MENINGER:
Enig. Men det er ikke det jeg sa
«André Skjeggestad har rett i én ting: sikkerhetsvurderinger av KI-verktøy skal ikke overlates til markedsavdelingen. Det er IT sin jobb. Ingen uenighet der. Men det er ikke det jeg argumenterte for», skriver Fredrik Pettersson i dette innlegget.
Poenget mitt var at markedsavdelingen ikke bør få et ferdig valgt verktøy i fanget uten å ha vært med i diskusjonen om hvilke problemer det skal løse. Skjeggestad leser det som et argument for å svekke IT sin kontroll, men det er stikk motsatt av hva jeg mente.
Vi er enige om problemet. Ikke om løsningen.
Han leser meg slik at markedsavdelingens dataeierskap er et argument for strammere IT-grep. Det er ikke galt, men det holder ikke. En IT-avdeling som ikke vet hvilke datatyper markedsavdelingen jobber med, kan ikke gjøre en skikkelig sikkerhetsvurdering. De kan godkjenne et verktøy som teknisk sett er trygt, men som i praksis brukes på måter ingen har tenkt over. Det er ikke IT sin feil, men det løses heller ikke ved å stenge markedsavdelingen ute fra samtalen.
Involvering er det beste sikkerhetstiltaket
Vil du unngå sensitiv data i feil verktøy, involver markedsavdelingen tidlig nok til at IT vet hva de faktisk godkjenner. Holder man folk ute fra beslutningen, finner de løsninger på egenhånd. Shadow IT er et langt større problem enn det Skjeggestad er redd for.
La IT være kjipe — absolutt
IT skal sette rammer og gjøre sikkerhetsvurderingene. Men forhåndsgodkjent er ikke det samme som godt nok.
La IT være kjipe på sikkerhet. Men gi dem noe å jobbe med.
———————————————-
Dette er et meningsinnlegg, og gir uttrykk for skribentens mening. Har du lyst til å skrive i KOM24? Send ditt innlegg til meninger@kom24.no.
