एंटरप्राइज AI सालों से तैनात है, लेकिन पांच में से केवल एक एग्जीक्यूटिव जानता है कि उनके पास क्या है

एंटरप्राइज AI सालों से तैनात है, लेकिन पांच में से केवल एक एग्जीक्यूटिव जानता है कि उनके पास क्या है

दुनिया के आधे से अधिक बड़े संगठनों में पहले से ही जनरेटिव आर्टिफिशियल इंटेलिजेंस उनके व्यवसाय के किसी न किसी हिस्से में काम कर रहा है। यह एक दस्तावेज़ीकृत तथ्य है। जो इतनी आसानी से दस्तावेज़ीकृत नहीं होता, वह है उस आंकड़े के नीचे क्या हो रहा है: ऐसे सिस्टम जो संवेदनशील डेटा प्रोसेस करते हैं बिना किसी ने यह तय किए कि उनकी निगरानी कौन करेगा, स्वायत्त एजेंट जो वर्कफ़्लो के भीतर निर्णय लेते हैं जिन्हें किसी सुरक्षा टीम ने ऑडिट नहीं किया, और गवर्नेंस की परतें जो देर से आईं या बिल्कुल नहीं आईं।

Simón ArceSimón Arce28 जून 20269 मिनट
साझा करें

व्यावसायिक AI को तैनात हुए वर्षों बीत गए और केवल पाँच में से एक कार्यकारी जानता है कि उनके पास क्या है

दुनिया के आधे से अधिक बड़े संगठनों में पहले से ही जनरेटिव आर्टिफिशियल इंटेलिजेंस उनके व्यवसाय के किसी न किसी हिस्से में काम कर रही है। यह एक प्रलेखित तथ्य है। जो उतनी आसानी से प्रलेखित नहीं होता, वह है उस आँकड़े के नीचे की वास्तविकता: ऐसे सिस्टम जो संवेदनशील डेटा को प्रोसेस करते हैं, बिना किसी के यह तय किए कि उनकी निगरानी कौन करेगा; स्वायत्त एजेंट जो कार्यप्रवाह के भीतर निर्णय लेते हैं जिनकी किसी सुरक्षा टीम ने कभी समीक्षा नहीं की; और शासन की परतें जो देर से आईं या जो आई ही नहीं।

OpenText Cybersecurity द्वारा पोनेमन इंस्टीट्यूट के सहयोग से प्रकाशित एक अध्ययन एक ऐसा आँकड़ा सामने रखता है जो गंभीर और निरंतर ध्यान देने योग्य है: केवल पाँच में से एक कार्यकारी यह दावा कर सकता है कि उनके AI सिस्टम सुरक्षा जोखिमों का मूल्यांकन करने के साथ पूरी तरह तैनात हैं। यह कोई असहज बहुमत नहीं है। यह अस्सी प्रतिशत संगठन हैं जो नियंत्रण, पहुँच और जवाबदेही के सबसे बुनियादी सवालों को सुलझाए बिना अपनाने की दिशा में आगे बढ़ गए हैं।

यही वह परिपक्वता की समस्या है जिसके बारे में निदेशक मंडल की बैठक में कोई ईमानदारी से बात नहीं करना चाहता, क्योंकि इसे स्वीकार करने का अर्थ है यह मानना कि अपनाने की जल्दबाज़ी शासन करने की क्षमता से कहीं तेज़ रही।

बिना आर्किटेक्चर के अपनाना सुधारवाद का एक और रूप है

व्यावसायिक आर्टिफिशियल इंटेलिजेंस के इर्द-गिर्द प्रचलित कथा अभी भी यही मानकर चलती है कि केंद्रीय समस्या तकनीक तक पहुँच है। जैसे कि बस सही मॉडल को लागू करना, उसे सही सिस्टम से जोड़ना और परिणामों की प्रतीक्षा करना पर्याप्त हो। इस कथा में C-Level के लिए कुछ सुविधाजनक है: यह प्रगति को पायलट प्रोजेक्ट्स की संख्या में, तैनात किए गए उपकरणों में, उन विभागों में मापने की अनुमति देती है जो "पहले से AI का उपयोग कर रहे हैं।"

जो यह कथा छुपाती है वह अधिक महँगी है। उसी अध्ययन के आँकड़ों के अनुसार, अधिकांश संगठन रिपोर्ट करते हैं कि AI ने उनकी गोपनीयता और सुरक्षा आवश्यकताओं के अनुपालन को सरल बनाने की बजाय और अधिक जटिल बना दिया है। और फिर भी, काफी कम अनुपात ने उन जोखिमों को प्रबंधित करने के लिए आवश्यक नीतियाँ और नियंत्रण स्थापित किए हैं। यह अंतर तकनीकी नहीं है। यह प्राथमिकताओं का अंतर है।

संजय श्रीवास्तव, जिन्होंने Genpact से व्यावसायिक AI परिपक्वता के बारे में सोचने के लिए सबसे सटीक ढाँचों में से एक बनाया है, इसे बिना किसी अस्पष्टता के कहते हैं: आर्टिफिशियल इंटेलिजेंस में परिपक्वता की राह सीधे डेटा से होकर जाती है। मॉडलों से नहीं। इनोवेशन बजट से नहीं। डेटा आर्किटेक्चर से, संचालन में एम्बेडेड गवर्नेंस से, इस बारे में स्पष्टता से कि किन परिस्थितियों में कौन किसके लिए जिम्मेदार है। जब कोई संगठन उस कदम को छोड़ता है, तो वह AI को परिपक्वता से नहीं अपनाता: वह बिना नियंत्रण के क्षमता तैनात करता है।

समस्या केवल तकनीकी नहीं है क्योंकि AI सिस्टम शून्य में काम नहीं करते। वे ऐसे संगठनों के भीतर काम करते हैं जहाँ व्यवसाय के सबसे करीबी टीमें शायद ही सुरक्षा टीमों से बात करती हैं, जब तक कुछ खराब न हो जाए। वे ऐसे वातावरण में काम करते हैं जहाँ स्वायत्त एजेंट वित्तीय, कानूनी या ग्राहक डेटा के साथ बातचीत कर सकते हैं, बिना किसी अपडेटेड इन्वेंटरी के कि किसके पास किस चीज़ तक पहुँच है। और वे प्रबंधकीय दबाव में काम करते हैं जो अक्सर आर्किटेक्चर की मजबूती से अधिक तैनाती की गति को पुरस्कृत करता है।

विश्लेषक जेसन स्नाइडर इसे "समन्वय रंगमंच" कहते हैं: वह संगठनात्मक दृश्य जहाँ AI समितियाँ हैं, अपनाने के डैशबोर्ड हैं और त्रैमासिक प्रस्तुतियाँ हैं जो कर्षण दिखाती हैं, जबकि वास्तविक कार्यप्रवाह बिना पुनर्रचना के, डेटा बिना एकीकरण के और गवर्नेंस बिना परिभाषा के बनी रहती है। परिणाम एक ऐसी अपनाने की प्रक्रिया है जो गतिविधि मेट्रिक्स में मापी जाती है, न कि परिचालन या वित्तीय प्रभाव में। और जब ऑडिट आती है, या घटना घटती है, तो संगठन को पता चलता है कि उसने बिना निर्माण किए अपनाया था।

देर से आई सुरक्षा अब समय पर नहीं आ सकती

एक विशेष गतिशीलता है जो AI में कम परिपक्वता वाले संगठनों की विशेषता बताती है: सुरक्षा और गवर्नेंस को ऐसी परतों के रूप में माना जाता है जो तैनाती के बाद जोड़ी जाती हैं, न कि डिज़ाइन की शर्तों के रूप में। यह एक ऐसा पैटर्न है जिसे सुरक्षा टीमें अच्छी तरह जानती हैं, लेकिन C-Level जब तक इसकी सीधी लागत न हो तब तक कम आँकने की प्रवृत्ति रखता है।

Forbes Research AI Survey 2025 के आँकड़े किसी भी निदेशक मंडल को चिंतित करने की सटीकता के साथ समस्या की भयावहता को मापते हैं: 62% व्यावसायिक नेता मानते हैं कि AI उनकी साइबर सुरक्षा रक्षा को बनाए रखना और अधिक जटिल बनाती है, और 63% का कहना है कि AI द्वारा सशक्त खतरे कुछ ही महीनों में उनकी मौजूदा रक्षा को पुरानी बना सकते हैं। एक वर्ष पहले, वह दूसरा प्रतिशत 29% था।

यह कोई क्रमिक प्रवृत्ति नहीं है। यह जोखिम की धारणा में अचानक तेज़ी है, जो संचालन में AI की तैनाती के त्वरण के साथ मेल खाती है। संगठन अपने सिस्टम में अधिक AI डाल रहे हैं, ठीक उसी समय जब AI-सक्षम खतरों के प्रति उनका जोखिम उनकी प्रतिक्रिया क्षमता से अधिक तेज़ी से बढ़ रहा है।

इस विश्लेषण द्वारा प्रस्तावित समाधान अपनाने की गति को कम करना नहीं है, बल्कि निर्णयों के क्रम को बदलना है। सुरक्षा और गवर्नेंस तैनाती के बाद की ऑडिट के रूप में कार्य नहीं कर सकती; उन्हें सिस्टम के पूरे जीवनचक्र में एम्बेड होना चाहिए, मॉडल के डिज़ाइन से लेकर व्यावसायिक अनुप्रयोगों के साथ इसके एकीकरण तक, प्रशिक्षण, तैनाती और निरंतर निगरानी सहित।

इसका ठोस अर्थ यह है कि कम परिपक्वता वाले संगठन कई बातों को बार-बार टालते हैं। पहला, एक वास्तविक इन्वेंटरी कि वातावरण में कौन से AI सिस्टम काम कर रहे हैं और वे किस तक पहुँच सकते हैं। उस दृश्यता के बिना, कोई भी गवर्नेंस संभव नहीं है। दूसरा, गैर-मानव एजेंटों को शामिल करने के लिए पहचान और पहुँच प्रबंधन का विस्तार: प्रत्येक AI एजेंट की एक परिभाषित भूमिका होनी चाहिए, सीमित अनुमतियाँ होनी चाहिए और उसकी क्रियाओं की ट्रेसेबिलिटी होनी चाहिए। तीसरा, एक निरंतर निगरानी मॉडल जो वास्तविक समय में असामान्य व्यवहार की पहचान करे और जिसके प्रतिक्रिया प्रोटोकॉल घटना घटने के बाद नहीं, बल्कि पहले से परिभाषित हों।

इनमें से कोई भी कदम तकनीकी रूप से परिष्कृत नहीं है। जो चीज़ उनके लिए आवश्यक है वह कहीं अधिक कठिन है: तैनाती को उतना धीमा करने की इच्छाशक्ति जितना उसे सहारा देने वाला आर्किटेक्चर बनाने के लिए आवश्यक हो। और वह इच्छाशक्ति दुर्लभ होती है जब प्रबंधकीय प्रोत्साहन गवर्नेंस की गुणवत्ता से नहीं, बल्कि अपनाने की गति के साथ संरेखित होते हैं।

अस्सी प्रतिशत हमें यह बताता है कि हम अपनाने के निर्णय कैसे लेते हैं

AI में वास्तविक परिपक्वता वाले बीस प्रतिशत संगठनों का आँकड़ा केवल तकनीकी प्रबंधन का संकेतक नहीं है। यह इस बारे में कुछ और गहरे का लक्षण है कि बाजार के दबाव में बड़े संगठन निर्णय कैसे लेते हैं।

जब अस्सी प्रतिशत अपने सुरक्षा जोखिमों का मूल्यांकन किए बिना अपनाते हैं, तो यह इसलिए नहीं है क्योंकि उनके पास ऐसा करने की आवश्यकता के बारे में जानकारी की कमी है। प्रौद्योगिकी, सुरक्षा और अनुपालन टीमें आमतौर पर जानती हैं कि क्या आवश्यक है। समस्या एक स्तर ऊपर है: वह बातचीत जो अपनाने की प्रेरणा और इसे जिम्मेदारी से बनाए रखने की शर्तों के बीच नहीं हुई।

कई संगठनों में एक अंतर्निहित बातचीत होती है जो कोई स्पष्ट रूप से नहीं करता: वह जो CEO के बीच होनी चाहिए जो बोर्ड को AI में प्रगति दिखाना चाहता है, CISO के बीच जो जानता है कि सुरक्षा आर्किटेक्चर तैयार नहीं है, CFO के बीच जिसे गवर्नेंस में एक अतिरिक्त निवेश को मंजूरी देनी है जो प्रारंभिक बजट में नहीं था, और कानूनी टीम के बीच जिसने अभी तक स्वायत्त एजेंटों द्वारा संवेदनशील डेटा के उपयोग की सीमाओं को परिभाषित नहीं किया है।

वह बातचीत समय पर नहीं होती क्योंकि इसकी आंतरिक राजनीतिक कीमत होती है। ऐसे समय में AI की तैनाती को रोकना या उसे शर्तों के अधीन करना जब बाजार विपरीत दिशा में धकेल रहा हो, इसके लिए C-Level में किसी को बोर्ड के सामने, शेयरधारकों के सामने, उस वाणिज्यिक टीम के सामने जो परिणाम चाहती है, उस स्थिति को बनाए रखने के लिए तैयार रहना होगा। और किसी घटना की अनुपस्थिति में जो उस बातचीत को मजबूर करे, संस्थागत जड़ता हमेशा आगे बढ़ने की ओर झुकती है।

व्यावसायिक AI की परिपक्वता की समस्या, इसलिए, केवल बेहतर गवर्नेंस टूल्स से या सुरक्षा के लिए अधिक बजट से नहीं हल होती। ये आवश्यक साधन हैं। लेकिन पूर्व शर्त यह है कि प्रबंधन में कोई उस बात को नाम देने के लिए तैयार हो जिसे सिस्टम नाम देने से बचता है: कि तैनाती की गति नियंत्रण की क्षमता से आगे निकल गई है, कि इसके वास्तविक परिणाम हैं और इसे ठीक करने की अल्पकालिक लागत है।

जो संगठन उस सीमा को पार करने में सफल होते हैं, वे इसलिए नहीं करते क्योंकि उन्हें कोई अधिक सुरुचिपूर्ण कार्यप्रणाली मिली। वे इसलिए करते हैं क्योंकि किसी ने वह बातचीत घटना के मजबूर करने से पहले की थी।

परिपक्वता कोई अवस्था नहीं है, यह एक ऐसा निर्णय है जो बार-बार लिया जाता है

पोनेमन इंस्टीट्यूट का शोध स्थापित करता है कि AI में परिपक्वता प्राप्त करने का अर्थ है कि सिस्टम पूरी तरह से तैनात हों सुरक्षा जोखिमों के मूल्यांकन के साथ। वह संयोजन ही सीमा को परिभाषित करता है। अकेली तैनाती नहीं। अकेला मूल्यांकन नहीं। दोनों चीजें एक साथ।

जो बात अधिकांश संगठनों के लिए उस सीमा को कठिन बनाती है, वह समस्या की तकनीकी जटिलता नहीं है, बल्कि निर्णय के इर्द-गिर्द प्रोत्साहन की संरचना है। वर्तमान प्रोत्साहन तैनाती को पुरस्कृत करते हैं। निदेशक मंडलों को रिपोर्ट की जाने वाली सफलता की मेट्रिक्स अपनाने की मेट्रिक्स हैं: कितने विभाग AI का उपयोग करते हैं, उपकरण कितना समय बचाते हैं, कितनी प्रक्रियाओं को स्वचालित किया गया है। गवर्नेंस मेट्रिक्स, एक्सेस इन्वेंटरी, प्रत्येक तैनात सिस्टम में जोखिम मूल्यांकन, उस बातचीत में शायद ही कभी समान भार रखती हैं।

इसे बदलना अमूर्त संगठनात्मक संस्कृति की समस्या नहीं है। यह ठोस प्रोत्साहन डिज़ाइन की समस्या है। जब तक नेताओं का मूल्यांकन अपनाने की गति से किया जाता है और नियंत्रण आर्किटेक्चर की गुणवत्ता से नहीं, अस्सी प्रतिशत अस्सी प्रतिशत ही रहेगा, और घटनाएँ सीखने का मुख्य तंत्र बनी रहेंगी।

जो संगठन उस सीमा को पार कर रहे हैं वे कुछ विशेष कर रहे हैं: वे यह परिभाषित करने में ही गवर्नेंस और सुरक्षा मानदंडों को शामिल कर रहे हैं कि एक AI सिस्टम "संचालन के लिए तैयार" होने का क्या अर्थ है। प्रक्रिया के अंत में एक अतिरिक्त कदम के रूप में नहीं, बल्कि तैनाती के प्रत्येक चरण के समापन की शर्त के रूप में। वे गैर-मानव एजेंटों को शामिल करने के लिए पहचान प्रबंधन का विस्तार उसी कठोरता के साथ कर रहे हैं जिससे वे कर्मचारी पहुँच का प्रबंधन करते हैं। वे अपने AI सिस्टम के व्यवहार की वास्तविक समय में निगरानी कर रहे हैं और घटना के बढ़ने से पहले विसंगतियों का जवाब देने के लिए प्रोटोकॉल परिभाषित किए हैं।

इनमें से कुछ भी क्रांतिकारी नहीं है। जो असामान्य है वह है घटना की माँग करने से पहले इसे करने की इच्छाशक्ति।

उन संगठनों के बीच एक महत्वपूर्ण अंतर है जो अपनी स्वयं की विफलताओं से सीखते हैं और जो दूसरों की विफलताओं से सीखते हैं। अस्सी प्रतिशत जिन्होंने अभी तक अपने सुरक्षा जोखिमों का मूल्यांकन नहीं किया है, वे अभी भी यह चुन रहे हैं कि वे उन दो श्रेणियों में से किसमें रहना चाहते हैं।

साझा करें

आपको यह भी पसंद आ सकता है