Bli med på RSACs lederpanel 24. mars: «KI-agentene er her! Er du klar?»

Microsoft-guide for sikring av KI-drevne foretak: datastyring og -sikkerhet

En mann i dress står foran en blå bakgrunn.

Oversikt

Når organisasjoner kappløper om å innføre KI på stor skala, blir datastyring og datasikkerhet stadig mer gjensidig avhengig av hverandre som grunnprinsipper i virksomhetens robusthet. For Frontier Firms – virksomheter som flytter grensene for KI-drevet transformasjon – krever evnen til å gi KI-systemer mulighet til å resonnere over omfattende datalandskap et ekstraordinært samarbeid mellom Chief Information Officers (CIO-er), Chief Information Security Officers (CISO-er) og deres dataledelsesmotparter. Uten felles eierskap og samordnet gjennomføring øker risikoen for datalekkasje, overdeling og feilaktig bruk av KI dramatisk.

Denne guiden bygger videre på temaene i Sikring av KI-drevne foretak-serien, for å hjelpe deg med å ta i bruk KI på en trygg måte og få mest mulig ut av investeringen.

Styringsavstanden

For noen organisasjoner tas KI i bruk raskere enn tradisjonelle styringsstrukturer klarer å holde tritt med. Ifølge Microsofts Data Security Index rapporterer bare 47 % av organisasjoner på tvers av bransjer at de har implementert spesifikke sikkerhetskontroller for GenAI,¹ noe som fremhever en mulighet for organisasjoner til å oppnå tydelig oversikt som er nødvendig for trygg KI-innføring. Det som er enda viktigere, ifølge en internasjonal undersøkelse blant over 1700 datasikkerhetseksperter, bestilt av Microsoft og utført av Hypothesis Group, har allerede 29 % av ansatte tatt i bruk ikke-godkjente AI-agenter til arbeidsoppgaver.² Som et resultat av dette, møter organisasjoner nye utfordringer knyttet til databehandling, sikkerhetssynlighet og etterlevelse – spesielt når generative KI-verktøy samhandler med sensitive eller ustrukturerte data.

Samtidig responderer bedriftsledere: flere organisasjoner implementerer spesialiserte kontroller for generativ KI og øker investeringene i tekniske og driftsmessige sikkerhetstiltak. Budskapet er klart: KI-innovasjon kan ikke blomstre uten styring som støtter og beskytter den.

En samordnet modell for eierskap: Klassifiser, merk, beskytt, administrer

Effektiv datastyring krever tydelig ansvarsfordeling mellom rollene som CIO, CISO, Chief Data Officer (CDO) og Chief Privacy Officer (CPO). Likevel er eierskapet i mange organisasjoner fortsatt fragmentert. For å redusere denne avstanden anbefaler vi en delt modell: Klassifiser, merk, beskytt og administrer.

Styringssamkoblingen

1. Klassifiser: Etablering av oversikt og eierskap

Styringsprosessen starter med at du vet hva du har. Organisasjoner må få fullstendig oversikt over strukturerte, ustrukturerte og KI-genererte data – inkludert muligheten til å spore nye KI-agenter. Klassifiseringen krever:

Et klart og intuitivt skjema knyttet til forretningsrisiko
Navngitte dataeiere og -forvaltere i forretningsenhetene
Kontinuerlig registrering støttet av CIO-styrte oppdagelsesarbeid

Klassifisering legger grunnlaget for alt som følger.

2. Etikett: Gjøre styringen handlingsrettet

Klassifisering definerer hensikten, mens etiketter sørger for at den etterleves. Følsomhetsetiketter knytter policyer til praktisk bruk, og styrer sikkerhetssystemer, tilgangskontroller og til og med hvordan mennesker samhandler med utdata fra KI-agenter.

De viktigste elementene omfatter:

Distribuerer teknologi som bidrar til å håndheve bruk av etiketter, slik at etiketter aktivt utløser sikkerhetspolicyer og policyer for hindring av datatap (DLP)
En risikobasert etikettstrategi som gjenspeiler innvirkning på virksomheten
Opplæring av ansatte som tydeliggjør når og hvordan etiketter skal tas i bruk

3. Beskytt: Funksjonsdyktig sikkerhet

Beskyttelse handler om å gjøre policyer til styringsprinsipper. Dette omfatter:

Håndheving av policyer gjennom tilgangskontroller slik som rollebaserte tilgangskontroller (RBAC), behovsbasert tilgang (JIT) og hindring av datatap
Kryptering for inaktive data og data som flyttes
Automatisk overvåking for overdeling og brudd på policyer
Strukturerte planer for svar på hendelser i tråd med personvernregler

Disse kontrollene sikrer at sensitive data beskyttes, selv når KI-verktøy får tilgang til og behandler data i stor skala.

4. Administrer: Styring av hele datalivssyklusen

Styring er en kontinuerlig prosess. Organisasjoner må opprettholde:

Policyer for dataoppbevaring og -sletting i tråd med prinsippene for dataminimering
Pågående overvåking for datadrift, feilmerking og tilgangsavvik
Automatisert resertifisering av dataeierskap
Synlighet og styring av KI-agenter på tvers av IT-, utviklings- og sikkerhetsteam

Administrasjon av livssyklus reduserer angrepsflater og sikrer langsiktig samsvar mellom databruk og forretningsverdi.

Horisonten: Å lede en arbeidsstyrke med mennesker og KI-agenter

Etter hvert som KI-agenter begynner å håndtere stadig mer komplekse arbeidsflyter, må styringen utvikle seg videre. Frontier Firms presenterer konseptet «agent boss»— en ny rolle som gir hver ansatt ansvar for de digitale arbeiderne de tar i bruk.

Dette skiftet skaper nye krav til teknologiledelse:

For CIO-er:

Bygg et samlet KI-økosystem hvor forretningsenheter trygt kan opprette og distribuere agenter ved hjelp av godkjente maler, styrt av et KI-senter for ekspertise.

For CISO-er:

Utvid nulltillit-prinsippet fra menneskelige brukere til også å omfatte autonome agenter. Dette innebærer:

Lage en oversikt over alle agenter og tilhørende identiteter
Håndheve prinsippet om minste privilegium, tilpasset hver agents arbeidsoppgaver
Overvåke agentatferd og anta brudd når de håndterer sensitive data

Beredskap for den autonome virksomheten krever at disse nye kontrollene kombineres med tydelig menneskelig ansvar.

De første 180 dagene: En felles stategiplan for CIO-er og CISO-er

Reisen starter med et strukturert veikart for å hjelpe IT- og sikkerhetsledere med å gjøre KI-styring på bedriftsnivå funksjonsdyktig:

Den første uken: Grunnleggende samordning

Definer et felles dataklassifiseringsskjema.
Kartlegg kritiske eiendeler og krav til kontinuitet.
Etabler felles standarder for hvordan KI-agenter opprettes og verifiseres.

De første 90 dagene: Oppdagelse og kartlegging av kontroller

Lag en oversikt over KI-bruksområder og tilhørende datakilder.
Utfør DLP-analyse og kontroller gapanalyse.
Opprett et felles risikoregister og prioriter pilotbrukstilfeller.

De første 180 dagene: Implementering og validering

Distribuer nye etiketter og policyer i pilotforretningsenheter.
Rull ut automatisert hindring av datatap for høyrisikoscenarioer.
Opprett et månedlig styringsråd for å forbedre kontrollene.

Denne stategiplanen hjelper organisasjoner med å transformere datastyringen fra etterlevelsesfunksjon til en strategisk drivkraft for KI-innovasjon.

Bygge en virksomhet som er klar for KI

Reisen mot en KI-drevet fremtid starter med et solid grunnlag for datastyring og datasikkerhet, eid i fellesskap. Ved å samordne ansvarsområdene til CIO og CISO, etablere en felles livssyklusmodell og legge til rette for en hybrid arbeidsstyrke av mennesker og agenter, kan organisasjoner bidra til å få mest mulig ut av KI på en mer trygg og sikker måte.

Tiden er nå inne for å bygge dette grunnlaget.

Last ned guiden

Cyber Pulse: en rapport om KI-sikkerhet

Innsikt i veksten av KI-agenter og veien til ansvarlig, sikker innføring gjennom observasjon, styring og sikkerhet.

Strategier for styring av KI

Handlingsrettede tiltak for å bygge tillit, redusere risiko, kutte kostnader og fremme innovasjon

En hvit linjetegning av et brev i en konvolutt med ordet «Ny» på blå bakgrunn.

Skaff deg CISO Digest

Hold deg oppdatert med ekspertinnsikt, bransjetrender og sikkerhetsforskning i denne e-postserien som kommer ut annenhver måned.

[1]
Microsoft Data Security Index 2026: Samler databeskyttelse og KI-innovasjon, Microsoft Sikkerhet, 2026
[2]
Juli 2025: En flernasjonal undersøkelse blant mer enn 1700 datasikkerhetseksperter, bestilt av Microsoft og utført av Hypothesis Group.