開始有組織推出 AI 治理與網路安全的認證,考量到這個領域的不成熟與快速變遷,追求這些認證值得嗎?
文/Maria Korolov·譯/Nica
國際隱私專業人員協會(IAPP)、SANS Institute 與其他組織,正發表治理與網路安全方面的新 AI 認證,或在現有專案上增加新 AI 模組。這可能有助於專業人員找到工作,但這個領域相對較新,專家們警告認證可能很快就過時。
[ 熱門精選:生成式 AI 殺手級應用 可能就是 ERP ]
資料保護與隱私佔據 AI 治理的三分之一,IAPP 創辦人暨 CEO J. Trevor Hughes 如此表示。其餘則包括演算法偏見與公平性、訓練資料與 AI 輸出的智慧財產權與版權、內容審核議題、信任與安全議題,以及組合團隊監督所有議題的管理層面。「綜觀全局,我們發現隱私專業人員與網路安全專家擁有相當優異的可移轉技能,若再加上一些 AI 治理訓練與意識,就能更快擴充,因應未來十年數十萬名治理專家的需求」。
AI 治理與網路安全認證現況
隨著生成式 AI 採用速度突發猛進,公司企業將更渴求 AI 治理與網路安全專家。而由於這個領域很新,擁有任何實際工作輕驗的人並不多。因此,訓練與認證課程將會激增,協助填補缺口。
Forrester 分析師 Jess Burn 稱此為「認證產業複合」。「每個人都想分一杯羹」她說道。不過,將所有必要的訓練加進來,證照價格就太高了。而且,只因為某人擁有證照,不代表他們能勝任該主題。
現在絕對是開始深思 AI 治理的好時機,EY 負責人暨網路安全 CTO Dan Mellen 如此說道。「生成式 AI 成真且開始進步。機敏性等級,需要某種基準理解能力:生成式 AI 認證就是做這件事的。」
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
Foote Partners 首席分析師 David Foote 表示,他的公司正在追蹤八項有足夠資料可納入公司 「 IT 技能與認證薪酬指數 」的專屬 AI 認證。此外,被加入其他網路安全認證的 AI 相關內容也在他的追蹤範疇。不過他表示,公司行號通常對實際展現能力者願意支付較高薪資,而不是針對認證。「它們不在乎是否有認證,只要候選人能展現獲得的技能,且能夠套用在 AI 治理或網路安全上。公司企業更重視本身識別與獎勵技能的能力,勝於信任通過證照考試。」
其他評論家認為這個領域太新,最佳實作尚未定義,法律與法規還在進化。即便認證涵蓋真正實用的元素,還是很容易很快過時。從另一個角度來看,新 AI 治理與網路安全認證,涵蓋跟上進度所需的基本知識、建立基礎層以利人們之後建置、創造從業人員使用的通用語言,且通常納入持續訓練的要求,協助人們保持最新狀態。
AI 治理訓練與認證
四月份,IAPP 首批 AI 治理專家(AIGP)測試有 200 人接受測試,但未來測試會如同許多其他測驗一樣由全球測試中心舉辦,而且是虛擬的。
這項 IAPP 測試,會員為 649 美元、非會員 799 美元,100 項問題花費約三小時。此外,訓練課程費用 1,000 美元以上,視是否面對面或線上而定,需通過八個不同模組。
[ 熱門精選:3 個成功要素 有效地部署 IT 系統 ]
ISACA 的 AI Fundamentals 認證含括風險與道德要求。Tonex 則提供 Certified AI Security Practitioner 認證課程。CSDC 提供的 Generative AI in Cybersecurity 認證內容不僅涵蓋生成式 AI 在網路安全方面如何提供協助,也包括道德考量與負責任的套用最佳實作。以下依字母順序排列本文發表時已知所有 AI 治理訓練與認證的組織。
- GSDC:Generative AI in Risk and Compliance Certification
- IAPP:AI Governance Training
- IAPP:AI Governance Professional Certification
- IEEE:Certified Authorized Assessor Training
- ISACA:AI Fundamentals Certificate
- SANS Institute:AI Security Essentials for Business Leaders
- Securiti.AI:AI Governance Certification
- Tonex:Certified AI Security Practitioner
AI 治理與網路安全認證的優勢
Wipro 首席隱私暨 AI 治理長 Ivana Bartoletti 向 CSO 表示,擁有共通語言與整套核心基礎原則的能力,是 Wipro 將整個 AI 人力送去取得 IAPP 的 AIGP 訓練的原因。「我們有來自法律背景、來自技術背景與風險管理背景的人。」她表示。 「無論是變革管理還是程式設計師或律師,能在術語與關鍵要點上與我們的治理保持一致非常重要。」
Bartoletti 認為「AI 必須被治理」這件事不算太早。事實上,已有歐洲 AI 法與總統拜登行政命令這類明文規定。就算沒有這些,隱私權法亦能套用在生成式 AI 上,安全性控制、反歧視法等等也是。
「治理當然是不斷進化的問題。」Bartoletti 表示。「但我們不能只考慮它與法律的關係或等標準出來。治理其實指的是:身為企業組織,該如何管控系統開發與部署相關的一切?」
第一步是要目標一致,從人力資源到程式設計所有人,對於 AI 治理原則都擁有相同核心理解。
對 Bartoletti 來說,IAPP 的 AIGP 認證優勢在於從隱私觀點出發,因而成為工作小組自然的選擇。「對我而言,或許我有偏見,因為隱私是我最珍視的,但也認為隱私專家都具備非常優秀的 AI 治理處理能力。我們知道以風險為基礎的處理方式、我們擁有適切的控制,但我們也必須讓企業保持營運。」
Bartoletti 親自完成整個訓練。她表示花了兩周時間由真人一切遠端執行,因為 Wipro 是全球性企業,客戶會想要看到他們的顧問擁有官方認證。這代表這個人花了時間研究學習而不是在過程中自由發揮。「AI 治理與風險這個領域,不是你會想要即興創作的地方。」
[ 熱門精選:安全管理觀念正確的心態 ]
當認證與深厚的實踐經驗結合,就能得到強大競爭優勢。一旦正式標準釋出,Bartoletti 預期會看到更多認證推出,內容將涵蓋如何遵循 EU AI Act 或 NIST 或其他規則與法規這類特定主題。「我認為特定領域也會受到諸多關注,像是健康醫療或金融服務的 AI 治理。」
情報與風險諮詢顧問公司 S-RM Intelligence and Risk Consulting 美洲網路安全主管 Steve Ross 認為,AIGP 這類認證對顧問來說特別有價值。「我們的客戶有不確定感。」Ross 告訴 CSO。「他們想要擴大 AI 應用,但沒人知道如何安全、可靠、有道德地使用它,所以正在尋求某個能信任的人來做這件事。」
因此,客戶們在未來兩三年會特別留意認證。「我沒有任何一個這方面的認證,但正在考慮取得它們。」Ross 補充,AIGP 這類認證他最感興趣。「我出席 IAPP 的活動,很欣賞這個社群不僅著重資料隱私,也關注法律意涵。這會是我第一個想要取得的認證。」
Ross 也對 SANS AI Security 基本要項訓練有興趣,因為他喜歡「SANS 發佈的內容品質」。在雇用員工時他會考量認證。「我偏好擁有全面性技術組合的人。有 AI 背景就太棒了,但瞭解治理、風險與合規性也很不錯。」
不過並非所有公司都認為擁有認證本身是最重要的。「我們在業界形象良好。」EY 的 Mellen 告訴 CSO。「我對那些擁有實際技術經驗的人更感興趣,勝於 LinkedlN 個人資料的名字後面接著證照字母的人。我在這個領域的 25 年期間遇過無數擁有職業證照的人。有時理解教科書答案非常好,但教科書答案在現實中不一定可行。」
AI 治理認證的反面意見
對新 AI 認證持反對意見的人認為,這個領域實在太新。「擁有適切治理非常重要。但這也是個必須進一步發展的領域。 」管理顧問諮詢公司 AArete 的資料科學與分析副總裁 Priya Iragavarapu 表示道。
同時,公司有資料治理、技術治理與金融服務這類特定產業的風險管理要做。並且還有針對個別雲端平台、機器學習與資料安全性的特定技術認證。「目前為止,我還是會堅持技術規格。」她表示。「技術能力持續發展,但 AI 治理還沒跟上。」
「我看重的是一個人在資料治理上的經驗,而不是 AI 治理認證。」管理諮詢公司 SSA & Company 應用解決方案副總裁 Nick Kramer 說道。「花時間完成課程、擁有這些新技能時,這些技能可能已經變了樣。」
Cloud Native Computing Foundation 的 CEO 暨生態系統主管 Taylor Dolezal 表示,很感激在建立 AI 治理標準上所做的努力,但這個領域太新變遷太快。「我們還在試著找出將這一切組合在一起的方式,還沒有整理出一套標準。」
要說企業組織應遵循哪條路才能得到想要的成果,一切都還太早。另一個問題是認證效期通常為二或三年。IAPP 的 AIGP 效期兩年。「我的疑慮是這種認證效期要多長才對。這個領域變化速度太快了。」Dolezal 表示。
「任何認證基本前提之一就是必須是個成熟領域。」Constellation Research 分析師 Chirag Mehta 表示。「在確定這個領域是什麼之前,無法認證任何人。我們還沒到這樣的境界,就某種程度來說,一切都是表面功夫。」AI 認證無法提供太多價值,因為技術持續變遷,不是每個月改變或是每周,而是每天都在變。「我們對 CISO 的指導建議就是,若想要接觸過生成式 AI 的人,認證可以證明他們學習新技術與擁抱未來的潛力。」Metha 說道。「將認證視為正面積極的訊號,而不是他們知道什麼的證據。」
產業不應等待標準穩定
IAPP 的 Hughes 承認,AI 治理是不斷變化的目標,但也表示等待一套標準或最佳實作具體化是相當愚蠢的論點。「AI 裡有數不清的風險。我們知曉風險很大。應該停下建置治理管控的腳步嗎 ? 應該停止訓練專家嗎 ? 我不想等待完美未來的到來。必須一開始就進行妥善的 AI 治理與管控,而不是等到未來的某個時間點,法院或其他行動遲緩的公共政策系統做出決定。
你不需要已制定的法律執行 AI 影響評估,也不需要法院告訴你那個特定結果具歧視性的。你應該特別留意這些無論法律怎麼說,因為這是對的事,將信任與安全建置到這些技術創新裡,可以讓它們快速移動,而且是以更穩定的方式。」
Hughes 表示,IAPP 正嘗試發展安全標準,允許這些技術更快採用、以安全的方式更快移動。「若我們在妥善評估與控制下啟動 AI,這個技術就會在社會更順暢移動,我們也能更快進入一個積極有益的未來。」
Allstate 數位轉型長 Christopher Paquette 完全同意這樣的看法。「審慎考量這些警訊很重要,在壞事發生之前先煩惱這些警訊。」深思熟慮實施負責任的 AI,並將注意力放在 AI 治理上,是時下企業最重要的事。「無論是證書還是其他,我們絕對需要某種證明。」Paquette 表示。
(本文授權非營利轉載,請註明出處:CIO Taiwan)