Organisaties moeten leren omgaan met shadow AI, het gebruik van AI-tools buiten de officiële kanalen, zonder de innovatie van medewerkers te verstikken. Dat was de boodschap van analisten Christine Lee en Leigh McMullen tijdens de Gartner Security and Risk Management Summit 2025 in Londen.
Shadow AI
Volgens de experts is shadow AI zowel een uitdaging als een kans. Werknemers en ontwikkelaars experimenteren met tools als ChatGPT of maatwerkmodellen, vaak zonder goedkeuring van de IT-afdeling. Het negeren of verbieden daarvan is zinloos, aldus Lee: “Shadow AI wordt snel ambient AI, ingebed in alles wat we doen.”
Tools
Een goed startpunt is ontdekken welke tools al in gebruik zijn. Bedrijven kunnen daarvoor bestaande middelen inzetten, zoals logsystemen en webproxies. Het spelbedrijf Playtika deed dit en liet securityteams per tool beoordelen: is het nuttig, onmisbaar en beheersbaar qua risico’s? Alleen dan werd gebruik toegestaan, mét de vraag waarom officiële kanalen waren omzeild.
Van verbod naar begeleiding
Lee en McMullen benadrukten dat Chief Information Security Officers (CISO’s) hun rol niet moeten beperken tot ‘nee’ zeggen. Beter is het om medewerkers te begeleiden, risico’s te managen en hen meer autonomie te geven. Zo blijven ze betrokken en groeit hun kennis en veerkracht.
Burn-out ligt anders op de loer. Uit eerder Gartner-onderzoek blijkt dat 36 procent van werknemers in onzekere omgevingen een hoog risico op uitval heeft, terwijl 37 procent overweegt hun baan te verlaten. Door AI slim in te zetten, bijvoorbeeld voor repetitieve taken of het opsporen van kwetsbaarheden, kunnen organisaties juist stabiliteit en motivatie bevorderen.
Controle en verantwoording
Toch vereist de adoptie van AI strikte controles. Slechts 23 procent van de organisaties heeft nu speciale runtime-beveiliging voor AI, zoals het inspecteren van queries en het maskeren van gevoelige data. Gartner verwacht dat dit snel zal toenemen, omdat bedrijven ook incident response plannen ontwikkelen specifiek voor AI-systemen.
Protection level agreements
De boodschap van Gartner aan securityleiders is helder: benut de energie van de AI-hype om bestuurders te overtuigen en investeringen los te krijgen. Niet met angstscenario’s, maar met duidelijke cijfers en protection level agreements (PLAs) die kosten en baten inzichtelijk maken.
Of zoals McMullen het samenvatte: “De beste verdediging tegen AI-risico’s is niet het duurste pakket, maar begrijpen hoe aanvallers én je eigen medewerkers denken.”