Hagnýtur leiðarvísir fyrir fyrirtæki

Hvernig þú heldur stjórn á gögnunum þínum

Hvert fara gögnin í raun og veru þegar teymið notar gervigreind? Að neðan er leiðarvísir á mannamáli um áhætturnar sem skipta máli og ákvarðanirnar sem þarf að taka, allt frá einfaldri ChatGPT-fyrirspurn yfir í að keyra gervigreind á eigin kerfum.

Byrjaðu hér

Hversu varkár þarftu að vera?

Það veltur á tvennu: hversu viðkvæm gögnin þín eru og hversu djúpt gervigreindin fer inn í vinnuna. Finndu röðina og dálkinn sem á við um þig hér að neðan. Þar sést hversu mikillar aðgátar er þörf. Smelltu á reitinn til að sjá hvað þú þarft að hafa í huga og gera.

Áhættustig eftir því hvernig gervigreind er notuð (dálkar) og hversu viðkvæm gögnin eru (raðir). Hver reitur tengist nánari leiðbeiningu.
Viðkvæmni gagna eftir notkun gervigreindarEinstaklingsnotkun stök spjöll og drögTeymisnotkun sameiginleg vinnusvæðiKerfissamþætting tengt inn í kerfin þín
Opinber gögn og markaðsefni Efni sem þú gætir birt opinberlega án þess að hafa áhyggjur Lítil áhætta áhætta fyrir Opinber gögn og markaðsefni, Einstaklingsnotkun Lítil áhætta áhætta fyrir Opinber gögn og markaðsefni, Teymisnotkun Miðlungs áhætta áhætta fyrir Opinber gögn og markaðsefni, Kerfissamþætting
Innri gögn og rekstrarupplýsingar Skjöl, fundargerðir, áætlanir, innri samskipti Miðlungs áhætta áhætta fyrir Innri gögn og rekstrarupplýsingar, Einstaklingsnotkun Miðlungs áhætta áhætta fyrir Innri gögn og rekstrarupplýsingar, Teymisnotkun Mikil áhætta áhætta fyrir Innri gögn og rekstrarupplýsingar, Kerfissamþætting
Viðkvæm gögn og hugverk Viðskiptavinir, starfsfólk, fjármál, og hugverk sem má hvorki birta né skrá Mikil áhætta áhætta fyrir Viðkvæm gögn og hugverk, Einstaklingsnotkun Mikil áhætta áhætta fyrir Viðkvæm gögn og hugverk, Teymisnotkun Mjög mikil áhætta áhætta fyrir Viðkvæm gögn og hugverk, Kerfissamþætting

Því meiri áhætta, því meiri aðgát:

  • Lítil áhætta: almenn aðgát nægir
  • Miðlungs áhætta: veldu rétta áskrift og stillingar
  • Mikil áhætta: þú þarft samninga, stýra staðsetningu gagna og aðgangsstýringu
  • Mjög mikil áhætta: haltu gögnunum lokuðum eða á eigin kerfum og vaktaðu þau
Spurningarnar fimm

Það sem þú ert í raun að ákveða

Hér að neðan er spurt að sömu fimm spurningunum á hverju stigi, þar sem sífellt meira er undir í hverri spurningu. Hafðu þær í huga við lesturinn.

  1. 1 Hvar eru gögnin vistuð? Í hvaða landi og hjá hvaða fyrirtæki?
  2. 2 Hver hefur aðgang að þeim, og eru þau notuð til að þjálfa gervigreindarlíkön (módel) fyrirtækisins?
  3. 3 Eru gögnin vistuð hjá þjónustuveitandanum, og geturðu krafist þess að þeim sé eytt?
  4. 4 Hver hefur aðgang að gögnunum? Og hver samþykkir ný gervigreintartól sem vinna með gögnin?
  5. 5 Ef þörf krefur, gætirðu keyrt gervigreindina á þínum þjónum í stað þjónustuveitanda?
Stigin fjögur

Frá grunnnotkun til fullrar stjórnar

1

Einstaklingsbundin grunnnotkun

Einn notandi, spjallgluggi, stök verkefni

Hvernig það lítur út

Einhver opnar ChatGPT, Copilot eða Gemini til að skrifa tölvupóst, setja saman skjal eða vinna með hugmyndir. Engar tengingar og enginn sameiginlegur aðgangur, bara venjulegur vafri.

Það sem þú þarft að vita
  • Einstaklingsáskriftir nota oft samtölin þín til að þjálfa líkönin.
  • Allt sem þú skrifar og límir (copy/paste) fer út fyrir veggi fyrirtækisins. Hegðaðu þér eins og þessi gögn verði opin fyrir alla að lesa í framtíðinni.
  • „Skugga-gervigreind“ (ósamþykkt notkun) byrjar nánast alltaf hér.
Ákvarðanir sem þarf að taka
  • Einstaklings- eða fyrirtækjaáskrift? (Fyrirtækjaáskriftir hafa yfirleitt betri skilmála um gagnavernd.)
  • Er hægt að slökkva á gagnaþjálfun í stillingunum?
  • Hver er kjarnareglan á vinnustaðnum? Til dæmis: Aldrei setja inn trúnaðargögn, kóða eða upplýsingar um viðskiptavini.
Áþreifanlegar aðgerðir
  • Búðu til einfaldan leiðarvísi: „Í lagi / ekki í lagi að líma inn“.
  • Veldu aðganga þar sem tryggt er að slökkt sé á gagnaþjálfun.
  • Tilnefndu tengilið eða ábyrgðaraðila innan fyrirtækisins sem fólk getur spurt: „Er í lagi að nota þetta tól?“
2

Teymisnotkun á rekstrargögnum

Sameiginleg vinnusvæði, stærri verkefni

Hvernig það lítur út

Teymi byrjar að nota gervigreind í sameiginlegu vinnusvæði, til dæmis til að taka saman fundargerðir, skrifa kóða eða greina innri skjöl og áætlanir, í gegnum fyrirtækjaáskrift.

Það sem þarf að vita
  • Fyrirtækjaáskriftir segjast yfirleitt ekki þjálfa líkön á gögnunum þínum. Krefstu þess að hafa það skriflegt og athugaðu hvort það séu undantekningar í skilmálum (t.d. að gefa endurgjöf þegar það er spurt hvernig módelið stendur sig í dag).
  • Nú er komið á formlegt þjónustusamband sem krefst skriflegs samnings.
  • Aðgangsstýring og miðlæg innskráning (SSO) skipta sköpum til að stjórna hver hefur í raun aðgang.
Ákvarðanir sem þarf að taka
  • Hvaða verkfæri eru leyfð og hver ber ábyrgð á að viðhalda þeim lista?
  • Er til staðar vinnslusamningur (DPA) sem bannar gagnaþjálfun?
  • Hvernig skráir fólk sig inn og hver stýrir aðgangi? Notaðu miðlæga innskráningu (SSO) og hlutverkabundinn aðgang, ekki sameiginlegt lykilorð.
Áþreifanlegar aðgerðir
  • Haltu utan um leyfð verkfæri og gakktu úr skugga um að vinnslusamningar (DPA) séu til staðar.
  • Notaðu SSO til að tryggja að aðgangur lokist sjálfkrafa þegar starfsfólk hættir.
  • Gerðu stutt áhættumat á nýjum lausnum áður en þær eru teknar í notkun (sjá gátlista neðar).
3

Viðkvæm gögn og hugverk

Viðskiptavinir, fjármál, starfsfólk, kóði og hugverk

Hvernig það lítur út

Gervigreindin vinnur nú með gögn um fólk eða viðkvæmustu verðmæti fyrirtækisins, til dæmis úr CRM-kerfum, þjónustupósti, starfsmannakerfum, fjárhagskerfum, frumkóða eða viðskiptaleyndarmálum. Persónuverndarlög (GDPR), samningar og trúnaður eiga við.

Það sem þarf að vita
  • Staðsetning gagnanna (t.d. ESB eða Bandaríkin) ræðst nú af lögum, ekki smekk.
  • Allir undirvinnsluaðilar í keðjunni erfa sömu skyldur og hvíla á þér.
  • Þú verður að geta svarað spurningunni: „Getum við eytt gögnunum og sannað það?“
Ákvarðanir sem þarf að taka
  • Hvar eiga gögnin að vera hýst, til dæmis innan ESB eða á lokuðu skýjasvæði eins og Azure OpenAI eða AWS Bedrock?
  • Er hægt að hylja eða afmá gögnin áður en þau eru send í líkanið?
  • Hvaða hugverk eru svo viðkvæm að þau mega aldrei fara í utanaðkomandi líkan eða birtast í annálum (logs)?
  • Hverjar eru reglur um varðveislu og eyðingu? Hvernig er aðgangi stýrt og hann skráður?
Áþreifanlegar aðgerðir
  • Krefstu vistunar innan ESB eða notaðu lokuð skýjasvæði fyrir persónuupplýsingar.
  • Gakktu úr skugga um að vinnslusamningar (DPA) nái yfir alla undirvinnsluaðila og haltu gagnageymslu í lágmarki.
  • Hyldu viðkvæm gögn fyrir vinnslu, skráðu alla notkun (audit logs) og farðu reglulega yfir aðgangsréttindi.
4

Djúp kerfissamþætting og sjálfvirkni

Gervigreind tengd innviðum og viðskiptaferlum

Hvernig það lítur út

Gervigreindin er ekki lengur bara spjallgluggi heldur beintengd grunnkerfum í gegnum forritsskil (API) eða sérhæfða gerendur (agents), þar sem hún les gögn, greinir og framkvæmir aðgerðir sjálfkrafa.

Það sem þarf að vita
  • Sjálfvirk kerfi geta valdið tjóni eða gagnaleka mjög hratt, löngu áður en nokkur tekur eftir því.
  • Gervigreindin hefur nákvæmlega þau réttindi og þann aðgang sem henni eru veitt.
  • Á þessu stigi kemur til greina að nýta eigin hýsingu og opin líkön (open-weight) til að tryggja fulla stjórn.
Ákvarðanir sem þarf að taka
  • Hvernig eru kerfin einangruð (t.d. VPC) og hversu takmörkuð geta réttindi gervigreindarinnar verið?
  • Í hvaða ferlum verður manneskja að staðfesta aðgerð áður en hún er framkvæmd?
  • Er skynsamlegra að keyra líkönin alveg innanhúss fyrir viðkvæmustu ferlana?
Áþreifanlegar aðgerðir
  • Einangraðu netkerfin vel og veittu gervigreindinni aldrei meiri réttindi en hún nauðsynlega þarf.
  • Tryggðu að mannleg yfirsýn sé alltaf til staðar við stærri aðgerðir. Skráðu öll samskipti kerfa.
  • Vaktaðu óeðlilega hegðun. Meðhöndlaðu gervigreindina eins og önnur kerfi með víðtækan aðgang.
Hagnýtur viðauki

Einfaldur gátlisti fyrir gagnavernd

Einnar mínútu sjálfspróf. Ef þú getur hakað við flest af þessu eru gögnin þín í nokkuð öruggum höndum.

  • Við vitum hvaða gervigreindarverkfæri starfsfólk notar í raun og veru, líka þau óopinberu.
  • Við höfum slökkt á gagnaþjálfun alls staðar þar sem það er í boði.
  • Allt sem snertir viðskiptavini eða persónuupplýsingar fellur undir skriflegan vinnslusamning (DPA).
  • Við vitum nákvæmlega í hvaða löndum viðkvæmu gögnin okkar eru geymd eða unnin.
  • Við höfum merkt hugverkin sem mega aldrei fara í líkan eða birtast í annálum.
  • Allur aðgangur fer í gegnum miðlæga innskráningu (SSO) og lokast um leið og fólk hættir.
  • Sjálfvirk gervigreindarkerfi hafa mjög afmörkuð réttindi og allar aðgerðir eru skráðar.
  • Það er skýrt hver á listann yfir leyfð verkfæri og svarar spurningunni: „Er þetta tól í lagi?“
Sækja gátlista

Gagnastýringar-gátlisti fyrir fyrirtæki

Ítarlegri, prentvæn útgáfa til að taka með í áhættumat eða vinnustofu teymis. Þú sérð hann strax á skjánum og ég sendi þér afrit í tölvupósti.

Leiðarvísirinn er hugsaður sem stuðningur við áhættumat, en kemur ekki í stað lögfræðiráðgjafar. Sjá nánar í persónuverndarstefnu um hvernig ég fer með netfangið þitt.

Ekki viss hvar þú stendur?

Það er eðlilegt að vera ekki viss um hvar þú stendur í gervigreindarmálum. Sem fyrrverandi tæknistjóri (CTO) hjálpa ég teymum að komast að því hvar þau standa, hvaða hættur liggja fyrir og hver næstu skref eru í innleiðingu gervigreindar. Ef þú vilt hjálp, bókaðu ókeypis kynningarfund að neðan og ég skal hjálpa þér.

Bóka fund Ókeypis öryggisúttekt