Jamie Norton, CISO der australischen Börsenaufsicht ASIC, merkt jedoch an: “Jedes einzelne Produkt, das Sie heutzutage einsetzen, enthält irgendeine Kind von KI. Und es gibt kein Governance-Discussion board, das alle verschiedenen Formen erfasst”. Norton empfiehlt CISOs deshalb, strategische und taktische Ansätze zu entwickeln, um:
- die verschiedenen Arten von KI-Instruments zu definieren,
- die relativen Risiken zu erfassen, sowie
- den potenziellen Nutzen in Bezug auf Produktivität und Innovation abzuwägen.
Um mit kleineren KI-Instruments umzugehen, sind laut Norton taktische Maßnahmen wie Safe-by-Design-Ansätze, Initiativen, um Schatten-KI zu erkennen oder risikobasierte KI-Bestandsaufnahmen und -Klassifizierungen praktische Möglichkeiten. CISOs können dann ihre Ressourcen auf die Risiken mit dem größten Affect konzentrieren, ohne schwerfällige oder unpraktikable Prozesse zu schaffen, wie Norton erklärt. “Die Idee ist nicht, alles so zu verzögern, dass quick nichts mehr geht. Es handelt sich additionally eher um einen relativ schlanken Prozess, bei dem die Risikoüberlegungen entweder zur Freigabe der KI führen oder zum Gegenteil”.
Letztendlich sei es Aufgabe der Sicherheitsverantwortlichen, KI unter Verwendung von Governance und Risiko als Teil des umfassenderen GRC-Frameworks aus Sicherheitsperspektive zu betrachten. “Heutzutage geht es nicht mehr darum, dass CISOs ‚Ja‘ oder ‚Nein‘ sagen. Es geht vielmehr darum, die Risiken bestimmter Maßnahmen clear zu machen und dann dem Unternehmen und der Geschäftsleitung die Entscheidung über diese Risiken zu überlassen.”
