Författare: Joakim Fischer och Martin Falk
Informationssäkerhet i en AI-driven vardag
I grunden handlar mycket av detta om något välbekant: informationssäkerhet. Men kontexten har förändrats. I Microsoft 365 lever stora delar av verksamhetens kunskap i ostrukturerad data – mejl, dokument, Teams-chattar och mötesanteckningar. Det är information som ofta vuxit framöver tid, utan tydlig struktur eller klassificering.
När AI-agenter börjar använda den här datan blir en sak tydlig: vi behöver veta vad som är viktigt, vad som är känsligt och vad som faktiskt får användas. Det handlar inte om att skydda allt – utan om att identifiera rätt 20 procent av informationen och säkerställa att just den hanteras korrekt. Resten är ofta mindre kritisk, men utan den här prioriteringen blir arbetet snabbt ohanterligt.
Från policy till praktik – där Purview gör skillnad
Många organisationer har redan påbörjat arbetet med klassificering och regelverk, ofta tillsammans med jurister eller informationssäkerhetsfunktioner. Man har definierat vad som är känsligt, hur data ska hanteras och vilka nivåer som finns. Utmaningen uppstår när detta ska omsättas i praktiken.
Här spelar Microsoft Purview en central roll. Plattformen samlar funktioner för informationsklassificering, dataskydd och efterlevnad, vilket gör det möjligt att omsätta policys och regelverk till konkreta tekniska kontroller.
För att sätta en etikett på ett dokument är en sak. Att koppla rätt tekniska skydd till den etiketten, och säkerställa att de faktiskt används, är något helt annat. Det är också här AI förändrar spelplanen. För plötsligt handlar det inte bara om vem som kan öppna ett dokument, utan om huruvida en AI-agent överhuvudtaget får använda informationen i en prompt eller inkludera den i ett svar.
Med Microsoft Purview kan organisationer exempelvis:
- Klassificera och märka information utifrån känslighet och affärsvärde
- Styra vilka användare, AI-agenter och tjänster som får komma åt olika typer av data
- Förhindra att känslig information delas, kopieras eller exponeras genom DLP-regler
- Säkerställa att säkerhets- och efterlevnadskrav följer informationen genom hela dess livscykel
- Tillämpa samma styrning oavsett om informationen används av människor, Copilot eller andra AI-agenter
På så sätt blir etikettering, klassificering och Data Loss Prevention (DLP) inte isolerade säkerhetsfunktioner, utan aktiva styrmekanismer för AI-användning. Samma regler som skyddar information för människor kan tillämpas när Copilot och agenter analyserar, sammanfattar och genererar innehåll.
När AI följer reglerna, även när innehållet förändras
En viktig aspekt i det här är att AI-agenter faktiskt kan ärva de regler som sätts upp. Om en viss typ av information inte ska användas i AI, kan det styras. Om ett dokument är klassificerat som internt eller konfidentiellt, kan den klassificeringen följa med, även i det som genereras.
Purviews känslighetsetiketter och skydd kan därmed följa informationen även när den transformeras av AI. Det skapar ett mer konsekventskydd än i traditionella arbetssätt – men bara om grunden är rätt. Utan tydlig klassificering och genomtänkta regler finns det inget för AI:n att förhålla sig till. Då riskerar vi istället att accelerera spridningen av felaktigt hanterad information.
När agenterna blir många, vad händer då?
En av de tydligaste insikterna just nu är hur snabbt det här kan skala. Vi har sett det tidigare med samarbetsytor – hur enkelt det är att skapa nytt, och hur svårt det blir att behålla överblicken över tid.
Samma sak håller på att hända med AI-agenter. Små, verksamhetsnära agenter som löser specifika behov kommer att växa fram i snabb takt. Det är i grunden positivt, men utan struktur riskerar vi ett landskap som är svårt att styra, svårt att följa upp och ännu svårare att säkra.
Det är här governance behöver ta höjd för volym, inte bara funktion. Det innebär att vi behöver börja hantera AI-agenter mer systematiskt:
- Veta vilka agenter som finns och vad de gör
- Förstå vilken data de har tillgång till
- Säkerställa att de följer gemensamma säkerhetsregler
- Kunna följa upp och revidera deras beteende över tid
- Ha kontroll på livscykeln – från skapande till avveckling
Vad behöver vara på plats?
För att skapa en hållbar förvaltning av AI-agenter finns det några områden som snabbt visar sig vara avgörande:
- Tydligt ägarskap – varje agent behöver en ansvarig, både ur ett verksamhets - och informationsperspektiv
- Namnstandard och struktur – för att förstå vad som finns, vad det gör och vem det tillhör
- Kontrollerad datatillgång – baserat på klassificering, etikettering och DLP
- Livscykelhantering – agenter och data behöver kunna uppdateras, arkiveras och avvecklas
- Löpande datastädning – för att undvika att gammal eller irrelevant information påverkar AI:ns output
- Spårbarhet och uppföljning – särskilt i takt med att agenter får egna identiteter
- Gör det lätt att göra rätt – tydliga spelregler och enkla rutiner så att säkerhet blir en del av jobbet, inte ett extra moment.
Det här är inte isolerade initiativ. Det är delar av ett sammanhängande arbete där teknik, verksamhet och juridik behöver mötas.
Balansen som avgör allt
En återkommande utmaning i alla organisationer vi möter är att hitta rätt nivå. För mycket kontroll, och användarna hittar andra vägar. För lite, och riskerna ökar snabbt. Det gäller även för AI. Här blir riskanalysen central. Inte som ett dokument som tas fram en gång, utan som ett levande verktyg för att justera och kalibrera hur AI-agenter får användas. Det handlar i slutändan om att skapa en miljö där människor kan arbeta effektivt, utan att kompromissa med informationssäkerheten.
Governance som en förutsättning för att skala
Det är lätt att se governance som något som bromsar utveckling. Men i praktiken är det ofta det som möjliggör den. När det finns tydliga ramar för hur data används, hur AI-agenter styrs och hur risker hanteras, skapas en trygghet i organisationen. Och det är först då det blir möjligt att gå från enstaka initiativ till bred användning.
