Vertrauen aufbauen durch Handeln (Teil 2)

Im ersten Teil dieses zweiteiligen Blogs habe ich erläutert, warum wir das AI Governance Committee von Mimecast ins Leben gerufen haben. Es sollte helfen, die vielen Fragen der Mimecast-Kunden zu beantworten, wie wir KI einsetzen und wie wir ihre Privatsphäre schützen. Ich habe mich auch mit den Herausforderungen und den hervorragenden Ergebnissen befasst, die sich bei der Gründung des Ausschusses ergeben haben.

Lassen Sie uns nun im zweiten Teil auf einige sehr wichtige Fragen eingehen, die CISOs ihren Sicherheitsanbietern stellen sollten, sowie auf die Lehren, die wir aus diesem gesamten Prozess gezogen haben, was wir anders machen würden und wie wir denken, dass unser nächstes Kapitel für den Ausschuss aussehen könnte.

Fragen, die CISOs ihren KI-Sicherheitsanbietern stellen sollten

Auf dieser Reise habe ich gelernt, dass KI-Governance nicht gleich KI-Governance ist. Wenn CISOs KI-gestützte Sicherheitslösungen evaluieren, sollten sie schwierige Fragen stellen, die echte Governance von Compliance-Theater unterscheiden. Hier sind die Fragen, die ich jetzt in Kundengesprächen stelle und beantworte:

1. Verfügen Sie über ein formelles KI-Governance-Gremium mit Rechenschaftspflicht der Geschäftsführung? Schauen Sie nicht nur auf das Vorhandensein eines Grundsatzpapiers. Wer führt den Vorsitz? Wie oft tritt sie zusammen? Hat er Entscheidungsbefugnis oder ist er beratend tätig? Werden die Führungskräfte regelmäßig informiert? Ein Governance-Rahmen ohne Zähne ist nur eine Dokumentation.
2. Welche Funktionen sind in Ihrer KI-Governance-Struktur vertreten? KI-Governance, die nur in der Technik oder in der Rechtsabteilung angesiedelt ist, verpasst kritische Perspektiven. Fragen Sie, ob Produkt, Sicherheit, Recht, Compliance, Vertrieb und Finanzen mit am Tisch sitzen. Wenn die wichtigsten Stakeholder nicht in die Governance-Entscheidungen einbezogen werden, spiegeln diese Entscheidungen nicht die realen Beschränkungen und Kundenbedürfnisse wider.
3. Können Sie messbare Ergebnisse Ihres KI-Governance-Programms nennen? Governance ohne Messung ist ein Wunschtraum. Fragen Sie nach konkreten Kennzahlen: Verringerung des risikoreichen Einsatzes von KI, Abschlussquoten von Mitarbeiterschulungen, Zeit bis zur Entscheidung über die Genehmigung von KI-Tools oder Audit-Ergebnisse. Wenn sie die Effektivität ihrer Governance nicht quantifizieren können, nehmen sie sie nicht ernst.
4. Wie nutzen Sie Ihre eigenen Sicherheitsprodukte, um KI intern zu steuern? Diese Frage gibt Aufschluss darüber, ob die Anbieter das tun, was sie predigen. Wenn man Ihnen Insider-Risikomanagement- oder DLP-Lösungen für KI-Governance verkauft, diese aber intern nicht einsetzt, fragen Sie nach dem Grund. Der beste Beweis für die Wirksamkeit eines Produkts ist die Bereitschaft des Anbieters, seine eigene Sicherheitslage darauf zu setzen.
5. Wie gehen Sie bei der Evaluierung und Genehmigung neuer KI-Tools oder -Funktionen vor? Ad-hoc-Bewertungsprozesse, die Monate dauern, signalisieren die Unreife der Unternehmensführung. Fragen Sie nach SLAs, funktionsübergreifenden Prüfverfahren und Entscheidungskriterien. Unternehmen mit einer ausgereiften KI-Governance können schnell handeln, weil sie wiederholbare Rahmenbedingungen geschaffen haben, und nicht, weil sie an der falschen Stelle sparen.
6. Haben Sie irgendwelche Zertifizierungen für KI-Governance von Dritten erhalten? Zertifizierungen wie ISO 42001 sind nicht einfach nur Abzeichen. Sie stellen eine externe Validierung Ihres Governance-Rahmens dar. Fragen Sie, wann sie die Zertifizierung erhalten haben, was das Auditverfahren ergeben hat und wann die Rezertifizierung ansteht. Einmalige Zertifizierungen ohne laufende Validierung deuten darauf hin, dass die Governance stagniert.
7. Wie bringen Sie KI-Innovationen mit Governance-Leitplanken in Einklang? Diese Frage gibt Aufschluss darüber, ob Governance als Ermöglichung oder als Hindernis angesehen wird. Unternehmen mit einer ausgereiften Governance können darlegen, wie ihr Rahmenwerk die sichere Einführung von KI tatsächlich beschleunigt. Wenn sich die Antwort nur auf Beschränkungen und Kontrollen konzentriert, ohne die Geschwindigkeit oder die Innovationsfähigkeit zu erwähnen, wird die Governance wahrscheinlich als interner Engpass angesehen.
8. Welche KI-Schulungen bieten Sie Ihren Mitarbeitern an, und wie hoch sind die Abschlussquoten? KI-Governance scheitert ohne KI-Kompetenz. Erkundigen Sie sich nach Schulungsprogrammen, Zertifizierungswegen, Abschlussquoten auf verschiedenen Kompetenzniveaus und wie sie die Effektivität messen. Wenn Mitarbeiter die Möglichkeiten, Grenzen und Risiken von KI nicht verstehen, können auch die besten Governance-Richtlinien gefährliche Verhaltensweisen nicht verhindern. Suchen Sie nach Unternehmen, die eine Progression von den Grundlagen über die Fertigkeiten bis hin zur Beherrschung nachweisen können, und nicht nur nach einer Einheitsschulung.
9. Können Sie den Einsatz von KI in allen Abteilungen nachweisen, nicht nur in den technischen Teams? Viele Unternehmen verfügen über hervorragende KI-Technologien, die jedoch nicht unternehmensweit eingesetzt werden. Fragen Sie, wie viel Prozent der Abteilungen KI-Anwendungsfälle implementiert haben und wie hoch die aktive Nutzungsrate ist. Die allgemeine Akzeptanz deutet darauf hin, dass die Governance Innovation ermöglicht und nicht zu Engpässen führt. Eine isolierte Einführung deutet darauf hin, dass die Governance nicht die Bedürfnisse aller Beteiligten berücksichtigt hat.
10. Wie hat sich Ihr KI-Governance-Rahmen im letzten Jahr entwickelt? Statische Governance in einer sich schnell entwickelnden Technologielandschaft ist ein Warnsignal. Erkundigen Sie sich nach Satzungsänderungen, Änderungen in der Mitgliedschaft, neu eingeführten Richtlinien und gewonnenen Erkenntnissen. Unternehmen, die lernen und ihre Governance anpassen, zeigen, dass sie es ernst nehmen und nicht nur ein Kästchen ankreuzen.
11. Können Sie mir eine kürzlich getroffene Entscheidung Ihres Komitees erläutern? Diese Frage durchbricht die vorbereiteten Argumente. Fragen Sie nach einem konkreten Beispiel: Wie lautete die Entscheidung? Welche Interessengruppen waren beteiligt? Welche Faktoren wurden berücksichtigt? Wie lange hat es gedauert? Was war das Ergebnis? Anbieter mit echter Governance können detailliert darüber berichten. Diejenigen, die mit dem Regietheater vertraut sind, werden sich schwer tun, Einzelheiten zu nennen.

Diese Fragen sind nicht nur Bewertungskriterien. Sie sind ein Rahmenwerk zur Unterscheidung zwischen Anbietern, die KI-Governance ernst nehmen, und solchen, die sie nur ankreuzen. Die Anbieter, die diese Fragen mit konkreten Zahlen und Beispielen beantworten können, sind diejenigen, die sich die Mühe gemacht haben, Governance in ihre Unternehmens-DNA zu integrieren.

Gelernte Lektionen: Was ich anders machen würde

Kleiner anfangen, bewusst skalieren

Unser anfänglicher Enthusiasmus führte zu einer unübersichtlichen Gruppe. Der schmerzhafte Prozess des Re-Sizing hat uns gelehrt, dass Governance sowohl einen breiten Input als auch entschlossenes Handeln erfordert. Die Spannung zwischen Inklusivität und Effektivität ist real, und es gibt keine perfekte Antwort. Aber es wäre hilfreich gewesen, wenn die Entscheidungsbefugnis von Anfang an klar gewesen wäre.

Messen vom ersten Tag an

Unsere Basiserhebung im Februar war aufschlussreich, aber ich wünschte, wir hätten früher mit der Messung begonnen. Man kann nicht managen, was man nicht misst, und wenn wir von Anfang an über Kennzahlen verfügt hätten, hätten wir skeptischen Stakeholdern die Wirkung deutlicher zeigen können.

Überbrücken Sie ständig die Kluft zwischen Technik und Geschäft

Die wertvollsten Momente in unseren Ausschusssitzungen sind die, in denen unser Data Science Team technische Einschränkungen in geschäftliche Implikationen umsetzt oder wenn der Vertrieb Kundeneinwände mitteilt, die in die Produktentscheidungen einfließen. Die Erleichterung dieser Übersetzung erfordert bewusste Anstrengungen. Gehen Sie nicht davon aus, dass dies auf natürliche Weise geschieht.

Governance ermöglicht Innovation

Schon früh sahen einige Teams den Rat als potenziellen Engpass an. Entscheidend war, dass die Governance als Ermöglicher und nicht als Hindernis betrachtet wurde. Unser zweiwöchiger POC-Prozess für Anbieter beschleunigt die Einführung, da er klare Leitplanken setzt und die Genehmigungsverfahren vereinfacht.

Verwenden Sie Ihre eigenen Produkte

Die Entscheidung, Mimecast Incydr für die interne KI-Governance zu verwenden, war nicht nur aus betrieblicher Sicht klug. Es zwang uns, unser eigenes Produkt aus der Perspektive des Kunden zu erleben. Wir entdeckten Nuancen in der Konfiguration, identifizierten Verbesserungsmöglichkeiten und gewannen authentische Geschichten, die wir mit potenziellen Kunden teilen konnten. Wenn Sie ein Sicherheitsanbieter sind, regeln Sie das mit Ihren eigenen Tools. Die Glaubwürdigkeit, die dadurch entsteht, kann gar nicht hoch genug eingeschätzt werden.

Planen Sie für den externen Wert

Wir haben den Rat zwar ins Leben gerufen, um interne Governance-Probleme zu lösen, aber wir haben nicht geahnt, wie wertvoll er als externes Vertrauenssignal werden würde. Wenn ich neu anfangen würde, würde ich die externe Kommunikationsstrategie zusammen mit dem internen Governance-Rahmen aufbauen. Die Geschichten, Metriken und Erkenntnisse aus Ihrer KI-Governance-Reise sind Vermögenswerte, die Sie auf dem Markt differenzieren können. Planen Sie von Anfang an, sie strategisch zu erfassen und zu teilen.

Blick nach vorn: Das nächste Kapitel

Im zweiten Jahr unseres Bestehens verlagern wir unseren Schwerpunkt vom Aufbau der Grundlage auf die Reife und Optimierung. Wir evaluieren agentenbasierte KI-Plattformen, entwickeln Model Context Protocol (MCP)-Strategien und verfeinern unsere Messverfahren, um nicht nur Zeiteinsparungen, sondern auch konkrete Geschäftsergebnisse zu erfassen.

Das Responsible AI Governance Committee hat sich von einer reaktiven Reaktion auf Kundenanliegen zu einem proaktiven Treiber der Wettbewerbsdifferenzierung entwickelt. Bei unserem Governance-Rahmen geht es nicht nur um Risikomanagement. Es geht darum, das Vertrauen aufzubauen, das es uns ermöglicht, schneller innovativ zu sein als unsere Konkurrenten, die KI-Governance als nachträgliches Konzept behandeln.

Für Unternehmen, die ähnliche Initiativen in Erwägung ziehen, ist mein Rat einfach: Beginnen Sie mit dem Kundenproblem, versammeln Sie verschiedene Perspektiven, messen Sie unermüdlich, seien Sie bereit, sich weiterzuentwickeln, verwenden Sie Ihre eigenen Produkte, um Ihre KI-Einführung zu steuern, und erkennen Sie, dass Ihre Governance-Reise selbst ein Unterscheidungsmerkmal ist, das es wert ist, geteilt zu werden. KI-Governance ist kein Ziel. Es ist eine kontinuierliche Praxis, Vertrauen durch Handeln aufzubauen.

Die Fragen, die wir vor einem Jahr nicht beantworten konnten? Heute kann ich auf ein umfassendes Rahmenwerk, messbare Ergebnisse, branchenführende Zertifizierungen und unsere eigene Insider Risk Management-Plattform verweisen, die unsere KI-Nutzung aktiv schützt. Noch wichtiger ist, dass ich auf ein funktionsübergreifendes Team verweisen kann, das diese Antworten in jedem Kundengespräch sinnvoll einsetzt, und auf Kunden, die sich für Mimecast entscheiden, weil sie darauf vertrauen, wie wir KI steuern, und nicht nur darauf, was unsere KI kann.