最基本的安全意識(shí)計(jì)劃會(huì)教育大眾如何識(shí)別外部人員和惡意分子通過釣魚、網(wǎng)絡(luò)攻擊、社交攻擊等手段盜取信息的威脅。 

但員工或用戶培訓(xùn)必須增加對內(nèi)部風(fēng)險(xiǎn)的關(guān)注，并且不能只進(jìn)行一次，這必須是一項(xiàng)持續(xù)的努力。 

現(xiàn)在，隨著AI在軟件中的普及和GenAI的廣泛可用，確保提高認(rèn)識(shí)的努力包括如何通過點(diǎn)擊鼠標(biāo)來消除商業(yè)秘密保護(hù)比以往任何時(shí)候都更為重要。 

缺乏對數(shù)據(jù)、安全和隱私的保護(hù)將導(dǎo)致繼續(xù)出現(xiàn)收集用戶數(shù)據(jù)的情況，并將其放入數(shù)據(jù)湖中以訓(xùn)練其AI引擎，同樣，像ChatGPT這樣的公開可用AI引擎本身也不免于遭到入侵。 

CISO應(yīng)該審查美國政府的AI政策 

如果你需要一個(gè)更好處理數(shù)據(jù)的內(nèi)部政策路線圖，請看看今年早些時(shí)候美國聯(lián)邦政府推出的主動(dòng)措施，即管理和預(yù)算辦公室（OMB）關(guān)于聯(lián)邦機(jī)構(gòu)使用AI的政策。 

這項(xiàng)OMB政策之所以顯著，是因?yàn)樗鞘讉€(gè)旨在限制AI風(fēng)險(xiǎn)的全國性政策，同時(shí)利用其優(yōu)勢，所有聯(lián)邦機(jī)構(gòu)必須在2024年12月1日之前“在使用AI可能影響美國人權(quán)利或安全的情況下實(shí)施具體的保障措施”。 

各地的CISO都應(yīng)認(rèn)真研究這項(xiàng)OMB政策，將其與他們自己內(nèi)部關(guān)于實(shí)施AI的政策（無論是內(nèi)部還是外部）進(jìn)行對比，并與供應(yīng)商、合作伙伴和客戶的AI保護(hù)措施進(jìn)行比較。 

OMB政策的實(shí)施將擴(kuò)展到與政府合作且其解決方案中包含AI的實(shí)體。雖然其重點(diǎn)是保護(hù)個(gè)人權(quán)利和安全，但這些保障措施絕對包括對數(shù)據(jù)的保護(hù)，這正是CISO們可以從中汲取見解的地方。 

影子AI仍在系統(tǒng)中活躍 

我之前曾談到影子AI的現(xiàn)實(shí)情況，就像影子IT一樣，控制這些實(shí)例往往像試圖阻止水從堤壩溢出一樣困難——水總是會(huì)找到出路。 

我們都記得三星是最早通過實(shí)踐學(xué)習(xí)這一點(diǎn)的公司之一，當(dāng)時(shí)他們的一名工程師將一個(gè)設(shè)計(jì)推送到Open AI的引擎中，意圖改進(jìn)它，卻無意中暴露了商業(yè)秘密。 

毫無疑問，每位CISO都有關(guān)于員工將公司內(nèi)部數(shù)據(jù)發(fā)送到AI工具中以進(jìn)行優(yōu)化和改進(jìn)的故事。 

實(shí)際上，在最近的RSA大會(huì)期間，我有多位高管提到過如何通過AI引擎查詢“Xyz Inc.計(jì)劃如何進(jìn)入市場？”從而揭示營銷計(jì)劃的情況。AI引擎曾學(xué)習(xí)過這些內(nèi)容，并在響應(yīng)中展示出來——某人在某處將市場進(jìn)入計(jì)劃加載到AI中進(jìn)行優(yōu)化，而AI引擎將其吐了出來，對進(jìn)行此類查詢的競爭對手來說，這是一筆意外之財(cái)。 

同樣，專業(yè)社交網(wǎng)絡(luò)如LinkedIn鼓勵(lì)個(gè)人突出他們正在從事的工作、研究內(nèi)容、旅行地點(diǎn)以及團(tuán)隊(duì)成員情況。 

從競爭情報(bào)的角度來看，分享的沖動(dòng)直接為那些希望獲取相關(guān)實(shí)體信息的人填補(bǔ)了空白，如果分享的是尚未發(fā)布或私有的技術(shù)，商業(yè)秘密保護(hù)就不復(fù)存在，因?yàn)閮?nèi)容沒有得到充分保護(hù)。 

CISO們可以做些什么來傳達(dá)內(nèi)部風(fēng)險(xiǎn)的相關(guān)信息？ 

解決方案并不復(fù)雜，但需要的不僅僅是向員工、承包商、合作伙伴和供應(yīng)商發(fā)布公告或命令。 

Code42的CEO Joe Payne告訴我，公司在代碼外泄方面的下降約為32%，這歸因于實(shí)時(shí)培訓(xùn)的積極效果。他補(bǔ)充說，培訓(xùn)視頻提供了對觀察到的事件的清晰明確反饋，并以積極的方式進(jìn)行，這有助于教育和威懾。 

雖然實(shí)施內(nèi)部風(fēng)險(xiǎn)管理工具有助于增強(qiáng)知識(shí)產(chǎn)權(quán)的保護(hù)，防止泄露或盜竊，但培訓(xùn)環(huán)節(jié)至關(guān)重要。 

此外，CISO需要深入了解他們希望阻止的行為背后的原因。為什么員工會(huì)將知識(shí)產(chǎn)權(quán)從受保護(hù)的環(huán)境轉(zhuǎn)移到未受保護(hù)或未批準(zhǔn)的環(huán)境？是他們自己的主動(dòng)行為嗎？還是他們的上級(jí)要求他們這樣做？ 

也許現(xiàn)有的工具不足以完成任務(wù)，而完成任務(wù)的壓力被認(rèn)為比遵守規(guī)則更重要。 

所有這些都可能無意中使公司面臨更大的風(fēng)險(xiǎn)，而實(shí)時(shí)培訓(xùn)和回頭獲取反饋可以為CISO提供必要的數(shù)據(jù)，以改善培訓(xùn)環(huán)境，并在需要時(shí)通過聯(lián)系管理層鏈條，調(diào)整下屬的工作方向采取進(jìn)一步行動(dòng)。