Dołącz do sesji panelu wykonawczego RSAC 24 marca: „Agenci AI już z nami! Czy Twoja firma jest gotowa?”

Przewodnik firmy Microsoft po zabezpieczaniu przedsiębiorstwa obsługiwanego przez sztuczną inteligencję: zarządzanie danymi i zabezpieczenia

Mężczyzna w garniturze stoi na niebieskim tle.

Przegląd

W miarę jak organizacje dynamicznie wdrażają sztuczną inteligencję na dużą skalę, zarządzanie danymi i ich zabezpieczanie stają się nierozerwalnymi filarami odporności przedsiębiorstwa. Dla Frontier Firms (liderów innowacji) — firm przesuwających granice transformacji opartej na sztucznej inteligencji — umożliwienie systemom AI analizowania ogromnych zasobów danych wymaga bezprecedensowej współpracy między dyrektorami ds. informatyki (CIO), bezpieczeństwa informacji (CISO) oraz danych. Bez współodpowiedzialności i koordynacji działań dochodzi do wykładniczego wzrostu ryzyka wycieku danych, nadmiernego udostępniania i nieodpowiedniego wykorzystywania AI.

Ten przewodnik rozwija zagadnienia z serii Zabezpieczanie przedsiębiorstwa obsługiwanego przez sztuczną inteligencję, by pomóc Ci bezpiecznie wdrażać AI i maksymalnie wykorzystać inwestycję.

Luka w zarządzaniu

W niektórych organizacjach sztuczna inteligencja jest wdrażana tak szybko, że nie nadążają za tym tradycyjne struktury zarządzania. Według raportu Indeks zabezpieczeń danych firmy Microsoft tylko 47% organizacji z różnych branż deklaruje wdrażanie konkretnych mechanizmów kontroli zabezpieczeń GenAI¹, co podkreśla szansę dla organizacji na uzyskanie przejrzystego wglądu niezbędnego do bezpiecznego wdrażania sztucznej inteligencji. Co ważniejsze, według międzynarodowego badania przeprowadzonego na zlecenie firmy Microsoft przez Hypothesis Group wśród ponad 1700 specjalistów ds. zabezpieczania danych, już 29% pracowników korzysta z niezatwierdzonych agentów AI do wykonywania zadań służbowych.² W efekcie organizacje stają przed nowymi wyzwaniami dotyczącymi obsługi danych, przejrzystości zabezpieczeń i zgodności — zwłaszcza gdy narzędzia generatywnej AI przetwarzają dane wrażliwe lub nieustrukturyzowane.

Jednocześnie liderzy biznesowi reagują na to: coraz więcej organizacji wdraża specjalistyczne mechanizmy kontroli dla generatywnej AI i przyspiesza inwestycje w zabezpieczenia techniczne oraz operacyjne. Przekaz jest jasny — innowacje oparte na AI nie mogą się rozwijać bez skutecznego zarządzania, które będzie je wspierać i zabezpieczać.

Ujednolicony model odpowiedzialności: klasyfikacja, etykietowanie, ochrona, zarządzanie

Skuteczne zarządzanie danymi wymaga jasnego podziału odpowiedzialności między CIO, CISO, dyrektora ds. danych (CDO) oraz dyrektora ds. ochrony prywatności (CPO). Jednak w wielu organizacjach odpowiedzialność pozostaje rozproszona. Aby to zmienić, rekomendujemy wspólny model: klasyfikacja, etykietowanie, ochrona i zarządzanie.

1. Klasyfikacja: zapewnienie wglądu i odpowiedzialności

Podróż do zapewnienia ładu zaczyna się od pełnej świadomości posiadanych zasobów. Organizacje muszą zapewnić pełny wgląd w dane ustrukturyzowane, nieustrukturyzowane oraz generowane przez AI — w tym możliwość śledzenia nowych agentów AI. Klasyfikacja wymaga:

jasnego, intuicyjnego schematu powiązanego z ryzykiem biznesowym;
wyznaczenia właścicieli i opiekunów danych w jednostkach biznesowych;
ciągłej inwentaryzacji wspieranej przez działania CIO w zakresie odnajdywania danych.

Klasyfikacja jest podstawą wszelkich dalszych działań.

2. Etykietowanie: przekładanie zarządzania na praktykę

Klasyfikacja określa zamiar, natomiast etykietowanie pozwala na jego realizację. Etykiety poufności łączą zasady z praktyką, dostarczając informacji na potrzeby systemów zabezpieczeń, kontroli dostępu, a nawet sposobu korzystania z wyników generowanych przez agentów AI przez pracowników.

Kluczowe elementy obejmują:

wdrożenie technologii wspierającej egzekwowanie etykietowania, która zapewnia, że etykiety czynnie uruchamiają stosowanie zasad zabezpieczeń i ochrony przed utratą danych (DLP);
strategię etykietowania opartą na analizie ryzyka, odzwierciedlającą wpływ na działalność biznesową;
szkolenia pracowników, które jasno określają, kiedy i jak stosować etykiety.

3. Ochrona: praktyczne stosowanie zabezpieczeń

Ochrona to etap, na którym zasady stają się skutecznymi zabezpieczeniami. Obejmuje to:

egzekwowanie zasad poprzez kontrolę dostępu, taką jak kontrola dostępu na podstawie ról (RBAC), dostęp just-in-time (JIT) oraz DLP;
szyfrowanie danych nieużywanych i przesyłanych;
automatyczne monitorowanie nadmiernego udostępniania danych oraz naruszeń zasad;
sformalizowane plany reagowania na zdarzenia, zgodne z przepisami dotyczącymi ochrony prywatności.

Te mechanizmy gwarantują ochronę danych poufnych, nawet gdy narzędzia AI przetwarzają je na dużą skalę.

4. Zarządzanie: nadzór nad całym cyklem życia danych

Zarządzanie to proces ciągły. Organizacje muszą zapewnić:

zasady przechowywania i usuwania danych zgodne z zasadami minimalizacji;
nieustanne monitorowanie dryfu danych, błędnego etykietowania oraz anomalii związanych z dostępem;
automatyczną ponowną certyfikację własności danych;
widoczność agentów AI i zarządzanie nimi w zespołach IT, rozwoju i zabezpieczeń.

Zarządzanie cyklem życia ogranicza obszar podatny na ataki zapewnia długofalową zgodność między zużyciem danych a wartością biznesową.

Perspektywa: zarządzanie zasobami złożonymi z ludzi i agentów AI

Wraz z rosnącą złożonością przepływów pracy realizowanych przez agentów AI, zarządzanie musi ponownie ewoluować. Liderzy innowacji wprowadzają koncepcję szefa agentów — to nowa rola, która nakłada na każdego pracownika odpowiedzialność za wdrażanych przez niego cyfrowych współpracowników.

Ta zmiana stawia przed liderami technologicznymi nowe wymagania:

W przypadku CIO:

Zbudowanie federacyjnego ekosystemu sztucznej inteligencji, w którym jednostki biznesowe mogą bezpiecznie tworzyć i wdrażać agentów, korzystając z zatwierdzonych szablonów, pod nadzorem Centrum doskonałości sztucznej inteligencji.

W przypadku CISO:

Rozszerzenie zakresu stosowania zasady Zero Trust, tak by obejmowała nie tylko użytkowników, lecz także autonomiczne agenty. Oznacza to:

stworzenie spisu wszystkich agentów wraz z ich tożsamościami;
egzekwowanie zasady dostępu z najniższym poziomem uprawnień dostosowanym do zadań wykonywanych przez poszczególnych agentów;
monitorowanie zachowania agentów i domniemanie naruszenia, gdy agenci wchodzą w interakcje z danymi poufnymi.

Gotowość przedsiębiorstwa do autonomicznego działania wymaga połączenia tych nowych mechanizmów kontroli z odpowiedzialnością człowieka.

Pierwsze 180 dni: Wspólny podręcznik dla CIO i CISO

Wszystko zaczyna się od uporządkowanego planu, która pomoże liderom IT i zabezpieczeń wdrożyć w praktyce zarządzanie sztuczną inteligencją klasy korporacyjnej:

Pierwszy tydzień: koordynacja podstaw

Zdefiniowanie wspólnego schematu klasyfikacji danych.
Zmapowanie krytycznych zasobów oraz wymagań dotyczących ciągłości.
Uzgodnienie standardów tworzenia i weryfikacji agentów AI.

Pierwsze 90 dni: odnajdywanie i mapowanie mechanizmów kontroli

Inwentaryzacja przypadków użycia AI oraz związanych z nimi źródeł danych.
Przeprowadzenie analizy DLP i luk w mechanizmach kontroli.
Opracowanie wspólnego rejestru ryzyka i ustalenie priorytetów dla pilotażowych przypadków użycia.

Pierwsze 180 dni: wdrożenie i walidacja

Wdrożenie nowych etykiet i zasad w pilotażowych jednostkach biznesowych.
Wdrożenie automatycznej ochrony DLP w scenariuszach o wysokim ryzyku.
Zwoływanie comiesięcznych posiedzeń rady ds. zarządzania w celu uściślania mechanizmów kontroli.

Ten podręcznik pomaga organizacjom przekształcić zarządzanie danymi z funkcji zgodności w strategiczny motor innowacji AI.

Budowanie przedsiębiorstwa gotowego na AI

Droga do przyszłości sztucznej inteligencji AI zaczyna się od solidnych, wspólnych fundamentów zarządzania danymi i zabezpieczeń. Dzięki uzgodnieniu obowiązków CIO i CISO, wdrożeniu wspólnego modelu cyklu życia oraz przygotowaniu do korzystania z hybrydowych zasobów złożonych z ludzi i agentów organizacje mogą pewniej i bezpieczniej wykorzystać pełny potencjał AI.

Teraz nadszedł czas na stworzenie tych podstaw.

Pobierz przewodnik

Cyber Pulse: raport zabezpieczeń sztucznej inteligencji

Szczegółowe informacje o rozwoju agentów AI oraz drodze do odpowiedzialnego, bezpiecznego wdrożenia poprzez wgląd, zarządzanie i zabezpieczenia.

Okładka książki z napisem „Microsoft Security Strategies for Governing AI” („Strategie w zakresie rozwiązań zabezpieczających firmy Microsoft dotyczące zarządzania sztuczną inteligencją”) oraz ilustracja mężczyzny w zielonej koszuli siedzącego przy stole z komputerem.

Strategie zarządzania sztuczną inteligencją

Praktyczne kroki do budowania zaufania, ograniczania ryzyka, redukcji kosztów i pobudzania do innowacji

Naszkicowany białą linią rysunek dokumentu w kopercie z napisem „New” na niebieskim tle.

Uzyskaj CISO Digest

Bądź na bieżąco dzięki fachowym analizom, trendom branżowym i badaniom dotyczącym bezpieczeństwa dostępnym w tej publikowanej co dwa miesiące serii wiadomości e-mail.

[1]
Indeks zabezpieczeń danych firmy Microsoft na rok 2026: Łączenie ochrony danych z innowacjami AI, Rozwiązania zabezpieczające firmy Microsoft, 2026
[2]
Międzynarodowa ankieta z lipca 2025 r. przeprowadzona wśród ponad 1700 specjalistów ds. zabezpieczeń danych przez Hypothesis Group na zlecenie firmy Microsoft.