Pemimpin data menavigasi realitas ganda baru: mereka berada di bawah tekanan untuk mengirimkan data untuk inisiatif AI, namun mereka perlu memastikan data mereka tetap aman dan dijauhkan dari tangan peretas. Sayangnya, kesenjangan antara tata kelola AI dan pengawasan berpotensi membuat data tersebut terekspos.
Laporan Biaya Pelanggaran Data tahunan IBM®, yang menganalisis 600 organisasi yang dilanggar di 17 industri di seluruh dunia, memperjelas bahwa celah ini bisa sangat merugikan dalam hal data yang dicuri, gangguan operasional, dan denda yang cukup besar yang harus dibayarkan kepada regulator. Pelanggaran data juga dapat menyebabkan perusahaan mengalami kerusakan reputasi, erosi kepercayaan di antara para pelanggan, dan peralihan pelanggan.
Bagi chief data officer dan pemimpin data lainnya—atau siapa pun yang bertanggung jawab atas strategi data, tata kelola, dan penciptaan nilai—penelitian ini adalah panggilan bangun. Dengan gangguan operasional yang memengaruhi 31% organisasi yang diteliti yang dilanggar, dan 60% mengalami kompromi data langsung karena serangan rantai pasokan dan model AI, temuan ini lebih dari sekadar berita utama. Mereka adalah cetak biru untuk tindakan bagi CDO.
Pentingnya temuan ini melampaui masalah keamanan: mereka menghadirkan tantangan kepemimpinan strategis. CDO berada di persimpangan inovasi data dan tata kelola data, bertanggung jawab untuk memastikan kekuatan transformatif AI dan memastikan bahwa transformasi tidak datang dengan mengorbankan kepercayaan, kepatuhan atau ketahanan.
Di bawah ini adalah lima hal yang perlu diketahui oleh CDO tentang keamanan data di era AI, dan tiga hal yang perlu mereka lakukan untuk memastikan data mereka tetap aman.
Laporan Biaya Pelanggaran Data mengungkapkan 63% organisasi yang dilanggar yang diteliti tidak memiliki kebijakan tata kelola AI, dan hanya 37% yang memiliki proses persetujuan atau mekanisme pengawasan. Meskipun ini adalah tantangan langsung bagi tim yang memimpin tata kelola AI (biasanya, tim hukum dan kepatuhan) dan rekan pemimpin keamanan mereka, CDO harus menyadari masalah ini dan, sebelum data mereka digunakan untuk melatih model atau membangun aplikasi, tanyakan tentang mereka.
Ini berarti mereka perlu membantu membentuk kebijakan tata kelola dan pengawasan tersebut, menyeimbangkan inovasi dengan kepatuhan dan manajemen risiko, menciptakan strategi terpadu di mana tata kelola AI, tata kelola data, dan keamanan saling melengkapi.
Satu dari lima organisasi yang diteliti (20%) mengalami pelanggaran terkait dengan AI bayangan—alat AI tanpa sanksi yang diadopsi oleh karyawan tanpa pengawasan TI atau keamanan. Insiden ini menambah biaya pelanggaran rata-rata sebesar 670K USD dan secara tidak proporsional mengekspos informasi identifikasi pribadi (PII) dan kekayaan intelektual.
Untuk lebih jelasnya, AI bayangan bukan hanya masalah teknis, tetapi juga masalah budaya. Karyawan berada di bawah tekanan mengadopsi alat AI yang membuat pekerjaan mereka lebih mudah, meningkatkan produktivitas dan mendapatkan insight berharga tentang pelanggan, rantai pasokan, dan kondisi pasar yang berubah dengan cepat. Tetapi tanpa bimbingan, karyawan dapat secara tidak sengaja melewati protokol keamanan dengan mengunggah PII pelanggan atau kekayaan intelektual perusahaan.
Di antara organisasi yang melaporkan pelanggaran terkait AI, 97% mengatakan mereka tidak memiliki kontrol akses yang tepat. Sementara CDO tidak mengelola kontrol tersebut, mereka perlu menyadari potensi kesalahan ini dan bertanya kepada rekan pemimpin keamanan dan AI mereka, apakah kontrol ini ada, dan jika tidak, mengapa? Karena data memicu AI, kontrol akses yang lemah meningkatkan risiko kompromi data sensitif.
Di antara organisasi yang dilanggar yang diteliti, lebih dari separuh (53%) melaporkan PII pelanggan yang disusupi. Dalam pelanggaran yang melibatkan AI bayangan, angka itu melonjak menjadi hampir dua pertiga (65%). Sementara kekayaan intelektual lebih jarang terekspos, kekayaan intelektual membawa biaya per catatan tertinggi (178 USD per catatan) dalam pelanggaran terkait AI bayangan.
Meskipun kenyataannya adalah data dapat rentan di mana pun disimpan, Laporan Biaya Pelanggaran Data menemukan sebagian besar pelanggaran melibatkan data yang didistribusikan di berbagai lingkungan, seperti cloud publik, cloud pribadi, dan di tempat. Sistem hybrid cloud ini mungkin nyaman, tetapi mereka juga dapat memperkenalkan kompleksitas dan mengundang risiko, yang diterjemahkan menjadi biaya. Pelanggaran data yang melibatkan beberapa lingkungan biaya rata-rata 5,05 juta USD, sementara pelanggaran data di on premises biaya rata-rata 4,01 juta USD.
Perlakukan kumpulan data AI sebagai aset‑bernilai tinggi, setara dengan catatan keuangan atau perawatan kesehatan.
Mengamankan data AI sangat penting tidak hanya untuk privasi dan kepatuhan, tetapi juga untuk melindungi integritas data, menjaga kepercayaan organisasi, dan menghindari kompromi data. Ini berarti CDO harus mengambil langkah aktif untuk mengklasifikasikan dan melindungi data sensitif di seluruh lingkungan cloud, lokal, dan hybrid. Selain itu, mereka harus memastikan semua PII dienkripsi, baik saat istirahat maupun dalam transit.
Pendekatan ini berarti melampaui kontrol tingkat permukaan dan menerapkan dasar-dasar keamanan data yang kuat: penemuan dan klasifikasi data, serta perlindungan data, seperti kontrol akses, enkripsi, dan manajemen kunci.
Ini juga dapat mencakup penggunaan data dan layanan keamanan AI. Langkah-langkah ini tidak unik untuk mengamankan AI, tetapi munculnya AI sebagai vektor ancaman dan pembantu keamanan berarti mereka lebih penting daripada sebelumnya.
Keamanan dan tata kelola AI adalah dua hal yang saling melengkapi. Jika tidak selaras, hal ini akan meningkatkan risiko, kompleksitas, dan biaya.
Organisasi harus memastikan tim CDO, CISO, dan kepatuhan berkolaborasi secara teratur. Berinvestasi dalam perangkat lunak keamanan dan tata kelolaterintegrasi dan proses untuk menyatukan para pemangku kepentingan lintas fungsi ini dapat membantu organisasi secara otomatis menemukan dan mengatur AI bayangan.
CDO sangat penting memainkan peran penting dalam membangun jalur data yang aman untuk AI serta pedoman penggunaan AI yang jelas. Mereka juga harus mengelola siklus hidup penuh model AI dengan tata kelola yang tertanam di setiap tahap.
Kenali bahwa model AI dan agen berfungsi sebagai identitas dengan hak akses.
Penting bagi CDO untuk memperlakukan agen AI dan manusia secara setara dari perspektif tata kelola data. Keduanya memerlukan kontrol operasional untuk mengakses sistem, tetapi agen AI yang penting hanya diberikan akses ke tugas atau alur kerja tertentu yang dirancang untuk mereka.
Dengan mengambil pendekatan terpadu dan kolaboratif untuk keamanan dan tata kelola, CDO memainkan peran penting dalam memperkuat keamanan identitas. Sama seperti pengguna manusia, agen AI semakin mengandalkan kredensial untuk mengakses sistem dan melakukan tugas. Jadi, penting untuk menerapkan kontrol operasional yang kuat, atau layanan yang dapat membantu Anda melakukannya , dan menjaga visibilitas ke dalam semua aktivitas identitas non-manusia (NHI). Organisasi harus dapat membedakan antara NHI yang menggunakan kredensial terkelola (berkubah) dan yang menggunakan kredensial yang tidak dikelola.
Buletin Think
Bergabunglah dengan para pemimpin keamanan yang mengandalkan Buletin Think untuk berita yang dikurasi tentang AI, keamanan siber, data, dan otomatisasi. Pelajari dengan cepat dari tutorial pakar dan penjelas—dikirimkan langsung ke kotak masuk Anda. Lihat Pernyataan Privasi IBM®.
Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM® kami untuk informasi lebih lanjut.
Peran CDO tidak pernah lebih penting. AI menulis ulang aturan kepemimpinan data, dan mereka yang merangkul inovasi yang bertanggung jawab akan menentukan era berikutnya dari perusahaan yang tepercaya dan tangguh.
Sebagai CDO, Anda dapat menanamkan tata kelola ke setiap tahap siklus hidup AI, mengamankan data yang mendukung AI, dan memimpin kolaborasi lintas‑fungsi untuk melindungi aset yang paling berharga organisasi.
Laporan Biaya Pelanggaran Data memperjelas bahwa risiko sebenarnya bukanlah AI itu sendiri, melainkan AI tanpa tata kelola.
AI bayangan, kontrol akses yang buruk, dan tanggung jawab yang terfragmentasi mengikis kepercayaan dan mendorong biaya lebih tinggi.
Jika mereka mengambil langkah yang tepat, CDO tidak hanya dapat mengurangi risiko dan biaya pelanggaran, tetapi juga memperkuat kemampuan organisasi mereka untuk berinovasi dengan percaya diri.