Artificiell intelligens har nått små och medelstora företag snabbare än många andra teknologier. Medarbetare använder generativ AI för textproduktion, analys, kundservice och mjukvaruutveckling ofta innan företaget har tydliga spelregler. Det skapar ett praktiskt problem: data överförs till nya tjänster, beslut fattas delvis automatiskt och ansvar blir otydliga. Om organisationen har ett ledningssystem enligt ISO 27001 behöver ni inte vara rädda för AI – men riskerna måste identifieras och hanteras medvetet.
I denna artikel går vi igenom vilka nya säkerhetsutmaningar AI för med sig, hur de syns i ett ISO 27001-system och hur ni kan gå vidare i praktiken utan tung byråkrati. Ni får även en konkret handlingsplan för att ta kontroll över AI-användningen på 30–90 dagar.
Varför förändrar AI säkerheten just nu?
AI är inte bara en ny programvara, utan ett nytt sätt att hantera information. När medarbetaren matar in ett dokument i en AI-tjänst handlar det inte bara om att använda ett verktyg utan potentiellt om att överföra konfidentiell information till en tredje part. Samtidigt kan företaget förlora insikten i vilken data som användes, för vilket syfte och på vilka villkor.
Ur ISO 27001-perspektiv gäller detta särskilt informationsresursernas identifiering, hantering av åtkomsträttigheter, leverantörsriskbedömning och ändringskontroll. Om AI används utan riktlinjer skapas lätt en situation där teknologin finns i vardagen, men kontroller saknas.
Typiska förändringar i SME är till exempel:
- medarbetare använder publika AI-tjänster utan godkännandeprocess
- kund- eller personuppgifter hamnar i promptar
- AI-genererat innehåll används utan granskning
- AI-assistenter används i mjukvaruutveckling utan loggning eller instruktioner
- inköpsteam köper AI-funktioner som del av annan SaaS-tjänst utan att uppmärksamma nya risker
Observera
ISO 27001 förbjuder inte användning av AI. Standardens idé är att organisationen identifierar riskerna, väljer lämpliga kontroller och kan visa hur användningen hanteras i praktiken.
Vilka är AI:s centrala säkerhetsrisker?
Många tänker först på dataläckage, men AI-riskerna är bredare. En del gäller konfidentialitet, andra dataintegritet alltså korrekthet och vissa tillgänglighet – om verksamheten kan lita på tjänsten.
I praktiken är det bra att börja med att identifiera 3–5 centrala risker per användningsområde. Om företaget använder AI för marknadstexter, mjukvaruutveckling och kundservice, bedöm dem var för sig. Så blir riskhanteringen realistisk.
Nedan finns en enkel risktabell som kan användas vid första workshopen:
| Risk | Exempel | Påverkan | Sannolikhet | Första åtgärd |
|---|---|---|---|---|
| Läckage av konfidentiell information | Avtalsutkast matas in i offentlig AI-tjänst | Hög | Medelhög | Förbjud användning av konfidentiell data i publika verktyg |
| Felaktigt innehåll | AI producerar felaktig kundinstruktion | Medel | Hög | Inför manuell granskning före publicering |
| Leverantörsrisk | AI-funktion använder underleverantörer utan insyn | Hög | Medelhög | Utvärdera leverantör och villkor före användning |
| Åtkomstrisk | Tidigare anställd har kvar åtkomst till AI-verktyg | Medel | Medel | Ta bort konton inom 24 timmar efter anställningens slut |
| Missbruk av modell | Medarbetare automatiserar beslut utan godkännande | Hög | Låg | Definiera godkända användningsfall och ägare |
En god tumregel är: om ni inte kan säga vilken data som matas in i AI:n, vem som äger tjänsten och hur resultaten granskas, är användningen inte under kontroll.
Hur hjälper ISO 27001 vid AI-hantering?
ISO 27001 är en modell för informationssäkerhet där organisationen definierar sin egen tillämpningsområde, bedömer risker och inför relevanta kontroller. För AI är det särskilt användbart eftersom inte all AI-användning är likadan. Ett verktyg kan vara en låg-riskhjälpmedel, ett annat hanterar kritisk kunddata.
Standarden hjälper framför allt med fyra saker:
- identifiera var AI faktiskt används
- systematiskt bedöma risker i stället för att förlita sig på magkänsla
- definiera ansvar för ägare, användare och IT
- dokumentera beslut så att verksamheten klarar revision och vardagsförändringar
Vanligtvis behöver man inte bygga ett helt nytt system för AI, utan ofta räcker det att lägga till AI-praxis, risker, leverantörsbedömningar och instruktioner i det befintliga ISO 27001-ramverket. Det är ett viktigt budskap till SME: allt behöver inte göras om, men en del måste göras annorlunda.
Vilka kontroller bör uppdateras först?
När AI blir en del av vardagen är inte alla kontroller lika brådskande. Börja där risk och användningsvolym möts. För de flesta SME betyder det användarpolicy, leverantörshantering, åtkomsträttigheter och personalinstruktioner.
Följande tabell hjälper att prioritera första uppdateringarna:
| Kontrollområde | Vad uppdateras | Praktiskt exempel | Måltid |
|---|---|---|---|
| Användningspolicy | Tillåtna och förbjudna AI-användningssätt | Kunddata får inte matas in i offentlig tjänst | 2 veckor |
| Leverantörshantering | AI-tjänstens databehandlingsvillkor och underleverantörer | Kontrollera var data bearbetas | 2–4 veckor |
| Hantering av åtkomsträttigheter | Ägare, godkännande och borttagningsprocess | Konton tas bort inom 24 timmar | 1–2 veckor |
| Utbildning | Klara användarinstruktioner för personalen | 30 minuters introduktion och exempel | 1 månad |
| Övervakning och uppföljning | Övervakning av avvikelser och användning | Kontrollera verktyg som används varje månad | månatligen |
Fråga er: vet personalen idag vad de får mata in i AI:n? Om svaret är tveksamt, börja med användarpolicyn innan ni går till tekniska finjusteringar.
Varning
Ett vanligt misstag är att göra en AI-policy som förbjuder allt. Då upphör inte användningen utan flyttar till shadow IT, alltså icke-godkänd verktygsanvändning i organisationen. En bättre lösning är tydligt definiera vad som får göras, med vilka verktyg och vilken data.
Hur är det med personuppgifter, kunddata och avtal?
Säkerheten relaterad till AI är inte bara en teknisk fråga. Den rör också avtal, dataskydd och kundernas förtroende. Om personuppgifter matas in i tjänsten måste företaget förstå i vilken roll tjänsteleverantören agerar, vilken data som lagras och om den används för träningsmodeller.
I praktiken kontrollera minst dessa innan ni sätter igång:
- behandlas personuppgifter i tjänsten
- i vilket land eller region data lagras
- används inmatad data för tjänsteutveckling eller modellträning
- finns ett tilläggsavtal för databehandling
- kan funktionen stängas av för vissa användargrupper
Om ni inte får svar på detta från leverantören inom 5 arbetsdagar är det i sig en riskvarning. En bra leverantör kan tydligt redogöra för hur data hanteras.
Tips
Gör en enkel AI-anvisning på en sida för hela personalen. Berätta tre saker: vilka verktyg som får användas, vilken data som inte får matas in och när resultatet måste kontrolleras av en människa.
Så här integrerar ni AI i ISO 27001-systemet
Att bara identifiera risker räcker inte om praktiska åtgärder är oklara. Därför är det bäst att koppla AI till befintlig ledning och inte som en separat pilot. Följande handlingsplan fungerar bra i SME som vill ha snabba resultat:
Lista AI-verktyg och användningsområden
Gör en 1–2 veckors kartläggning där ni ber teamen namnge alla AI-verktyg de använder. Anteckna minst verktygets namn, syfte, ägare och om det hanterar kund-, personal- eller annan konfidentiell data.
Bedöm risker per användningsfall
Välj först 3–5 viktigaste användningsfallen och bedöm inverkan, sannolikhet och befintliga kontroller. Gör inte en generell AI-risk för hela organisationen, eftersom marknad, utveckling och kundservice har olika risker.
Fastställ tillåtna användningar och dokumentera spelregler
Definiera vilka verktyg som får användas, med vilken data och med vems godkännande. Lägg in en tydlig förbudstext: konfidentiellt material matas inte in i publika tjänster utan särskild bedömning och godkännande.
Uppdatera kontroller och ansvar som en del av vardagen
Integrera AI i åtkomsträttighetskontroll, leverantörsbedömningar, utbildning och hantering av avvikelser. Utse en ägare för varje viktig AI-tjänst som minst kvartalsvis granskar användningen.
Följ upp användningen och förbättra månadsvis
Avsätt 30 minuter per månad för en AI-genomgång. Gå igenom nya verktyg, avvikelser, leverantörsförändringar och om riktlinjer fortfarande är realistiska för verksamhetens behov.
Hur ser en god praxis ut i SME?
En bra modell är inte en mångsidig policy som ingen läser. En fungerande lösning är ett lättviktigt men tydligt helhetspaket där ansvar, regler och uppföljning syns. Ofta handlar det om några dokument och återkommande rutiner.
Ett SME kan bygga en bra modell så här:
| Delområde | Minimumnivå | Bra nivå |
|---|---|---|
| AI-anvisningar | Användarinstruktion på 1 sida | Rollspecifika instruktioner för marknad, försäljning och utveckling |
| Riskhantering | Bedömt 3 viktigaste användningsfall | Bedömt alla väsentliga fall årligen |
| Leverantörshantering | Granskade villkor före inköp | Leverantörer poängsatta och godkända i process |
| Utbildning | Engångsinstruktion vid start | Introduktion för nyanställda och årlig repetition |
| Uppföljning | Reaktiv hantering av avvikelser | Månatlig genomgång och nyckeltal |
Bra mätetal är till exempel:
- hur många AI-verktyg som har utsedd ägare
- hur många medarbetare som genomgått utbildning inom 30 dagar
- hur många icke-godkända verktyg som upptäcks per kvartal
- hur snabbt åtkomsträttigheter tas bort efter anställningens slut
Om ni redan har ISO 27001 eller planerar att bygga det är AI något ni bör inkludera direkt. Senare korrigeringar är nästan alltid långsammare och dyrare.
Varför bör detta göras nu?
Användningen av AI kommer troligen inte att minska utan sprida sig till nya processer. Därför är konkurrensfördelen inte att förbjuda AI utan att använda den kontrollerat. När spelreglerna är klara vågar personalen utnyttja verktygen effektivt utan ständig osäkerhet.
Samtidigt kan företaget visa kunder, partners och vid revisioner att AI-användningen inte är slumpartad. Detta blir allt viktigare i anbudsförfaranden, kundundersökningar och leverantörsutvärderingar. Tietoturvapankki hjälper er bygga detta i praktiken så att krav, dokumentation och expertstöd finns på samma plats.
Sammanfattning
- AI innebär nya risker, särskilt kring dataanvändning, leverantörer, åtkomsträttigheter och innehållskvalitet.
- ISO 27001 ger en färdig struktur för att identifiera risker, fastställa kontroller och dokumentera beslut utan tjock byråkrati.
- Börja med att kartlägga alla AI-verktyg och bedöm först 3–5 centrala användningsfall.
- Uppdatera minst användarpolicy, leverantörshantering, utbildning och borttagning av åtkomsträttigheter, t.ex. inom 24 timmar efter anställningens slut.
- Lätt månatlig uppföljning räcker långt när ansvar och regler är tydligt definierade.
Behöver ni hjälp med informationssäkerhet?
Våra experter hjälper er vidare.