播客：RSA 2025 – AI的风险面与CISO的角色

在本期播客中，我们与Vigitrust的首席执行官Mathieu Gorge探讨了旧金山RSA 2025大会的关键议题。
人工智能（AI）对合规的影响巨大。Gorge讨论了AI在企业中的扩散及其如何扩大组织的潜在风险面。同时，他也注意到供应商趋势转向基于业务成果的咨询方法。

最后，关于AI对组织、合规及其数据的影响，他谈到了RSA上关于CISO（首席信息安全官）角色的讨论——他们是否应（单独）负责应对AI带来的风险。

RSA 2025上与数据、存储和数据保护相关的关键议题是什么？

我参加美国的RSA大会大约20年了，也参加过几次欧洲的会议。一般来说，每年都有一个单一主题，无论是区块链、编排，还是去年的AI部署和采用。
今年，很难看到一个单一趋势。但基于演讲和供应商的活动，合规性达到了历史新高。你可以感受到能量，感受到合规方面的创新。有很多供应商专注于GRC（治理、风险、合规），还有供应商专注于合规和数据保护的特定领域。
所以，这很有趣。接下来，我和一些同事感觉到，至少在供应商展示中，叙事发生了变化。它更多是关于使用正确产品的业务成果。

因此，过去在RSA上通常是纯销售：买我的加密，因为你需要加密；买我的存储解决方案，因为你需要合适的存储。今年，感觉很多工作都集中在选择解决方案的业务成果上。业务成果包括：你会更合规，能够展示你在做数据保护，只需点击一下按钮就能知道哪里存在数据问题、哪里没有。
还有CISO的角色。CISO被多次提及，并扩展到风险负责人、合规负责人，讨论CISO的角色，特别是在AI采用方面。
CISO是负责AI采用的合适人选吗？他们处理数据保护已经够忙了吗？谁还应该与CISO合作？谁还应该负责AI治理（这也是组织中的一大主题）？这对合规和数据保护意味着什么？有一些非常有趣的演讲讨论了这一点。

你能详细说明供应商如何强调业务成果，而不是 necessarily 他们的功能或特定产品吗？

我感觉供应商采取了更咨询性的方法，你可以看到他们中的一些人有案例研究、白皮书，关于正确进行合规的好处，而不是“你必须做合规，所以无论你喜欢与否，你都必须使用我们或我们的竞争对手”。
现在的情况是，随着AI的采用，风险面急剧上升。这让我想起云，人们可以购买服务并通过绕过安全和合规来扩展风险面。
我们在AI部署中也看到了这种情况。所以，我感觉供应商社区和演讲者有一个真正的方向，说：“嘿，我们将采用AI，所以让我们尝试以正确的方式做，而不损害我们正在做的其他安全。让我们尝试理解不同类型的AI部署的正确AI治理是什么。然后专注于如何以更简单的方式管理它。”
然后是我已经提到的问题：谁真正应该负责？仅仅是CISO，还是CISO和首席AI官，或者我们需要首席AI安全官？这对合规意味着什么？真正的一个关键信息是，随着AI，你只是有更多数据，并且对新创建的数据控制更少。
所以你需要有正确的框架。虽然已经有许多AI框架来管理AI部署和AI的数据分类，但它们并不总是广为人知。事实上，甚至一些CISO也不一定知道它们。
所以，我认为作为一个行业，我们有责任站出来，让他们更容易做正确的事，因为风险面肯定在上升。