当我还是网络服务的客户客户总监时,安排客户参观网络运营中心(NOC)是一件大事, 但这些额外的努力总是值得的. 这个中心本身令人印象深刻, 有一个演练区,包括实际的电话演示, 沿途有咖啡区,可以与实验室工程师安静地交谈. 主要的亮点是令人印象深刻的指挥中心, 不仅展示了如何监控网络流量, 但深入研究该网络如何使用预测技术来预测流量模式和重新路由语音, data, 视频无缝衔接,无需人工干预.
指挥中心演示的一个特点是回顾了网络重新路由流量时发生的几起“灾难性”事件, 不是基于算法预测, 而是通过发现和利用额外的网络容量,这些容量是专门用于灾难和网络流量激增的. 不像地震或恶劣天气, 人类的行为通常是可以预测的, 与人工智能(AI)接近的算法“预计”美国母亲节假期的流量高峰, 在繁忙的周一或安静的周五,商业行为会起起伏伏. 网络从自身学习, 检查跨不同数据类型的流量模式,并准确地调整未来的路由. 21世纪之交,曾经发生过这样意想不到的人类事件st 世纪, 引起了指挥中心的注意,然后引起了NOC导游的兴趣:这是美国第一个美国偶像电视节目导致的网络流量的非凡高峰, 观众投票在哪里引发了地震般的网络流量. 这些图形在客户访问期间显示, 显示网络流的巨大变化——显示预测路由价值的一种令人难忘的方式.
无缝的, 预测技术是顺畅通信的必要条件,从未引起公众对如何使用算法的关注. 的 ISACA® 杂志 文章“算法和审计基础”引用了1999年的电影 矩阵 它摒弃了对通过人工智能接管机器的警惕;1 但现在,当我们接近四分之一个世纪的时候,人工智能出现在电影中,比如 罗恩错了2 和 自由的人,3 人工智能成为日常生活的一部分,不仅是必需品,而且是可取的. 人工智能带来的进步是鼓舞人心的,即使是在这个相对早期的阶段. 然而,激发创新和提高对人工智能的接受程度并没有减少许多人的担忧. 它们让人质疑,当涉及到人工智能和人工智能时,技术专家是否在担心正确的事情, 为我们作为风险管理和信息系统审计界提供帮助, 我们是否正在创建最佳实践来对这个新兴领域进行必要的监督. 它们还提出了一些有趣的问题,即如何在不扼杀我们周围已经存在的创新的情况下,平衡监督与结构化治理和控制框架的需求.
周到的风险管理
每项技术都有风险, 但人工智能等新兴技术固有的失控感,迫使用户感到更大的风险. 还有很多风险因素需要考虑,包括:
- 带有可保性后果的隐私风险场景, 身份盗窃和基于预测侧写的未来未犯犯罪的监禁风险
- 数据不准确的风险场景导致不正确的算法结果, 包括无人驾驶汽车事故或错误的医学研究结论和潜在的有害治疗
- 当营销人员通过预测潜在的产品兴趣来改变对消费者不利的购买行为时,使用劝导式销售的不当影响风险
每项技术都有风险, 但是感知到的损失 新兴市场固有的控制 人工智能等技术迫使 用户感受到更大的风险.
这个简短的列表只是人工智能带来的所有潜在风险的缩略图, 但锁上门并丢掉AI的钥匙却忽略了积极利益的潜在收益, 如:
- 缩短等待时间的快速上市医疗解决方案, 挽救生命,并为负担过重的卫生保健系统提供积极的经济影响
- 加快对气象事件的应急规划作出反应,这些事件以往造成的生命损失比今天多得多
- 准确的分析,解决刑事案件和保护公众
- 帮助未来解决气候问题和促进及时恢复能力的建模能力
科技总是引发关于社会和经济公正的争论和担忧, 提示评估是否对新的和未尝试的创新有足够的控制. 仅仅是改变的概念, 即使没有新兴技术带来的额外因素,也会引发对失业的担忧, 过度的监督和隐私牺牲. 风险分析很好, 但说到创新, 谁在决定风险, 他们所代表的观点是否公平? 目前关于Clearview AI的争议4 让人相信适当的风险评估是多么具有挑战性. 当这个领域充满了潜在的发明家, 标准制定者通常会给出难以解释的详细结果, 美国国家标准与技术研究所(NIST)也在更新 人脸识别供应商评估的最新版本长达400多页.5
尽管争论还在继续,SDLC和变更控制仍然很重要
值得庆幸的是, 有一些框架可以用来监督和管理技术创新所代表的巨大未知. ITIL已经从v3演变到v4,并解决了从敏捷和瀑布到DevOps和精益的服务运营结构, 但是一致审查新技术和更新技术的核心原则完全依赖于开发人员之间的协作, 运营管理和用户业务. 该原则的工作原理是通过共同商定的服务目录提供用户所需的内容,贯穿技术服务上线和部署后问题审查, 同样,在完全部署之前,用户澳门赌场官方下载也在场,以确定和解决缺陷. 它在实践中真的有效吗? 随着操作期限的逼近和预算的削减,软件和系统的发布并不包括每个人期望的所有内容, 项目启动和变更发布过程是信息系统审核员和合规团队的完美干预点. 人工智能是媒体的中心,也是政府和组织的头等大事, 变更发布、备份和恢复计划的可靠实践是信息系统审计专业人员保持技术的完美方式, 好吧, 控制.
有效的基本方法
有很多关于ITIL、Agile、Lean和DevOps的文章. 有来自NIST的标准和框架,比如COBIT®,除规定的监管要求外. 软件(和系统)开发生命周期(SDLC)背后的概念与鼓励业务中的技术进步一样相关, 医疗保健, 环境等等. 什么是SDLC ?为什么这个框架在使新兴技术取得成功方面如此有效? SDLC是一种检查新开发和新系统的结构化方法. 它也是一个优秀的治理工具,可以通过它的系统框架来管理对现有软件和系统的升级.
实际的出发点总是商业案例, 项目和发展的想法在哪里符合批准的资金. 在过去,项目审查的早期阶段并不是每个审计或合规工作巡查的一部分, 但更多的时候, 风险和控制专业人士正在要求并获得一席之地. 技术项目的潜在创收审查, 技术/开发的可行性和操作的可管理性. 决定从供应商处购买产品/服务或在内部构建. 这个项目实际启动前的步骤是风险管理的最佳参与点, 在哪里,一个好奇和客观的技术头脑可以提出假设,并质疑可操作性和法规或澳门赌场官方下载遵从性期望. 有多少次项目启动后被搁置,或者经过很长时间的版本升级才能达到最初的最终目标? 对于风险和审计专业人员来说,尽早参与并对以前采取的步骤有一个长期的记忆是至关重要的. 在项目早期阶段提供批评的知情风险管理人员, 尤其是像人工智能这样的创新技术, 帮助减轻在实现最终用户目标的过程中经常发生的开发返工.
提供批评意见的知情风险管理人员 在项目的早期阶段……帮助减轻 开发过程中经常发生的返工 达到最终用户目标的方法.
风险管理并不局限于SDLC的项目资助和可行性审查阶段. 一旦完成, 遵从性团队考虑的下一个主要里程碑是开发安全性验证和法规遵从性验证, 包括制裁检查. 治理检查表促进了审查,并提供了业务和操作并发性的文档. 那么Clearview AI最近在NIST的面部识别准确性方面的高分呢? 随着风险, 合规和审计专业人员知道, 当NIST完成审查时,没有橡皮图章批准. 尽管NIST提供了有价值的数据来考虑, 必须将软件和系统属性应用并评估到已批准的项目业务用途, 了解法规要求和财务影响对业务的内在风险, 监管的影响, 声誉影响和客户影响. 如果在项目级别没有这样做, 可疑解释的风险可能会取代项目成功和用户满意度所需的认真和协作对话.
一旦项目验收的关键合规性里程碑,购买vs. 构建、安全和法规需求已经完成,开发审查开始. 在线检查, 无论是第一道防线审查还是DevOps流程中插入的内部审计, 使用自动和手动控制点的组合可以使创新不断进行,减少重复. 与业务用户的协作对于开发周期中与项目意图相关的关键检查点是必不可少的, 风险和预期结果. 在开发测试阶段,从业者应该寻找什么? 几个关键的检查点包括:
- 审查所提供的服务/产品是否符合项目意图. 这篇评论, 当联机完成时, 应该以遵从性的方式产生项目预期的服务交付结果(遵从性基于已经执行的治理检查表以及对关键控制点的协议).
- 业务参与的确认和文件批准的步骤进行, 一个故事接一个故事,一个阶段接一个阶段
- 确认商定日期的关键交付里程碑的证据, 与上述日期相比的进展情况和任何延误的影响
- 测试结果的完整性和准确性,以及针对任何故障的文档修复计划, 附有业务和作业批文
- 业务接受对所提供服务的任何更改-删除,添加或修改
- 为新服务/产品的容量管理进行基础设施测试的证据
- 用户验收测试的证据(真实用户), (不是项目/运营业务代表)提供授权批准书,证明已完成的工作,并注明同意继续进行
关键危险因素的复核 声誉,客户和监管的影响 至关重要的是尽量减少意外或不希望的 创新成果.
对于成功的部署来说,重要的是仔细检查变更和发布, 变更管理层在哪里审查并接受了先前步骤的验证, 完成回撤计划的验证, 在与各方协商一致的情况下确定进度,并在遇到困难时提供足够的开发人员和运营覆盖. 最终用户确认在生产中一切都按预期工作和上线后业务批准的最后步骤完成了流程,并有足够的证据表明结果满足了所有人的期望.
创新技术:比常规项目和变更管理更重要的事情
人工智能等新兴技术最好在产品/服务部署后进行管理,及时监控控制,不仅可以了解系统和软件的有效性, 但是要有控制点,重新检查是否符合安全要求, 隐私和社会公正要求. 重新审视声誉的主要风险因素, 客户和法规的影响对于最小化创新的意外或不希望的结果至关重要, 从而加速了新技术的采用.
系统/软件开发生命周期和变更发布规程是否为新兴技术(如人工智能)提供了所需的价值和结构,而不会阻碍创新进入主流? 合规和审计专业人员的持续监督能让我们达到《澳门赌场官方软件》和《澳门赌场官方软件》中所描绘的新常态吗? 它可以, 但只有在包容的情况下, 知情时尚的技术专家, 业务合作伙伴, 最终用户和公众都在桌旁进行尽职调查和控制验证,以期为可能受到影响的每个人持续改进产品/服务. 更重要的是, 尽职调查团队必须有能力和权力停止有问题的进展,并要求与项目团队和业务一起修改产品/服务,以资助和生产所需的更新.
尾注
1 巴克斯特,C.; “Algorithms 和 Audit Basics,” ISACA® 杂志,卷. 4, 2021, http://bh8w.f444444.com/archives
2 史密斯,莎拉,瓦恩,让-菲利普; 罗恩错了, Locksmith Animation,伦敦,英国,2021
3 Levy,肖恩; 自由的人, 20th 世纪工作室,洛杉矶,加州,美国,2021年
4 山,K.; “的 Secretive Company That Might End 隐私 as We Know It,” 《澳门赌场官方软件》2020年1月10日 http://www.nytimes.com/2020/01/18/technology/clearview-privacy-facial-recognition.html
5 国家标准与技术研究所(NIST), 人脸识别供应商测试(FRVT)正在进行中, 美国, http://nist.gov/programs-projects/face-recognition-vendor-test-frvt-ongoing
辛蒂·巴克斯特(Cindy Baxter) | cisa, itil foundation
是What 's the Risk有限责任公司的董事. 她的工作重点是网络安全的综合风险控制和过程评估, 隐私和业务连续性/灾难恢复. 她将风险管理和控制评估视为了解客户业务细节、帮助他们减少担忧的一个机会, 因为差距已经被发现,可以建立一个更强大的运营模式. 巴克斯特利用了她在银行业的经验, 保险, 在State Street Corporation担任合规和管理职位之后,他在医疗保健和技术领域工作, 美国国际集团(AIG), 约翰逊 & 约翰逊和AT&T. 当她不做风险和审计工作的时候, 她喜欢在影响她澳门赌场官方下载的气候和环境问题上做志愿者.