風險管控關鍵要素:平衡和充分準備
「新」技術需「新」的管控,然而有些「新」技術可能來自於「舊的重新包裝」,因此我們除了每日資安衛生落實執行外,也需接受資安事件是無休止,只會持續增加,所以面對突發資安事件的發生應對,Raymond強調關鍵要素為「做到平衡與充分準備」。他提出七點建議 :
(1) 積極主動地探索,例如威脅事件、解決方案、教育等,並且隨時隨地向每個人學習
(2) 建立危機管理團隊
(3) 管理溝通順暢是關鍵
(4) 把最重要的事情放在第一位(優先排序)
(5) 尋求數據、事實並保持事實
(6) 準備意外情況(例如DR)
(7) 盡可能練習(例如TTX)
AI 革命的前景與風險
台灣講師兆益數位總經理莊盛祺 ( David ) 從企業實務界的角度說明,他表示AI人工智慧已經逐漸滲透到各行企業內,例如銀行業客服中心的語音客服、影劇業製片廠撰寫劇本、製造業分析工廠生產線設計的瑕疵,甚至到教育界學生論文參考提供等等。
David強調,人工智慧幾乎在整體行業層面或是個別企業層面,可以帶給團隊、個人、場域和組織許多好處,因此他建議管理者參考採取以下四步驟,進行最大化的人工智慧價值,也同時設置適當且有效的防護措施,分別為 :
- 識別 AI 的效益
- 識別 AI 的風險
- 採用持續的風險管理方法
- 實施適當的 AI 安全協定
他表示如果企業管理者能夠遵循以上四個步驟,對於取得風險與回報之間將可獲得良好的平衡度。這同時也回應Raymod所提醒的管控風險的關鍵要素 – 「平衡和充分準備」。
David 進一步列舉十項辨識「風險關鍵」面向,分別為,社會風險、智慧財產權洩露和失效、所有權無效、網路安全和韌性衝擊、內部權限結構薄弱、技能差距反應過度、預期和非預期使用、資料完整性與責任。他舉例當我們留意到內部權限結構薄弱時,企業要導入 AI 前,優化內部系統則是優先、必要做的事情。因此,大家可以透過風險關鍵的面向,進行企業內外系統整體的檢視與導入有效的 AI 人工智慧。
課程的尾聲,David 表示企業導入新興科技除了受益外,產生高成本的現象也是無法避免,因此,對於如何取得適當的平衡且能永續進行風險管理則是重要一環,他建議採用持續風險管理的三步驟:識別公司的整體人工智慧風險 ; 定義公司的風險胃納(Risk appetite); 監控和管理風險。
最後,他以正向思維做了個結語,他表示雖然 AI 人工智慧相關的潛在風險持續發生中,大家對於未來充滿著許多未知與擔憂,然而身為科技產業的一員,我們應積極面對與接受這些風險,讓 AI 人工智慧技術在商業場域發展是安全的也是我們大家負責任的一種表現。
<相關文章 歡迎閱讀>
ISACA 資訊安全事件管理指標之一,SIEM 「Incidents 事故」管理的準備
感謝您的閱讀,歡迎來信與我分享您的想法與建議 irispan@cybersecurenews.com.tw