Organizace nasazující umělou inteligenci ve velkém měřítku čelí rostoucímu trendu Výzvy v oblasti správy a řízení umělé inteligence které zahrnují dodržování předpisů, zabezpečení dat, šíření stínové umělé inteligence a provozní odpovědnost. Tento článek zkoumá hlavní výzvy při implementaci správy a řízení umělé inteligence, zkoumá rizika specifická pro generativní a agentní umělou inteligenci a nabízí praktické kroky, které mohou vedoucí pracovníci podniknout k vybudování efektivních rámců správy a řízení v celém podniku.
Key Takeaways
Proč se dnes pro podniky zostřují výzvy v oblasti správy a řízení umělé inteligence?
Zavádění umělé inteligence překonává vývoj politik a zaměstnanci běžně používají neschválené nástroje umělé inteligence, které zpracovávají firemní data mimo regulované kanály, což zvyšuje riziko poškození bezpečnosti a dodržování předpisů.
Co dělá ze stínové umělé inteligence jednu z nejnaléhavějších výzev v oblasti správy dat v oblasti umělé inteligence?
Nástroje stínové umělé inteligence fungují prostřednictvím prohlížečů a SaaS aplikací mimo dosah IT, takže tradiční řešení pro zabezpečení sítí a koncových bodů nemohou detekovat ani kontrolovat citlivá data, která do nich proudí.
Jak se liší výzvy v oblasti řízení agentní umělé inteligence od výzev v oblasti konverzační umělé inteligence?
Agentická umělá inteligence autonomně provádí vícekrokové úkoly – prohlížení, kódování, odesílání e-mailů – které vyžadují oprávnění na úrovni akcí, hranice provádění, úplné auditní záznamy a přepínače kill switch, které konverzační umělá inteligence nepotřebuje.
Jakou roli hraje prohlížeč při řešení problémů v oblasti správy a řízení podnikových technologií v oblasti umělé inteligence?
Prohlížeč je společným rozhraním pro prakticky všechny interakce s umělou inteligencí, takže monitorování na úrovni prohlížeče a DLP jsou nejúčinnějším kontrolním bodem pro vynucování zásad napříč spravovanými i nespravovanými zařízeními.
Jak by měly organizace strukturovat zásady pro řešení klíčových výzev při implementaci správy a řízení umělé inteligence?
Víceúrovňový rámec, který přizpůsobuje nástroje umělé inteligence úrovním rizika – od plně schválených platforem s podnikovou licencí až po blokované a neověřené služby – umožňuje vymahatelné a škálovatelné kontroly namísto plošných zákazů.
Proč je obtížnější auditovat problémy v oblasti správy a řízení specifické pro generativní umělou inteligenci než rizika tradičního softwaru?
Generativní umělá inteligence produkuje nedeterministické výstupy, což znamená, že stejný výzva může v různých relacích přinést různé výsledky, což výrazně ztěžuje sledovatelnost rozhodnutí, reprodukovatelnost a ověřování souladu s předpisy.
Jaký je nejdůležitější první krok k překonání problémů s implementací správy a řízení umělé inteligence?
Zajištění úplného přehledu o veškerém využití umělé inteligence – včetně stínových nástrojů, rozšíření prohlížeče a funkcí integrovaných v SaaS – protože organizace nemohou vynucovat správu systémů, které dosud neobjevily.
Přehled výzev v oblasti správy a řízení umělé inteligence
Řízení AI se týká politik, procesů a technických kontrol, které zajišťují, aby systémy AI fungovaly v rámci přijatelných etických, právních a provozních hranic. S tím, jak organizace urychlují zavádění AI napříč odděleními – od chatbotů zákaznických služeb až po autonomní kódovací agenty – úměrně roste i složitost řízení těchto systémů. Pochopení celého rozsahu výzvy v řízení umělé inteligence je prvním krokem k vytvoření obhajitelné strategie.
Klíčové dimenze správy a řízení umělé inteligence
Řízení umělé inteligence není samostatnou disciplínou. Zahrnuje několik oblastí, z nichž každá představuje odlišné výzvy, kterým se musí vedoucí pracovníci věnovat současně.
- Správa dat – Řízení toho, ke kterým datům mohou systémy umělé inteligence přistupovat, jak je mohou zpracovávat a uchovávat, včetně citlivých firemních informací, osobních údajů zákazníků a regulovaných datových sad.
- Řízení přístupu – Určení, kdo může používat nástroje umělé inteligence, s jakými modely mohou interagovat a jaká oprávnění mají tyto modely v rámci podnikových systémů.
- Monitorování používání – Sledování toho, jak zaměstnanci a automatizovaní agenti skutečně používají umělou inteligenci, včetně neschválených nástrojů (stínové umělé inteligence), které obcházejí dohled IT.
- Ověření výstupu – Zajištění toho, aby odpovědi, kód a rozhodnutí generované umělou inteligencí splňovaly standardy přesnosti, bezpečnosti a shody s předpisy předtím, než se dostanou do produkčního prostředí.
- Regulační sladění – Mapování využití umělé inteligence na příslušné rámce, jako je zákon EU o umělé inteligenci, rámcová měřítka pro rizikové faktory NIST AI a odvětvové předpisy.
Proč se prohlubují mezery ve správě věcí veřejných
Rychlost zavádění umělé inteligence neustále převyšuje vyspělost správy a řízení. Podle průzkumů v oboru má většina podniků zaměstnance, kteří používají generativní nástroje umělé inteligence, aniž by měli zavedeny formální zásady. Tato mezera vytváří riziko v oblasti bezpečnosti, dodržování předpisů a duševního vlastnictví. Stínová umělá inteligence – kdy zaměstnanci používají neoprávněné služby umělé inteligence prostřednictvím webových prohlížečů a SaaS aplikací – představuje jeden z nejrychleji rostoucích a nejméně viditelných vektorů rizika.
Proč je správa umělé inteligence nezbytná pro moderní organizace
Řízení AI není volitelným úkolem v oblasti dodržování předpisů. Má přímý dopad na rizikovou situaci organizace, její konkurenční pozici a schopnost zodpovědně škálovat iniciativy v oblasti AI. Vedoucí pracovníci, kteří berou řízení jako strategickou funkci, nikoli jako byrokratickou překážku, získávají měřitelné výhody v oblasti bezpečnosti, důvěry a provozní efektivity.
Regulační tlak se zrychluje
Vlády po celém světě zavádějí závazné předpisy pro umělou inteligenci. Zákon EU o umělé inteligenci klasifikuje systémy umělé inteligence podle úrovně rizika a ukládá přísné požadavky na vysoce rizikové aplikace, včetně povinného hodnocení rizik, mechanismů lidského dohledu a povinností dokumentace. Ve Spojených státech vytvářejí výkonné nařízení a pokyny specifické pro jednotlivé agentury od SEC, FDA a OCC směs požadavků. Organizace bez rámců správy a řízení čelí pokutám, donucovacím opatřením a omezením přístupu na trh.
Únik dat prostřednictvím nástrojů umělé inteligence je skutečnou hrozbou
Pokaždé, když zaměstnanec vloží proprietární zdrojový kód, finanční projekce nebo zákaznická data do nástroje umělé inteligence třetí strany, organizace ztrácí kontrolu nad těmito informacemi. Bez kontrolních mechanismů pro prevenci úniku dat (DLP) ze strany umělé inteligence citlivá data unikají mimo perimetr podniku prostřednictvím interakcí umělé inteligence v prohlížeči, které tradiční nástroje síťového zabezpečení nemohou kontrolovat. To je hlavní příčina problémů v oblasti správy a řízení umělé inteligence v podniku.
Pověstní a právní odpovědnost
Výstupy generované umělou inteligencí, které obsahují zaujatá doporučení, nepřesné lékařské nebo právní informace nebo materiál chráněný autorskými právy, vystavují organizace riziku soudních sporů a poškození reputace. Rámce správy a řízení, které zahrnují validaci odpovědí umělé inteligence a monitorování výstupů, snižují tuto odpovědnost zavedením řetězců odpovědnosti a kontrol kvality předtím, než se výstupy umělé inteligence dostanou ke koncovým uživatelům nebo zákazníkům.
Umožnění zodpovědného škálování umělé inteligence
Organizace, které včas zavedou systém řízení, mohou zavádět umělou inteligenci agresivněji a sebejistěji. Jasné zásady týkající se řízení přístupu k umělé inteligenci, schválených seznamů nástrojů a zpracování dat umožňují obchodním jednotkám experimentovat a nasazovat umělou inteligenci bez vytváření nepřijatelného rizika. Systém řízení není brzdou inovací – je to mechanismus, který umožňuje bezpečné urychlení inovací.
Hlavní výzvy při implementaci správy a řízení umělé inteligence
Implementace správy umělé inteligence v podnikovém měřítku zahrnuje překonání technických, organizačních a kulturních překážek. Následující příklady představují nejvýznamnější klíčové výzvy při implementaci správy a řízení umělé inteligence s nimiž se vedoucí setkávají.
1. Objevování a viditelnost pomocí stínové umělé inteligence
Nejzásadnější výzvou je vědět, jaké nástroje umělé inteligence se používají. Zaměstnanci bez souhlasu IT zavádějí rozšíření prohlížečů, SaaS aplikace a webové asistenty s umělou inteligencí. Tyto stínové nástroje umělé inteligence zpracovávají firemní data mimo řízené kanály a vytvářejí slepá místa, která tradiční řešení správy aktiv a CASB nemohou plně řešit.
Efektivní detekce stínových interakcí s umělou inteligencí vyžaduje viditelnost na úrovni prohlížeče, kde dochází k většině interakcí s umělou inteligencí. Řešení, která monitorují aktivitu prohlížeče, dokáží identifikovat neoprávněné použití nástrojů umělé inteligence, kategorizovat úrovně rizika a vynucovat zásady v reálném čase – bez narušení legitimních pracovních postupů.
2. Nedostatečná organizační souladnost
Řízení umělé inteligence vyžaduje koordinaci mezi právními, compliance, bezpečnostními, datově-technickými a obchodními jednotkami. V praxi tyto týmy často pracují s protichůdnými prioritami. Bezpečnostní týmy chtějí omezit používání umělé inteligence; obchodní jednotky chtějí maximalizovat produktivitu. Právní týmy potřebují dokumentaci; technické týmy potřebují rychlost. Bez podpory vedení a mezioborového výboru pro řízení zůstávají zásady roztříštěné a nevymáhané.
3. Rychle se měnící schopnosti umělé inteligence
Každý týden se objevují nové modely, funkce a vzorce interakce umělé inteligence. Rámec správy a řízení navržený pro generování textu ve stylu ChatGPT nemusí zohledňovat multimodální modely, agenty umělé inteligence, kteří autonomně provádějí vícekrokové úlohy, ani modely zabudované do stávajících platforem SaaS. Zásady správy a řízení musí být navrženy s ohledem na přizpůsobivost, s pravidelnými cykly kontroly a modulárními řídicími architekturami.
4. Definování přijatelného použití ve velkém měřítku
Napsat přijatelné zásady používání umělé inteligence je jednoduché. Jejich vynucování u tisíců zaměstnanců, dodavatelů a zařízení BYOD nikoli. Výzvou je přeložit znění zásad do technických kontrol, které dokáží rozlišit mezi inženýrem používajícím schváleného programátorského asistenta a stejným inženýrem, který vkládá proprietární algoritmy do neautorizovaného nástroje.
5. Měření efektivity správy a řízení
Mnoho organizací zavádí zásady správy a řízení, ale chybí jim metriky pro vyhodnocení, zda tyto zásady fungují. Klíčové ukazatele výkonnosti pro správu a řízení umělé inteligence by měly zahrnovat:
| metrický | Co to měří | Proč to záleží |
| Počet nástrojů stínové umělé inteligence | Počet zjištěných neschválených nástrojů umělé inteligence | Označuje mezery ve viditelnosti |
| Incidenty úniku dat | Případy citlivých dat odeslaných nástrojům umělé inteligence | Kvantifikuje riziko DLP |
| Míra porušení zásad | Četnost porušování zásad používání umělé inteligence | Účinnost vymáhání opatření |
| Čas na aktualizaci zásad | Rychlost adaptace rámce správy a řízení | Odráží organizační agilitu |
| Dokončení školení zaměstnanců | Procento zaměstnanců, kteří absolvovali školení v oblasti správy a řízení umělé inteligence (AI governance). | Kulturní přijetí měřidel |
Výzvy a řešení v oblasti správy podnikové umělé inteligence
Velké organizace čelí výzvy v oblasti správy podnikové umělé inteligence které jsou umocněny rozsahem, složitostí a rozmanitostí případů použití umělé inteligence napříč obchodními jednotkami. Následující části se zabývají nejvýznamnějšími překážkami specifickými pro daný podnik a praktickými přístupy k jejich řešení.
Správa umělé inteligence v distribuovaných prostředích
Podniky provozují služby v různých cloudových službách, na platformách SaaS, v lokálních systémech a v různých geografických oblastech. Nástroje umělé inteligence jsou integrovány do sad pro zvýšení produktivity (Microsoft Copilot, Google Gemini), vývojářských prostředí (GitHub Copilot) a samostatných aplikací. Řízení používání umělé inteligence vyžaduje kontrolní bod, který zahrnuje všechna tato prostředí. Řešení správy založená na prohlížeči zde nabízejí strategickou výhodu, protože prohlížeč je společným rozhraním, jehož prostřednictvím zaměstnanci přistupují prakticky ke všem nástrojům umělé inteligence, bez ohledu na podkladovou infrastrukturu.
Rizika BYOD a nespravovaných zařízení
Dodavatelé, partneři a zaměstnanci používající osobní zařízení mohou přistupovat k nástrojům umělé inteligence mimo dosah řešení pro správu koncových bodů. To vytváří významnou mezeru v řízení, zejména pro organizace se vzdálenými nebo hybridními pracovníky. Bezpečné řízení přístupu, které funguje na úrovni prohlížeče – spíše než aby vyžadovalo agenty na úrovni zařízení – může rozšířit zásady řízení umělé inteligence na nespravovaná zařízení, aniž by bylo nutné plně registrovat koncové body.
Funkce umělé inteligence integrované v SaaS
Hlavní dodavatelé SaaS integrují funkce umělé inteligence přímo do svých platforem a často je aktivují ve výchozím nastavení. Salesforce Einstein, Notion AI, Slack AI a podobné funkce zpracovávají firemní data v prostředích třetích stran. Podniky potřebují kontrolní mechanismy, které mohou:
- Identifikujte, které SaaS aplikace mají povolené funkce umělé inteligence.
- Zhodnoťte, k jakým datům mají tyto funkce přístup.
- Prosazujte zásady týkající se toho, zda a jak mohou zaměstnanci používat integrované funkce umělé inteligence.
- Monitorujte toky dat mezi funkcemi SaaS AI a externími poskytovateli modelů.
Rizika rozšíření prohlížeče
Rozšíření prohlížeče s umělou inteligencí představují obzvláště nebezpečný stínový vektor umělé inteligence. Rozšíření dokáží číst obsah stránky, zaznamenávat stisky kláves, přistupovat k souborům cookie a získávat data – to vše při zdánlivém působení užitečných funkcí s podporou umělé inteligence. LayerX Security řeší tuto výzvu pomocí funkcí ochrany rozšíření prohlížeče, které poskytují přehled o nainstalovaných rozšířeních, vyhodnocují jejich rizikové profily a vynucují zásady, které blokují nebo omezují vysoce riziková rozšíření umělé inteligence dříve, než budou mít přístup k citlivým datům.
Správa identit a přístupu pro umělou inteligenci
Tradiční správa identit se zaměřuje na přístup k aplikacím. Správa s využitím umělé inteligence přidává nový rozměr: kontrolu nad tím, k jakým datům a funkcím mohou nástroje umělé inteligence přistupovat jménem ověřených uživatelů. Uživatel oprávněný k prohlížení záznamů o zákaznících by nutně neměl být schopen tyto záznamy exportovat do shrnovacího nástroje umělé inteligence. Podrobné zásady řízení přístupu s využitím umělé inteligence musí překlenout mezeru mezi správou identit a ochranou dat.
Výzvy v oblasti správy a řízení specifické pro generativní umělou inteligenci
Generativní umělá inteligence s sebou přináší problémy s řízením, které u tradičního softwaru nebo dokonce u konvenčních systémů strojového učení neexistují. výzvy v oblasti správy a řízení specifické pro generativní umělou inteligenci pramení z nepředvídatelné, kreativní a datově náročné povahy velkých jazykových modelů a multimodálních systémů.
Nedeterministické výstupy
Tradiční software vytváří předvídatelné výstupy pro dané vstupy. Generativní umělá inteligence to nedělá. Stejný výzva může napříč relacemi vyvolat různé odpovědi, což ztěžuje validaci, audit nebo reprodukci obsahu generovaného umělou inteligencí. Tato nedeterministická skutečnost komplikuje dodržování předpisů v regulovaných odvětvích, kde je sledovatelnost rozhodnutí povinná. Mechanismy validace odpovědí umělé inteligence – včetně protokolování výstupů, bodování spolehlivosti a pracovních postupů kontroly s lidskou účastí – se stávají nezbytnými kontrolními mechanismy správy a řízení.
Rizika spojená s příjmem dat a školením
Když zaměstnanci interagují s generativními nástroji umělé inteligence, data, která odesílají, mohou být použita k trénování nebo doladění modelů v závislosti na podmínkách služby poskytovatele. To vytváří rizika spojená s únikem duševního vlastnictví a porušováním předpisů. Rámce správy a řízení musí klasifikovat nástroje umělé inteligence na základě jejich zásad uchovávání dat a školení a prosazovat kontroly, které zabraňují tomu, aby se citlivá data dostala k nástrojům s nepříznivými podmínkami.
Okamžitá injekce a manipulace
Systémy generativní umělé inteligence jsou zranitelné vůči útokům typu „prompt injection“, kdy škodlivé vstupy způsobí, že model obchází bezpečnostní zábrany, odhaluje systémové výzvy nebo provádí nezamýšlené akce. Pro organizace nasazující aplikace umělé inteligence zaměřené na zákazníky to představuje výzvu jak z hlediska zabezpečení, tak i správy a řízení. Kontrolní mechanismy musí zahrnovat sanitizaci vstupů, filtrování výstupů a průběžné monitorování interakcí nepřátel.
Výzvy v oblasti řízení agentní umělé inteligence
Vznik agentní umělé inteligence – systémů, které autonomně plánují a provádějí vícestupňové úkoly – zavádí novou kategorii výzvy v oblasti agentní správy umělé inteligenceNa rozdíl od konverzační umělé inteligence mohou agenti procházet web, psát a spouštět kód, odesílat e-maily, upravovat databáze a interagovat s API. Řízení agentické umělé inteligence vyžaduje:
- Oprávnění na úrovni akcí – Definování akcí, které je agent umělé inteligence oprávněn provádět, nikoli pouze dat, ke kterým má přístup.
- Hranice provedení – Stanovení limitů rozsahu a dopadu autonomních akcí (např. zabránění agentům v úpravě produkčních systémů bez schválení).
- Auditní stopy – Zaznamenávání každé akce, kterou agent provede, včetně řetězce uvažování, který vedl k jednotlivým rozhodnutím.
- Zabij spínače – Implementace mechanismů pro okamžité zastavení provádění agenta při detekci anomálního chování.
Nejasnosti v oblasti autorských práv a duševního vlastnictví
Generativní výstupy umělé inteligence mohou zahrnovat vzory, fráze nebo struktury odvozené z trénovacích dat chráněných autorským právem. Právní status obsahu generovaného umělou inteligencí zůstává v jednotlivých jurisdikcích nejasný. Organizace musí stanovit zásady pro to, jak lze obsah generovaný umělou inteligencí používat v materiálech určených pro zákazníky, právních dokumentech a publikovaných dílech, a zavést procesy kontroly ke zmírnění rizika porušení autorských práv.
Řešení výzev v oblasti správy dat s využitím umělé inteligence
Výzvy v oblasti správy dat s využitím umělé inteligence patří mezi technicky nejsložitější aspekty širšího problému správy a řízení. Data jsou jak palivem pro systémy umělé inteligence, tak i primárním aktivem, které je ohroženo, když správa a řízení selže.
Klasifikace dat pro kontexty umělé inteligence
Stávající schémata klasifikace dat nebyla navržena pro vzorce interakce s umělou inteligencí. Dokument klasifikovaný jako „interní“ může být pro zaměstnance přijatelný k přečtení, ale nepřijatelný k vložení do externího nástroje umělé inteligence. Organizace potřebují úrovně klasifikace dat specifické pro umělou inteligenci, které zohledňují rozdíl mezi lidskou spotřebou a strojovým zpracováním. To zahrnuje vytvoření zásad, které rozlišují mezi:
- Data, která lze použít s jakýmkoli nástrojem umělé inteligence (veřejné informace).
- Data omezena na schválené, podnikově licencované nástroje umělé inteligence se smluvní ochranou dat.
- Data, která nesmí být nikdy odeslána do žádného systému umělé inteligence (regulované osobní údaje, obchodní tajemství, utajované informace).
Zabránění úniku dat na úrovni prohlížeče
K většině úniků dat z umělé inteligence dochází prostřednictvím interakcí v prohlížeči – kopírování a vkládání, nahrávání souborů a odesílání formulářů do webových aplikací s umělou inteligencí. Tradiční řešení DLP, která se zaměřují na e-maily a přenosy souborů na koncových bodech, tyto interakce zcela opomíjejí. Funkce DLP nativní pro prohlížeče mohou kontrolovat data přenášená do nástrojů umělé inteligence, aplikovat zásady založené na klasifikaci a blokovat nebo redigovat citlivý obsah předtím, než opustí organizaci. LayerX Security poskytuje funkce DLP s umělou inteligencí speciálně navržené pro monitorování a řízení toků dat mezi podnikovými uživateli a nástroji umělé inteligence na úrovni prohlížeče a řeší přesné místo, kde dochází k úniku dat.
Komplikace přeshraničního přenosu dat
Nástroje umělé inteligence hostované v různých jurisdikcích vytvářejí problémy se svrchovaností dat. Zaměstnanec v Německu používající službu umělé inteligence hostovanou v USA může neúmyslně porušit požadavky GDPR na přenos dat. Správa dat umělé inteligence musí zahrnovat geografické povědomí a směrování interakcí s umělou inteligencí prostřednictvím schválených služeb na základě polohy uživatele a klasifikace dat.
Sledování původu a provenience dat
Když se obsah generovaný umělou inteligencí dostane do obchodních pracovních postupů, organizace potřebují sledovat jeho původ. Byla finanční analýza vytvořena analytikem, nástrojem umělé inteligence nebo kombinací obou? Sledování datové linie obsahu generovaného umělou inteligencí je nezbytné pro dodržování předpisů v oblasti auditu, zajištění kvality a řízení odpovědnosti. Rámce správy a řízení by měly nařizovat označování metadat pro výstupy s pomocí umělé inteligence.
Praktické kroky k překonání problémů s implementací správy umělé inteligence
Adresování Problémy s implementací správy a řízení umělé inteligence vyžaduje strukturovaný přístup, který kombinuje tvorbu politik, technické kontroly a řízení organizačních změn. Následující kroky poskytují praktický plán pro vedoucí pracovníky.
Krok 1: Zajistěte úplnou viditelnost
Nemůžete ovládat to, co nevidíte. První prioritou je nasazení nástrojů, které poskytují komplexní přehled o využívání umělé inteligence v celé organizaci. To zahrnuje odhalování stínových nástrojů umělé inteligence, mapování rozšíření prohlížečů s umělou inteligencí, identifikaci aplikací SaaS s integrovanými funkcemi umělé inteligence a monitorování toků dat do služeb umělé inteligence. Monitorování na úrovni prohlížeče poskytuje nejúplnější přehled, protože zachycuje interakce umělé inteligence bez ohledu na používaný nástroj, zařízení nebo síť.
Krok 2: Vytvořte mezioborový výbor pro řízení
Vytvořte specializovaný výbor pro řízení AI se zástupci bezpečnostních, právních, compliance, HR, IT a klíčových obchodních jednotek. Tento výbor by měl mít na starosti politiku řízení AI, provádět čtvrtletní kontroly a sloužit jako místo pro eskalaci incidentů souvisejících s AI. Určete výkonného sponzora – ideálně CISO nebo CTO – aby výbor měl zajištěny pravomoci a rozpočet.
Krok 3: Vypracování víceúrovňových zásad používání umělé inteligence
Spíše než plošné schvalování nebo zákazy vytvářejte stupňovité zásady, které přizpůsobí používání nástrojů umělé inteligence úrovni rizika. Praktický stupňovitý rámec by mohl vypadat takto:
| stupeň | Kategorie nástrojů umělé inteligence | Povolená data | Je vyžadováno schválení |
| Úroveň 1 – Schváleno | Nástroje s podnikovou licencí a DPA (např. Azure OpenAI) | Interní, důvěrné (s kontrolními mechanismy) | Nevyplněno |
| Úroveň 2 – Podmíněné | Ověřené nástroje třetích stran s přijatelnými podmínkami | Pouze interní, necitlivé | Schválení manažera |
| Úroveň 3 – Omezené | Nástroje pro spotřebitelskou umělou inteligenci se zásadami školení na vstupu | Pouze veřejné informace | Bezpečnostní prověrka |
| Úroveň 4 – Zablokováno | Neověřené, vysoce rizikové nebo regionálně omezené nástroje | Žádná data nejsou povolena | Blokováno zásadami |
Krok 4: Zavedení technických kontrol v místě interakce
Zásady bez vynucování jsou pouze návrhy. Technické kontroly musí být zavedeny tam, kde dochází k interakcím s umělou inteligencí – především v prohlížeči. Mezi účinné technické kontroly pro správu a řízení umělé inteligence patří:
- Řízení přístupu s umělou inteligencí – Omezení přístupu uživatelů a skupin ke konkrétním nástrojům umělé inteligence na základě role, oddělení a citlivosti dat.
- DLP s umělou inteligencí – Kontrola a blokování citlivých dat odesílaných nástrojům umělé inteligence v reálném čase.
- Monitorování využití umělé inteligence – Zaznamenávání všech interakcí s umělou inteligencí pro účely auditu, dodržování předpisů a detekce anomálií.
- Prevence zneužití umělé inteligence – Detekce a blokování pokusů o použití nástrojů umělé inteligence k zakázaným účelům, jako je generování škodlivého kódu nebo obcházení bezpečnostních kontrol.
- Ovládání rozšíření prohlížeče – Identifikace a správa rozšíření prohlížeče s využitím umělé inteligence, která mohou odcizovat data nebo zavádět zranitelnosti.
Krok 5: Zaveďte průběžné monitorování a adaptaci
Řízení AI není jednorázový projekt. Zaveďte procesy průběžného monitorování, které sledují vzorce používání AI, detekují nové stínové nástroje AI, měří dodržování politik a identifikují nově vznikající rizika. Vybudujte zpětnovazební smyčky mezi monitorovacími daty a aktualizacemi politik, aby se rámec řízení přizpůsoboval změnám v možnostech a hrozbách AI. Čtvrtletní přezkumy řízení by měly posuzovat nové nástroje AI vstupující na trh, změny podmínek pro nakládání s daty dodavatelů, vývoj v oblasti regulace a interní data o incidentech.
Krok 6: Investujte do vzdělávání zaměstnanců
Technické kontroly snižují riziko, ale informovaní zaměstnanci ho snižují ještě více. Školení v oblasti správy a řízení umělé inteligence by mělo zahrnovat schválené nástroje a jejich správné používání, pravidla pro nakládání s daty specifická pro interakce s umělou inteligencí, jak identifikovat a hlásit stínové nástroje umělé inteligence, rizika odesílání citlivých dat do služeb umělé inteligence a očekávání organizace ohledně kontroly obsahu generovaného umělou inteligencí. Školení by mělo být specifické pro danou roli – vývojáři potřebují jiné vedení než marketingové týmy nebo finanční analytici – a mělo by být aktualizováno s ohledem na změnu zásad a nástrojů.
Překonání celého spektra Výzvy v oblasti správy a řízení umělé inteligence vyžaduje trvalý závazek vedení, investice do účelových technických kontrol a kulturu, která považuje zodpovědné používání umělé inteligence za sdílenou organizační prioritu. Organizace, které od samého začátku začlení řízení do své strategie pro umělou inteligenci – spíše než aby po vzniku incidentů doplňovaly kontrolní mechanismy – budou mít nejlepší pozici k tomu, aby využily výhod umělé inteligence v oblasti produktivity a zároveň efektivně řídily její rizika.
