Wichtige Erkenntnisse
- Die IT bewertet Risiken, und alles Unbekannte gilt standardmäßig als hohes Risiko – reduzieren Sie Unbekanntes, indem Sie Sicherheitsdokumentation (SOC 2, DPA) vor Ihrem ersten Gespräch sammeln
- Formulieren Sie Anfragen um das Geschäftsproblem herum, nicht um das Tool – „Wir verbringen 30 Stunden pro Woche mit X“ ist überzeugender als «Wir haben ein cooles KI-Tool gefunden“
- Schlagen Sie ein begrenztes Pilotprojekt mit klaren Ausstiegskriterien vor, um das Risiko einzugrenzen und die Genehmigung zu erleichtern
Sie haben ein KI-Tool gefunden, das Ihrem Team jede Woche Stunden sparen könnte. Sie sind begeistert. Sie erwähnen es gegenüber der IT.
Drei Wochen später warten Sie immer noch auf eine Antwort. Oder Sie haben einen Sicherheitsfragebogen mit 47 Fragen erhalten, von denen Sie die Hälfte nicht verstehen. Oder jemand hat den «Beschaffungsausschuss“ erwähnt, und Ihr Herz ist gesunken, weil Sie wissen, dass das Monate bedeutet.
In der Zwischenzeit sind Sie ziemlich sicher, dass zumindest einige Leute in Ihrem Team bereits ChatGPT auf ihren Handys benutzen, um Arbeit zu erledigen, weil der offizielle Weg zu langsam ist.
Hier ist die Sache: Die IT ist nicht Ihr Feind. Sie versuchen nicht, den Fortschritt zu blockieren. Sie haben es mit einem echten Problem zu tun – jedes neue Tool, das Unternehmensdaten berührt, schafft Risiken, und sie sind diejenigen, die die Schuld bekommen, wenn etwas schiefgeht.
Der Sicherheitsfragebogen ist keine Bürokratie um ihrer selbst willen. Es liegt daran, dass sie gesehen haben, was passiert, wenn jemand ein Tool einführt, das Daten preisgibt oder einen Compliance-Albtraum verursacht.
Der Trick besteht nicht darin, die IT zu bekämpfen oder zu umgehen. Es geht darum, ihr die Arbeit zu erleichtern.
Die Unbekannten reduzieren
Das Erste, was Sie verstehen müssen, ist, dass die IT Risiken bewertet und alles Unbekannte standardmäßig als hohes Risiko gilt.
Wenn Sie mit einem Tool kommen, von dem sie noch nie gehört haben, von einem Anbieter, den sie nicht kennen, und um Zugang zu Systemen bitten, die sie schützen sollen – bitten Sie sie im Grunde, Risiken einzugehen, damit Ihr Team produktiver sein kann. Das ist kein Tausch, der sie begeistert.
Aber wenn Sie die Unbekannten reduzieren können, bevor Sie überhaupt das Gespräch führen, ändert sich alles.
Bevor Sie ein Meeting planen, machen Sie Ihre Hausaufgaben. Gehen Sie auf die Website des Anbieters und finden Sie deren Sicherheitsseite. Laden Sie den SOC-2-Bericht herunter, falls vorhanden. Holen Sie sich die Datenverarbeitungsvereinbarung. Lesen Sie deren Datenschutzrichtlinie – lesen Sie sie wirklich, überfliegen Sie sie nicht nur.
Finden Sie heraus, wohin die Daten gehen, wenn jemand das Tool benutzt. Finden Sie heraus, ob sie zum Training ihres KI-Modells verwendet werden (große rote Flagge für die meisten IT-Teams) oder ob Kundendaten isoliert bleiben.
Wenn Sie in das Gespräch gehen und das alles bereits wissen, haben Sie der IT gerade Stunden an Recherche erspart. Sie haben auch signalisiert, dass Sie Sicherheit ernst nehmen, was mehr zählt, als Sie vielleicht denken.
Die Anfrage formulieren
Wie Sie die Anfrage formulieren, macht einen großen Unterschied.
Beginnen Sie nicht mit dem Tool. Beginnen Sie mit dem Problem.
„Unser Team verbringt 30 Stunden pro Woche damit, immer wieder dieselben Fragen zu Sozialleistungen zu beantworten. Ich habe nach Möglichkeiten gesucht, das zu lösen, und ich habe etwas gefunden, das funktionieren könnte.“
Jetzt versteht die IT, warum Sie fragen. Es ist nicht „Die Personalabteilung hat ein glänzendes Spielzeug gefunden und will damit spielen.“ Es ist „Die Personalabteilung hat ein echtes Geschäftsproblem und hat eine mögliche Lösung gefunden.“
Dann, bevor sie nach der Sicherheit fragen können, sprechen Sie sie selbst an. „Ich weiß, dass Datensicherheit die erste Frage ist, also habe ich deren Dokumentation zusammengestellt. Sie haben SOC 2 Typ II, sie trainieren nicht mit Kundendaten, und sie können Datenresidenz in Kanada anbieten. Kann ich Ihnen schicken, was ich gefunden habe?“
Sie haben gerade drei Wochen Hin und Her übersprungen.
Klein anfangen, um groß zu gewinnen
Das andere, was hilft, ist, die Anfrage klein zu halten.
«Ich möchte das mit 10 Leuten für 60 Tage testen“ ist ein viel einfacheres Ja als «Ich möchte das im ganzen Unternehmen ausrollen.“
Ein begrenztes Pilotprojekt begrenzt das Risiko. Wenn etwas schiefgeht, ist der Schaden gering. Und wenn das Pilotprojekt funktioniert, haben Sie Belege für die breitere Einführung.
Definieren Sie die Ausstiegsstrategie: Bieten Sie an, die administrativen Dinge während des Pilotprojekts zu übernehmen. «Ich verwalte den Zugang und bin der Ansprechpartner, falls etwas auftaucht – Sie müssen das nicht direkt unterstützen.“ IT-Teams sind überlastet. Alles, was Sie ihnen abnehmen können, macht die Genehmigung wahrscheinlicher.
Stellen Sie sicher, dass es einen klaren Ausstieg gibt. «Wenn es nicht funktioniert oder es Probleme gibt, können wir es sofort abschalten. Kein langfristiger Vertrag, keine Datenbindung.“ Zu wissen, dass sie die Entscheidung rückgängig machen können, macht die IT viel entspannter bei der Entscheidung.
Was die IT wirklich sucht
Einige Tools sind einfach leichter zu genehmigen als andere, und es lohnt sich zu wissen, worauf die IT achtet.
Inhaltsisolierung: Sie fühlen sich wohler mit Tools, die nur aus Ihren eigenen Inhalten antworten – Ihren Richtlinien, Ihren Dokumenten, Ihrer Wissensdatenbank – als mit Tools, die aus dem offenen Internet oder allgemeinen KI-Trainingsdaten schöpfen. Wenn sie genau wissen, auf welche Informationen die KI zugreifen kann, ist das Risikoprofil klarer.
Explizite Datenzusagen: Sie mögen explizite Datenzusagen. «Ihre Daten werden niemals für Training verwendet“ ist leicht zu bewerten. Vage Aussagen darüber, «Datenschutz ernst zu nehmen“, sind es nicht.
Admin-Kontrollen: Sie wollen Admin-Kontrollen – die Möglichkeit zu sehen, wer das Tool benutzt, was sie damit machen, und den Zugang bei Bedarf zu widerrufen. Audit-Logs sind wichtig. Rollenbasierte Berechtigungen sind wichtig. Wenn der Anbieter diese Funktionen nicht zeigen kann, wird die IT nervös.
Anbieterstabilität: Sie interessieren sich auch für die Stabilität des Anbieters. Ein Tool von einem etablierten Unternehmen mit echten Kunden und einer Erfolgsbilanz ist leichter zu genehmigen als etwas von einem Startup, das nächstes Jahr vielleicht nicht mehr existiert. Das mag nicht fair gegenüber mutigen Startups sein, aber die IT denkt darüber nach, was mit Ihren Daten passiert, wenn der Anbieter verschwindet.
Wenn Sie noch Optionen evaluieren, wägen Sie diese Faktoren ab. Ein Tool zu wählen, das von Anfang an die Anforderungen der IT erfüllt, spart Wochen an Hin und Her.
Was Sie vermeiden sollten
Ein paar Dinge, die nicht funktionieren, falls Sie versucht sind:
Die IT umgehen. Leute dazu bringen, sich mit privaten E-Mails anzumelden, es auf eine Firmenkreditkarte ohne Genehmigung zu buchen, es still zu benutzen und zu hoffen, dass es niemand bemerkt. Die IT findet es immer irgendwann heraus, und wenn sie es tut, haben Sie Ihre Glaubwürdigkeit zerstört. Das Tool wird abgeschaltet, und jede zukünftige Anfrage startet im Nachteil.
Dringlichkeit fabrizieren. «Wir brauchen diese Genehmigung bis Freitag, sonst verpassen wir eine riesige Chance.“ Die IT hat das schon gehört. Es ist fast nie wirklich wahr. Falsche Dringlichkeit macht sie misstrauisch.
Sicherheitsbedenken herunterspielen. «Oh, das ist völlig in Ordnung, machen Sie sich keine Sorgen.“ Sie sind hier nicht der Experte. Wenn Sie ihre Bedenken abtun, nehmen sie an, dass Sie Ihre Hausaufgaben nicht gemacht haben.
Eskalieren, um es durchzudrücken. Einen VP dazu zu bringen, Druck auf die IT auszuüben, könnte einmal funktionieren. Aber Sie haben sich einen Feind gemacht, und Ihre nächste Anfrage – und die danach – wird schwieriger.
Das langfristige Spiel
Hier ist, was Ihnen niemand sagt: Das eigentliche Ziel ist nicht, dieses eine Tool genehmigt zu bekommen. Es geht darum, eine Beziehung zur IT aufzubauen, damit zukünftige Anfragen einfacher werden.
Wenn Ihr Pilotprojekt erfolgreich ist, sagen Sie es ihnen. Teilen Sie die Ergebnisse. Bedanken Sie sich für die Zusammenarbeit. Wenn Sie etwas Besorgniserregendes bemerken – ein Sicherheitsproblem, ein unerwartetes Verhalten – bringen Sie es proaktiv zur IT, anstatt es zu verbergen. Seien Sie die Person, die diese Dinge ernst nimmt.
Mit der Zeit werden Sie jemand, dem die IT vertraut. Ihre Anfragen werden schneller bearbeitet. Ihr Urteil hat Gewicht. Sie werden zur Person, zu der andere Teams kommen, wenn sie etwas Neues einführen wollen.
Dieser Ruf ist mehr wert als jede einzelne Genehmigung.
Wählen Sie Tools, die für Unternehmen entwickelt wurden
Noch etwas. Der schnellste Weg durch all das ist, Tools zu wählen, die von Anfang an für Unternehmen entwickelt wurden.
Die Anbieter, die Unternehmensvertrieb verstehen, haben die Sicherheitsarbeit bereits erledigt. Sie haben den SOC-2-Bericht versandfertig. Sie haben die Admin-Kontrollen gebaut, die die IT braucht. Sie wissen, wie man ein Pilotprojekt durchführt, das die Genehmigung erleichtert. Sie haben dieses Gespräch hundertfach geführt.
Wenn Sie der IT ein solches Tool bringen, läuft alles reibungsloser. Die Dokumentation existiert. Die Antworten sind klar. Der Anbieter weiß, wie man mit der IT zusammenarbeitet statt gegen sie.
Das bedeutet, Sie verbringen weniger Zeit im Beschaffungs-Limbo und mehr Zeit damit, das Problem zu lösen, das Ihnen überhaupt wichtig war.
JoySuite ist genau für diese Situation gebaut. SOC 2 Typ II zertifiziert. Ihre Daten werden niemals für Training verwendet. Vollständige Audit-Logs und Admin-Kontrollen, die der IT gefallen werden. Und wir telefonieren gerne mit Ihrem Sicherheitsteam – wir haben Hunderte solcher Gespräche geführt. Holen Sie sich die Sicherheitsdokumentation, die Ihr IT-Team braucht.
