Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
En statslig styrelse, som er en god kunde, stiller (som flere andre for øvrigt) krav til vores it-sikkerhed som serviceleverandør.
Derfor har vi hos os lige været gennem en audit efter ISAE 3402-standarden gennemført af et eksternt konsulenthus.
Revisionen handler om at vurdere procedurer, processer og kontroller. En ordentlig mundfuld og den gav mig anledning til at tænke lidt over, hvor fokus bør være fremover
Der er mange lag i en organisation – også vores. Ét er at have en politik, noget andet er om intentionen bag formuleringen også lever i hverdagen. Gør hver enkelt person det rigtige? Gør afdelingen, landet, koncernen?
Selv om ISAE 3402 lyder som eksakt videnskab, så er hverdagen jo beskidt og kompleks, og i sidste ende handler det her om kultur, ledelse og mennesker.
Deregulering i vælten
Lige nu er deregulering af data, AI og digitalisering en slags makro-trend. Selv statsministeren svingede sig i nytårstalen op til at citere talemåden om, at USA innoverer, Kina kopierer og Europa regulerer.
Og den logiske kæde siger så efterfølgende, at vi skal deregulere, og så skal den teknologiske innovation og værdiskabelse nok tage fart.
Så enkelt er det bare ikke.
Mange virksomheder har givetvis svært ved at prioritere compliance-opgaven i bredeste forstand.
Ikke mindst på it-området, hvor opgaverne tårner sig op, og hvor det er svært at følge med. Når erhvervsorganisationer kæmper mod omfattende regulering, har det derfor klangbund ude i virksomhederne.
AI breder sig som ukrudt
Men sandheden er, at vi er pisket til at integrere evaluering, test og risikotænkning i hverdagen og den skal være så tæt på forretningen som muligt.
AI-bølgen forstærker behovet, fordi potentielt autonom eller blot uforklarligt output kan koste dyrt på den lange bane.
Når vi bruger AI, øger vi risikoen for datalæk, bias, ukorrekte beslutninger og manglende sporbarhed. Uden klare retningslinjer kan uansvarlig brug føre til juridiske, etiske og omdømmemæssige problemer.
Omvendt kan vi styrke governance ved at gennemføre en AI-politik, som definerer roller og ansvar, sikrer transparens, indfører risikovurderinger, auditerer AI-systemer løbende og uddanner medarbejdere i ansvarlig brug.
Centralt er at skabe et kontrolleret rammeværk, der balancerer innovation med sikkerhed og compliance.
En hovedproblemstilling er jo, at AI-chatbots breder sig som ukrudt i et staudebed. Hurtigt, effektivt og planløst.
Vi har måske nok en koncernpolitik om at bruge CoPilot, men Anne flirter med DeepSeek, mens Peter skriver kode med brug af Cursor.
Centralisme eller laissez faire
Styring og kontrol med dette kludetæppe af AI, som vil mushroome hurtigt og uforudsigeligt i de kommende år, er en svær opgave.
Hård centralisme med rigide regler vil komme på bagkant og medføre tab af viden om det "virkelige liv" hos Anne og Peter.
Men vi kan heller ikke vende ryggen til, fordi konsekvenserne kan blive alvorlige.
Min anbefaling er, at mindre og mellemstore virksomheder bruger især den ”cirkulære” filosofi fra større virksomheders arbejde med risikotænkning.
Test og risikovurdering skal ikke være noget, der altid kommer bagefter, og derfor måske ikke bliver til noget i kampens hede. Det skal være integreret, og det skal være alles ansvar og alles hovedpine.
Cirkulær indsats
Det er yderligere afgørende, at man arbejder direkte mod virksomhedens ønskede mål og ikke blot sætter lapper på hver enkelt stykke teknologi for sig.
Her er der inspiration at hente i rammeværket Cybersecurity Framework fra den amerikanske organisation National Institute of Standards and Technology.
Det cirkulære element ligger i at rammeværket både taler om at styre den samlede indsats, identificere følsomme områder, beskytte centrale ressourcer, opdage kritiske hændelser, respondere på hændelsen og så genskabe driften.
På AI-området fører det tilbage til læringen fra vores egen audit. Vi må som ledere bevare åbenheden og lydhørheden, når der er faglige årsager til at afvige fra en koncernpolitik.
Den viden må ikke gå tabt, for så er feltet først helt ustyrligt. Vi kommer altså til at forholde os til de risici, der følger med, at vi hver især bruger AI som aldrig før.
Både på arbejdspladsen og i hele samfundet.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.