Jede Woche spreche ich mit Governance-, Risiko- und Compliance-Teams (GRC) großer Unternehmen, die im Detail wissen, welche künstliche Intelligenz Agentiva für ihre Arbeit tun kann. Sie haben Vorführungen gelesen, gesehen und deutlich unterschieden zwischen einer IA, die eine Aufgabe beschleunigt und einem Agenten, der sie vollständig betreibt. Trotz der Verfügbarkeit des Haushalts und des technischen Interesses gibt es jedoch einen anhaltenden Widerstand, der nicht immer durch rationale Argumente erklärt werden kann.
Wenn das Gespräch von der Technologie abweicht, entsteht ein anderes Anliegen: nicht sicher, wer sie werden, wenn Operationen nicht mehr von ihnen abhängen. Es ist nicht nur Angst, Beschäftigung zu verlieren; es ist ein Identitätsbedenken. Seit Jahren haben viele GRC-Profis ihr Prestige und Tag-zu-Tag auf operative Exzellenz aufgebaut - wie man Beweise sammelt, Audit-Zyklen durchführt und komplexe Programme mit begrenzten Ressourcen aufrecht erhält - und diese Aufgaben, die von Agenten automatisiert werden, bewirken einen Verlust.
Diese Spannung hat ein hoffnungsvolleres Lesen. Wenn die Geschichte der Region analysiert wird, wurde GRC ursprünglich nicht als permanente operative Funktion konzipiert, sondern als Mechanismus, um der Organisation zu helfen, Risiken zu verstehen und zu verwalten. Die Sammlung von Beweisen, die Folgeblätter und Berichte waren immer Mittel für ein Ende. Was passiert ist, ist, dass die Werkzeuge nicht auf das Tempo der Programme stiegen, und die operative Belastung verschwand die Fähigkeit, strategisch über Risiken nachzudenken.
Die so genannten Agenten tun nicht nur, was bereits schneller getan wurde, sondern sie verändern die Art der Arbeit. Sie können kontinuierlich Beweise aus integrierten Systemen entnehmen, Echtzeitkontrollen überwachen und auf Abhilfeverfahren ohne ständige menschliche Intervention handeln. Aber es gibt einen entscheidenden Punkt: Mittel sind nicht allein ausgelegt. Das Kriterium, das definiert, was zu sammeln ist, was eine Abweichung darstellt, wann zu skalieren, oder welche Beweise einen Auditor überzeugen, stammt aus der Kombination von Datenkontext und menschlichem Urteil.
In der Politik- und Praxislandschaft ist ein solches menschliches Urteil unerlässlich. Rahmen wie das AI Risk Management Framework der NIST Sie betonen die Notwendigkeit klarer Kontrollen, Erklärungen und Verantwortlichkeiten bei der Bereitstellung von in sich geschlossenen Systemen. Technologie kann implementieren, aber die Definition von akzeptablem Risiko, Metriken und Ausnahmen liegt bei Menschen, die das Geschäft und seine Kosten verstehen.
Frühe Adoption wird keine Karriere für wer bessere Modelle von IA hat, aber für die die GRC-Funktion neu gestaltet, um die Zeit von der Automatisierung freigegeben zu nutzen. Wenn manuelle Aufgaben verschwinden, entsteht eine andere Tätigkeit, die historisch zurückgelegt wurde: Denken und Entscheiden. Die Teams, die gewinnen, werden diejenigen, die diese Freiheit nutzen, um das Niveau ihrer Arbeit zu erhöhen - ein Programm zu verwalten, um es zu führen.
Wenn Sie aus professioneller Sicht schauen, ist Änderung eine Gelegenheit, um zu den Gründen, warum viele bei GRC: Sorgen, ob die Organisation wirklich geschützt ist und nicht nur so tun, als wären. Diejenigen, die die Änderung bereits bestanden haben, beschreiben es als etwas, das eher berechtigt ist, zu tun, was sie immer wussten, wie zu tun. Ihre Aufgabe ist es nicht mehr, Patches zu überprüfen und einzufügen, sondern zu definieren, welche Steuerungen Wert bringen, wenn eine Warnung relevant ist und wie man den Geschäftskontext in Logik überträgt, die ein Agent ausführen kann.
Es muss auch verstanden werden, dass die technische Transformation von kultureller und organisatorischer Transformation begleitet wird. Dateninfrastruktur und Steuerungstechnik - die einige Label als "GRC as code" - ermöglichen es Agenten, zuverlässig zu arbeiten: deklarierte Steuerungen in versionierten Repositorien, automatisierte Tests und Bereitstellungen durch Pipelines. Ein solcher technischer Ansatz erfordert unterschiedliche Investitionen und Prozesse, aber er gibt Teams die Möglichkeit, sich auf Governance und Strategie zu konzentrieren. Wenn Sie diesen Ansatz vertiefen möchten, gibt es praktische Dokumentationen, die erklären, wie man die Kontrollen als Code erklärt, zum Beispiel in spezialisierten Guides wie denen, die Plattformen bieten, die auf dieser Linie arbeiten ( GRC Engineering 101)
Es ist kein automatischer oder schmerzloser Übergang. Die Aufgabenstellung beinhaltet die Überprüfung von Jobbeschreibungen, Karriereentwicklungspfaden und Performance Metriken. Es erfordert auch die Einrichtung von Sicherheitswachen: Offiziere benötigen kontinuierliche Grenzen, Aufsicht und Audit. Externe Kontrollressourcen und -rahmen helfen, diese Veränderung zu erhalten: zusätzlich zu NIST zu RMF internationale Standards zum Informationssicherheitsmanagement (z. ISO/IEC 27001) bleiben relevant, um zu definieren, wie die Beweise organisiert und die automatisierten Prozesse geschützt werden.
Es sollte auch daran erinnert werden, dass die Massenautomatisierung die Natur der erforderlichen Fähigkeiten verändert. Berichte von Agenturen und Beratern über die Zukunft der Arbeit zeigen, dass die Automatisierung die Notwendigkeit menschlicher Talente nicht beseitigt, sondern die Nachfrage nach Kapazitäten für Urteil, Risikomanagement und Unternehmenskommunikation ( McKinsey) Für GRC wird dies in Fachleute übersetzt, die wissen, wie man Geschäftsszenarien in Steuerungsregeln überträgt, die Risikobereitschaft und -prioritäten definieren und die Gesundheit automatisierter Prozesse überwachen.
In der Praxis kombiniert der Weg zur gesunden Annahme mehrere Maßnahmen. Es ist notwendig, Agenten mit Transparenz und Rückverfolgbarkeit, Code-Kontrollen und Tests zu entwerfen, klar artikulieren, die in komplexen Fällen entscheidet und Metriken definieren, die Auswirkungen und nicht Aktivität messen. Gleichzeitig sollte die Organisation die berufliche Wiederfindung erleichtern: Ausbildung im Risikodenken, grundlegende technische Fähigkeiten, um mit Ingenieurteams und Räumen für Expertenwissen zusammenzuarbeiten, um die Logik der Agenten zu gestalten.
Die psychologische Barriere für viele Teams ist verständlich: Die Delegation der Ausführung fühlt sich an, einen Teil der Identität selbst aufzugeben. Aber wenn es von einer Neubewertung begleitet wird, was GRC-Profis bringen - und mit Strukturen, die diesen Wert auf reale Entscheidungen lenken - ist die Automatisierung nicht mehr eine Bedrohung und wird zum Katalysator. Die Transformation ist schließlich weniger ein Verlust als eine Rückkehr zum Wesen der Rolle: Risiko zu denken, nicht nur, um es zu verwalten.
Für diejenigen, die konkrete Beispiele von GRC erkunden wollen und wie es technisch artikuliert ist, gibt es kommerzielle Initiativen und technische Repositories, die Implementierungen zeigen, die darauf abzielen, Agenten mit einer robusten Datenbank und konfigurierbaren Regeln zu integrieren. Die öffentliche und akademische Debatte über Selbständige fördert auch Studien und Demonstrationen, die Grenzen, praktische Anwendung und Risiken, wie Forschungsarbeiten an generativen Agenten analysieren ( Generative Agenten, Stanford / ArXiv) und Plattformen, die beliebte konfigurierbare GPT-Modelle ( OpenAI: GPTs)
Am Ende geht es nicht darum, ob die Technologie Prozesse ersetzen kann - denn in vielen Fällen kann sie bereits -, sondern wie Organisationen Rollen, Verantwortlichkeiten und Governance-Frameworks rekonfigurieren, so dass der menschliche Wert nicht nur überlebt, sondern verstärkt wird. Diejenigen, die diese Umwandlung führen, können GRC von einer überlasteten operativen Funktion in einen strategischen Befehl verwandeln, der das Risiko des 21. Jahrhunderts wirklich verwaltet.
Wenn Sie in konkrete Beispiele und Ressourcen gehen wollen, um die ersten Schritte in der GRC-Agentur zu unternehmen, ist ein Gateway, Initiativen zu überprüfen, die die Konstruktion von Kontrollen und automatisierten Agenten kombinieren, und Risikorahmen zu studieren, die zu ermitteln, wie diese neuen Kapazitäten zu überwachen und Rechenschaftspflicht. Mehr Informationen und praktische Anleitungen sind in spezialisierten Ressourcen wie Anekdoten und in den oben genannten Dokumenten und öffentlichen Rahmenbedingungen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...