Seguici sui social

L'ampia ombra di GenAI mette a rischio i dati della tua azienda.

Leader del pensiero

L'ampia ombra di GenAI mette a rischio i dati della tua azienda.

mm
Pubblicato il
Una visualizzazione concettuale a schermo intero dei dati ombra dell'IA generativa (GenAI), che mostra un flusso luminoso di particelle digitali che emana da un laptop. Il flusso si divide: parte dei dati confluisce verso un server aziendale autorizzato, mentre altri flussi disconnessi si dirigono verso un dispositivo mobile personale non monitorato, illustrando una lacuna nella visibilità e nella governance dei dati in un ufficio moderno.

Le soluzioni di intelligenza artificiale generativa (GenAI) non sono più qualcosa che i dipendenti aziendali stanno semplicemente "testando". Vengono adottate e integrate nel lavoro quotidiano a un ritmo sempre più rapido. Secondo un rapporto, il 40% delle organizzazioni hanno riferito di utilizzare GenAI nei flussi di lavoro quotidiani Nel corso dell'ultimo anno, oltre l'80% degli utenti ha riferito di aver utilizzato questi strumenti settimanalmente.

Ma mentre l'adozione dell'IA è in aumento, la visibilità e il controllo non tengono il passo. Man mano che GenAI si integra in caselle di posta elettronicaAttraverso editor di codice, suite di collaborazione, assistenti virtuali e altro ancora, ha consentito l'accesso a quantità sempre maggiori di dati sensibili tramite richieste, caricamenti e operazioni di copia-incolla, tutte azioni che probabilmente aggirano i controlli tradizionali.

Il risultato è un crescente numero di dati ombra: informazioni aziendali critiche che circolano tra servizi SaaS, cloud e on-premise con limitate garanzie di visibilità, governance o conservazione. Per innovare in modo sostenibile e sicuro con le soluzioni di intelligenza artificiale, è fondamentale che le aziende moderne comprendano questo divario tra adozione e controllo e imparino ad affrontare il problema dei dati ombra prima che sfuggano al loro controllo.

L'ombra ampia e oscura di GenAI

La sfida principale dei dati ombra deriva dalla mancanza di contesto. Mentre le problematiche legate all'IT ombra si limitano a file a riposo, applicazioni autorizzate e punti di uscita noti, i confini dei dati ombra basati sull'intelligenza artificiale sono molto meno definiti. I team non possono limitarsi a individuare e proteggere strumenti sconosciuti; devono anche monitorare i modelli di intelligenza artificiale integrati in applicazioni approvate, come piattaforme di posta elettronica, soluzioni di archiviazione cloud e CRM. Questo stravolge le soluzioni "sicure" con cui hanno lavorato e che hanno monitorato finora, ampliando il panorama delle minacce.

GenAI cambia anche il modo in cui i dati sensibili si muovono all'interno dell'architettura aziendale. A differenza dei flussi di lavoro basati su applicazioni e file delle tradizionali soluzioni SaaS, opera su un livello conversazionale continuo che incoraggia gli utenti a condividere il contesto per ottenere risultati migliori. Questo porta gli utenti a eseguire operazioni di copia-incolla e caricamenti di routine che possono includere frammenti di codice sorgente, dati dei clienti, documenti interni e altro ancora, tutti privi di un'adeguata governance di condivisione dei dati per i rispettivi livelli di sensibilità.

Inoltre, l'adozione dell'IA di nuova generazione spesso non segue un modello lineare e centralizzato. Non esistono due utenti aziendali di dati esattamente uguali, e la loro ricerca di flussi di lavoro ottimizzati e di automazione che consenta di risparmiare tempo può portarli a utilizzare numerose soluzioni di IA, che a loro volta creano percorsi di dati ancora più frammentati. Moltiplicate questo per l'intera forza lavoro della vostra azienda e l'ombra diventa incredibilmente lunga.

Perché bloccare GenAI non funzionerà

Di fronte a queste minacce, la reazione istintiva di molte organizzazioni è quella di bloccare completamente – o comunque limitare severamente – l'accesso agli strumenti GenAI. Sebbene questo approccio sia comprensibile, spesso non si rivela efficace quanto le aziende sperano. Una volta che il genio del GenAI è uscito dalla lampada, per così dire, è incredibilmente difficile riportarlo sotto controllo. Molti dipendenti utilizzano questi strumenti per ottimizzare i propri flussi di lavoro quotidiani, integrando il GenAI nella pianificazione e nell'esecuzione delle attività.

Quando l'accesso è limitato dall'alto, è improbabile che l'utilizzo si interrompa; semplicemente si sposterà fuori dalla vista. Se i dipendenti passano ad account personali o non gestiti, le aziende perdono ogni visibilità su quali dati vengono condivisi e conservati dalle applicazioni. Infatti, un rapporto ha rilevato che 44% di dipendenti hanno già utilizzato l'IA in modi che contravvengono alle politiche e alle linee guida, mentre un altro studio ha riportato che 75% di dipendenti che utilizzano strumenti di IA non approvati hanno ammesso di condividere con essi informazioni potenzialmente sensibili. Quando il personale benintenzionato aggira inconsapevolmente le misure di sicurezza e crea opportunità per i dati sensibili di lasciare ambienti controllati ed entrare in sistemi con controlli poco chiari, si crea un rischio interno significativo, che può costare a un'organizzazione un una media di 19.5 milioni di dollari all'annoSpingendo l'attività degli utenti verso browser non gestiti, account cloud personali o strumenti di intelligenza artificiale di nicchia, le aziende creano un maggior numero di vettori di minaccia che i team di sicurezza potrebbero non rilevare mai.

In questo modo, i dati ombra non sono il solo risultato di dipendenti imprudenti con accesso a strumenti di intelligenza artificiale. Sono una conseguenza strutturale della progettazione accessibile dell'IA di generazione (GenAI), della sua esigenza di contesto e della sua onnipresenza. E finché le aziende non saranno in grado di riacquistare visibilità su come e dove circolano i loro dati ombra, l'adozione della GenAI continuerà a superare la loro capacità di gestirne i rischi.

Eliminare i dati ombra con visibilità e protezione

Sebbene bloccare completamente le soluzioni GenAI non sia probabilmente una soluzione efficace, le aziende possono supportare l'innovazione nell'IA e al contempo scoraggiare la proliferazione di dati ombra adottando tre azioni fondamentali:

1. Stabilire la visibilità end-to-end

Le aziende devono sapere esattamente con cosa hanno a che fare prima di poter proteggere efficacemente i propri ecosistemi di dati. Questo inizia con la creazione di un quadro completo delle applicazioni GenAI utilizzate dai dipendenti, incluse quelle integrate in strumenti autorizzati. Si estende inoltre alle tipologie di dati – finanziari, di proprietà intellettuale, di identificazione personale, di protezione dei dati personali o altre informazioni regolamentate – che vengono condivise con queste applicazioni, nonché al percorso che i dati compiono tra reti on-premise, SaaS e cloud. Senza queste informazioni cruciali, i team di sicurezza e conformità si troveranno a gestire le attività basandosi su supposizioni anziché su comportamenti reali e accurati dei dipendenti.

2. Applicare politiche di protezione dei dati sensibili al contesto

La sola visibilità non è sufficiente se i controlli non possono adattarsi al modo in cui viene utilizzata l'IA di generazione (GenAI). Le classiche policy "consenti o blocca" sono troppo rigide per i flussi di lavoro di IA che richiedono uno scambio di dati continuo e interattivo. Per proteggere efficacemente queste soluzioni, i team devono creare policy contestuali che valutino utenti, dati e destinazioni in tempo reale. Ciò consente di intervenire in modo realistico e proporzionato sul comportamento degli utenti, bloccando caricamenti rischiosi, oscurando le informazioni sensibili prima che lascino l'ambiente o invitando i dipendenti a provare alternative più sicure. Questi meccanismi di protezione automatizzati possono essere integrati nelle attività quotidiane in modo più efficace rispetto a un'interruzione completa o a un intervento manuale, rendendo l'utilizzo della GenAI più sicuro senza inibire la produttività.

3. Garantire un'applicazione coerente delle politiche

Le aziende devono implementare un unico set coerente di politiche di protezione dei dati ovunque si svolga l'attività lavorativa, senza costringere i team ad abbandonare gli strumenti su cui fanno affidamento. Non dovrebbero "sostituire completamente" gli strumenti consolidati, poiché ciò comprometterebbe significativamente la produttività. Dovrebbero invece stabilire politiche uniformi che seguano i dati e gli utenti su cloud storage, piattaforme di collaborazione, app SaaS e assistenti GenAI. Questa coerenza ridurrà sia i rischi che gli attriti, consentendo ai team di sicurezza di evitare la gestione di controlli frammentati e permettendo ai dipendenti di lavorare entro limiti prevedibili anziché incorrere in blocchi inaspettati. In definitiva, una risposta proattiva e coerente sarà molto più efficace di una reattiva e frammentata.

Sostenere l'adozione sicura e sostenibile

Gli strumenti GenAI si sono integrati troppo rapidamente nei flussi di lavoro quotidiani perché le organizzazioni possano considerarli una nicchia o un rischio sperimentale. Non possono essere ignorati, né completamente eliminati. Al contrario, le aziende devono individuare un percorso che consenta un utilizzo innovativo dell'IA, evitando al contempo il trasferimento opaco e non protetto di dati sensibili attraverso i diversi ecosistemi. Il successo non deriverà dalla soppressione dell'adozione, ma dalla sua promozione in modo sicuro attraverso una protezione dei dati continua, contestuale e coerente, ovunque i dati transitino.

Argomenti correlati:
mm

Jesse Grindeland vanta oltre due decenni di leadership innovativa nelle vendite globali, nei canali e nelle strategie di mercato, il che lo rende un leader affermato nel panorama odierno in continua evoluzione. Attualmente ricopre il ruolo di VP of Global Channels Alliances presso Sicurezza altissimaJesse sta guidando l'evoluzione dell'ecosistema di partner dell'azienda, al fine di accelerare l'esecuzione sul mercato e il successo dei clienti a livello globale. In precedenza, Jesse ha ricoperto ruoli in Microsoft, VMware e Zscaler, dove ha guidato team globali nei settori marketing, vendite, ingegneria e alleanze.