Seguici sui social

L'intelligenza artificiale è già dentro la tua azienda. Se non la proteggi, sei indietro

Leader del pensiero

L'intelligenza artificiale è già dentro la tua azienda. Se non la proteggi, sei indietro

mm
Pubblicato il

Che l'intelligenza artificiale sia stata o meno implementata ufficialmente nella tua organizzazione, è già presente. I dipendenti utilizzano ChatGPT per redigere documenti, probabilmente caricando dati sensibili su strumenti online per velocizzare l'analisi e affidandosi a strumenti generativi per accelerare tutto, da codice al servizio clienti. L'intelligenza artificiale esiste con o senza di te, e questo dovrebbe tenere svegli i CISO la notte.

Questa silenziosa proliferazione di strumenti di intelligenza artificiale non verificati in ogni reparto ha creato un nuovo strato di IT ombra in rapida crescita. È decentralizzato, in gran parte invisibile e pieno di rischi. Dalle violazioni della conformità alla fuga di dati e alla non tracciabilità dei processi decisionali, le conseguenze derivanti dall'ignorare questa ondata di utilizzo dell'intelligenza artificiale sono reali. Eppure troppe aziende pensano ancora di poterla tenere a bada con policy o firewall.

La verità è che l'IA non può essere bloccata. Può solo essere messa in sicurezza. E prima le aziende lo accetteranno, prima potranno iniziare a colmare le pericolose lacune che l'IA ha già aperto.

L'intelligenza artificiale ombra si sta infiltrando nelle organizzazioni e rappresenta un punto cieco per la sicurezza

Abbiamo già visto questo schema in passato. L'adozione del cloud è decollata all'inizio degli anni 2010 esattamente in questo modo, con i team che cercavano strumenti che li aiutassero a muoversi più velocemente, spesso senza l'approvazione del team di sicurezza. Molti team di sicurezza hanno cercato di resistere al cambiamento, solo per essere costretti a una pulizia reattiva quando si sono verificate violazioni, configurazioni errate o problemi di conformità.

Oggi, la stessa cosa sta accadendo con l'intelligenza artificiale. Secondo il nostro Rapporto sullo stato della sicurezza dell'intelligenza artificiale del 2024, più della metà delle organizzazioni utilizza l'intelligenza artificiale per sviluppare le proprie applicazioni personalizzate, eppure poche hanno visibilità su dove risiedono tali modelli, come sono configurati o se espongono dati sensibili.

Ciò crea due rischi:

  1. Dipendenti che utilizzano strumenti pubblici per accedere a dati proprietari o sensibili, esponendo tali informazioni a sistemi esterni senza supervisione.
  2. Team interni che implementano modelli di intelligenza artificiale senza adeguati controlli di sicurezza, il che si traduce in vulnerabilità che possono essere sfruttate e pratiche scorrette che potrebbero non superare gli audit.

L'intelligenza artificiale ombra non è solo un problema di sicurezza, può anche rappresentare una crisi di governance. Se non si riesce a vedere dove viene utilizzata l'intelligenza artificiale, non è possibile gestirne il funzionamento, i dati a cui ha accesso o i risultati che genera. E se non si monitorano le decisioni dell'intelligenza artificiale, si perde la capacità di spiegarle o difenderle, esponendosi a rischi normativi, reputazionali o operativi.

Perché gli strumenti di sicurezza tradizionali sono insufficienti

La maggior parte degli strumenti di sicurezza non è stata progettata per gestire l'intelligenza artificiale. Non riconoscono gli artefatti dei modelli, non sono in grado di analizzare i percorsi dati specifici dell'intelligenza artificiale e non sanno come tracciare le interazioni LLM o applicare la governance dei modelli. Anche gli strumenti esistenti tendono a concentrarsi su tessere specifiche del puzzle, lasciando le organizzazioni costrette a destreggiarsi tra soluzioni puntuali senza una visione d'insieme coerente.

Questo è un problema. La sicurezza dell'intelligenza artificiale non può essere un ripensamento o un'aggiunta. Deve essere integrata nel modo in cui gestisci il tuo ambiente cloud, proteggi i tuoi dati e strutturi il tuo DevSecOps pipeline. Altrimenti, stai sottovalutando quanto l'intelligenza artificiale stia diventando centrale per le tue operazioni e perdendo l'opportunità di proteggerla come parte integrante della tua infrastruttura aziendale.

Il mito del “bloccalo e basta” deve finire

È allettante pensare di poter risolvere il problema con un divieto assoluto, attraverso politiche di "nessun strumento di intelligenza artificiale di terze parti" o "nessuna sperimentazione interna". Ma è un pio desiderio. In parole povere, oggi i dipendenti utilizzano gli strumenti di intelligenza artificiale per svolgere il proprio lavoro più velocemente. E non lo fanno intenzionalmente, lo fanno perché funziona.

L'intelligenza artificiale è un moltiplicatore di forza e le persone saranno disposte a ricorrervi finché le aiuterà a rispettare le scadenze, ridurre la fatica o risolvere i problemi più velocemente.

Cercare di bloccare completamente questo comportamento non lo fermerà. Lo spingerà solo ancora più in profondità. E quando qualcosa va storto, ti troverai nella peggiore posizione possibile, senza visibilità, senza politiche e senza un piano di risposta.

Adottare l'intelligenza artificiale in modo strategico, sicuro e visibile

L'approccio più intelligente è adottare l'intelligenza artificiale in modo proattivo, ma alle proprie condizioni. Questo inizia con tre cose:

  1. Offri ai dipendenti opzioni sicure e certificate. Se vuoi evitare l'utilizzo di strumenti rischiosi, devi offrire alternative sicure. Che si tratti di LLM interni, strumenti di terze parti verificati o assistenti AI integrati nei sistemi core, la chiave è andare incontro ai dipendenti dove si trovano, con strumenti altrettanto veloci ma molto più sicuri.

  2. Definisci policy chiare e applicale. La governance dell'IA deve essere specifica, attuabile e facile da seguire. Che tipo di dati possono essere condivisi con gli strumenti di IA? Quali sono i limiti? Chi è responsabile della revisione e dell'approvazione dei progetti interni di IA? Pubblica le tue policy e assicurati che i meccanismi di applicazione, tecnici e procedurali, siano in atto.

  3. Investi in visibilità e monitoraggio. Non puoi proteggere ciò che non puoi vedere. Hai bisogno di strumenti in grado di rilevare l'utilizzo dell'intelligenza artificiale ombra, identificare le chiavi di accesso esposte, segnalare modelli configurati in modo errato ed evidenziare dove i dati sensibili potrebbero essere infiltrati nei set di training o negli output. La gestione dell'approccio all'intelligenza artificiale sta rapidamente diventando fondamentale quanto la gestione dell'approccio alla sicurezza del cloud.

I CISO devono guidare questa transizione

Che ci piaccia o no, questo è un momento decisivo per la leadership in ambito sicurezza. Il ruolo del CISO non si limita più alla protezione dell'infrastruttura. Sta diventando sempre più quello di abilitare l'innovazione in modo sicuro, il che significa aiutare l'organizzazione a utilizzare l'intelligenza artificiale per muoversi più velocemente, garantendo al contempo che sicurezza, privacy e conformità siano integrate in ogni fase.

Questa leadership si presenta così:

  • Educare il consiglio di amministrazione e i dirigenti sui rischi reali e percepiti dell'intelligenza artificiale
  • Creazione di partnership con team di ingegneria e di prodotto per integrare la sicurezza in una fase iniziale delle distribuzioni di intelligenza artificiale
  • Investire in strumenti moderni che comprendano il funzionamento dei sistemi di intelligenza artificiale
  • Costruire una cultura in cui l'uso responsabile dell'intelligenza artificiale sia compito di tutti

I CISO non devono essere necessariamente gli esperti di intelligenza artificiale presenti, ma devono essere quelli che pongono le domande giuste. Quali modelli stiamo utilizzando? Quali dati li alimentano? Quali misure di sicurezza sono in atto? Possiamo dimostrarlo?

In conclusione: non fare nulla è il rischio più grande di tutti

L'intelligenza artificiale sta già cambiando il modo in cui le nostre aziende operano. Che si tratti dei team del servizio clienti che elaborano risposte più rapide, dei team finanziari che analizzano le previsioni o degli sviluppatori che accelerano il flusso di lavoro, l'intelligenza artificiale è integrata nel lavoro quotidiano. Ignorare questa realtà non rallenta l'adozione, ma favorisce solo punti ciechi, fughe di dati e falle normative.

La strada più pericolosa è l'inazione. I CISO e i responsabili della sicurezza devono accettare ciò che è già vero: l'intelligenza artificiale è qui. È nei vostri sistemi, nei vostri flussi di lavoro e non scomparirà. La domanda è se la proteggerete prima che crei danni irreparabili.

Abbraccia l'intelligenza artificiale, ma mai senza una mentalità che metta la sicurezza al primo posto. È l'unico modo per essere sempre un passo avanti a ciò che verrà.

Argomenti correlati:
mm

Gil Geron è CEO e co-fondatore di Sicurezza dell'orcaGil vanta oltre 20 anni di esperienza nella gestione e fornitura di prodotti per la sicurezza informatica. Prima di ricoprire il ruolo di CEO, Gil è stato Chief Product Officer sin dalla nascita di Orca. È appassionato della soddisfazione del cliente e ha lavorato a stretto contatto con i clienti per garantire che potessero prosperare in sicurezza nel cloud. Gil si impegna a fornire soluzioni di sicurezza informatica senza compromessi in termini di efficienza. Prima di co-fondare Orca Security, Gil ha diretto un ampio team di professionisti della sicurezza informatica presso Check Point Software Technologies.