Snilld

Mend udgiver guide til AI-governance med fokus på overblik og risikotiering

Mend har udgivet guiden “AI Security Governance: A Practical Framework for Security and Development Teams”. I det tilgængelige kildemateriale er de bedst dokumenterede dele et bredt inventar over AI-aktiver, en ikke-straffende tilgang til discovery af shadow AI og en risikotieret model for governance.

25. april 2026 Peter Munkholm

Mend har udgivet guiden AI Security Governance: A Practical Framework for Security and Development Teams. Ifølge kildematerialet er den rettet mod teams, der stadig prøver at finde ud af, hvor de skal begynde med AI-governance, og ikke mod organisationer, der allerede har et modent AI-sikkerhedsprogram. Det er en vigtig ramme for læsningen af materialet. Guiden bliver i kilden beskrevet som praktisk, og målgruppen er security- og udviklingsteams, der skal i gang.

I det tilgængelige materiale er nogle dele bedre dokumenteret end andre. Det gælder især inventar over AI-aktiver, håndtering af shadow AI og en risikotieret model. Andre elementer, som også nævnes i kildens overskrift, er ikke udfoldet lige så tydeligt i det uddrag, der foreligger. Derfor ligger tyngden naturligt på de dele, der kan spores direkte.

Governance begynder med synlighed

Et centralt udsagn i kildematerialet er, at governance kræver synlighed. Formuleringen bliver gengivet direkte som “you cannot govern what you cannot see”. Det er også her, frameworket ifølge kilden begynder. Pointen er ikke pakket ind i lange principper, men knyttet til et helt konkret behov for at vide, hvilke AI-værktøjer og AI-aktiver der faktisk er i brug.

Det gør inventar til en meget central del af materialet. Kilden beskriver ikke kun governance som et spørgsmål om politik eller overordnede regler. Den kobler det direkte til overblik. Når udgangspunktet er, at man ikke kan styre det, man ikke kan se, bliver registrering og synlighed en grundlæggende del af modellen, sådan som den er gengivet i artiklen fra MarkTechPost.

Her er det også værd at holde fast i, at kilden knytter synlighed til hastigheden i AI-adoption. I artiklens indledning beskrives et mønster, hvor AI-værktøjer og modeller kan være i brug, før sikkerhedsteamet opdager det. Den del står i selve kildeteksten. Det er med til at forklare, hvorfor frameworket lægger så stor vægt på at skabe overblik tidligt i governance-arbejdet.

Banner
It-medarbejder arbejder med at få overblik over ukendte AI-værktøjer i et kontormiljø.

Bred definition af AI-aktiver

Mend definerer ifølge kilden AI-aktiver bredt. Listen omfatter AI-udviklingsværktøjer, tredjeparts-APIer, open source-modeller, AI-funktioner i SaaS-værktøjer, interne modeller og autonome AI-agenter. Det er en konkret og eksplicit del af kildematerialet. Frameworket er altså ikke afgrænset til modeller, en organisation selv har trænet eller udviklet.

Den brede definition betyder også, at AI-governance i materialet ikke kun handler om ét lag af teknologien. Kilden nævner både værktøjer, tjenester og funktioner indlejret i andre produkter. Når AI-funktioner i SaaS-værktøjer bliver regnet med som aktiver, udvider det feltet for, hvad der skal være synligt i et inventar. Det er ikke en tolkning lagt oven på kilden, men en direkte følge af den liste, som artiklen gengiver.

Samme punkt gælder tredjeparts-APIer og open source-modeller. De står side om side med interne modeller i kildens oplistning. Det giver et mere præcist billede af, hvad Mend lægger ind under AI-governance i det foreliggende materiale. Ikke kun det egenudviklede, men også det indkøbte, det integrerede og det indlejrede.

Shadow AI som discovery-opgave

Kilden siger også, at frameworket adresserer “shadow AI”. Her er anbefalingen, at discovery af ikke-godkendte eller ikke-katalogiserede AI-værktøjer skal være en ikke-straffende proces, så udviklere føler sig trygge ved at oplyse dem. Det er en af de mest konkrete styringsanvisninger, der fremgår direkte af materialet. Formuleringen er tydelig og efterlader ikke meget tvivl om hensigten.

Det er samtidig et område, hvor det er vigtigt ikke at lægge mere ind i teksten, end kilden bærer. Det dokumenterede er, at processen bør være ikke-straffende, og at formålet er at gøre det trygt at oplyse værktøjer i brug. Materialet udfolder i det tilgængelige uddrag ikke en større model for, hvordan organisationer i praksis skal organisere det arbejde. Men selve anbefalingen står klart.

Shadow AI bliver dermed ikke kun nævnt som et generelt problem. Kilden binder det til en bestemt tilgang til discovery. Det giver et mere håndfast indhold end brede formuleringer om kultur eller governance-modenhed. Og det er netop derfor, denne del af frameworket fremstår blandt de bedst dokumenterede i det foreliggende materiale.

Risikotiering i stedet for ens behandling

Den anden hoveddel i kildematerialet er en risikotieret model. Ifølge kilden bruger frameworket et risikoniveausystem i stedet for at behandle alle AI-deployments som lige risikable. Det er en central teknisk detalje. Den viser, at Mend ikke kun lancerer et generelt governance-budskab, men også beskriver en konkret måde at skelne mellem forskellige typer AI-brug på.

Banner

Hvert AI-aktiv bliver ifølge kilden scoret fra 1 til 3 på fem dimensioner: datasensitivitet, beslutningsautoritet, systemadgang, ekstern eksponering og supply chain origin. De fem dimensioner står eksplicit i materialet. Det samme gør skalaen fra 1 til 3. Det er derfor muligt at gengive modellens grundmekanik ret præcist uden at gå ud over dokumentationen.

Kilden siger også, at den samlede score bestemmer de governance-krav, som aktivet bliver mødt med. Det er vigtigt, fordi frameworket dermed knytter vurdering direkte til efterfølgende styring. I det tilgængelige materiale er det en af de klareste forbindelser mellem metode og konsekvens. Modellen er altså ikke kun beskrevet som klassificering, men som noget der udløser forskellige niveauer af review og overvågning.

Nærbillede af laptop og skærm med visuelt kort over softwarekomponenter og AI-forsyningskæde.
Fagpersoner diskuterer risikotiering af AI-løsninger i et mødelokale.

Hvad Tier 1 og Tier 2 dækker

Tier 1 er ifølge kilden defineret som en samlet score på 5 til 7. På det niveau kræves standard security review og lightweight monitoring. Tier 2 er defineret som 8 til 11 og udløser enhanced review. Begge niveauer er direkte beskrevet i kildeteksten, og de hører til de mest konkrete elementer i hele lanceringen.

Det giver artiklen et mere fast holdepunkt end mange produktudmeldinger ellers gør. Her er der ikke kun tale om, at et framework eksisterer. Der er også angivet pointintervaller og tilknyttede krav for mindst to niveauer. Det gør det muligt at beskrive modellen som mere end et princippapir, uden at tilføre nye påstande, som ikke står i materialet.

Samtidig er det også grænsen for, hvor langt dokumentationen rækker i det foreliggende uddrag. Kilden viser tydeligt, hvordan Tier 1 og Tier 2 er tænkt. Men den del af stoffet, som handler om yderligere niveauer eller andre lag i modellen, er ikke tilsvarende udfoldet her. Derfor er det mest præcist at holde vægten på de to niveauer, der faktisk er beskrevet.

Det bedst dokumenterede i materialet

Hvis man holder sig stramt til det dokumenterede, står tre dele klarest. For det første at guiden er rettet mod teams, der prøver at finde ud af, hvor de skal begynde med AI-governance. For det andet at frameworket tager udgangspunkt i, at governance kræver synlighed og et bredt inventar over AI-aktiver. For det tredje at styringen bygger på risikotiering med fem konkrete vurderingsdimensioner og mindst to beskrevne niveauer.

Kilden nævner også AI supply chain security og en maturity model i overskriften. Men i det tilgængelige kildeuddrag er de dele ikke udfoldet med samme detaljeringsgrad som inventar, shadow AI og risikotiering. Det betyder ikke, at de ikke indgår i det fulde materiale. Det betyder kun, at det foreliggende dokumentationsgrundlag er stærkere for nogle dele end for andre.

Netop derfor giver det mest mening at lægge hovedvægten på de elementer, der faktisk er beskrevet med konkret indhold. Det er her, Mend-materialet er tydeligst: overblik over AI-aktiver, en ikke-straffende proces for discovery af shadow AI og en model, hvor samlet risikoscore afgør governance-niveau. Det er de dele, der kan gengives med høj sikkerhed ud fra de verificerede claims og den primære kilde.

Kilder

    Gør brugeroplevelsen bedre.
    Hvilket firma arbejder du for?