Από τον Yair Kuznitsov, συνιδρυτή και διευθύνοντα σύμβουλο, Ανέκδοτα
Κάθε εβδομάδα μιλάω με ομάδες επιχειρηματικού GRC που κατανοούν ακριβώς τι μπορεί να κάνει η agent AI για το επάγγελμά τους. Έχουν διαβάσει τα άρθρα, έχουν δει τις επιδείξεις και μπορούν να διατυπώσουν τη διαφορά μεταξύ της τεχνητής νοημοσύνης που κάνει μια ροή εργασίας να πηγαίνει λίγο, ή ακόμα και πολύ πιο γρήγορα, και ενός πράκτορα που την αντικαθιστά πλήρως.
Ωστόσο, ορισμένοι εξακολουθούν να είναι απρόθυμοι να κάνουν τη στροφή προς το agent GRC.
Όταν ρωτάω γιατί, η συζήτηση απομακρύνεται από την τεχνολογία αρκετά γρήγορα. Οι περισσότεροι από αυτούς έχουν διαθέσιμο τον “προϋπολογισμό AI”, αλλά κάτι τους εμποδίζει να κάνουν την κίνηση και δεν μπορούν πάντα να ονομάσουν τι είναι.
Όλες οι συζητήσεις οδηγούν τελικά στο ίδιο μέρος, ακόμα κι αν δεν μπορούν να το πουν με τόσες πολλές λέξεις: δεν είναι σίγουροι ποιοι είναι όταν οι επιχειρήσεις δεν είναι πια δικές τους. Είναι ένα ζήτημα ταυτότητας και ακόμη και αξίας πάνω από όλα.
Οι περισσότεροι επαγγελματίες του GRC έχουν μια σιωπηρή πεποίθηση για το από πού προέρχεται η αξία τους. Αυτή η πεποίθηση δεν είναι λανθασμένη, αλλά περιγράφει έναν ρόλο που αναδιαρθρώνεται και αυτοί που θα κάνουν τη μετάβαση πιο γρήγορα θα είναι αυτοί που ηγούνται του κλάδου τα επόμενα χρόνια.
Η ικανότητα που μας έφερε εδώ
Οι επαγγελματίες του GRC έχτισαν την τεχνογνωσία τους γύρω από την επιχειρησιακή ικανότητα. Το να γνωρίζεις πώς να συλλέγεις τα σωστά αποδεικτικά στοιχεία, να διαχειρίζεσαι τους κύκλους ελέγχου υπό πίεση και να διατηρείς ένα σύνθετο πρόγραμμα συμμόρφωσης σε λειτουργία όταν δεν είναι στελεχωμένο και δεν διαθέτει πόρους, αποτελούν σημάδια ενός πολύτιμου μέλους της ομάδας GRC εδώ και χρόνια.
Αυτή η ικανότητα χρειάστηκε χρόνια για να αναπτυχθεί και οι άνθρωποι που την έχουν είναι πραγματικά καλοί σε αυτό που κάνουν και δίκαια εκτιμώνται από την επιχείρησή τους.
Το πρόβλημα με πρακτορείο GRC είναι ότι δεν ανταμείβει αυτή την ικανότητα με τον ίδιο τρόπο. Οι πράκτορες μπορούν να συγκεντρώσουν στοιχεία, να ανοίξουν εργασίες αποκατάστασης και να διαχειριστούν μόνοι τους το μεγαλύτερο μέρος του κύκλου ελέγχου. Δεδομένου ότι οι πράκτορες μπορούν να χειριστούν αυτές τις λειτουργίες, το πραγματικό ερώτημα είναι τι υποτίθεται ότι πρέπει να κάνει ένας επαγγελματίας του GRC, και οι περισσότεροι οργανισμοί δεν το έχουν ρωτήσει ακόμα.
Οι πραγματικοί μηχανικοί του GRC δεν ζουν σε υπολογιστικά φύλλα. Δηλώνουν στοιχεία ελέγχου στο Terraform, τα εκδίδουν στο Git και δρομολογούν κάθε ενημέρωση μέσω αιτημάτων έλξης και αγωγών CI/CD.
Κατεβάστε το GRC Engineering 101 για να μάθετε πώς να ξεκινήσετε
Η Βάρδια που Περίμεναν
Το GRC δεν σχεδιάστηκε για να είναι λειτουργική λειτουργία. Σχεδιάστηκε για να βοηθήσει τους οργανισμούς να κατανοήσουν και να διαχειριστούν τον κίνδυνο. Η συλλογή αποδεικτικών στοιχείων, οι κύκλοι ελέγχου, οι ενημερώσεις κατάστασης ήταν πάντα υλοποιήσεις αυτού του σκοπού, όχι του ίδιου του σκοπού. Οι επαγγελματίες που μπήκαν σε αυτόν τον τομέα δεν έλκονταν από αυτό λόγω της «πλάκας» της συλλογής αποδεικτικών στοιχείων.
Τους ένοιαζε αν ο οργανισμός ήταν πραγματικά προστατευμένος ή απλώς φαινόταν να προστατεύεται και ήθελαν να δώσουν αυτή τη γνώση στην επιχείρηση.
Αυτό που συνέβη με την πάροδο του χρόνου είναι ότι τα εργαλεία δεν κλιμακώθηκαν με τα προγράμματα και το λειτουργικό βάρος κατέστρεψε τα πάντα. Οι άνθρωποι που υποτίθεται ότι σκέφτονταν το ρίσκο ξόδευαν τον περισσότερο χρόνο τους κρατώντας τη μηχανή σε λειτουργία, όχι επειδή ήταν πάντα η ουσία του ρόλου, αλλά επειδή κάποιος έπρεπε να το κάνει και δεν υπήρχε άλλος τρόπος.
Τι κάνουν οι πράκτορες και τι δεν μπορούν
Το Agentic GRC δεν επιταχύνει τις ροές εργασίας, τις αντικαθιστά. Τα στοιχεία δεν ρέουν πλέον μέσα από ένα άτομο. αντλείται συνεχώς από ολοκληρωμένα συστήματα. Τα στοιχεία ελέγχου δεν ελέγχονται περιοδικά. παρακολουθούνται σε πραγματικό χρόνο. Η αποκατάσταση δεν παρακολουθείται σε υπολογιστικά φύλλα. τα εισιτήρια ανοίγουν, εκχωρούνται, παρακολουθούνται και κλείνουν αυτόματα.
Αλλά οι πράκτορες δεν σχεδιάζουν τους εαυτούς τους. Η λογική που τους οδηγεί (τι να συλλέξουν, τι συνιστά πάσα ή αποτυχία, τι πυροδοτεί μια κλιμάκωση, τι θα δεχτεί ο ελεγκτής ως αποδεικτικό στοιχείο) προέρχεται από έναν βασικό συνδυασμό: το πλαίσιο δεδομένων και την ανθρώπινη διορατικότητα.
Κάποιος πρέπει να καθορίσει την όρεξη για κινδύνους, να αποφασίσει τι σημαίνει στην πραγματικότητα “αποκατάσταση”, να γνωρίζει πότε το αποτέλεσμα φαίνεται σωστό και πότε λείπει κάτι που δεν μπορεί να δει το σύστημα.
Αντιπρόσωπος GRC σε Ανέκδοτα βασίζεται ακριβώς σε αυτό το μοντέλο. Οι πράκτορες χειρίζονται τις λειτουργίες από άκρο σε άκρο, με βάση τα ισχυρά θεμέλια δεδομένων που έχουμε αφιερώσει χρόνια χτίζοντας, και τη λογική που ορίζει η ομάδα του GRC.
Όταν οι πράκτορες μπορούν να χειριστούν το αλυσίδες αποδεικτικών στοιχείων, δοκιμές ελέγχου και προετοιμασία ελέγχου, Το ερώτημα του τι θα έπρεπε να κάνει στην πραγματικότητα το GRC αλλάζει. Και για τους ασκούμενους με πραγματικό βάθος, αυτή η απάντηση είναι αυτό που ήξεραν πάντα πώς να κάνουν. Αλλά αυτό δεν κάνει εύκολη τη μετατόπιση.
Ο επαναπροσδιορισμός ενός ρόλου είναι δύσκολος και συνοδεύεται από πραγματικούς φόβους. Πολλοί άνθρωποι ανησυχούν για τις δουλειές τους λόγω της τεχνητής νοημοσύνης, κάποιοι πιο σωστά από άλλους.
Ειδικά για τους επαγγελματίες του GRC, αυτή είναι λιγότερο απειλή από την ευκαιρία που περίμεναν.
Οι επαγγελματίες που έκαναν αυτή τη μετατόπιση την περιγράφουν λιγότερο σαν να μαθαίνουν κάτι νέο και περισσότερο σαν να λαμβάνουν άδεια να κάνουν αυτό που είχαν εκπαιδευτεί.
Η δουλειά τους έγινε να λένε στους αντιπροσώπους τι έχει σημασία: να ορίζουν τη σωστή διάθεση για κινδύνους, να αποφασίζουν ποια στοιχεία ελέγχου προστατεύουν πραγματικά κάτι και ποια υπάρχουν γιατί πάντα το έκαναν, να γνωρίζουν πότε μια αυτοματοποιημένη εύρεση είναι πραγματικό πρόβλημα και πότε είναι θόρυβος και να μετατρέπουν το επιχειρηματικό πλαίσιο σε λογική συμμόρφωσης με τρόπους που κανένας πράκτορας δεν μπορεί να επαναλάβει, επειδή αυτή η μετάφραση απαιτεί χρόνια εμπειρίας.
Αυτή η κρίση ήταν καθ’ όλη τη διάρκεια των ομάδων του GRC, περιμένοντας την άρση του επιχειρησιακού φορτίου.
Οι οργανισμοί που θα προχωρήσουν πρώτοι σε αυτό δεν θα κερδίσουν επειδή οι ομάδες τους είναι καλύτερες στο AI. Θα κερδίσουν γιατί οι ομάδες τους στο GRC έχουν επιτέλους το χρόνο και την εντολή να κάνουν τι συμμόρφωση έπρεπε να κάνει: σκεφτείτε καθαρά κίνδυνοςενεργήστε σε ό,τι πραγματικά έχει σημασία και σταματήστε να διαχειρίζεστε ένα πρόγραμμα και ξεκινήστε να οδηγείτε.
Γιατί το να αφήνεις να πάει μοιάζει σαν να χάνεις
Η απροθυμία που εμφανίζεται σε αυτές τις συζητήσεις είναι πιο λογική όταν την πλαισιώνεις με αυτόν τον τρόπο.
Οι ασκούμενοι δεν φοβούνται μήπως χάσουν την αξία τους. φοβούνται μην χάσουν τις επιχειρήσεις που έγιναν η ταυτότητά τους, παρόλο που αυτές οι επιχειρήσεις δεν ήταν ποτέ αυτό που ήθελαν. Το να το αφήσεις είναι σαν να χάνεις κάτι, κάτι που δυσκολεύει να δεις τι περιμένει στην άλλη πλευρά. Και αυτό που περιμένει είναι πολύ πιο ευθυγραμμισμένο με το γιατί μπήκαν σε αυτή τη δουλειά εξαρχής.
Η αλλαγή, όταν συμβαίνει, είναι λιγότερο μια μεταμόρφωση παρά μια επιστροφή σε αυτό που έπρεπε πάντα να είναι ο ρόλος.
Μάθετε περισσότερα για το agentic GRC with Anecdotes στο ανέκδοτα.αι
Χορηγός και γραμμένος από Ανέκδοτα.
VIA: bleepingcomputer.com
