风险是衡量组织受到潜在环境或事件威胁的程度. 它是事件发生时的影响和发生的可能性的函数.1 评估风险需要仔细分析威胁和漏洞信息,以确定事件可能对组织产生不利影响的程度. 它还决定了事件发生的可能性. 定性考虑包括审计发现, 压力测试,甚至是由于变更计划而导致的风险环境的相关变更. 定量分析包括审查关键控制或风险指标和事件,如内部和外部事件.
风险评估对于有效的风险管理非常重要, 为决策者提供对潜在风险的全面了解, 这就是为什么, 传统上, 风险评估的结果在很大程度上依赖于所使用数据的可靠性以及进行评估的个人的技能和专业知识. 更准确地进行风险评估, 可以使用人工智能(AI),因为它的核心能力之一是数据聚合和解释.
人工智能如何帮助评估风险
人工智能技术在风险评估中特别有用,因为它们具有快速检测的能力, 分析并应对威胁. 人工智能驱动的工具,如用户和事件行为分析(UEBA)可以检测到, 分析和响应任何异常,可能表明未知的妥协. 这减少了传统漏洞检测工具产生的误报数量.
当对漏洞进行优先级排序并将其置于环境中时,风险评分将更加准确.2 例如,遗留资产可能表明潜在的风险,但被忽略了. 与传统的风险评级系统不同, 人工智能可以独立测量曝光和对策. 通过对二者的比较分析和权衡, 风险评分得到了更高的准确性. 如果没有人工智能,这种信息聚合是不可能的.
定性考虑和预测分析
人工智能可以评估非结构化数据, 与过去事件相关的模式可以被识别并转化为风险预测因子. 然后,机器可以检测模式和趋势. 使用这些模式, 可以构建前瞻性的可信情景来预测事件和项目风险. 此外,人工智能在业务流程和风险之间提供了更透明的联系. 通过提高数据透明度, 可以评估风险控制和充分性,以确保采取纠正措施来降低风险.3
人工智能可以评估非结构化数据, 与过去事件相关的模式可以被识别并转化为风险预测因子.
审计人员使用人工智能来分析完整的数据组和交易,而不是抽样. 这将导致更完整的审计,并帮助审计员识别可以标记为额外审查的异常情况. 它还确保了规模较小的交易得到一定程度的审查,而此前由于实质性限制,这些交易可能会被忽视.4
微软最新的安全开发集成了大型语言模型(llm). LLM是一种人工智能算法,它使用深度学习技术和大型数据集来理解, 总结和预测新的内容.5
即将推出的微软安全副驾驶, 分析人员将能够迅速对威胁作出反应, 处理信号并在几分钟内评估风险暴露. 这是使用OpenAI的GPT-4完成的.6 可以向安全副驾驶询问自然语言问题,并可以收到可操作的响应. 通过识别正在进行的攻击, 评估其规模并接受补救指示, 安全副驾驶可以防止未来的攻击. 这是基于现实世界安全事件中经过验证的策略. 安全副驾驶也可以用于威胁搜索. 例如,“在过去10天内是否发生了任何可疑的登录”这样的查询?,并立即收到答案. 如果发生任何安全事故, 安全副驾驶可以总结任何事件, 事件, 或者几分钟的威胁. 它还可以准备一个现成的分享, 可定制的报告,甚至准备关于安全事件的PowerPoint幻灯片.7
这种新的人工智能功能还可以减少在风险评估阶段之后起草风险处理计划所花费的时间. 通过利用人工智能, 组织可以获得更准确的结果,并主动识别潜在的未来威胁和漏洞. 这使组织能够采取适当的措施来防止潜在的安全威胁的发生,并更有效地弥补现有的风险差距.
定量分析和改进的证据处理
物联网(IoT)设备现在用于自动验证证据并主动验证控制. 具有感知能力的物联网设备, 检测和识别事件和个人已被纳入澳门赌场官方下载保障功能的许多方面. 例如, 生物识别id控制进入数据中心, 面部识别软件监视数据中心内的人员活动,日志分析器解析服务器日志以确定是否侵犯了特权.
针对进行系统和组织控制(SOC) 2报告审核的审核员, 具有机器学习功能的系统可以汇总来自不同监控系统的数据. 这些数据可以作为任务绩效的证据. 如果在数据中发现异常,也可以作为证据. 尽管基于人工智能的系统可以分析非结构化数据并得出信息模式, 审核员需要输入正确的评价参数. Auditors best underst和 this data; therefore, they need the skill sets to manage it effectively. 他们还需要使用数据可视化技术向利益相关者展示调查结果. 审核员的角色从审查者转变为人工智能系统结果的解释者.
人工智能的一个例子. 凭借其先进的分析和自然语言处理能力, 能否更好地处理关联方网络, 花旗银行在使用人工智能提高交易合规性方面测试了非结构化数据和客户活动随时间的变化. 贸易合规是全球监管机构关注的重点, 和, 以及确保法规遵从性, 花旗银行正在使用人工智能来简化耗时的流程, 与审查每年约900万笔全球贸易交易相关的高度手工流程. 使用SAS先进的分析平台,贸易交易监控更加有效和高效. 结果,性能得到改善,风险洞察力得到增强. 这降低了运营成本, 改进的监测响应时间和更好的风险态势. 8
采用人工智能作为动态风险评估工具
随着风险评估的进行, 一个常见的考虑是控制是否充分和相关. 然而, 对于风险评估人员来说,在审计发现之前,预测是否忽视了必要的控制一直是一项挑战. 与人工智能, 在基于人工智能的系统中加入自动测量是可能的,以提高预测预期结果的准确性,并立即验证实际值是否与预测相符. 这种方法创造了一种创新形式的控制验证,本质上是主动的.
与人工智能, 在基于人工智能的系统中加入自动测量是可能的,以提高预测预期结果的准确性,并立即验证实际值是否与预测相符.
风险管理者和审计师将不再需要将自己局限于所提供的证据. 深度学习等算法可以从合同等不同来源的流中提取有意义的上下文信息, 电话会议和电子邮件. 这些信息可以作为辅助证据. 当更新的数据到达时, 人工智能系统可以立即对其进行分析并将其转化为可操作的信息. 用深度学习算法, 连续控制监测系统可以根据前一组结果的反馈进行自我重新配置. 这种方法可以帮助确保控件的设计, 以最少的人为干预优化配置和实现.
然而, 实施人工智能技术, 组织必须考虑他们想要评估和管理的风险, 他们想要收集的数据, 以及相关的挑战, 例如数据保护.
将人工智能纳入风险评估战略的第一步是确定监管, 财务和声誉风险. 根据当前的风险框架和组织价值,确定应该收集哪些数据以及如何处理这些数据也至关重要. 处理数据集的AI模型可以根据之前的风险评估来定义. 要使用的数据类型和来源是关键的考虑因素. 数据源对于生态系统的实现至关重要, 即使是在操作层面, 因为它会影响结果的质量. 与其他风险管理工具一样,必须不断评估和调整人工智能.9
结论
随着时间的推移,人工智能将改变世界. 通过自动化和使用机器学习算法, 许多金融机构和组织可以促进决策过程,并为其用户提供量身定制的服务. 因为人工智能分析了大量的信息, it significantly improves the ability to identify risk-relevant information; therefore, 随着人工智能的不断采用,风险评估和管理将变得更加动态.
尾注
1 美国国家标准与技术研究院风险NIST词汇表
2 卡明斯基,E.; “基于人工智能的漏洞管理真的那么有效吗?权威,2021年8月27日
3 Boultwood B.; “人工智能将如何改变定性风险评估,全球风险专业人士协会,2020年12月18日
4 国际注册专业会计师协会(AICPA)人工智能将改变审计师的游戏规则2002年7月12日
5 肯纳,年代. M.; “大型语言模型(LLM)TechTarget, 2023年4月
6 Gatlan,年代.; “微软将gpt -4安全副驾驶引入事件响应 BleepingComputer, 2023年3月28日
7 Viswanathan P.; “微软发布面向澳门赌场官方下载的人工智能安全分析工具Security Copilot, BigTechWire, 2023年3月28日
8 花旗集团公司., “花旗环球贸易在下一代项目中使用人工智能将合规数字化2019年4月29日
9 互惠。”人工智能在风险管理中的应用2021年9月9日
艾德琳·陈,CISM
是渣打银行(St和ard Chartered Bank)信息网络安全和战略主管。. 她负责评估和缓解行动, 技术和网络风险,带领团队提高银行风险文化意识. 在她的风险管理角色中, 她已经为云实现了各种风险框架, 渣打银行, 操作, 技术与网络安全. 她专注于商业价值创造,并与高级利益相关者合作,使网络投资与商业目标保持一致. 她指导主题专家在管理项目和变更风险的同时实现组织重新设计和成本效率. 她在全球和澳门赌场官方下载银行以及其他行业广泛工作, 包括保险和能源. 陈是ISACA的志愿者® SheLeadsTech新加坡分会,作为科技行业女性和希望从事治理职业的候选人的导师, 风险与合规部门. 她通过写作(http://medium.com/@adelineml.chan). 她的作品已发表在SCB的网络通讯和 ISACA® 杂志.