เรื่องเล่าจากโลกองค์กร: เมื่อ AI เปลี่ยนเกม GRC และ CISO ต้องปรับตัวทัน
ในอดีต GRC คือการจัดการความเสี่ยงตามกฎระเบียบและจริยธรรม แต่เมื่อ AI โดยเฉพาะ Generative AI เข้ามาในองค์กร ความเสี่ยงใหม่ ๆ เช่น การรั่วไหลของข้อมูล, การตัดสินใจผิดพลาดจากโมเดล, bias, hallucination และการใช้งานโดยไม่มีการควบคุม (shadow AI) ก็เพิ่มขึ้นอย่างรวดเร็ว
รายงานจาก Check Point พบว่า 1 ใน 80 prompts ที่ส่งจากอุปกรณ์องค์กรไปยัง AI มีความเสี่ยงต่อการรั่วไหลของข้อมูลสำคัญ ขณะที่รายงานจาก Lenovo ระบุว่า มีเพียง 24% ขององค์กรที่มีนโยบาย GRC สำหรับ AI อย่างจริงจัง
CISO จึงต้องทำหน้าที่สองด้าน คือ สนับสนุนการใช้งาน AI เพื่อเพิ่มประสิทธิภาพ และในขณะเดียวกันก็ต้องวางกรอบความปลอดภัยและการกำกับดูแลอย่างรัดกุม โดยใช้แนวทางเชิงกลยุทธ์และเชิงปฏิบัติ เช่น การจัดประเภท AI ด้วยระบบไฟจราจร (แดง-เหลือง-เขียว), การสร้าง model card สำหรับแต่ละ use case, และการใช้ framework เช่น NIST AI RMF, ISO/IEC 42001, FAIR, COSO, COBIT เพื่อประเมินความเสี่ยงทั้งเชิงคุณภาพและเชิงปริมาณ
AI เปลี่ยนแปลงแนวทาง GRC อย่างมีนัยสำคัญ
เพิ่มความเสี่ยงใหม่ เช่น shadow AI, bias, hallucination, legal risk
รายงานจาก Check Point พบว่า 1.25% ของ prompts มีความเสี่ยงรั่วไหล
เป็นภัยที่เกิดจากการใช้งาน AI โดยไม่มีกลไกควบคุม
มีเพียง 24% ขององค์กรที่มีนโยบาย AI GRC ครบถ้วน
จากรายงาน Lenovo CIO Playbook ปี 2025
CISO ต้องทำหน้าที่สองด้าน: สนับสนุน AI และควบคุมความเสี่ยง
ต้องใช้แนวทางเชิงกลยุทธ์และ tactical พร้อมกัน
แนวทาง tactical เช่น secure-by-design, shadow AI discovery, AI inventory
ใช้จัดการ AI ขนาดเล็กที่กระจายอยู่ใน SaaS และผลิตภัณฑ์ต่าง ๆ
แนวทาง strategic ใช้กับ AI ขนาดใหญ่ เช่น Copilot, ChatGPT
ควบคุมผ่าน internal oversight forum และการจัดลำดับความเสี่ยง
Framework ที่แนะนำ: NIST AI RMF, ISO/IEC 42001, FAIR, COSO, COBIT
ใช้ประเมินความเสี่ยง AI ทั้งเชิงคุณภาพและเชิงปริมาณ
การจัดประเภท AI ด้วยระบบไฟจราจร (แดง-เหลือง-เขียว)
ช่วยให้พนักงานเข้าใจและใช้งาน AI ได้อย่างปลอดภัย
การสร้าง model card สำหรับแต่ละ use case
ระบุ input, output, data flow, third party, และความเสี่ยงที่เกี่ยวข้อง
การใช้งาน AI โดยไม่มีการควบคุมอาจนำไปสู่ shadow AI
ทำให้ข้อมูลรั่วไหลและเกิดการใช้งานที่ไม่ปลอดภัย
การประเมินความเสี่ยง AI ยังไม่เป็นระบบในหลายองค์กร
ทำให้ CISO ขาดข้อมูลในการตัดสินใจเชิงกลยุทธ์
การใช้ AI โดยไม่มี governance อาจละเมิดกฎหมายหรือจริยธรรม
เช่น การใช้ข้อมูลลูกค้าโดยไม่ได้รับความยินยอม
การใช้ framework โดยไม่ปรับให้เหมาะกับ AI อาจไม่ครอบคลุม
เช่น COBIT หรือ COSO ที่ยังเน้น IT แบบเดิม
การประเมินความเสี่ยงเฉพาะ use case อาจไม่พอ
ต้องมีการรวมข้อมูลเพื่อวางแผนเชิงกลยุทธ์ระดับองค์กร
https://www.csoonline.com/article/4016464/how-ai-is-changing-the-grc-strategy.html
ในอดีต GRC คือการจัดการความเสี่ยงตามกฎระเบียบและจริยธรรม แต่เมื่อ AI โดยเฉพาะ Generative AI เข้ามาในองค์กร ความเสี่ยงใหม่ ๆ เช่น การรั่วไหลของข้อมูล, การตัดสินใจผิดพลาดจากโมเดล, bias, hallucination และการใช้งานโดยไม่มีการควบคุม (shadow AI) ก็เพิ่มขึ้นอย่างรวดเร็ว
รายงานจาก Check Point พบว่า 1 ใน 80 prompts ที่ส่งจากอุปกรณ์องค์กรไปยัง AI มีความเสี่ยงต่อการรั่วไหลของข้อมูลสำคัญ ขณะที่รายงานจาก Lenovo ระบุว่า มีเพียง 24% ขององค์กรที่มีนโยบาย GRC สำหรับ AI อย่างจริงจัง
CISO จึงต้องทำหน้าที่สองด้าน คือ สนับสนุนการใช้งาน AI เพื่อเพิ่มประสิทธิภาพ และในขณะเดียวกันก็ต้องวางกรอบความปลอดภัยและการกำกับดูแลอย่างรัดกุม โดยใช้แนวทางเชิงกลยุทธ์และเชิงปฏิบัติ เช่น การจัดประเภท AI ด้วยระบบไฟจราจร (แดง-เหลือง-เขียว), การสร้าง model card สำหรับแต่ละ use case, และการใช้ framework เช่น NIST AI RMF, ISO/IEC 42001, FAIR, COSO, COBIT เพื่อประเมินความเสี่ยงทั้งเชิงคุณภาพและเชิงปริมาณ
AI เปลี่ยนแปลงแนวทาง GRC อย่างมีนัยสำคัญ
เพิ่มความเสี่ยงใหม่ เช่น shadow AI, bias, hallucination, legal risk
รายงานจาก Check Point พบว่า 1.25% ของ prompts มีความเสี่ยงรั่วไหล
เป็นภัยที่เกิดจากการใช้งาน AI โดยไม่มีกลไกควบคุม
มีเพียง 24% ขององค์กรที่มีนโยบาย AI GRC ครบถ้วน
จากรายงาน Lenovo CIO Playbook ปี 2025
CISO ต้องทำหน้าที่สองด้าน: สนับสนุน AI และควบคุมความเสี่ยง
ต้องใช้แนวทางเชิงกลยุทธ์และ tactical พร้อมกัน
แนวทาง tactical เช่น secure-by-design, shadow AI discovery, AI inventory
ใช้จัดการ AI ขนาดเล็กที่กระจายอยู่ใน SaaS และผลิตภัณฑ์ต่าง ๆ
แนวทาง strategic ใช้กับ AI ขนาดใหญ่ เช่น Copilot, ChatGPT
ควบคุมผ่าน internal oversight forum และการจัดลำดับความเสี่ยง
Framework ที่แนะนำ: NIST AI RMF, ISO/IEC 42001, FAIR, COSO, COBIT
ใช้ประเมินความเสี่ยง AI ทั้งเชิงคุณภาพและเชิงปริมาณ
การจัดประเภท AI ด้วยระบบไฟจราจร (แดง-เหลือง-เขียว)
ช่วยให้พนักงานเข้าใจและใช้งาน AI ได้อย่างปลอดภัย
การสร้าง model card สำหรับแต่ละ use case
ระบุ input, output, data flow, third party, และความเสี่ยงที่เกี่ยวข้อง
การใช้งาน AI โดยไม่มีการควบคุมอาจนำไปสู่ shadow AI
ทำให้ข้อมูลรั่วไหลและเกิดการใช้งานที่ไม่ปลอดภัย
การประเมินความเสี่ยง AI ยังไม่เป็นระบบในหลายองค์กร
ทำให้ CISO ขาดข้อมูลในการตัดสินใจเชิงกลยุทธ์
การใช้ AI โดยไม่มี governance อาจละเมิดกฎหมายหรือจริยธรรม
เช่น การใช้ข้อมูลลูกค้าโดยไม่ได้รับความยินยอม
การใช้ framework โดยไม่ปรับให้เหมาะกับ AI อาจไม่ครอบคลุม
เช่น COBIT หรือ COSO ที่ยังเน้น IT แบบเดิม
การประเมินความเสี่ยงเฉพาะ use case อาจไม่พอ
ต้องมีการรวมข้อมูลเพื่อวางแผนเชิงกลยุทธ์ระดับองค์กร
https://www.csoonline.com/article/4016464/how-ai-is-changing-the-grc-strategy.html
🎙️ เรื่องเล่าจากโลกองค์กร: เมื่อ AI เปลี่ยนเกม GRC และ CISO ต้องปรับตัวทัน
ในอดีต GRC คือการจัดการความเสี่ยงตามกฎระเบียบและจริยธรรม แต่เมื่อ AI โดยเฉพาะ Generative AI เข้ามาในองค์กร ความเสี่ยงใหม่ ๆ เช่น การรั่วไหลของข้อมูล, การตัดสินใจผิดพลาดจากโมเดล, bias, hallucination และการใช้งานโดยไม่มีการควบคุม (shadow AI) ก็เพิ่มขึ้นอย่างรวดเร็ว
รายงานจาก Check Point พบว่า 1 ใน 80 prompts ที่ส่งจากอุปกรณ์องค์กรไปยัง AI มีความเสี่ยงต่อการรั่วไหลของข้อมูลสำคัญ ขณะที่รายงานจาก Lenovo ระบุว่า มีเพียง 24% ขององค์กรที่มีนโยบาย GRC สำหรับ AI อย่างจริงจัง
CISO จึงต้องทำหน้าที่สองด้าน คือ สนับสนุนการใช้งาน AI เพื่อเพิ่มประสิทธิภาพ และในขณะเดียวกันก็ต้องวางกรอบความปลอดภัยและการกำกับดูแลอย่างรัดกุม โดยใช้แนวทางเชิงกลยุทธ์และเชิงปฏิบัติ เช่น การจัดประเภท AI ด้วยระบบไฟจราจร (แดง-เหลือง-เขียว), การสร้าง model card สำหรับแต่ละ use case, และการใช้ framework เช่น NIST AI RMF, ISO/IEC 42001, FAIR, COSO, COBIT เพื่อประเมินความเสี่ยงทั้งเชิงคุณภาพและเชิงปริมาณ
✅ AI เปลี่ยนแปลงแนวทาง GRC อย่างมีนัยสำคัญ
➡️ เพิ่มความเสี่ยงใหม่ เช่น shadow AI, bias, hallucination, legal risk
✅ รายงานจาก Check Point พบว่า 1.25% ของ prompts มีความเสี่ยงรั่วไหล
➡️ เป็นภัยที่เกิดจากการใช้งาน AI โดยไม่มีกลไกควบคุม
✅ มีเพียง 24% ขององค์กรที่มีนโยบาย AI GRC ครบถ้วน
➡️ จากรายงาน Lenovo CIO Playbook ปี 2025
✅ CISO ต้องทำหน้าที่สองด้าน: สนับสนุน AI และควบคุมความเสี่ยง
➡️ ต้องใช้แนวทางเชิงกลยุทธ์และ tactical พร้อมกัน
✅ แนวทาง tactical เช่น secure-by-design, shadow AI discovery, AI inventory
➡️ ใช้จัดการ AI ขนาดเล็กที่กระจายอยู่ใน SaaS และผลิตภัณฑ์ต่าง ๆ
✅ แนวทาง strategic ใช้กับ AI ขนาดใหญ่ เช่น Copilot, ChatGPT
➡️ ควบคุมผ่าน internal oversight forum และการจัดลำดับความเสี่ยง
✅ Framework ที่แนะนำ: NIST AI RMF, ISO/IEC 42001, FAIR, COSO, COBIT
➡️ ใช้ประเมินความเสี่ยง AI ทั้งเชิงคุณภาพและเชิงปริมาณ
✅ การจัดประเภท AI ด้วยระบบไฟจราจร (แดง-เหลือง-เขียว)
➡️ ช่วยให้พนักงานเข้าใจและใช้งาน AI ได้อย่างปลอดภัย
✅ การสร้าง model card สำหรับแต่ละ use case
➡️ ระบุ input, output, data flow, third party, และความเสี่ยงที่เกี่ยวข้อง
‼️ การใช้งาน AI โดยไม่มีการควบคุมอาจนำไปสู่ shadow AI
⛔ ทำให้ข้อมูลรั่วไหลและเกิดการใช้งานที่ไม่ปลอดภัย
‼️ การประเมินความเสี่ยง AI ยังไม่เป็นระบบในหลายองค์กร
⛔ ทำให้ CISO ขาดข้อมูลในการตัดสินใจเชิงกลยุทธ์
‼️ การใช้ AI โดยไม่มี governance อาจละเมิดกฎหมายหรือจริยธรรม
⛔ เช่น การใช้ข้อมูลลูกค้าโดยไม่ได้รับความยินยอม
‼️ การใช้ framework โดยไม่ปรับให้เหมาะกับ AI อาจไม่ครอบคลุม
⛔ เช่น COBIT หรือ COSO ที่ยังเน้น IT แบบเดิม
‼️ การประเมินความเสี่ยงเฉพาะ use case อาจไม่พอ
⛔ ต้องมีการรวมข้อมูลเพื่อวางแผนเชิงกลยุทธ์ระดับองค์กร
https://www.csoonline.com/article/4016464/how-ai-is-changing-the-grc-strategy.html
0 Comments
0 Shares
74 Views
0 Reviews
Thai