เข้าร่วมเซสชันคณะผู้บริหาร RSAC ในวันที่ 24 มีนาคม ในหัวข้อ "เอเจนต์ AI อยู่ที่นี่แล้ว! คุณพร้อมหรือยัง"

คู่มือ Microsoft สำหรับการรักษาความปลอดภัยองค์กรที่ขับเคลื่อนโดย AI: การกำกับดูแลข้อมูลและการรักษาความปลอดภัย

ผู้ชายสวมสูทยืนอยู่หน้าพื้นหลังสีน้ำเงิน

ภาพรวม

ในขณะที่องค์กรต่างๆ เร่งนำ AI มาใช้ในวงกว้าง การกำกับดูแลข้อมูลและการรักษาความปลอดภัยของข้อมูลจึงมีความสำคัญต่อกันมากยิ่งขึ้นในฐานะเสาหลักของความยืดหยุ่นขององค์กร สำหรับ Frontier Firms—องค์กรต่างๆ กำลังผลักดันขอบเขตของการเปลี่ยนแปลงที่ขับเคลื่อนโดย AI—ความสามารถในการเสริมศักยภาพระบบ AI ให้สามารถวิเคราะห์ข้อมูลจำนวนมหาศาลได้นั้นจำเป็นต้องมีการประสานงานอย่างที่ไม่เคยมีมาก่อนระหว่างประธานเจ้าหน้าที่ฝ่ายสารสนเทศ (CIO), ประธานเจ้าหน้าที่ฝ่ายการรักษาความปลอดภัยของข้อมูล (CISO) และผู้ที่เกี่ยวข้องกับข้อมูล หากปราศจากการเป็นเจ้าของร่วมกันและการดำเนินการที่เป็นหนึ่งเดียว ความเสี่ยงต่างๆ เช่น การรั่วไหลของข้อมูล การแชร์ข้อมูลมากเกินไป และการใช้งาน AI ที่ไม่สอดคล้องกันจะเพิ่มขึ้นอย่างรวดเร็ว

คู่มือนี้สร้างจากหัวข้อก่อนหน้าในซีรีส์การรักษาความปลอดภัยองค์กรที่ขับเคลื่อนโดย AI เพื่อช่วยให้คุณนำ AI มาใช้อย่างปลอดภัยและได้รับประโยชน์สูงสุดจากการลงทุนของคุณ

ช่องว่างในการกำกับดูแล

สำหรับบางองค์กร การนำ AI มาใช้เกิดขึ้นเร็วกว่าที่โครงสร้างการกำกับดูแลแบบดั้งเดิมจะสามารถตามทัน จากดัชนีความปลอดภัยข้อมูลของ Microsoft พบว่ามีเพียง 47% ขององค์กรในอุตสาหกรรมต่างๆ เท่านั้นที่รายงานว่าได้นำการควบคุมความปลอดภัย GenAI มาใช้ ¹ โดยเน้นย้ำถึงโอกาสที่องค์กรต่างๆ จะได้รับการมองเห็นที่ชัดเจนซึ่งจำเป็นต่อการนำ AI มาใช้อย่างปลอดภัย ที่สำคัญยิ่งกว่านั้น จากผลสำรวจระดับนานาชาติที่จัดทำโดย Microsoft โดยว่าจ้าง Hypothesis Group ซึ่งสำรวจผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลกว่า 1,700 คน พบว่าพนักงานถึง 29% หันมาใช้ AI ที่ไม่ได้รับอนุญาตในการทำงาน² ซึ่งส่งผลให้องค์กรต่างๆ ต้องเผชิญกับปัญหาใหม่ๆ ในด้านการจัดการข้อมูล การมองเห็นด้านความปลอดภัย และการปฏิบัติตามข้อบังคับ โดยเฉพาะอย่างยิ่งเมื่อเครื่องมือ AI สร้างสรรค์โต้ตอบกับข้อมูลที่ละเอียดอ่อนหรือไม่มีโครงสร้าง

ในขณะเดียวกัน ผู้นำทางธุรกิจก็ตอบสนอง: องค์กรต่างๆ จำนวนมากขึ้นกำลังนำการควบคุมเฉพาะทางสำหรับ AI สร้างสรรค์มาใช้ และเร่งการลงทุนในมาตรการป้องกันทางเทคนิคและการดำเนินงาน ข้อความนี้ชัดเจน นวัตกรรม AI ไม่สามารถเติบโตได้หากปราศจากการกำกับดูแลที่ส่งเสริมและรักษาความปลอดภัย

แบบจำลองที่เป็นหนึ่งเดียวสำหรับความเป็นเจ้าของ: จัดประเภท ติดป้าย ปกป้อง และจัดการ

การกำกับดูแลข้อมูลที่มีประสิทธิภาพจำเป็นต้องมีการกำหนดความรับผิดชอบที่ชัดเจนระหว่าง CIO, CISO, Chief Data Officer (CDO) และ Chief Privacy Officer (CPO) แต่ในหลายองค์กร ความเป็นเจ้าของยังคงกระจัดกระจายอยู่ เพื่อเชื่อมช่องว่างนี้ เราขอแนะนำแบบจำลองที่ใช้ร่วมกัน: จัดประเภท ติดป้าย ปกป้อง และจัดการ

1. จัดประเภท: การสร้างความสามารถในการสังเกตการณ์และความเป็นเจ้าของ

การเดินทางในการกำกับดูแลเริ่มต้นจากการรู้จักสิ่งที่คุณมีอยู่ องค์กรต่างๆ ต้องสร้างการสังเกตการณ์ที่สมบูรณ์แบบครอบคลุมทั้งข้อมูลที่มีโครงสร้าง ข้อมูลที่ไม่มีโครงสร้าง และข้อมูลที่สร้างขึ้นโดย AI รวมถึงความสามารถในการติดตามเอเจนต์ AI ที่กำลังเกิดขึ้นใหม่ การจัดประเภทต้องใช้:

Schema ที่ชัดเจนและเข้าใจง่ายที่สอดคล้องกับความเสี่ยงทางธุรกิจ
เจ้าของข้อมูลและผู้ดูแลที่ระบุในหน่วยธุรกิจ
การทำบัญชีสินทรัพย์อย่างต่อเนื่องโดยได้รับการสนับสนุนจากความพยายามค้นหาที่นำโดย CIO

การจัดประเภทเป็นการวางรากฐานสำหรับทุกสิ่งที่จะตามมา

2. ติดป้าย: ทำให้การกำกับดูแลสามารถนำไปปฏิบัติได้จริง

การจัดประเภทเป็นการกำหนดจุดประสงค์ ในขณะที่การติดป้ายเป็นการบังคับใช้จุดประสงค์นั้น ป้ายชื่อความสำคัญเชื่อมโยงนโยบายกับการใช้งานจริง โดยให้ข้อมูลแก่ระบบรักษาความปลอดภัย การควบคุมการเข้าถึง และแม้กระทั่งวิธีการที่พนักงานที่เป็นมนุษย์โต้ตอบกับผลลัพธ์จากเอเจนต์ AI

องค์ประกอบสำคัญ ได้แก่

การนำเทคโนโลยีที่ช่วยบังคับใช้การติดป้ายมาใช้ทำให้มั่นใจได้ว่าป้ายชื่อเหล่านั้นทริกเกอร์นโยบายด้านความปลอดภัยและการป้องกันการสูญหายของข้อมูล (DLP) ได้อย่างมีประสิทธิภาพ
กลยุทธ์การติดป้ายที่คำนึงถึงความเสี่ยงที่แสดงถึงผลกระทบทางธุรกิจ
การฝึกอบรมพนักงานที่เน้นย้ำถึงเวลาและวิธีการติดป้าย

3. ปกป้อง: การนำความปลอดภัยสู่การปฏิบัติจริง

การปกป้องคือการเปลี่ยนนโยบายให้กลายเป็นแนวป้องกัน ซึ่งรวมถึง:

การบังคับใช้นโยบายผ่านการควบคุมการเข้าถึง เช่น การควบคุมการเข้าถึงตามบทบาท (RBAC), การเข้าถึงแบบทันเวลา (JIT) และ DLP
การเข้ารหัสข้อมูลที่พักอยู่และขณะส่ง
การตรวจสอบอัตโนมัติสำหรับการแชร์มากเกินไปและการละเมิดนโยบาย
แผนการตอบสนองต่อเหตุการณ์ที่มีโครงสร้างที่สอดคล้องกับกฎระเบียบด้านความเป็นส่วนตัว

การควบคุมเหล่านี้ช่วยให้มั่นใจได้ว่าข้อมูลที่ละเอียดอ่อนได้รับการปกป้อง แม้ว่าเครื่องมือ AI จะเข้าถึงและประมวลผลข้อมูลในวงกว้าง

4. จัดการ: การกำกับดูแลวงจรชีวิตข้อมูลอย่างครบถ้วน

การกำกับดูแลเป็นกระบวนการต่อเนื่อง องค์กรต้องรักษาไว้ซึ่ง

นโยบายการเก็บรักษาและการลบข้อมูลที่สอดคล้องกับหลักการลดข้อมูลให้น้อยที่สุด
การตรวจสอบอย่างต่อเนื่องสำหรับการเปลี่ยนแปลงของข้อมูล การติดป้ายชื่อผิด และความผิดปกติในการเข้าถึง
การรับรองความเป็นเจ้าของข้อมูลโดยอัตโนมัติใหม่
การมองเห็นและการกำกับดูแลเอเจนต์ AI ในทีม IT, การพัฒนา และการรักษาความปลอดภัย

การจัดการวงจรชีวิตข้อมูลช่วยลดพื้นหน้าของการโจมตีและรับประกันความสอดคล้องระยะยาวระหว่างการใช้ข้อมูลกับคุณค่าทางธุรกิจ

The Horizon: การจัดการบุคลากรที่เป็นมนุษย์และเอเจนต์ AI

เมื่อเอเจนต์ AI เริ่มดำเนินงานในเวิร์กโฟลว์ที่ซับซ้อนมากขึ้น การกำกับดูแลต้องพัฒนาอีกครั้ง Frontier Firms นำเสนอแนวคิดหัวหน้าเอเจนต์—บทบาทใหม่ที่มอบความรับผิดชอบให้พนักงานแต่ละคนดูแลพนักงานดิจิทัลที่ตนเองนำมาใช้

การเปลี่ยนแปลงนี้สร้างข้อกำหนดใหม่สำหรับผู้นำด้านเทคโนโลยี:

สำหรับ CIO:

สร้างระบบนิเวศ AI ภายนอกที่หน่วยธุรกิจสามารถสร้างและนำเอเจนต์ AI ไปใช้ได้อย่างปลอดภัยโดยใช้เทมเพลตที่ได้รับอนุมัติ ซึ่งอยู่ภายใต้การกำกับดูแลของศูนย์ความเป็นเลิศด้าน AI

สำหรับ CISO:

ขยาย Zero Trust ไปไกลกว่าผู้ใช้ที่เป็นมนุษย์เพื่อครอบคลุมเอเจนต์อัตโนมัติ สิ่งนี้หมายถึง

การสร้างรายการเอเจนต์ทั้งหมดและข้อมูลประจำตัว
การบังคับใช้การเข้าถึงแบบสิทธิ์น้อยที่สุดที่สอดคล้องกับการเข้าถึงสิทธิ์ของงานของแต่ละเอเจนต์
การติดตามพฤติกรรมของเอเจนต์และการตั้งสมมติฐานว่ามีการละเมิดเมื่อเอเจนต์โต้ตอบกับข้อมูลที่ละเอียดอ่อน

ความพร้อมสำหรับองค์กรอัตโนมัติขึ้นอยู่กับการผสานรวมการควบคุมใหม่เหล่านี้กับความรับผิดชอบของมนุษย์

180 วันแรกของคุณ: คู่มือการวางแผนกลยุทธ์ร่วมสำหรับ CIO และ CISO

การเดินทางเริ่มต้นด้วยแผนการทำงานที่มีโครงสร้าง เพื่อช่วยผู้นำ IT และการรักษาความปลอดภัยนำการกำกับดูแล AI ระดับองค์กรสู่การปฏิบัติจริง

สัปดาห์แรก: การวางรากฐานให้สอดคล้องกัน

กำหนด Schema การจัดประเภทข้อมูลร่วมกันอย่างชัดเจน
จัดทำแผนผังสินทรัพย์ที่สำคัญและข้อกำหนดด้านความต่อเนื่อง
กำหนดมาตรฐานร่วมกันสำหรับการสร้างและการตรวจสอบเอเจนต์ AI

90 วันแรก: การค้นพบและการทำแผนผังการควบคุม

จัดทำรายการกรณีการใช้งาน AI และแหล่งข้อมูลที่เกี่ยวข้อง
ดำเนินการวิเคราะห์ช่องว่างของ DLP และการควบคุมต่างๆ
สร้างทะเบียนความเสี่ยงร่วมและจัดอันดับของกรณีการใช้งานนำร่อง

180 วันแรก: การนำไปใช้และการตรวจสอบ

นำป้ายชื่อและนโยบายใหม่ไปใช้กับหน่วยธุรกิจนำร่อง
เปิดตัว DLP อัตโนมัติสำหรับสถานการณ์ที่มีความเสี่ยงสูง
จัดตั้งสภาการกำกับดูแลรายเดือนเพื่อปรับปรุงการควบคุม

คู่มือการวางแผนกลยุทธ์นี้ช่วยให้องค์กรเปลี่ยนการกำกับดูแลข้อมูลจากหน้าที่ด้านการปฏิบัติตามข้อบังคับสู่แรงขับเคลื่อนเชิงกลยุทธ์สำหรับนวัตกรรม AI

การสร้างองค์กรที่พร้อมสำหรับ AI

การเดินทางสู่อนาคตที่ขับเคลื่อนโดย AI เริ่มต้นจากรากฐานการกำกับดูแลข้อมูลและการรักษาความปลอดภัยของข้อมูลที่มั่นคงและรับผิดชอบร่วมกัน ด้วยการประสานความรับผิดชอบของ CIO และ CISO การสร้างแบบจำลองวงจรการใช้งานร่วมกัน และการเตรียมพร้อมสำหรับบุคลากรแบบไฮบริดที่ประกอบด้วยมนุษย์และเอเจนต์ องค์กรต่างๆ จะสามารถช่วยปลดล็อกศักยภาพสูงสุดของ AI ได้อย่างมั่นใจและปลอดภัยยิ่งขึ้น

เวลาในการวางรากฐานนี้คือตอนนี้

ดาวน์โหลดคู่มือ

กลุ่มคนกำลังนั่งบนโซฟาที่มีข้อความที่อ่านว่า “Cyber Pulse ใหม่ รายงานด้านความปลอดภัย AI”

Cyber Pulse: รายงานด้านความปลอดภัย AI

ข้อมูลเชิงลึกเกี่ยวกับการเติบโตของเอเจนต์ AI และเส้นทางสู่การนำไปใช้ที่รับผิดชอบและปลอดภัยผ่านการสังเกตการณ์ การกำกับดูแล และความปลอดภัย

ปกหนังสือที่มีข้อความที่อ่านว่า “กลยุทธ์ Microsoft Security สำหรับการกำกับดูแล AI” พร้อมภาพประกอบของผู้ชายสวมเสื้อสีเขียวนั่งทำงานที่โต๊ะพร้อมคอมพิวเตอร์

กลยุทธ์ในการกำกับดูแล AI

ขั้นตอนที่นำไปใช้ได้จริงเพื่อสร้างความน่าเชื่อถือ ลดความเสี่ยง ลดต้นทุน และขับเคลื่อนนวัตกรรม

ภาพวาดเส้นสีขาวของกระดาษในซองจดหมายที่มีคำว่า “New” บนพื้นหลังสีฟ้า

รับ CISO Digest

ก้าวนำด้วยข้อมูลเชิงลึกจากผู้เชี่ยวชาญ แนวโน้มอุตสาหกรรม และงานวิจัยด้านความปลอดภัยในอีเมลรายสองเดือนนี้

[1]
ดัชนีความปลอดภัยของข้อมูลของ Microsoft ปี 2569: การผสานรวมการปกป้องข้อมูลและนวัตกรรม AI, Microsoft Security, 2569
[2]
ผลสำรวจระดับนานาชาติเดือนกรกฎาคม 2568 จากผู้เชี่ยวชาญด้านความปลอดภัยข้อมูลกว่า 1,700 คน ซึ่งจัดทำโดย Microsoft จาก Hypothesis Group