù)據(jù)和安全同事合作來減輕風險,然而�����,當員工在沒有他們參與的情況下部署AI時���,他們沒有同樣的風險評估和減輕機會���,從而增加了敏感數(shù)據(jù)可能被泄露的可能性。
為了防止這種情況的發(fā)生��,Prasad建議技術(shù)�、數(shù)據(jù)和安全團隊審查其數(shù)據(jù)訪問政策和控制措施,以及整體的數(shù)據(jù)丟失防護計劃和數(shù)據(jù)監(jiān)控能力��,以確保它們足夠強大����,能夠防止未經(jīng)批準的AI部署造成的數(shù)據(jù)泄露。
5. 阻止訪問AI工具
Kuo表示�,另一個可以幫助的方法是:將AI工具列入黑名單,如OpenAI的ChatGPT,并使用防火墻規(guī)則防止員工使用公司系統(tǒng)訪問這些工具�����。制定防火墻規(guī)則�����,防止公司系統(tǒng)訪問這些工具���。
6. 尋求盟友的支持
Kuo表示�����,CIO不應(yīng)是唯一努力防止影子AI的人�,他們應(yīng)尋求C級同事的支持——所有人都在保護企業(yè)免受負面影響中有一份責任����,并讓他們教育員工不要使用違反官方IT采購和AI使用政策的AI工具。
“更好的保護需要集體努力�。”Kuo補充道。
7. 創(chuàng)建推動企業(yè)優(yōu)先事項和戰(zhàn)略的IT AI路線圖
員工通常引入他們認為可以幫助他們更好地完成工作的技術(shù)����,而不是為了傷害他們的雇主�����。因此,CIO可以通過提供最能幫助員工實現(xiàn)其角色優(yōu)先事項的AI能力來減少對未經(jīng)批準AI的需求���。
Bajwa表示��,CIO應(yīng)將此視為通過制定不僅與業(yè)務(wù)優(yōu)先事項一致而且實際上塑造戰(zhàn)略的AI路線圖��,引領(lǐng)其企業(yè)走向未來成功的機會����。“這是一個重新定義業(yè)務(wù)的時刻��。”Bajwa說�����。
8. 不要成為“拒絕部門”
執(zhí)行顧問表示���,CIO(及其C級同事)不能拖延AI的采用�����,因為這會損害企業(yè)的競爭力�,并增加影子AI的可能性,然而�,根據(jù)Genpact和HFS Research的調(diào)查,這種情況在很多地方確實在某種程度上發(fā)生���。2024年5月的報告顯示��,45%的企業(yè)對GenAI采取“觀望”態(tài)度���,23%是對GenAI持懷疑態(tài)度的“否定者”。
“今天遏制AI的使用完全適得其反���。”Prasad說�。他表示�,CIO必須啟用企業(yè)內(nèi)已經(jīng)使用的平臺提供的AI能力,培訓員工使用和優(yōu)化這些能力�,并加速采用預(yù)計能帶來最佳ROI的AI工具,以向各級員工保證IT致力于一個AI驅(qū)動的未來��。
9. 授權(quán)員工按他們的需求使用AI
ISACA的3月調(diào)查發(fā)現(xiàn)����,80%的人認為許多工作將因AI而發(fā)生變化���。如果是這種情況,就給員工提供使用AI的工具��,以改進他們的工作����,EY咨詢公司的全球數(shù)據(jù)和AI領(lǐng)導(dǎo)Beatriz Sanz Sáiz說����。
她建議CIO為整個企業(yè)(不僅僅是IT部門)的員工提供工具和培訓,讓他們能夠創(chuàng)建或與IT部門共同創(chuàng)建自己的智能助手�。她還建議CIO構(gòu)建一個靈活的技術(shù)棧,以便快速支持和啟用此類工作����,并在員工需求出現(xiàn)時迅速轉(zhuǎn)向新的大語言模型(LLM)和其他智能組件——從而使員工更有可能求助于IT(而不是外部來源)來構(gòu)建解決方案。
10. 對新穎�、創(chuàng)新的用途持開放態(tài)度
AI并不是新鮮事物,但其迅速上升的采用率揭示了更多的問題和潛力�。想要幫助企業(yè)利用這些潛力(而不是所有問題)的CIO應(yīng)對使用AI的新方法持開放態(tài)度,以便員工不會覺得他們需要獨自解決問題�。
Bajwa提供了一個關(guān)于AI幻覺的例子:是的,幻覺幾乎普遍被認為是負面的����,但Bajwa指出��,幻覺在如營銷等創(chuàng)意領(lǐng)域可能是有用的�����。
“幻覺可以提出一些我們之前從未想到的創(chuàng)意����。”他說�。
對這種潛力持開放態(tài)度的CIO,并制定合適的保護措施��,如規(guī)定需要何種程度的人類監(jiān)督�����,更有可能讓IT參與到這樣的AI創(chuàng)新中����,而不是被排除在外。
沃卡惠
