Saat seorang karyawan menginstal asisten penulisan AI, menghubungkan kopilot pengkodean ke IDE mereka, atau mulai merangkum rapat dengan alat browser baru, mereka melakukan hal yang seharusnya dilakukan oleh karyawan produktif: menemukan cara yang lebih cepat untuk bekerja.
Di sebagian besar organisasi saat ini, karyawan menjalankan tiga hingga lima alat AI pada hari tertentu. Sebagian besar tidak pernah ditinjau oleh IT. Sebagian besar terhubung ke data perusahaan melalui token OAuth atau sesi browser, sehingga memberi mereka akses ke drive bersama, email, dan dokumen internal yang tidak pernah secara khusus ingin diekspos oleh karyawan. Tim keamanan sering kali tidak dapat melihat semua hal tersebut.
Ini adalah kesenjangan bayangan AI, dan ini melebar dengan cepat. Sebagian besar alat keamanan dibuat untuk memantau lalu lintas email dan jaringan yang mengalir melalui jaringan perusahaan. Alat AI berbasis browser yang terhubung ke data perusahaan melalui persetujuan login cepat mengabaikan kontrol tersebut sepenuhnya, karena tidak pernah melewati jaringan perusahaan sama sekali.
Menurut penelitian Keamanan Adaptif, 80% karyawan saat ini menggunakan aplikasi AI generatif yang tidak disetujui di tempat kerja, dan hanya 12% perusahaan yang memiliki kebijakan tata kelola AI formal. Hasilnya adalah semakin terputusnya hubungan antara cara kerja karyawan dan apa yang dapat dilihat oleh tim keamanan.
Sebuah program yang menyalurkan adopsi AI ke jalur yang aman, terlihat, dan disetujui memberikan visibilitas yang dibutuhkan tim keamanan dan alat yang diinginkan karyawan. Lima langkah di bawah ini menunjukkan dengan tepat cara membuatnya.
Langkah 1: Buat Gambaran Lengkap tentang Apa yang Sedang Berjalan
Program keamanan hanya dapat mengatur apa yang dapat dilihatnya. Langkah pertama adalah menemukan alat AI mana yang digunakan di seluruh organisasi, dan sebagian besar tim keamanan akan menemukan jawabannya yang mengejutkan.
Ada tiga area yang menyumbang sebagian besar aktivitas bayangan AI.
-
koneksi OAuth. Sebagian besar alat AI meminta akses ke Google Workspace atau Microsoft 365 melalui OAuth, yang memberikan izin baca atau tulis pada data perusahaan. Audit triwulanan terhadap aplikasi pihak ketiga yang terhubung, diurutkan berdasarkan cakupan izin, biasanya menampilkan lusinan alat yang tidak pernah ditinjau oleh tim keamanan.
-
Ekstensi peramban. Banyak alat AI yang dijalankan sebagai ekstensi browser dan tidak pernah menyentuh sistem operasi, sehingga alat manajemen endpoint tradisional tidak memilikinya sama sekali. Solusi manajemen browser atau agen ringan yang diinstal pada perangkat karyawan dapat memindai dan mengidentifikasi ekstensi mana yang aktif di seluruh organisasi.
-
Fitur AI disertakan dalam alat yang sudah disetujui. Microsoft Copilot, Google Gemini, dan Salesforce Einstein adalah contoh kemampuan AI yang mungkin diperkenalkan setelah tinjauan vendor awal, seringkali tanpa evaluasi keamanan terpisah.
Survei karyawan sederhana juga layak dilakukan. Sebuah survei yang bertujuan membantu karyawan bekerja dengan lebih aman cenderung mendapatkan tanggapan yang jujur. Banyak alat bayangan muncul melalui survei yang sepenuhnya terlewatkan oleh penemuan otomatis.
Tujuan dari langkah ini adalah inventaris terkini dan akurat: setiap alat AI yang digunakan, siapa yang menggunakannya, dan data apa saja yang dapat diakses.
Langkah 2: Tulis Kebijakan yang Sesuai dengan Karyawan
Sebagian besar kebijakan penggunaan AI yang dapat diterima terhenti karena alasan yang sama: kebijakan tersebut memberi karyawan daftar alat yang dilarang tanpa panduan tentang jalur yang disetujui. Kebijakan yang dirancang sebagai panduan praktis, kebijakan yang mengidentifikasi alat yang disetujui dan memberikan proses yang jelas untuk meminta alat baru, merupakan landasan yang dibutuhkan karyawan untuk mengambil keputusan yang baik.
Kebijakan tata kelola AI yang efektif mencakup lima hal.
-
Daftar terkini alat yang disetujui dan di mana menemukannya.
-
Aturan klasifikasi data yang jelas yang menentukan kategori data mana, termasuk catatan pelanggan, kode sumber, dan informasi keuangan, tidak boleh dimasukkan ke dalam alat AI apa pun.
-
Status tidak ikut pelatihan data terverifikasi untuk setiap alat yang disetujui. Banyak alat AI menggunakan masukan perusahaan untuk meningkatkan model mereka secara default kecuali pengaturan perusahaan secara eksplisit dikonfigurasi sebaliknya. Persetujuan harus memerlukan persetujuan untuk tidak ikut serta dalam alat apa pun yang menangani data sensitif.
-
Proses yang ditentukan untuk meminta alat baru, dengan target waktu penyelesaian.
-
Penjelasan dengan bahasa yang sederhana tentang mengapa pedoman ini ada.
Elemen terakhir itu lebih penting daripada kelihatannya. Karyawan yang memahami mengapa koneksi OAuth membawa risiko paparan data menerapkan alasan tersebut pada setiap keputusan alat yang mereka buat. Kebijakan menjadi suatu bentuk pendidikan ketika penalaran diikutsertakan.
Langkah 3: Buat Jalur Cepat untuk Permintaan Alat Baru
Shadow AI tumbuh paling cepat di organisasi yang proses persetujuan resminya tidak dapat mengimbangi laju peluncuran produk AI. Seorang karyawan yang membutuhkan alat saat ini dan menghadapi tinjauan keamanan selama enam minggu akan menemukan solusi dalam beberapa hari. Tujuan dari langkah ini adalah untuk menghilangkan gesekan tersebut.
-
Sebagian besar permintaan alat AI tidak memerlukan peninjauan pengadaan secara menyeluruh. Formulir penerimaan terstruktur dengan kriteria evaluasi yang ditentukan sudah cukup untuk sebagian besar alat yang berisiko rendah.
-
Formulir penerimaan terstruktur dan serangkaian kriteria evaluasi yang ditentukan memungkinkan pengambilan keputusan lebih cepat. Untuk alat dengan akses data terbatas, banyak organisasi menganggap penyelesaian yang lebih singkat dapat dilakukan setelah kriteria evaluasi didokumentasikan dan diterapkan secara konsisten.
-
Kriteria evaluasi harus mencakup cakupan akses data, praktik keamanan vendor, status tidak mengikuti pelatihan data, sertifikasi kepatuhan, dan apakah alat tersebut sudah memiliki fungsi setara dalam daftar yang disetujui.
Tim keamanan yang mempublikasikan daftar alat yang disetujui secara terbuka dan selalu memperbaruinya biasanya mengalami penurunan signifikan dalam penggunaan shadow AI. Ketika karyawan mengetahui di mana menemukan alat yang tepat, mereka akan menggunakannya.
Langkah 4: Gunakan Pemantauan sebagai Lapisan Keamanan Bersama
Visibilitas berkelanjutan terhadap penggunaan alat AI di seluruh organisasi melayani dua kelompok secara bersamaan.
-
Tim keamanan mendapatkan gambaran real-time yang mereka perlukan untuk mengidentifikasi dan mengatasi paparan sebelum menjadi sebuah insiden.
-
Karyawan mendapatkan suatu bentuk perlindungan yang seringkali tidak mereka miliki sendiri: sebuah sinyal ketika alat yang mereka gunakan mungkin membahayakan kredensial atau data perusahaan mereka.
Pendekatan pemantauan berbasis browser memberi tim keamanan visibilitas terhadap aktivitas AI tanpa mengubah rute lalu lintas web karyawan atau menambah hambatan pada pekerjaan sehari-hari. Sinyal yang ditangkapnya dimasukkan ke dalam profil risiko setiap karyawan yang lebih luas, serta hasil simulasi phishing dan data penyelesaian pelatihan di satu tempat.
Pandangan gabungan tersebut penting karena perilaku berisiko semakin bertambah. Seorang karyawan yang mengeklik tautan phishing, melewatkan pelatihan, dan menjalankan alat AI yang tidak disetujui dengan akses ke data sensitif menimbulkan risiko yang jauh lebih tinggi daripada yang ditunjukkan oleh perilaku apa pun. Melihat gambaran lengkap di satu tempat membantu tim keamanan fokus pada karyawan yang paling membutuhkan perhatian.
Langkah 5: Permudah Perilaku Keamanan yang Baik
Program keamanan yang menjadikan pilihan aman sebagai pilihan termudah adalah program yang diikuti oleh karyawan. Dalam konteks tata kelola AI, ada dua hal yang mendorong hal tersebut: pembinaan dan pelatihan tepat waktu yang menjelaskan alasan di balik peraturan tersebut.
Pembinaan just-in-time memberikan petunjuk singkat dan kontekstual pada saat seorang karyawan mencoba menggunakan alat yang tidak disetujui. Hal ini lebih efektif dibandingkan modul pelatihan triwulanan, karena intervensi terjadi pada saat pengambilan keputusan. Prompt yang dirancang dengan baik memberi tahu karyawan apa yang menjadi kekhawatirannya, mengarahkan mereka ke alternatif yang disetujui, dan membutuhkan waktu kurang dari tiga puluh detik untuk membacanya.
Pelatihan yang menjelaskan alasan di balik kebijakan tata kelola AI akan membangun penilaian yang dapat diterapkan karyawan dalam situasi apa pun yang mereka hadapi, termasuk alat dan ancaman yang muncul lama setelah pelatihan itu sendiri. Lanskap alat AI berubah dengan cukup cepat sehingga tidak ada program pelatihan yang dapat mengantisipasi setiap kasus tertentu.
Karyawan yang memahami bahwa koneksi OAuth ke Google Workspace perusahaan dapat mengekspos seluruh drive bersama ke vendor pihak ketiga akan menerapkan pemahaman tersebut pada alat yang belum ada enam bulan lalu.
Membangun Program Keamanan Berdasarkan Cara Kerja Tim
Adopsi AI adalah tanda bahwa tim produktif dapat melakukan pekerjaannya dengan baik. Perusahaan yang membangun program praktis berdasarkan momentum tersebut, dengan jalur yang jelas menuju alat yang disetujui dan visibilitas real-time untuk tim keamanan, cenderung dapat menanganinya dengan baik.
Tim keamanan yang menutup kesenjangan tersebut menemukan bahwa penggunaan shadow AI menurun secara organik seiring berjalannya waktu. Visibilitas browser-native, jalur yang jelas ke alat yang disetujui, dan pelatihan tepat waktu pada saat ada risiko adalah hal-hal yang memungkinkan hal ini.
Ketika karyawan memiliki akses terhadap alat yang efektif dan disetujui serta jalur yang cepat dan transparan untuk meninjau alat baru, insentif untuk mengatasi sistem tersebut akan hilang.
Produk Tata Kelola AI dari Adaptive Security memberi tim keamanan visibilitas real-time ke setiap alat AI dan aplikasi bayangan yang berjalan di seluruh organisasi mereka, dengan kebijakan otomatis dan pelatihan karyawan yang tepat waktu.
Pelajari lebih lanjut di adaptivesecurity.com.
Disponsori dan ditulis oleh Keamanan Adaptif.
