Love AI
New member
Khi AI lan rộng trong doanh nghiệp, mỗi CISO cần ghi nhận hai thực tế khó tránh: nhân viên đang dùng công cụ AI thế hệ mới và dữ liệu nhạy cảm có thể đã bị đưa vào các dịch vụ đó. Bài viết gợi ý sáu câu hỏi thực tế để xây dựng kế hoạch triển khai và quản trị AI an toàn, hiệu quả.
Khi tiến gần cuối 2025, có hai thực tế khó chối cãi về AI mà mọi CISO cần thấm nhuần.
Thực tế thứ nhất: Những nhân viên có khả năng đều đang sử dụng công cụ AI sinh sinh nội dung cho công việc — dù công ty không cung cấp tài khoản, dù chính sách cấm, thậm chí dù họ phải tự trả tiền.
Thực tế thứ hai: Mỗi nhân viên sử dụng AI nhiều khả năng đã (hoặc sẽ) cung cấp cho dịch vụ AI các thông tin nội bộ và bí mật của công ty.
Dữ liệu khảo sát đang ủng hộ xu hướng này: theo Microsoft, ba phần tư nhân viên tri thức trên toàn cầu năm 2024 đã dùng AI sinh nội dung trong công việc, và 78% trong số họ mang công cụ AI cá nhân vào công ty.
Gần một phần ba người dùng AI thừa nhận từng dán tài liệu nhạy cảm vào chatbot công khai; trong số đó có 14% thừa nhận đã vô tình hoặc cố ý làm lộ bí mật thương mại.
Một trong những mối đe dọa lớn của AI là sự mở rộng của "khoảng cách truy cập‑tin cậy" (Access‑Trust Gap): tức khác biệt giữa các ứng dụng doanh nghiệp được phê duyệt, tin cậy để truy cập dữ liệu công ty, và số lượng ngày càng tăng các ứng dụng không được quản lý, không đáng tin cậy có truy cập vào dữ liệu đó mà đội ngũ IT hoặc an ninh không hay biết.
Vấn đề càng thêm phức tạp khi nhân viên dùng thiết bị không được giám sát, có thể chứa nhiều ứng dụng AI chưa biết, và từng ứng dụng như vậy đều tiềm ẩn rủi ro đối với dữ liệu nhạy cảm của doanh nghiệp.
Hãy hình dung hai công ty giả định, gọi là công ty A và công ty B. Ở cả hai nơi, nhân viên phát triển kinh doanh chụp ảnh màn hình Salesforce và đưa vào AI để soạn email tiếp cận khách hàng; CEO dùng AI để tăng tốc thẩm định mục tiêu mua lại; nhân viên sales truyền âm thanh và video cuộc gọi cho ứng dụng AI để được huấn luyện cá nhân hóa; đội sản phẩm tải lên bảng Excel chứa dữ liệu sử dụng sản phẩm để tìm insight quan trọng.
Với công ty A, mô tả trên là báo cáo sáng giá gửi hội đồng quản trị về tiến trình nội bộ của các sáng kiến AI. Với công ty B, cùng kịch bản đó lại là danh sách vi phạm chính sách nghiêm trọng, có thể kéo theo hậu quả pháp lý và quyền riêng tư.
Sự khác biệt nằm ở chỗ: công ty A đã xây dựng và triển khai kế hoạch hỗ trợ AI cùng mô hình quản trị; công ty B vẫn đang tranh luận và chần chừ.
Bằng chứng hậu quả của việc thiếu quản trị AI đã rõ: báo cáo "Cost of a Data Breach" của IBM năm 2025 nhấn mạnh rằng 97% tổ chức chịu vi phạm liên quan AI đều thiếu các kiểm soát truy cập AI.
Nhiệm vụ hiện tại là thiết kế một kế hoạch hỗ trợ AI (AI enablement plan) vừa khuyến khích sử dụng hiệu quả vừa kìm hãm hành vi liều lĩnh. Để bắt đầu, dưới đây là sáu câu hỏi tôi thường dùng trong các buổi workshop với hội đồng:
1. Những trường hợp kinh doanh cụ thể nào xứng đáng được dùng sức mạnh AI?
Hãy nghĩ đến các trường hợp rõ ràng, ví dụ "soạn bulletin lỗ hổng zero‑day" hay "tóm tắt buổi công bố kết quả tài chính" — tập trung vào kết quả mong muốn, không chỉ dùng AI vì AI.
2. Những công cụ đã được thẩm định nào chúng ta sẽ cấp cho nhân viên?
Chọn công cụ AI đã kiểm duyệt với các kiểm soát bảo mật cơ bản, ví dụ các gói Enterprise không dùng dữ liệu công ty để huấn luyện mô hình.
3. Quy định của chúng ta về tài khoản AI cá nhân sẽ như thế nào?
Hãy chính thức hóa quy tắc dùng AI cá nhân trên laptop công ty, thiết bị cá nhân và thiết bị nhà thầu.
4. Làm sao bảo vệ dữ liệu khách hàng và tuân thủ mọi điều khoản hợp đồng trong khi vẫn tận dụng AI?
Đối chiếu đầu vào mô hình với nghĩa vụ bảo mật và quy định vùng miền để xác định dữ liệu nào được phép dùng.
5. Chúng ta sẽ phát hiện các web app AI độc hành, ứng dụng gốc và plugin trình duyệt như thế nào?
Tìm dấu hiệu shadow AI bằng cách tận dụng agent bảo mật, log CASB và các công cụ cung cấp inventory chi tiết cùng phần mở rộng giám sát cho trình duyệt và trình soạn mã.
6. Làm sao dạy nhân viên về chính sách trước khi sai sót xảy ra?
Khi đã có chính sách, hãy đào tạo chủ động cho nhân viên; các rào chắn không có tác dụng nếu mọi người chỉ biết về chúng khi rời công ty.
Câu trả lời cho mỗi câu hỏi sẽ khác nhau tùy mức chấp nhận rủi ro của tổ chức, nhưng sự đồng thuận giữa pháp lý, sản phẩm, nhân sự và an ninh là điều không thể thương lượng.
Tóm lại, thu hẹp khoảng cách truy cập‑tin cậy đòi hỏi các đội hiểu được và tạo điều kiện cho việc sử dụng các ứng dụng AI đáng tin cậy trong toàn công ty, để nhân viên không bị đẩy đến sử dụng những công cụ không đáng tin cậy.
Khi tiến gần cuối 2025, có hai thực tế khó chối cãi về AI mà mọi CISO cần thấm nhuần.
Thực tế thứ nhất: Những nhân viên có khả năng đều đang sử dụng công cụ AI sinh sinh nội dung cho công việc — dù công ty không cung cấp tài khoản, dù chính sách cấm, thậm chí dù họ phải tự trả tiền.
Thực tế thứ hai: Mỗi nhân viên sử dụng AI nhiều khả năng đã (hoặc sẽ) cung cấp cho dịch vụ AI các thông tin nội bộ và bí mật của công ty.
Dữ liệu khảo sát đang ủng hộ xu hướng này: theo Microsoft, ba phần tư nhân viên tri thức trên toàn cầu năm 2024 đã dùng AI sinh nội dung trong công việc, và 78% trong số họ mang công cụ AI cá nhân vào công ty.
Gần một phần ba người dùng AI thừa nhận từng dán tài liệu nhạy cảm vào chatbot công khai; trong số đó có 14% thừa nhận đã vô tình hoặc cố ý làm lộ bí mật thương mại.
Một trong những mối đe dọa lớn của AI là sự mở rộng của "khoảng cách truy cập‑tin cậy" (Access‑Trust Gap): tức khác biệt giữa các ứng dụng doanh nghiệp được phê duyệt, tin cậy để truy cập dữ liệu công ty, và số lượng ngày càng tăng các ứng dụng không được quản lý, không đáng tin cậy có truy cập vào dữ liệu đó mà đội ngũ IT hoặc an ninh không hay biết.
Vấn đề càng thêm phức tạp khi nhân viên dùng thiết bị không được giám sát, có thể chứa nhiều ứng dụng AI chưa biết, và từng ứng dụng như vậy đều tiềm ẩn rủi ro đối với dữ liệu nhạy cảm của doanh nghiệp.
Hãy hình dung hai công ty giả định, gọi là công ty A và công ty B. Ở cả hai nơi, nhân viên phát triển kinh doanh chụp ảnh màn hình Salesforce và đưa vào AI để soạn email tiếp cận khách hàng; CEO dùng AI để tăng tốc thẩm định mục tiêu mua lại; nhân viên sales truyền âm thanh và video cuộc gọi cho ứng dụng AI để được huấn luyện cá nhân hóa; đội sản phẩm tải lên bảng Excel chứa dữ liệu sử dụng sản phẩm để tìm insight quan trọng.
Với công ty A, mô tả trên là báo cáo sáng giá gửi hội đồng quản trị về tiến trình nội bộ của các sáng kiến AI. Với công ty B, cùng kịch bản đó lại là danh sách vi phạm chính sách nghiêm trọng, có thể kéo theo hậu quả pháp lý và quyền riêng tư.
Sự khác biệt nằm ở chỗ: công ty A đã xây dựng và triển khai kế hoạch hỗ trợ AI cùng mô hình quản trị; công ty B vẫn đang tranh luận và chần chừ.
Bằng chứng hậu quả của việc thiếu quản trị AI đã rõ: báo cáo "Cost of a Data Breach" của IBM năm 2025 nhấn mạnh rằng 97% tổ chức chịu vi phạm liên quan AI đều thiếu các kiểm soát truy cập AI.
Nhiệm vụ hiện tại là thiết kế một kế hoạch hỗ trợ AI (AI enablement plan) vừa khuyến khích sử dụng hiệu quả vừa kìm hãm hành vi liều lĩnh. Để bắt đầu, dưới đây là sáu câu hỏi tôi thường dùng trong các buổi workshop với hội đồng:
1. Những trường hợp kinh doanh cụ thể nào xứng đáng được dùng sức mạnh AI?
Hãy nghĩ đến các trường hợp rõ ràng, ví dụ "soạn bulletin lỗ hổng zero‑day" hay "tóm tắt buổi công bố kết quả tài chính" — tập trung vào kết quả mong muốn, không chỉ dùng AI vì AI.
2. Những công cụ đã được thẩm định nào chúng ta sẽ cấp cho nhân viên?
Chọn công cụ AI đã kiểm duyệt với các kiểm soát bảo mật cơ bản, ví dụ các gói Enterprise không dùng dữ liệu công ty để huấn luyện mô hình.
3. Quy định của chúng ta về tài khoản AI cá nhân sẽ như thế nào?
Hãy chính thức hóa quy tắc dùng AI cá nhân trên laptop công ty, thiết bị cá nhân và thiết bị nhà thầu.
4. Làm sao bảo vệ dữ liệu khách hàng và tuân thủ mọi điều khoản hợp đồng trong khi vẫn tận dụng AI?
Đối chiếu đầu vào mô hình với nghĩa vụ bảo mật và quy định vùng miền để xác định dữ liệu nào được phép dùng.
5. Chúng ta sẽ phát hiện các web app AI độc hành, ứng dụng gốc và plugin trình duyệt như thế nào?
Tìm dấu hiệu shadow AI bằng cách tận dụng agent bảo mật, log CASB và các công cụ cung cấp inventory chi tiết cùng phần mở rộng giám sát cho trình duyệt và trình soạn mã.
6. Làm sao dạy nhân viên về chính sách trước khi sai sót xảy ra?
Khi đã có chính sách, hãy đào tạo chủ động cho nhân viên; các rào chắn không có tác dụng nếu mọi người chỉ biết về chúng khi rời công ty.
Câu trả lời cho mỗi câu hỏi sẽ khác nhau tùy mức chấp nhận rủi ro của tổ chức, nhưng sự đồng thuận giữa pháp lý, sản phẩm, nhân sự và an ninh là điều không thể thương lượng.
Tóm lại, thu hẹp khoảng cách truy cập‑tin cậy đòi hỏi các đội hiểu được và tạo điều kiện cho việc sử dụng các ứng dụng AI đáng tin cậy trong toàn công ty, để nhân viên không bị đẩy đến sử dụng những công cụ không đáng tin cậy.
Bài viết liên quan
