Problém se školením politiky
CISO všude implementují ChatGPT politiku školení. Výsledky jsou zklamáním.
Průzkum IBM Security 2024: organizace se školením politiky dosáhly pouze 27% soulad s AI datovými pravidly. Organizace s technickými kontrolami dosáhly 89% soulad.
Proč školení selhává
1. Okamžik rozhodnutí
Školení probíhá v kontrolovaném prostředí. Citlivé rozhodnutí probíhá v okamžiku tlaku, kde zaměstnanec potřebuje okamžitou pomoc od ChatGPT.
2. Lidská tendence k efektivitě
Zaměstnanci přirozeně volí nejjednodušší cestu. Pokud anonymizace vyžaduje extra kroky, přeskočí ji.
3. Neviditelné porušení
Pokud zaměstnanec sdílí zákaznické jméno s ChatGPT, nic se nestane okamžitě. Žádná zpětná vazba – žádné učení.
4. Subjektivní definice „citlivý"
Co je citlivé? Různí zaměstnanci interpretují různě.
Co funguje: Technické kontroly
Vrstva 1: Automatická anonymizace (žádná třecí plocha)
Anonymizovat PII automaticky – zaměstnanci si ani nevšimnou:
- Rozšíření Chrome zachytí text před odesláním
- PII nahrazena tokeny
- Odpovědi deanonymizovány
Výsledek: 89% soulad protože soulad je automatický.
Vrstva 2: Audit a viditelnost
Zobrazit manažerům dashboard: „Váš tým použil ChatGPT X krát; Y% obsahovalo citlivá data."
Viditelnost vytváří odpovědnost bez blokování.
Vrstva 3: Jemné blokování pro vysoké-rizikové případy
Pro definované kategorie dat (zákazník SSN, platební info) – blokovat, ne anonymizovat.
Výsledky: Technické vs. politikové přístupy
| Přístup | Soulad | Produktivita | Zaměstnanecká zkušenost |
|---|---|---|---|
| Žádná kontrola | 8% | Maximální | Skvělá |
| Pouze politika | 27% | Mírně snížená | Dobrá |
| Politika + technologie | 89% | Mírně snížená | Dobrá |
| Blokace | 94% | Výrazně snížená | Špatná |
Závěr
Politika je nezbytná, ale nestačí. Technické kontroly (automatická anonymizace) dosahují 3x vyšší soulad než samotné školení – bez snížení produktivity.