Wat betekent de komst van AI voor de dataveiligheid binnen organisaties?

Gepubliceerd op: 11 januari 2024Geschreven door:
Wat betekent de komst van AI voor dataveiligheid?

Is de komst van AI bevorderlijk voor de dataveiligheid binnen organisaties? Om daar een antwoord op te geven moet je eerst weten welke informatie beschikbaar is binnen de organisatie en op welke manier deze te raadplegen is. In de dynamische wereld van bedrijven en organisaties vormen informatiebronnen namelijk de ruggengraat voor weloverwogen besluitvorming. Variërend van e-mails tot bestanden in SharePoint en posts in Microsoft Teams. De integriteit en constante beschikbaarheid van deze bronnen zijn van cruciaal belang voor het nemen van de juiste keuzes op het juiste moment. Ondanks dat het prettig is wanneer je een open cultuur hebt, waarbij informatie gedeeld wordt ter bevordering van de productiviteit, blijkt uit ervaring dat er vaak tekortkomingen zijn op dit gebied.

Het effect van AI op dataveiligheid

Dataveiligheid: Oversharing van gevoelige informatie

Het ontbreken van een governance plan waarbij dataveiligheid goed is beschreven is daar vaak de oorzaak van. Als je niet op een begrijpelijke manier beschrijft wat je van de medewerkers verwacht kan je er ook niet vanuit gaan dat men zo acteert. Het gevaar ontstaat dat informatie onbedoeld terechtkomt bij personen die niet de juiste autorisatie zouden moeten hebben. Hierdoor kunnen privacy en vertrouwelijkheid in het geding komen. Dit wordt “oversharing van gevoelige informatie” genoemd.

Met de komst van artificiële intelligentie (AI) wordt dit probleem alleen maar groter. Je dataveiligheid van je informatie architectuur (IA) moet kloppen. Dat wil zeggen je architectuur moet voldoen aan de eisen die daaraan worden gesteld en de medewerkers moeten dit begrijpen/accepteren. Pas als dit in balans is heb je een toekomst-vaste omgeving die prettig werkt en efficiënt is. Veel organisaties worstelen hier nog mee. Microsoft Teams is tijdens de covid tijd adhoc aangezet zonder duidelijk visie en governance. Deze omgevingen zijn daarna enorm gegroeid en niet perse in de vorm zoals gewenst. Dit is een probleem voor dataveiligheid. Het is verstandig om daar snel iets aan te doen.

Vergroot de dataveiligheid met een veilige informatie architectuur

Om dataveiligheid te vergoten hanteert Microsoft een aantal concepten zoals: zero trust, defense in depth en het shared responsibility model. Allen belangrijk om een veilige omgeving op te bouwen. Maar belangrijk om je te realiseren: data is altijd verantwoordelijkheid van de klant. Vanwege de opkomst van AI heeft Microsoft het “shared responsibility model” gemaakt. In dit model is duidelijk te zien waar de verantwoordelijkheden liggen. Zie afbeelding hieronder.

Dataveiligheid en AI - AI shared responsibility model

Bron: https://learn.microsoft.com/en-us/azure/security/fundamentals/shared-responsibility-ai

De essentie is dus om een veilige informatie architectuur te ontwikkelen die wordt gedragen door de medewerkers. Deze architectuur moet in redelijkheid voorzien aan de behoefte van de medewerkers, hun keuzes voor apparaten en locaties waar gewerkt wordt.

Bescherm data met behulp van dataclassificatie

Sommige informatie vereist meer veiligheid. Deze zal geclassificeerd moeten worden en daar zullen strakkere regels voor gelden. De beveiliging zal bestaan uit verschillende lagen waarbij de meest gevoelige informatie het meeste beveiligd is. Deze beveiliging zal bestaan uit containerbeveiliging en itembeveiliging waarbij men alleen onder de juiste condities toegang zal krijgen. Bijvoorbeeld: strikt vertrouwelijk informatie is enkel vanaf een goedgekeurd bedrijfsapparaat in Nederland benaderbaar. Deze zaken worden gelogd en gecontroleerd en op uitzonderen wordt gereageerd.

AVK helpt organisaties met Visie en Governance begeleiding om zodoende een veilige informatie architectuur te verkrijgen. Met behulp van dataclassificatie en het gebruik van vertrouwlijkheidslabels worden documenten beveiligd (ook als deze buiten de organisatie terecht komen) en hebben alleen medewerkers met de juiste autorisatie toegang. Benieuwd wat wij voor jouw organisatie kunnen betekenen? Neem dan contact met ons op, wij helpen je graag verder!