AI 是应对合规性挑战的答案吗?[Q&A]
![AI 是应对合规性挑战的答案吗?[Q&A]](http://139.155.240.214:7031/wp-content/uploads/2025/03/7df68a7b371ad47449819f35e063f870_news_20250314.jpg)
快速阅读: 《Beta新闻》消息,随着合规要求增多,企业面临巨大挑战。AI可通过分析数据、识别模式简化合规流程,但需验证其输出并正确微调。AI能提升效率,但仍需人类参与应对安全事件及确保合规。企业应设定清晰目标,建立反馈机制并保持透明。
AI是解决合规挑战的答案吗?
\[问答\] 2025年3月14日,伊恩·巴克撰写
随着越来越多的法规出台,企业正面临着既要确保合规又要完成核心业务活动的难题。这促使许多企业扩大了安全团队的规模。我们采访了**Thoropass**的首席信息安全官杰伊·特林克斯,他认为利用AI快速且准确地分析大量数据的能力,将是弥合这一差距的关键,而无需大幅扩充人员编制。
**BiancoBlue(以下简称BN)**:为何日益增长的合规要求对企业造成了如此大的困扰?
**杰伊·特林克斯(以下简称JT)**:随着合规要求的不断增加,企业的复杂性也在增加。一家企业可能已有基于特定框架的合规计划,但当引入新的合规框架时,他们可能需要重新设计整个计划。企业可能难以做好准备应对这些变化,或者没有资源来实施新框架要求的所有控制措施。具体来说,许多公司缺乏资金或人手。我认为美国各地的网络安全和合规团队普遍人手不足的情况已经是众所周知的事实。我们不应该期望企业在没有内部专业知识的情况下能够迅速适应新的要求,尤其是那些已经生效多年的合规要求。资金和人手的缺口使企业陷入困境,因为它们也很难招聘新员工或支付传统的第三方网络安全供应商费用。结果是,2024年成为有史以来最严重的数据泄露年份之一。
**BN**:AI如何帮助简化合规流程?
**JT**:AI擅长识别模式并整理大型数据集。这种能力可以帮助安全团队通过分析各种合规框架来识别重叠的要求。例如,如果多个框架要求特定的安全或隐私措施——如加密协议、访问控制或数据保留政策——AI可以突出这些共同点,并建议一种统一的方法来满足这些要求。AI还可以快速分析大量数据,检测合规中的不一致、风险或漏洞,为安全团队提供洞察力,以有效优先处理工作。这种自动化分析可以大大减少合规任务所需时间和精力,释放资源用于其他关键活动。
**BN**:不将合规与AI整合存在哪些风险?
**JT**:公司需要记住的一件事是,坏人已经在使用AI发起全天候的自动化攻击、网络钓鱼邮件和欺诈行为。因此,如果你不使用AI至少简化合规,那么你的网络安全系统与你必须面对的威胁类型之间将会有更大的差距。如果没有AI,合规流程将不得不严重依赖人工方法,而这容易出错且效率低下。未能充分发挥AI潜力可能导致公司资源错配,专注于低优先级的问题,而忽视关键的合规漏洞。此外,AI可以自动化威胁检测和合规监控,以便更快响应新兴风险。因此,放弃AI意味着组织面临反应时间较慢的风险。没有这种能力,公司的合规努力往往是被动的。组织只能在攻击者利用漏洞后才去应对安全问题,这可能代价高昂且破坏性极大。
如果没有AI,合规流程将不得不严重依赖人工方法,而这容易出错且效率低下。未能充分发挥AI潜力可能导致公司资源错配,专注于低优先级的问题,而忽视关键的合规漏洞。最后,仅依靠人工或传统方法进行合规通常需要大量人力和时间,这再次回到最初的问题:资金或人手不足。集成AI可以简化许多流程,降低成本并释放资源。
如果没有AI,合规流程将不得不严重依赖人工方法,而这容易出错且效率低下。未能充分发挥AI潜力可能导致公司资源错配,专注于低优先级的问题,而忽视关键的合规漏洞。
**BN**:AI最终是否会取代合规团队的需求?
**JT**:不,我不认为AI会取代合规中人类的需求。尽管AI可能更高效地执行例行任务,因为它可以在高度技术化的环境中监控和发现模式,但其输出仍然容易出错和产生幻觉,这意味着合规团队需要验证或核实。我也认为理解这一点很重要:虽然AI在监控和检测漏洞方面非常出色,但在事件响应方面却不那么擅长。在未来可预见的时间里,仍将是人类对攻击做出反应,采取保护最重要系统的步骤,并在事后通知受影响的个人。
**BN**:组织可以采取哪些实际步骤将AI融入其合规流程?
**JT**:组织需要明确AI项目的目标。然后他们需要训练和微调AI工具,确保其胜任分配的任务。这种微调非常重要,因为许多人正在尝试使用通用AI工具(如ChatGPT或微软的Copilot)来帮助简化合规。然而,这些通用工具本身可能存在安全隐患或合规漏洞。微调始于拥有正确的数据,并配置AI系统以紧密符合特定合规框架的要求。这涉及在AI工具中设置严格的参数和界限,以确保其输出准确、相关且符合目标框架定义的规则和标准。
接下来,公司需要创建反馈循环和监控系统,以提高AI输出的准确性。创建一个报告功能,以便开发人员和用户始终可以就什么有效、什么无效直接提供反馈。记录错误并进行审计。最后,你的AI应用需保持透明,并遵循负责任/可信的原则。IT团队应清楚了解公司在合规过程中如何使用AI以及相关的风险和责任。
**图片来源**:BiancoBlue / depositphotos.com
**分享**
推特 | 钉住 | 邮件 | 短信
(以上内容均由Ai生成)
