Jamie Norton, CISO der australischen Börsenaufsicht ASIC, merkt jedoch an: “Jedes einzelne Produkt, das Sie heutzutage einsetzen, enthält irgendeine Form von KI. Und es gibt kein Governance-Forum, das alle verschiedenen Formen erfasst”. Norton empfiehlt CISOs deshalb, strategische und taktische Ansätze zu entwickeln, um:
- die verschiedenen Arten von KI-Tools zu definieren,
- deren relative Risiken zu erfassen, sowie
- ihren potenziellen Nutzen in Bezug auf Produktivität und Innovation abzuwägen.
Um mit kleineren KI-Tools umzugehen, sind laut Norton taktische Maßnahmen wie Secure-by-Design-Ansätze, Initiativen, um Schatten-KI zu erkennen oder risikobasierte KI-Bestandsaufnahmen und -Klassifizierungen praktische Möglichkeiten. CISOs könnten dann ihre Ressourcen auf die Risiken mit dem größten Impact konzentrieren, ohne schwerfällige oder unpraktikable Prozesse zu schaffen, wie Norton erklärt. “Die Idee ist nicht, alles so zu verzögern, dass fast nichts mehr geht. Es handelt sich also eher um einen relativ schlanken Prozess, bei dem die Risikoüberlegungen entweder zur Freigabe der KI führen oder zum Gegenteil”.
Letztendlich sei es Aufgabe der Sicherheitsverantwortlichen, KI unter Verwendung von Governance und Risiko als Teil des umfassenderen GRC-Frameworks aus Sicherheitsperspektive zu betrachten. “Heutzutage geht es nicht mehr darum, dass CISOs ‚Ja‘ oder ‚Nein‘ sagen. Es geht vielmehr darum, die Risiken bestimmter Maßnahmen transparent zu machen und dann dem Unternehmen und der Geschäftsleitung die Entscheidung über diese Risiken zu überlassen.”
