Waarom de ISMS Copilot geen magische oplossing is

AI gebruiken betekent niet dat we moeten stoppen met nadenken.

We zijn het er allemaal over eens dat we "ons verstand moeten gebruiken" en moeten beoordelen wanneer AI geschikt is en wanneer niet. Toch speelt er een subtieler probleem.

We hebben de neiging om onze oordeelsvorming op te schorten wanneer we geconfronteerd worden met de mogelijkheden van AI.

En... leveranciers weten dit, en communiceren vaak alleen de sterke punten zonder de nadelen van hun AI-producten te bespreken.

Het resultaat: mensen hebben onrealistische verwachtingen die AI niet kan waarmaken. Ze kopen een tool in de veronderstelling dat het al hun problemen oplost en eindigen teleurgesteld.

Zoals benadrukt door de blog Eight2Late, moeten leveranciers zich richten op:

• Het niet overschatten van de mogelijkheden van AI
• Transparant zijn over de beperkingen van het product
• Klanten laten zien hoe ze op een betekenisvolle manier met AI kunnen omgaan (versterken, niet vervangen)

Dit is met name relevant voor informatiebeveiliging en de voorbereiding op ISO 27001. In het afgelopen jaar heb ik veel AI-tools gezien die "naleving van de norm" beloven.

Wie bekend is met ISO 27001 weet dat AI kan helpen, maar geen enkel tool naleving kan garanderen, vooral niet wanneer menselijke acties vereist zijn: het voltooien van actieplannen, managementreviews, etc.

Ik begrijp de drang om "mogelijkheden te overschatten". Concurrentie en de opwinding om een nieuwe oplossing aan te bieden kunnen hiertoe leiden.

Maar uiteindelijk is het een verliezende strategie, omdat niet nagekomen beloften leiden tot teleurgestelde klanten.

Bovendien is het in cruciale gebieden zoals informatiebeveiliging essentieel om transparant te zijn over de beperkingen van een product. Het documenteren van deze beperkingen op productpagina's en binnen het product zelf kan het verschil maken. Het bieden van gebruikershandleidingen over waar je "je verstand moet blijven gebruiken" is ook essentieel.

Kortom, we zijn nog steeds aan het uitzoeken welke rol AI in ons professionele leven speelt. Marketing blazen deze rol vaak op, wat niet altijd in het voordeel van de koper is.

Wanneer het gaat om informatiebeveiliging, kijk ik naar de volgende aspecten, zowel als koper als maker:

• Transparantie over de beperkingen van AI
• Gebieden waar AI niet betrouwbaar is (waarschijnlijk verkeerde informatie geeft)
• Het aanmoedigen van kritisch engagement, geen blind vertrouwen
• Aanbevelingen voor aanvullende kennisbronnen naast AI, zoals cursussen onder leiding van experts
• Het vermijden van hype; AI is slechts een tool, geen denkend wezen
• Het benadrukken van gevaren en risico's die gepaard gaan met het gebruik van het AI-systeem

Deze stappen kunnen het gebruik van AI ethischer maken in de beveiliging.

Nu vraag je je misschien af...

Hoe past de ISMS Copilot in dit visioen?

De ISMS Copilot is ontworpen met deze principes in gedachten. Het zorgt ervoor dat AI dient als een waardevol hulpmiddel zonder menselijke expertise te overschaduwen.

• Transparantie over beperkingen: De ISMS Copilot maakt duidelijk wat het wel en niet kan. Het helpt bij het opstellen van documentatie, biedt begeleiding en stroomlijnt processen, maar vervangt geen menselijk oordeel of besluitvorming.
• Aanmoedigen van kritisch engagement: De Copilot moedigt gebruikers aan om kritisch om te gaan met de informatie die het verstrekt. We hebben dit duidelijk gemaakt in de gebruikersinterface: de assistent kan fouten maken. We hebben ook een reeks bronnen gepubliceerd om gebruikers te waarschuwen voor veelgemaakte fouten tijdens het implementatieproces van ISO 27001. We geloven dat deze educatieve inspanningen het belang van menselijke controle en validatie benadrukken.
• Aanvullende kennisbronnen: De Copilot verwijst vaak naar aanvullende bronnen, zoals cursussen onder leiding van experts of officiële ISO-documentatie, zodat gebruikers een compleet begrip van ISO 27001 hebben. Het erkent dat AI een hulpmiddel is om menselijke expertise te versterken, niet een standalone-oplossing.
• Hype vermijden: De ISMS Copilot presenteert zich niet als een magische oplossing (dat doen we nu precies, maar we hebben het ook hier gedaan). We benadrukken dat de ISMS Copilot slechts een assistent is: het verwerkt gegevens en biedt gestructureerde begeleiding op basis van getrainde patronen. Gebruikers blijven de beslissers; zij bezitten hun ISMS.
• Gevaren benadrukken: we zijn transparant over de potentiële risico's die gepaard gaan met het gebruik van AI. We nodigen onze gebruikers uit om de principes van veilig omgaan met AI-systemen te volgen. We hebben ook een vertrouwenscentrum om klanten te helpen de risico's te begrijpen die gepaard gaan met het gebruik van de ISMS Copilot.

Door deze principes te hanteren, sluit de ISMS Copilot aan bij een meer ethische en realistische benadering van AI in informatiebeveiliging. Het helpt gebruikers de complexiteit van ISO 27001-naleving te navigeren, terwijl ze de controle behouden en weloverwogen beslissingen nemen op basis van een combinatie van AI-ondersteuning en hun eigen expertise.

We hopen dat deze verduidelijking op prijs wordt gesteld.