Microsoft 365 pod kontrolą

Microsoft 365 pod kontrolą czy poza kontrolą? Większość organizacji nie zna odpowiedzi

Maciej Moczała

Twój Microsoft 365 może być większym ryzykiem, niż Ci się wydaje

Przez ostatnie dwa lata sztuczna inteligencja stała się jednym z najważniejszych tematów w świecie technologii biznesowych. Organizacje inwestują w Microsoft Copilot, tworzą strategie AI i szukają obszarów, w których automatyzacja może zwiększyć produktywność pracowników.

W wielu przypadkach pierwsze rozmowy dotyczą licencji, szkoleń i potencjalnych zastosowań biznesowych. Znacznie rzadziej pada jednak pytanie, które powinno pojawić się na samym początku:

Czy nasze środowisko Microsoft 365 jest gotowe na AI?

To właśnie tutaj kryje się największe nieporozumienie związane z wdrażaniem Copilota.

Wiele organizacji traktuje go jako kolejne narzędzie. Tymczasem Copilot nie jest nowym systemem. Nie tworzy własnej bazy wiedzy. Nie buduje nowych procesów. Nie zarządza uprawnieniami.

On po prostu korzysta z tego, co już istnieje.

  • Z dokumentów zapisanych w SharePoint.
  • Z plików przechowywanych w OneDrive.
  • Z rozmów prowadzonych w Teams.
  • Z uprawnień nadawanych przez lata.
  • Z decyzji administracyjnych podejmowanych często wiele miesięcy temu.

I właśnie dlatego sukces wdrożenia AI ma znacznie mniej wspólnego z samym Copilotem, niż większości organizacji się wydaje.

Copilot nie tworzy problemów. Copilot je ujawnia

Przez lata wiele organizacji funkcjonowało z nieidealnie uporządkowanym środowiskiem Microsoft 365.

  • Nieaktualne zespoły projektowe.
  • Grupy bez właścicieli.
  • Niekontrolowany dostęp gości.
  • Dokumenty udostępnione zbyt szeroko.
  • Setki witryn SharePoint, których nikt już nie nadzoruje.

Takie problemy często pozostają niewidoczne. Dane istnieją, ale nikt ich aktywnie nie wyszukuje. Dokument z wynagrodzeniami zarządu może przez lata leżeć w niewłaściwym miejscu i nikt tego nie zauważy. Do momentu, gdy pojawi się AI.

Wyobraźmy sobie sytuację:

Specjalistka działu obsługi klienta przygotowuje się do rozmowy z kontrahentem. Prosi Copilota o podsumowanie ostatnich ustaleń biznesowych. Copilot wykonuje swoją pracę wzorowo. Przeszukuje wszystkie zasoby, do których użytkowniczka posiada uprawnienia. Problem polega na tym, że wśród wyników pojawia się również prezentacja zarządu dotycząca planowanych zmian kadrowych oraz arkusz wynagrodzeń kadry kierowniczej. Po prostu ktoś kiedyś udostępnił pliki z uprawnieniem „wszyscy w organizacji” i przez lata nikt tego nie zauważył. Copilot zrobił dokładnie to, do czego został stworzony – znalazł informacje.

I właśnie dlatego coraz więcej ekspertów uważa, że największym wyzwaniem wdrożeń AI nie jest technologia, ale governance.

Dlaczego domyślne ustawienia Microsoft 365 nie wystarczą?

Wiele organizacji zakłada, że skoro Microsoft jest globalnym liderem rynku, to domyślna konfiguracja środowiska powinna być wystarczająca.

To błędne założenie.

Domyślne ustawienia Microsoft 365 zostały zaprojektowane przede wszystkim pod kątem wygody użytkownika i szybkiego rozpoczęcia pracy. To świadoma strategia producenta. Gdyby każda organizacja musiała przed pierwszym uruchomieniem skonfigurować setki ustawień bezpieczeństwa, adopcja platformy byłaby znacznie trudniejsza. Problem polega na tym, że wygoda i bezpieczeństwo nie zawsze idą w parze.

W efekcie organizacje często funkcjonują przez lata z ustawieniami, które:

  • umożliwiają nadmierne udostępnianie danych,
  • pozwalają anonimowym użytkownikom uczestniczyć w spotkaniach,
  • nie kontrolują cyklu życia zespołów i grup,
  • nie definiują odpowiedzialności za dane,
  • nie wspierają wymagań wynikających z RODO, NIS2, DORA czy wymogów KNF.

Dopóki nic się nie wydarzy, problem pozostaje niewidoczny. Pierwszy audyt, pierwszy incydent lub pierwsze wdrożenie AI bardzo szybko pokazują jednak rzeczywisty stan środowiska.

Governance to nie tylko bezpieczeństwo. To zarządzanie organizacją

Jednym z największych błędów jest traktowanie governance wyłącznie jako projektu bezpieczeństwa. Oczywiście bezpieczeństwo jest ważne. Ale dobrze zaprojektowany governance wpływa na znacznie więcej obszarów. Wpływa na produktywność, jakość współpracy, doświadczenie użytkowników, a także – po prostu – na zdolność organizacji do wykorzystania sztucznej inteligencji.

Dobrze zarządzane środowisko oznacza m.in.:

  • jasne zasady tworzenia nowych zespołów i grup,
  • określonych właścicieli danych,
  • uporządkowane uprawnienia,
  • kontrolowany dostęp gości,
  • spójne nazewnictwo,
  • zarządzanie cyklem życia treści,
  • możliwość przeprowadzenia audytu bez wielotygodniowej pracy ręcznej.

To właśnie dlatego governance coraz częściej staje się wspólnym obszarem współpracy działów IT, bezpieczeństwa, compliance i biznesu.

Problem zaczyna się od jednego pytania

Podczas warsztatów często zadajemy klientom bardzo proste pytanie: „Kto odpowiada za dane znajdujące się w tej witrynie SharePoint?” Zaskakująco często odpowiedź brzmi: „Nie wiemy” albo: „Kiedyś odpowiadała za to osoba, która już nie pracuje.” To pozornie drobny problem. W praktyce oznacza jednak, że organizacja nie wie:

  • kto powinien nadawać dostęp,
  • kto powinien usuwać dostęp,
  • kto odpowiada za aktualność treści,
  • kto powinien reagować na incydenty,
  • kto podejmuje decyzje dotyczące retencji danych.

Bez odpowiedzialności nie ma governance. A bez governance nie ma bezpiecznej sztucznej inteligencji.

Dlaczego warto działać przed wdrożeniem AI

Największą wartością governance nie jest eliminacja wszystkich ryzyk. To nierealne. Jego celem jest stworzenie środowiska, w którym organizacja rozumie swoje ryzyka, świadomie nimi zarządza i potrafi podejmować decyzje dotyczące danych, współpracy i bezpieczeństwa.

Dlatego organizacje, które osiągną największe korzyści z Microsoft Copilot, niekoniecznie będą tymi, które kupią licencje jako pierwsze.

Będą nimi te, które najpierw uporządkują środowisko, na którym Copilot będzie pracował.

Sztuczna inteligencja nie dziedziczy wyłącznie wiedzy organizacji, w spadku otrzymuje też bałagan. A od jakości tych fundamentów zależy, czy AI stanie się źródłem przewagi konkurencyjnej, czy kolejnym obszarem ryzyka.

Jeśli chcesz poznać szczegółowe możliwości usługi Governance, sprawdzić, jakie problemy rozwiązuje oraz dowiedzieć się, jak wdrożyć tę usługę w ramach swojego środowiska pracy, przeczytaj artykuł: Microsoft 365 Governance – IT-Dev.

Zapisz się na warsztat Light Governance