Leader di pensiero

L’ampia ombra di GenAI sta mettendo a rischio i dati aziendali

mm
Published
Updated
A conceptual widescreen visualization of Generative AI (GenAI) shadow data, showing a glowing stream of digital particles emanating from a laptop. The stream splits, with some data flowing toward a sanctioned enterprise server and other disjointed streams drifting toward an unmonitored personal mobile device, illustrating a data visibility and governance gap in a modern office.

Le soluzioni di intelligenza artificiale generativa (GenAI) non sono più qualcosa che gli dipendenti aziendali stanno solo “testando”. Stanno essere adottate e integrate nel lavoro quotidiano a un ritmo sempre più rapido. Secondo un rapporto, il 40% delle organizzazioni ha riferito di utilizzare GenAI nei flussi di lavoro quotidiani nell’ultimo anno, e più dell’80% ha riferito che gli utenti hanno interagito con questi strumenti settimanalmente.

Ma mentre l’adozione dell’AI è in aumento, la visibilità e il controllo non stanno tenendo il passo. Mentre GenAI si integra nelle caselle di posta elettronica, editor di codice, suite di collaborazione, assistenti virtuali e altro, ha accesso a quantità sempre più grandi di dati sensibili attraverso prompt, upload e azioni di copia e incolla – tutte le quali probabilmente bypassano i controlli tradizionali.

Il risultato è una piscina crescente di dati ombra: informazioni critiche per l’azienda che fluiscono attraverso servizi SaaS, cloud e on-premises con salvaguardie limitate per la visibilità, la governance o la conservazione. Per innovare in modo sostenibile e sicuro con le soluzioni AI, è fondamentale che le aziende moderne comprendano questo divario di adozione e controllo e imparino ad affrontare i dati ombra prima che sfuggano al loro controllo.

L’ampia ombra oscura di GenAI

La sfida fondamentale dei dati ombra deriva dalla mancanza di contesto. Mentre le sfide di shadow IT sono limitate ai file in riposo, alle applicazioni sanzionate e ai punti di uscita noti, i confini dei dati ombra guidati da AI sono molto meno rigidamente definiti. I team non possono semplicemente scoprire e proteggere strumenti sconosciuti; devono anche monitorare i modelli di AI integrati in applicazioni approvate come piattaforme di posta elettronica, soluzioni di archiviazione cloud e CRM. Ciò sovverte le “soluzioni sicure” con cui hanno lavorato e monitorato, e allarga il loro panorama di minacce.

GenAI cambia anche il modo in cui i dati sensibili si muovono attraverso l’architettura aziendale. A differenza dei flussi di lavoro basati su applicazioni e file delle soluzioni SaaS tradizionali, opera su un livello conversazionale continuo che incoraggia gli utenti a condividere il contesto per ottenere risultati migliori. Ciò porta gli utenti a eseguire azioni di copia e incolla e upload di routine che possono includere snippet di codice sorgente, record dei clienti, documenti interni e altro, tutti i quali mancano della governance appropriata per la condivisione dei dati per i rispettivi livelli di sensibilità.

Inoltre, l’adozione di GenAI spesso non segue un modello pulito e centralizzato. Nessun due utenti di dati aziendali sono esattamente uguali, e la loro ricerca di flussi di lavoro ottimizzati e automazione del tempo può portarli a sfruttare numerose soluzioni di AI, che a loro volta creano percorsi di dati ancora più frammentati. Moltiplicare ciò su tutta la forza lavoro aziendale, e l’ombra diventa incredibilmente ampia.

Perché bloccare GenAI non funzionerà

Di fronte a queste minacce, la reazione istintiva di molte organizzazioni è quella di bloccare o limitare severamente l’accesso agli strumenti GenAI. Sebbene questo sia un approccio comprensibile, spesso non è così efficace come l’azienda potrebbe sperare. Una volta che il genio di GenAI è fuori dalla bottiglia, per così dire, è incredibilmente difficile riportarlo indietro. Molti dipendenti utilizzano questi strumenti per semplificare i loro flussi di lavoro quotidiani, incorporando GenAI nella pianificazione e nell’esecuzione delle attività.

Quando l’accesso è limitato dall’alto, l’utilizzo non è probabile che si fermi; si sposterà semplicemente fuori vista. Se i dipendenti passano a account personali o non gestiti, le aziende perdono tutta la visibilità su quali dati vengono condivisi e conservati dalle applicazioni. In effetti, un rapporto ha scoperto che il 44% dei dipendenti ha già utilizzato l’AI in modi che violano le politiche e le linee guida, mentre un altro studio ha riferito che il 75% dei dipendenti che utilizzano strumenti di AI non approvati ha ammesso di aver condiviso informazioni potenzialmente sensibili con loro. Quando il personale ben intenzionato ignora inconsapevolmente le salvaguardie e crea opportunità per i dati sensibili di lasciare ambienti gestiti e entrare in sistemi con controlli poco chiari, si crea un rischio significativo interno, che può costare a un’organizzazione una media di 19,5 milioni di dollari all’anno. Spingendo l’attività degli utenti più a fondo in browser non gestiti, account cloud personali o strumenti di AI di nicchia, le aziende creano più vettori di minaccia che i team di sicurezza potrebbero mai vedere.

In questo modo, i dati ombra non sono il risultato esclusivo di dipendenti imprudenti con accesso agli strumenti di AI. È un risultato strutturale della progettazione accessibile di GenAI, della domanda di contesto e della sua ubiquità generale. E fino a quando le aziende non potranno riacquistare la visibilità su come e dove fluiscono i loro dati ombra, l’adozione di GenAI continuerà a superare la loro capacità di gestire il rischio.

Eliminare i dati ombra con visibilità e protezione

Mentre bloccare completamente le soluzioni GenAI non è probabile che funzioni, le aziende possono supportare l’innovazione AI mentre scoraggiano la proliferazione dei dati ombra prendendo tre azioni fondamentali:

1. Stabilire la visibilità end-to-end

Le aziende devono sapere esattamente con cosa hanno a che fare prima di poter proteggere efficacemente i loro ecosistemi di dati. Ciò inizia con la creazione di un quadro completo di quali applicazioni GenAI vengono utilizzate dai dipendenti, comprese quelle integrate in strumenti sanzionati. Si estende anche ai tipi di dati (finanziari, IP, PII, PHI o altre informazioni regolamentate) che vengono condivisi con queste applicazioni, nonché dove i dati si spostano attraverso le reti on-prem, SaaS e cloud. Senza queste informazioni cruciali, i team di sicurezza e conformità sono lasciati a governare supposizioni invece di comportamenti reali degli dipendenti.

2. Applicare politiche di protezione dei dati consapevoli del contesto

La visibilità da sola non è sufficiente se i controlli non possono adattarsi a come viene utilizzato GenAI. Le politiche classiche “consenti o blocca” sono troppo rigide per i flussi di lavoro AI che richiedono scambi di dati conversazionali continui. Per proteggere efficacemente queste soluzioni, i team devono creare politiche consapevoli del contesto che valutano gli utenti, i dati e le destinazioni in tempo reale. Ciò rende possibile intraprendere azioni realistiche e proporzionate sul comportamento degli utenti, bloccando upload rischiosi, oscurando informazioni sensibili prima che lascino l’ambiente o istruendo i dipendenti a provare alternative più sicure. Queste barriere automatizzate possono essere integrate più efficacemente nei compiti quotidiani rispetto alla interruzione completa o all’intervento manuale, rendendo l’utilizzo di GenAI più sicuro senza inibire la produttività.

3. Assicurare l’applicazione coerente delle politiche

Le aziende devono applicare un insieme coerente di politiche di protezione dei dati ovunque si svolga il lavoro, senza costringere i team ad abbandonare gli strumenti di cui si sono fidati. Non dovrebbero “strappare e sostituire” gli strumenti stabiliti, poiché ciò interromperebbe notevolmente la produttività. Invece, dovrebbero stabilire politiche uniformi che seguono i dati e gli utenti attraverso l’archiviazione cloud, le piattaforme di collaborazione, le app SaaS e gli assistenti GenAI. Ciò ridurrà sia il rischio che l’attrito, consentendo ai team di sicurezza di evitare il controllo di controlli frammentati e abilitando i dipendenti a lavorare all’interno di barriere prevedibili invece di affrontare divieti inaspettati. In definitiva, una risposta proattiva e coerente sarà molto più efficace di una reattiva e frammentata.

Supportare l’adozione sicura e sostenibile

Gli strumenti GenAI si sono integrati troppo rapidamente nei flussi di lavoro quotidiani perché le organizzazioni li trattino come un rischio di nicchia o sperimentale. Non possono essere ignorati, né possono essere completamente estirpati. Invece, le aziende devono navigare un percorso in avanti che consente un uso innovativo dell’AI mentre evita il movimento non protetto dei dati sensibili attraverso gli ecosistemi di dati. Il successo non derivará dal sopprimere l’adozione, ma dall’abilitarla in modo sicuro attraverso la protezione dei dati continua, contestuale e coerente ovunque i loro dati fluiscono. Le aziende devono navigare un percorso in avanti che consente un uso innovativo dell’AI mentre evita il movimento non protetto dei dati sensibili attraverso gli ecosistemi di dati. Il successo non derivará dal sopprimere l’adozione, ma dall’abilitarla in modo sicuro attraverso la protezione dei dati continua, contestuale e coerente ovunque i loro dati fluiscono.

mm

Jesse Grindeland offre oltre due decenni di leadership innovativa in tutto il mondo nelle vendite, canali e strategie di mercato, rendendolo un leader di settore affermato nel panorama in evoluzione di oggi. Attualmente in servizio come VP di Global Channels Alliances presso Skyhigh Security, Jesse sta guidando l'evoluzione dell'ecosistema dei partner dell'azienda, per accelerare l'esecuzione del mercato e il successo dei clienti a livello globale. Jesse ha precedentemente ricoperto ruoli in Microsoft, VMware e Zscaler, dove ha guidato team globali in marketing, vendite, ingegneria e alleanze.