Copilot-risico’s in de kiem smoren
Heb je je data security niet op orde, dan leidt het gebruik van generatieve AI-tools zoals Copilot tot verschillende risico’s. Denk aan dark data met gevoelige inhoud die verschijnt in responses. Of aan outputs met feitelijk onjuiste informatie. Toch is er geen reden om te wanhopen. Met de juiste maatregelen voor data security kun je de risico’s drastisch inperken.
Allereerst: veel van de stappen die we hieronder noemen, moet je ook zetten voor datagebruik in het algemeen. Copilot vereist alleen, zo blijkt ook uit het volgende stappenplan, wat aanvullende inspanningen. Onder meer omdat de tool alle data en documenten binnen de Microsoft-omgeving van een gebruiker kan raadplegen voor het genereren van outputs, zelfs als de gebruiker daar geen weet van heeft.
Stap 1: data ontdekken
Om gegevens te kunnen beschermen, moet je eerst meer weten over het hoe, wat, waar en waarom van die data. In de discovery-fase onderzoek je waar de gegevens zich bevinden. Ook kijk je naar bijvoorbeeld datakwaliteit, (de classificatie en labeling van) gevoelige data, toegangsrechten en de levenscyclus van data (óók die Copilot gaat genereren).
Purview is een alles-in-één oplossing voor data management, data governance en data security, die geknipt is voor Copilot. Met dit gecentraliseerde platform kun je binnen de discovery-fase onder meer data inzichtelijk maken en risico’s in kaart brengen. Copilot kan bedoeld of onbedoeld (en mits je dit hebt geconfigureerd) zelf óók bijdragen aan de databescherming. Bijvoorbeeld door de risico’s van dark data met persoonsgegevens of vertrouwelijke informatie inzichtelijk te maken.
Stap 2: classificeren en labelen
Na de ontdekkingstocht is het tijd om je data te classificeren en te labelen. Bij de classificatie stel je de gevoeligheid en waarde van gegevens vast. Zo bouw je de basis voor verdere beschermingsmaatregelen. Label je gegevens op basis van deze classificaties? Dan weten alle medewerkers voortaan hoe ze met de data moeten omgaan.
Copilot kan natuurlijk antwoorden en commando’s voor applicaties genereren op basis van informatie in prompts en geüploade bestanden. Maar ook op basis van andere data. Wanneer die gegevens niet correct geclassificeerd en gelabeld zijn, bestaat het risico dat gevoelige informatie onbedoeld en onterecht in responses verschijnt.
Stap 3: concrete data security-maatregelen toepassen
Ken je alle ins en outs van je data en ben je klaar met classificeren en labelen? Neem dan concrete databeschermingsmaatregelen om de toegang tot en integriteit van data te waarborgen. Denk bijvoorbeeld aan toegangsbeheer en geautomatiseerde inhoudsvalidatie. Voorkom daarnaast dat bepaalde gevoelige informatie de organisatie kan verlaten, bijvoorbeeld door niet toe te staan dat gevoelige informatie wordt opgeslagen op plekken die voor iedereen toegankelijk zijn of extern gedeeld wordt.
Stap 4: beschermen tijdens volledige levenscyclus
Stel, je schrijft met hulp van Copilot een projectvoorstel. Daarin neem je gevoelige informatie zoals klantgegevens of de bedrijfsstrategie op. Wat je in zo’n geval zeker niet wilt, is dat deze informatie bij het opslaan van de content in een andere omgeving vrij beschikbaar wordt.
Met Purview kun je dat regelen. Labels zoals ‘gevoelig’ of ‘vertrouwelijk’ blijven gelden tijdens de hele levenscyclus van data. Binnen al je productiviteitstools. En in je volledige omgeving, ongeacht of dit on-prem, in de cloud of hybride is. Plus: niet alleen blijven de labels intact voor bestaande data waar Copilot mee werkt, maar ook voor de outputs die het genereert. En daarna weer voor alle vervolgstappen, zoals het opslaan van de gecreëerde content in een andere omgeving.
Met de geautomatiseerde inhoudsvalidatie van Purview kun je eenvoudig misinformatie in je bestaande data opsporen en corrigeren. Wanneer Copilot werkt met accurate en consistente data, voorkom je dat onjuiste informatie leidt tot slechte beslissingen. De validatie geldt trouwens ook voor outputs van Copilot. Purview kan onjuiste en onveilige content in responses automatisch detecteren en daar labels op plakken.
Last but not least binnen deze stap: de uitgebreide functies voor compliance-controles en auditing helpen je om Copilot gegarandeerd veilig en compliant te gebruiken.
Beleid en procedures opstellen
Een belangrijk aspect binnen deze stap: stel robuuste regels en procedures op. Hoe ga je bijvoorbeeld om met gevoelige data zoals persoonsgegevens en intellectuele eigendommen? Een essentiële data governance-maatregel is ook het inrichten van controles, monitoring en incidentmanagement.
Alle regels, procedures en controles moeten expliciet zijn toegespitst op Copilot (en, voor zover van toepassing, ook op andere generatieve AI-tools in je landschap).
Stap 5: kennis, cultuur en awareness via adoptie
Adoptie is niet alleen nodig om gebruikers maximale waarde uit Copilot te laten halen. Met trainingen zorg je er ook voor dat medewerkers voldoende kennis hebben van de regels, procedures en best practices rondom data security en Copilot. Bovendien dragen de trainingen bij aan een organisatiecultuur waarin databescherming geldt als een belangrijk goed.
Is jouw organisatie Copilot-ready?
Kortom: wil je Copilot veilig en compliant kunnen gebruiken, dan heb je een aardige trits data security-maatregelen nodig. Met onze Data Security Engagement onderzoek je – in nauwe samenwerking met Cegeka – of je organisatie klaar is voor grootschalig gebruik van Copilot.
Het assessment creëert zicht én inzichten. Dark data en gevoelige gegevens worden bijvoorbeeld blootgelegd en risico’s geïdentificeerd. Misschien ontdek je wel dat sommige medewerkers onterecht toegang hebben tot gevoelige gegevens. Of dat ze afwijkend (en daardoor verdacht) gedrag vertonen.
Microsoft Purview als fundament
Voor de Data Security Engagement gebruiken we Microsoft Purview. Met dit gecentraliseerde platform kun je 360° zicht krijgen op je datalandschap. Cegeka helpt om Purview neer te zetten en te configureren. Daarna ervaar je hoe het is om data-inzichten te verkrijgen binnen je eigen omgeving.
Heeft Purview een aantal weken gedraaid, dan hebben we een goed beeld van al je (gevoelige en vertrouwelijke) data en de risico’s. De resultaten van de scan verwerken we vervolgens in een eindpresentatie.
Het assessment is ook goed om kennis op te doen over zaken als dark data, gevoelige gegevens en afwijkend gedrag. Na het traject staat er een solide basis. Dat is het uitgangspunt voor de concrete data security-maatregelen die je moet realiseren voor veilig en compliant Copilot-gebruik. Een groot deel van die maatregelen realiseer je gewoon met Purview.
Ben jij klaar voor Copilot?
Wil je graag weten of je organisatie goed genoeg is voorbereid op de daverende Copilot-trein waar jullie op gaan springen? Neem dan contact op met Cegeka voor de Data Security Engagement.