De opkomst van AI-tools als Copilot hebben de manier waarop organisaties werken fundamenteel veranderd. Denk aan de mogelijkheden om code efficiënter te genereren en te beheren. Maar, zonder goede governance kan Copilot meer schade aanrichten dan voordelen opleveren. Veel organisaties moeten voldoen aan de Digital Operational Resilience Act (DORA) en die organisaties zullen vroeg of laat ook in aanraking komen met Copilot. Een niet-zorgvuldige toepassing van Copilot kan echter grote gevolgen hebben voor de organisatie én DORA-compliancy. Hoe zorg je ervoor dat je governance op orde is en hoe beperk je de risico’s?

Organisaties die te maken krijgen met DORA

Een organisatie die moet voldoen aan de DORA-regelgeving is een financiële organisatie als een bank, verzekeraar of betaalinstelling. Maar ook aanbieders van ICT-diensten die worden gezien als kritieke leverancier voor de financiële sector, vallen onder de regeling. Daarbij kun je denken aan leveranciers van Cloudcomputing-diensten of softwarediensten.

Wat is data governance?

Data governance staat voor gegevensbeheer en is van belang om effectief en verantwoord te kunnen navigeren met Microsoft Copilot. Data governance is het proces van het vaststellen van alle rollen, verantwoordelijkheden, procedures én processen die benodigd zijn om effectief je data te beheren, gebruiken en delen. Hierdoor helpt het om de kwaliteit, consistentie, integriteit en beschikbaarheid van je data te behouden. Zo voorkom je bijvoorbeeld dat een gebruiker van Copilot via de tool bij gegevens kan komen waar hij of zij eigenlijk geen toegang toe mag hebben. Het is dus belangrijk om aan de voorkant alle rechten en het toegangsbeleid goed in te richten. Daar gaan we verder op in.

Copilot en Governance: wat zijn de gevaren van AI-tools?

Concreet kunnen AI-assistenten bijvoorbeeld worden gebruikt binnen DevOps-teams. Vooral om sneller kritieke patches en beveiligingsupdates uit te kunnen rollen. Copilot en soortgelijke tools zijn daardoor krachtige hulpmiddelen, maar zonder goede governance zijn ze ook een bron van risico’s. Een situatie die zich kan voordoen binnen een organisatie is een IT-herstructurering waarin Copilot wordt ingezet om API’s te genereren. In een dergelijke situatie kan het voorkomen dat Copilot toegang krijgt tot een database met productiegegevens. Dit kan worden veroorzaakt door onduidelijke governance-richtlijnen en een gebrek aan controles. Het gevolg: gevoelige klantdata wordt opgenomen in de trainingsuggesties van het AI-model.

Wat kan dit voor gevolgen hebben?

• Een datalek. Een foutief gegenereerde code kan klant-ID’s en financiële gegevens bevatten, die dan per ongeluk openbaar worden gemaakt in een publieke repository. Wanneer je AI-modellen prompts meegeeft met vertrouwelijke informatie of wanneer het model toegang heeft tot gevoelige gegevens voor het beantwoorden van prompts, kan deze informatie worden opgeslagen en hergebruik.

• Non-compliancy. DORA vereist strikte naleving van gegevensbeheer en cyberbeveiliging, iets wat zonder controle over AI-tools moeilijk te waarborgen is. Een datalek brengt een organisatie in directe overtreding van DORA’s strikte vereisten voor operationele en cyberresilience, omdat er niet zorgvuldig met klant- en gevoelige data om is gegaan.

• Financiële- en imagoschade. Fouten in door AI gegenereerde code kunnen leiden tot kostbare vertragingen en incidenten. Dit zorgt voor inefficiëntie in de operatie. Een ander gevolg is een forse boete, maar ook imagoschade omdat klanten het vertrouwen kunnen verliezen in de organisatie.

Nog even terug: hoe kan dit gebeuren?

We begrijpen dat een case als deze niet waarschijnlijk klinkt en je hebt wellicht het idee dat jouw organisatie dit niet zou overkomen. Toch zijn de risico’s hoger dan je verwacht. Er zijn namelijk al verschillende manieren waarop dit probleem heeft kunnen ontstaan:

1. Geen duidelijke governance-frameworks
   De organisatie had in dit geval geen gedefinieerde richtlijnen voor hoe en waar Copilot gebruikt mocht worden, waardoor de AI-tool toegang kreeg tot gevoelige data omdat dit op een voor Copilot bereikbare locatie stond.
2. Onvoldoende toezicht
   Er was geen systeem om te monitoren welke gegevens Copilot verwerkte of hoe de gegenereerde code werd ingezet.
3. Gebrek aan risicobewustzijn
   De DevOps-teams – uit het voorbeeld – waren zich niet bewust van de potentiële risico’s die Copilot met zich meebracht, vooral met betrekking tot data-integriteit en compliance.

Hoe zorg je ervoor dat je data governance op orde is?

Er zijn een aantal concrete acties die je kunt uitvoeren om je IT-governance te optimaliseren.

1. Duidelijke rollen en verantwoordelijkheden definiëren. Je wijst een Copilot Eigenaar aan die verantwoordelijk is voor het beheer en de implementatie van Copilot. Daarnaast krijgen Copilot Bijdragers andere rechten waarmee ze toegang hebben tot specifieke functies. Beveiligingsbeheerders zorgen voor beveiliging en naleving van de aanverwante richtlijnen.
2. Implementeer Role-Based Access Control (RBAC). Dit stelt je in staat om toegang tot IT-resources te beheren op basis van een gebruiker binnen de organisatie. Dit betekent toegang beperken waar nodig en bewust rechten toekennen aan gebruikers.
3. Gebruik Privileged Identity Management (PIM). Helpt bij het beheren en controleren van verhoogde toegang tot IT-resources, zodat gevoelige bedrijfsgegevens alleen bereikbaar zijn voor bevoegden. Dit gaat om tijdelijk toegang verlenen en het controleren en rapporteren van alle activiteiten rondom Copilot of andere AI-tools.
4. Implementeer beveiligingsbeleid en -procedures. Regel een sterk beveiligingsbeleid in voor het beschermen van je IT-resources en -gegevens. Dit gaat over gegevensbescherming tegen ongeautoriseerde toegang met bijvoorbeeld AvePoint, en de naleving van regelgeving als GDPR en CCPA.
5. Gebruik Azure Policy en Resource Locks. Met Azure Policy kan je beleid definiëren en afdwingen. Met Resource Locks voorkom je dat kritieke resources per ongeluk worden verwijderd of gewijzigd.
6. Monitor en evalueer regelmatig. Op basis van prestatie-indicatoren kan je de effectiviteit van je IT-governance blijven meten door middel van audits.

Copilot Readiness Assessment

Een strategische aanpak is essentieel om op een veilige manier gebruik te maken van Copilot. Een Copilot Readiness Assessment is bijvoorbeeld een goed instrument om te zorgen dat jouw organisatie aan de voorkant goed is ingeregeld om aan de slag te gaan met AI-tools. Ook wij bieden een assessment aan. Gratis, zelfs.

Wat houdt het Copilot Readiness Assessment in?

1. Organisatieprofiel
   We identificeren eerst gebruikers- en licentie-informatie (zoals licentieniveau, applicatieversie en tenanttype). Daarnaast kijken we goed naar de functionaliteit die medewerkers toepassen in hun dagelijkse werkzaamheden en we onderzoeken de wensen van de organisatie als het gaat om generative AI-functionaliteit door middel van use-cases en scenario’s.
2. Hoe gaat de organisatie om met applicaties?
   In deze stap inventariseren we waar ongestructureerde data wordt opgeslagen, welke applicaties van Office 365 worden toegepast in de organisatie en hoe medewerkers met elkaar communiceren.
3. Is je data-security goed ingericht?
   Heeft je organisatie de juiste controles en beveiligingen geïmplementeerd die nodig zijn om te voldoen aan governance- en securityvereisten met betrekking tot het gebruik van Copilot voor Microsoft 365?
4. Inzicht in het vervolgtraject
   We lichten toe welke stappen er nodig zijn voor de toepassing van Copilot. Denk hierbij aan de planning en acties die benodigd zijn. Ook geven we inzicht in de kosten van Copilot die voor jouw situatie van toepassing zijn. Hier krijg je alvast een indicatie.

De conclusie van Copilot en Governance

Copilot of andere AI-tools kunnen organisaties enorme voordelen bieden, maar goede voorbereiding is heel belangrijk om risico’s als een datalek, non-compliancy en/of imagoschade te voorkomen. We deelden een aantal concrete acties die je als organisatie kunt ondernemen om je data governance goed in te richten. Maar ook met hulptools, als het Copilot Readiness Assessment van Innvolve, kunnen organisaties niet alleen aan wet- en regelgeving voldoen, maar ook met vertrouwen AI-tools inzetten.

Wil je weten in hoeverre jouw organisatie klaar is voor Copilot? Neem gerust contact met ons op om hier inzicht in te krijgen of vrijblijvend te sparren over wat we voor je kunnen betekenen.