AI este prezentată din ce în ce mai mult ca o soluție rapidă pentru validare, analiză, documentare și automatizare. În zona de securitate cibernetică, această tentație este și mai mare: frameworks, standarde, controale, politici, proceduri, riscuri, audituri, gap analysis – toate par, la prima vedere, candidaturi perfecte pentru „a fi trecute prin AI”.

AI-ul nu repară lipsa de înțelegere. O amplifică.

Să ne imaginăm o situație deloc improbabilă: într-o organizație, un CISO care nu stăpânește frameworks, standarde și procese de securitate folosește AI pentru a verifica munca consultanților. Sau, invers, folosește AI pentru a genera chiar el instrumente, tabele, mapări, chestionare și metodologii pe care apoi consultanții sunt puși să le verifice.

La suprafață, pare un mod eficient de lucru. Pare control. Pare validare independentă. În realitate, problema apare atunci când persoana care folosește AI-ul nu are competența necesară pentru a interpreta rezultatul.

Pentru că AI-ul poate produce răspunsuri convingătoare. Poate genera tabele frumos structurate și colorate. Poate face referințe la ISO 27001, NIST CSF, Cyfun, CIS Controls, COBIT, DORA, GDPR sau alte cadre de lucru. Poate crea aparența unei corelări între controale, riscuri, cerințe și dovezi. POATE! Dar dacă utilizatorul nu știe cum se ”unesc corect punctele”, nu înțelege relațiile dintre ele și nu poate distinge între un control, o cerință, un obiectiv, un proces, o măsură tehnică și o dovadă de audit, rezultatul va fi inevitabil greșit.

Problema nu este AI-ul. Problema este iluzia competenței.

Un framework/standard de securitate nu este o listă de cuvinte-cheie sau paragrafe care pot fi amestecate după asemănări lingvistice. Un proces nu este același lucru cu o procedură. Un risc nu este același lucru cu o vulnerabilitate. Un control nu este același lucru cu o măsură de remediere. A citi nu este același lucru cu a analiza sau a revizui. O mapare între standarde nu se face pentru că două formulări „sună asemănător”.

Corelările bune cer înțelegere. Cer experiență. Cer context organizațional. Cer cunoașterea scopului fiecărui cadru de lucru și a nivelului la care acesta operează: strategic, tactic, operațional, tehnic sau de conformitate.

AI-ul poate ajuta enorm atunci când este folosit de oameni care știu ce caută. Poate accelera documentarea. Poate propune structuri. Poate identifica posibile suprapuneri. Poate ajuta la redactare, sumarizare și analiză preliminară. Dar nu poate înlocui judecata profesională a celui care trebuie să valideze rezultatul. În mâna unui “cunoscător” AI-ul este un accelerator. În mâna cuiva care nu stăpînește domeniul, AI-ul devine o mașină de produs erori elegante.

Dar ce este și mai grav este că într-o organizație, aceste erori nu rămân doar în documente. Ele ajung în decizii. În controale implementate greșit. În audituri prost pregătite. În priorități false. În bugete direcționate către lucruri care arată bine pe hârtie, dar nu reduc riscul real. În tensiuni inutile între management, echipe tehnice și consultanți.

Consultanții ajung să verifice nu doar munca organizației, ci și produsele generate artificial de o autoritate internă care nu are criteriile necesare pentru a le evalua. În loc ca AI-ul să reducă efortul, îl crește. În loc să clarifice, produce zgomot. În loc să aducă rigoare, introduce confuzie.

Aceasta este una dintre marile capcane ale perioadei actuale: folosirea AI-ului ca substitut pentru competență.

În securitate cibernetică, rolul unui CISO nu este să pară că are răspunsuri. Rolul său este să pună întrebările corecte, să înțeleagă riscurile, să construiască un cadru coerent de guvernanță și să ia decizii informate. AI-ul poate sprijini acest rol, dar nu îl poate exercita în locul omului.

Organizațiile/managementul ar trebui să se întrebe: avem oamenii potriviți pentru a valida ce produce AI-ul? Pentru că acolo unde nu există competență, AI-ul nu creează expertiză. Creează doar documente mai frumoase, greșeli mai greu de observat și o falsă senzație de control.

În cybersecurity, forma nu salvează fondul. Iar un tabel/document generat impecabil nu valorează nimic dacă logica din spatele lui este greșită și ce scrie pe acolo nu este suținut de multă tehnologie.

AI-ul este instrumentul expertizei!