Wanneer een werknemer een AI-schrijfassistent installeert, een codeercopiloot op zijn IDE aansluit, of vergaderingen begint samen te vatten met een nieuwe browsertool, doet hij precies wat een productieve werknemer zou moeten doen: snellere manieren vinden om te werken.
In de meeste organisaties gebruiken werknemers vandaag de dag drie tot vijf AI-tools. De meeste zijn nooit door IT beoordeeld. Een aanzienlijk deel maakt verbinding met bedrijfsgegevens via OAuth-tokens of browsersessies, waardoor ze toegang krijgen tot gedeelde schijven, e-mails en interne documenten die de medewerker nooit specifiek openbaar wilde maken. Beveiligingsteams hebben er vaak geen zicht op.
Dit is de schaduw-AI-kloof, en deze wordt snel groter. De meeste beveiligingstools zijn gebouwd om e-mail- en netwerkverkeer dat door het bedrijfsnetwerk stroomt te monitoren. Een browsergebaseerde AI-tool die verbinding maakt met bedrijfsgegevens via een snelle login-goedkeuring omzeilt deze controles volledig, omdat deze helemaal nooit via het bedrijfsnetwerk gaat. Volgens Gartner vermoedt of heeft 69% van de organisaties bevestigd dat werknemers verboden AI-tools op het werk gebruiken, en heeft slechts 37% een AI-governancebeleid ingevoerd. Het resultaat is een groeiende kloof tussen hoe werknemers werken en wat beveiligingsteams kunnen zien.
Een programma dat de adoptie van AI op een veilig, zichtbaar en goedgekeurd pad kanaliseert, geeft beveiligingsteams de zichtbaarheid die ze nodig hebben en werknemers de tools die ze willen. De vijf stappen hieronder laten precies zien hoe je er een kunt bouwen.
Stap 1: Creëer een volledig beeld van wat er gebeurt
Een beveiligingsprogramma kan alleen beheren wat het kan zien. De eerste stap is ontdekken welke AI-tools in de hele organisatie worden gebruikt, en de meeste beveiligingsteams zullen het antwoord verrassend vinden.
Drie gebieden zijn verantwoordelijk voor het merendeel van de schaduw-AI-activiteit.
- OAuth-verbindingen. De meeste AI-tools vragen toegang tot Google Workspace of Microsoft 365 via OAuth, waardoor ze lees- of schrijfrechten krijgen voor bedrijfsgegevens. Een driemaandelijkse audit van verbonden apps van derden, gesorteerd op toestemmingsbereik, brengt meestal tientallen tools aan het licht die het beveiligingsteam nooit heeft beoordeeld.
- Browser-extensies. Veel AI-tools draaien als browserextensies en raken nooit het besturingssysteem, dus traditionele tools voor eindpuntbeheer missen ze volledig. Een browserbeheeroplossing of een lichtgewicht agent die op werknemersapparaten is geïnstalleerd, kan scannen en identificeren welke extensies in de hele organisatie actief zijn.
- AI-functies gebundeld in reeds goedgekeurde tools. Microsoft Copilot, Google Gemini en Salesforce Einstein zijn voorbeelden van AI-mogelijkheden die mogelijk zijn geïntroduceerd na de oorspronkelijke leveranciersbeoordeling, vaak zonder een afzonderlijke beveiligingsevaluatie.
Een eenvoudige medewerkersenquête is ook de moeite waard. Een enquête die erop gericht is werknemers veiliger te laten werken, levert meestal openhartige reacties op. Veel schaduwtools komen naar voren via enquêtes die geautomatiseerde detectie volledig over het hoofd ziet.
Het doel van deze stap is een actuele, nauwkeurige inventarisatie: elke AI-tool die in gebruik is, wie deze gebruikt en tot welke gegevens deze toegang heeft.
Stap 2: Schrijf een beleid dat werkt voor werknemers
Het meeste beleid voor acceptabel gebruik van AI loopt om dezelfde reden vast: ze geven werknemers een lijst met verboden tools zonder richtlijnen over hoe het goedgekeurde pad eruit ziet. Een beleid dat is ontworpen als een praktische gids, een beleid dat goedgekeurde hulpmiddelen identificeert en een duidelijk proces biedt voor het aanvragen van nieuwe, is de basis die medewerkers nodig hebben om goede beslissingen te kunnen nemen.
Een effectief AI-governancebeleid omvat vijf dingen.
- Een actuele lijst met goedgekeurde gereedschappen en waar u ze kunt vinden.
- Duidelijke regels voor gegevensclassificatie die specificeren welke gegevenscategorieën, inclusief klantrecords, broncode en financiële informatie, nooit in een AI-tool mogen worden ingevoerd.
- Een geverifieerde opt-outstatus voor datatraining voor elke goedgekeurde tool. Veel AI-tools gebruiken standaard bedrijfsinvoer om hun modellen te verbeteren, tenzij bedrijfsinstellingen expliciet anders zijn geconfigureerd. Voor goedkeuring zou een bevestigde opt-out vereist zijn voor elk hulpmiddel dat gevoelige gegevens verwerkt.
- Een gedefinieerd proces voor het aanvragen van nieuwe tools, met een beoogde doorlooptijd.
- Een duidelijke uitleg van waarom de richtlijnen bestaan.
Dat laatste element is belangrijker dan het lijkt. Werknemers die begrijpen waarom OAuth-verbindingen risico’s met zich meebrengen voor gegevensblootstelling, passen deze redenering toe op elke toolbeslissing die ze nemen. Beleid wordt een vorm van onderwijs als de redenering erbij wordt betrokken.
Stap 3: Creëer een Fast Lane voor nieuwe gereedschapsaanvragen
Shadow AI groeit het snelst in organisaties waar het officiële goedkeuringsproces geen gelijke tred kan houden met het aantal AI-productreleases. Een medewerker die vandaag een tool nodig heeft en een beveiligingsbeoordeling van zes weken moet ondergaan, zal binnen enkele dagen een oplossing vinden. Het doel van deze stap is om die wrijving weg te nemen.
- De meeste AI-toolverzoeken rechtvaardigen geen volledige aanbestedingsbeoordeling. Voor de meeste instrumenten met een lager risico is een gestructureerd intakeformulier met gedefinieerde evaluatiecriteria voldoende.
- Een gestructureerd intakeformulier en een gedefinieerde set evaluatiecriteria maken snellere beslissingen mogelijk. Voor tools met beperkte gegevenstoegang vinden veel organisaties een kortere doorlooptijd haalbaar zodra de evaluatiecriteria zijn gedocumenteerd en consistent worden toegepast.
- De evaluatiecriteria moeten betrekking hebben op de reikwijdte van de gegevenstoegang, de beveiligingspraktijken van leveranciers, de opt-outstatus voor gegevenstraining, nalevingscertificeringen en of de tool al een functioneel equivalent op de goedgekeurde lijst heeft staan.
Beveiligingsteams die hun lijst met goedgekeurde tools openlijk publiceren en actueel houden, zien doorgaans een aanzienlijke vermindering van het gebruik van schaduw-AI. Als medewerkers weten waar ze de juiste tools kunnen vinden, gebruiken ze deze.
Stap 4: Gebruik monitoring als gedeelde veiligheidslaag
Continu inzicht in het gebruik van AI-tools binnen een organisatie bedient twee groepen tegelijk.
- Beveiligingsteams krijgen het realtime beeld dat ze nodig hebben om de blootstelling te identificeren en aan te pakken voordat het een incident wordt.
- Werknemers krijgen een vorm van bescherming die ze zelf vaak niet hebben: een signaal wanneer een tool die ze gebruiken hun inloggegevens of bedrijfsgegevens in gevaar kan brengen.
Een browser-native monitoringaanpak geeft beveiligingsteams inzicht in AI-activiteiten zonder het webverkeer van werknemers om te leiden of de dagelijkse werkzaamheden te hinderen. De signalen die het opvangt, worden meegenomen in het bredere risicoprofiel van elke werknemer en worden naast de resultaten van hun phishing-simulaties en de gegevens over de voltooiing van de training op één plek verzameld.
Die gecombineerde visie is van belang omdat risicovol gedrag toeneemt. Een werknemer die op phishing-links klikt, trainingen overslaat en niet-goedgekeurde AI-tools gebruikt met toegang tot gevoelige gegevens, loopt een veel groter risico dan welk gedrag dan ook zou doen vermoeden. Door het volledige beeld op één plek te zien, kunnen beveiligingsteams zich concentreren op de werknemers die de meeste aandacht nodig hebben.
Stap 5: Maak goed beveiligingsgedrag eenvoudig
Beveiligingsprogramma’s die de veilige keuze de gemakkelijkste keuze maken, zijn de programma’s die werknemers volgen. In de context van AI-governance zijn twee dingen de drijvende kracht daarvoor: just-in-time coaching en training die de redenering achter de regels uitlegt.
Just-in-time coaching levert een korte, contextuele aanwijzing op het moment dat een medewerker een niet-goedgekeurde tool probeert te gebruiken. Dit is effectiever dan driemaandelijkse trainingsmodules, omdat de interventie plaatsvindt op het moment van de beslissing. Een goed ontworpen prompt vertelt de medewerker wat het probleem is, verwijst hem naar een goedgekeurd alternatief en duurt minder dan dertig seconden om te lezen.
Training die de redenering achter het AI-governancebeleid uitlegt, bouwt het soort oordeel op dat werknemers kunnen toepassen in elke situatie die ze tegenkomen, inclusief tools en bedreigingen die lang na de training zelf opduiken. Het landschap van AI-tools verandert zo snel dat geen enkel trainingsprogramma op elk specifiek geval kan anticiperen. Een medewerker die begrijpt dat OAuth-verbindingen met Google Workspace de volledige gedeelde Drive aan een externe leverancier kunnen tonen, zal dat inzicht toepassen op tools die zes maanden geleden nog niet bestonden.
Een beveiligingsprogramma bouwen op basis van hoe teams werken
De adoptie van AI is een signaal dat productieve teams hun werk goed doen. Bedrijven die praktische programma’s rond dat momentum bouwen, met duidelijke paden naar goedgekeurde tools en realtime zichtbaarheid voor beveiligingsteams, kunnen daar doorgaans het beste mee omgaan.
Beveiligingsteams die deze kloof dichten, ontdekken dat het gebruik van schaduw-AI in de loop van de tijd organisch afneemt. Browser-native zichtbaarheid, duidelijke paden naar goedgekeurde tools en just-in-time coaching op het moment van risico maken dat mogelijk. Wanneer werknemers toegang hebben tot effectieve, goedgekeurde tools en een snel, transparant pad om nieuwe tools te laten beoordelen, verdwijnt de prikkel om het systeem te omzeilen grotendeels.
Het AI Governance-product van Adaptive Security geeft beveiligingsteams realtime inzicht in elke AI-tool en schaduw-app die in hun organisatie draait, met geautomatiseerd beleid en just-in-time coaching van medewerkers. Meer informatie vindt u op adaptivesecurity.com.
