Tankeledare
Faran med att säga nej till AI
Jag ringde in till ett potentiellt kunds företagssamtal förra veckan. Alla säkerhets- och nätverkspersonal var där, plus ledning. Olika presentatörer som behandlade ämnen som är aktuella just nu. Sedan började någon förklara hur hans tekniska team använder AI i sitt dagliga arbete.
Presentatören var entusiastisk. Han hade hittat ett sätt att komprimera tre dagars manuellt kopierings- och klistringsarbete till ett par minuter med hjälp av AI-verktyg. Supercoolt, eller hur? Jag förstår vad han gjorde – och varför han gjorde det. Detta är löftet om AI!
Men som säkerhetsperson i rummet tänker jag: “Oh my God.” “Vilket verktyg är det? Vem äger det verktyget?” Eftersom han lägger in kundinformation i dessa plattformar – prisdatabas. Kanske finansiell information? Vad det än må vara. Allt för att påskynda sitt arbetsflöde.
Så jag ställde den uppenbara frågan: “Har ni en AI-policy?” Vi letade och hittade en kort text som var begraven i en acceptabel användning. Något vagt om AI-verktyg. Läser någon verkligen det? Antagligen inte. Du skriver under det under onboarding och är sedan klar.
Dina anställda använder redan AI
Här är vad jag har lärt mig av att prata med företag över hela branschen: AI är redan överallt, oavsett om du erkänner det eller inte. Nylig forskning bekräftar denna verklighet – 75% av arbetarna använder nu AI på jobbet, nästan en fördubbling på bara sex månader.
Förra veckan i Houston träffade jag en kille vars företag borrade efter olja. De har en AI-plattform som analyserar jordens sammansättning och vädermönster för att optimera borrningsplatser. Han förklarade hur de tar hänsyn till regndata – “Vi visste att det regnade 18 dagar mer än det gjorde i det här området, så oljekapaciteten är förmodligen högre, vilket tillåter att borren kommer in djupare.”
Samtidigt använder jag AI för att skapa en resplan för Tyskland. Jag har pratat med företag inom hälsovården som använder det för telehälso-plattformar. Finansgrupper som kör riskmodeller. Jag träffade till och med någon som driver en lemonadbutik som på något sätt utnyttjar AI.
Poängen är: AI finns i varje bransch, varje arbetsflöde. Det kommer inte – det är här. Och de flesta av dessa organisationer är i samma båt som vi var. De vet att deras anställda använder det. De vet bara inte hur de ska hantera det.
Skugg-IT blir farligt snabbt
Vet du vad som händer när du berättar för människor att de inte kan använda AI? Det är exakt som att berätta för din tonåring att de aldrig får dricka. Grattis, nu kommer de att vara de som dricker på de farligaste sätten, eftersom du har skapat ett förbud.
Siffrorna bekräftar denna verklighet: 72% av generativ AI-användning i företag är skugg-IT, med anställda som använder personliga konton för att komma åt AI-appar.
Människor hämtar sin andra laptop. De använder sin personliga telefon som inte skyddas av företagets säkerhet. Sedan använder de AI ändå. Plötsligt förlorar du synlighet och skapar exakt de luckor du försökte förhindra.
Jag har sett det här mönstret förut. Säkerhetsteam som säger “nej” till allt slutar med att driva människor under jorden – och förlorar all insyn i vad som faktiskt händer.
Säkerhet blir fienden
Det finns en uppfattning om att säkerhetsteam är “de elaka killarna i källaren”. Människor tänker: “Oh, säkerhet kommer förmodligen att säga nej ändå, så strunt i dem. Jag kommer att göra det ändå.”
Vi har skapat det här missförståndet. Och med AI antar människor att vi kommer att stänga av dem, så de bryr sig inte om att fråga. Det dödar den kommunikation du faktiskt vill ha.
Jag hade en utvecklare som kom upp till mig efter en konferenspresentation. Han använder API:er varje dag och hade försökt att få sin säkerhetsteams uppmärksamhet på testning och validering. Men han hade bestämt sig för att inte fråga eftersom han trodde att de skulle säga nej.
Förtroendeklyftan kostar allt
Här är samtalet du vill ha: någon från marknadsföringen kommer upp till dig och säger: “Hej, jag vill använda det här AI-verktyget. Vad är vår inställning till det? Hur använder jag det säkert?” Det är rätt sätt att samarbeta med säkerhet.
Vi kommer att granska det. Vi förstår att AI kommer att vara en del av verksamheten. Vi kommer inte att säga nej till det – vi vill att människor ska använda det säkert. Men vi behöver det samtalet först.
När människor antar att säkerhet kommer att blockera allt, slutar de fråga. De skriver under med personliga e-postmeddelanden, börjar mata in företagsdata i otestade plattformar och du förlorar all synlighet och kontroll. Resultatet är förutsägbart: 38% av anställda delar känslig arbetsinformation med AI-verktyg utan arbetsgivarens tillstånd.
Företag kommer att använda AI oavsett vad. Frågan är: hur kan vi se till att våra anställda kan utnyttja det på ett säkert sätt utan att äventyra företagsdata, integritet eller säkerhet?
Börja med smarta ja, inte tomma nej
Här är vad som faktiskt fungerar: proaktiv kommunikation. Skicka nyhetsbrev eller kör 30-minuters webbinarier som säger: “Vi tillåter AI inom organisationen. Här är hur du gör det säkert.” Spela in sessionerna för de som missar dem.
Visa exempel på anställda som samarbetat med säkerhet framgångsrikt. Gör dessa samarbeten synliga istället för att vara en skuggig enhet som människor antar kommer att stänga av dem.
Du behöver bygga förtroende över tid mellan säkerhet och anställda. Till slut använder vi alla AI på stora och små sätt. Jag använde det för att planera min Tysklandsresa – berättade för det att skapa en tre dagars resplan och fick en riktigt bra resa ut av det.
Ur ett organisatoriskt perspektiv behöver vi erkänna var AI befinner sig i verksamheten. Kommer det att öka intäkterna? Förmodligen. Affärsfallet är tydligt: AI har flyttat från ‘experiment’ till ‘essentiellt’, med företagsutgifter som ökar med 130%. Så vad gör vi? Hur kan vi tillhandahålla skydd samtidigt som vi möjliggör produktivitet?
Målet är inte perfekt kontroll, det är omöjligt. Målet är informerad AI-användning med skyddsräcken som faktiskt fungerar i praktiken. Den nya risken för säkerhet är att bli isolerad från AI-användning – användning som sker med eller utan dig.
För organisationer som är allvarliga med att göra rätt, rekommenderar experter att utveckla tydliga AI-styrningspolicyer som balanserar affärsbehov med säkerhetskrav innan skugg-AI-användning spiralar helt utom kontroll.
