Connect with us

Illuminare Il Punto Cieco Del Rischio Aziendale: Come L’Intelligenza Artificiale Ombra Sta Ridefinendo Il Paesaggio Minaccioso Mobile

Leader di pensiero

Illuminare Il Punto Cieco Del Rischio Aziendale: Come L’Intelligenza Artificiale Ombra Sta Ridefinendo Il Paesaggio Minaccioso Mobile

mm
Published
Updated

L’intelligenza artificiale sta rivoluzionando il modo in cui lavoriamo. Dalla sintesi di documenti e dalla stesura di contratti alla generazione di codice e all’automatizzazione dei flussi di lavoro, gli strumenti di intelligenza artificiale sono diventati fondamentali per le operazioni aziendali quotidiane. Tuttavia, accanto all’uso approvato di intelligenza artificiale all’interno delle organizzazioni, c’è una tendenza in crescita conosciuta come Intelligenza Artificiale Ombra – l’uso non autorizzato di applicazioni di intelligenza artificiale senza una supervisione formale da parte dei team IT o di sicurezza.

L’Intelligenza Artificiale Ombra non è semplicemente una violazione delle politiche IT. Rappresenta una lacuna strutturale di governance all’intersezione di identità, protezione dei dati, conformità e sistemi autonomi emergenti. Mentre le capacità di intelligenza artificiale si espandono, in particolare negli ambienti mobili, le organizzazioni affrontano una superficie di minaccia in rapida crescita che i controlli di sicurezza tradizionali non erano progettati per affrontare.

Mobile: Un Moltiplicatore Di Forza Per Il Rischio Di Intelligenza Artificiale Ombra

Mentre l’adozione mobile accelera, il rischio di Intelligenza Artificiale Ombra aumenta. Gli smartphone e i tablet sono diventati il centro operativo dell’azienda, consolidando identità, messaggistica e accesso cloud in un unico endpoint sempre attivo. Nel frattempo, le applicazioni alimentate da intelligenza artificiale stanno inondando gli store di app, consentendo ai dipendenti di distribuire capacità agentiche all’istante, spesso al di fuori della supervisione IT. In effetti, Lookout ha identificato oltre 25.000 applicazioni mobili con capacità di intelligenza artificiale già presenti nell’Apple App Store e nel Google Play Store, sottolineando come rapidamente questa esposizione si stia sviluppando al margine mobile.

Mentre la mobilità e l’intelligenza artificiale non autorizzata si intersecano, l’esposizione aziendale cresce, confermando una verità fondamentale: il rischio mobile è un rischio aziendale.

Intelligenza Artificiale Agente: Attori Digitali Autonomi All’interno Dell’Organizzazione

L’Intelligenza Artificiale Agente introduce un altro cambiamento significativo nel rischio aziendale. A differenza degli strumenti generativi passivi che semplicemente producono contenuti in risposta a prompt, i sistemi agentic sono progettati per pianificare, decidere ed eseguire azioni in modo indipendente. Possono avviare autonomamente comunicazioni, attivare transazioni finanziarie, modificare record, interagire con applicazioni aziendali e concatenare flussi di lavoro multi-step senza supervisione umana. In effetti, operano come attori digitali all’interno dell’organizzazione.

Quando queste capacità funzionano al di fuori dei framework di governance stabiliti, amplificano il rischio alla velocità della macchina. Le decisioni che una volta richiedevano il giudizio umano possono ora essere eseguite all’istante, ripetutamente e su larga scala. Le autorizzazioni di accesso, le integrazioni API e l’autorità delegata trasformano questi sistemi da strumenti consultivi in agenti operativi in grado di spostare dati, alterare sistemi e avviare processi aziendali.

Ad esempio, un assistente AI basato su mobile con accesso a posta elettronica aziendale e archiviazione cloud potrebbe autonomamente riassumere materiali sensibili del consiglio di amministrazione e trasmetterli a un servizio AI esterno per “analisi”. Anche se fatto con intenti benigni, le implicazioni di governance sono profonde: le informazioni riservate potrebbero lasciare ambienti controllati, gli obblighi regolatori potrebbero essere attivati, le tracce di audit potrebbero essere incomplete e i requisiti di residenza dei dati potrebbero essere violati. Il rischio non è semplicemente la perdita di dati – è la delega di autorità operativa a sistemi che potrebbero non essere visibili, autorizzati o governati.

Governance E L’ascesa Di ISO 42001

Mentre il rischio di intelligenza artificiale accelera, i framework di governance globale stanno emergendo per imporre struttura e responsabilità. Tra i più significativi c’è la norma internazionale ISO/IEC 42001 per la gestione dei sistemi di intelligenza artificiale. ISO 42001 richiede alle organizzazioni di implementare processi di governance basati sul rischio per sovrintendere, monitorare e gestire continuamente i sistemi di intelligenza artificiale.

La norma si applica non solo ai tradizionali sistemi di intelligenza artificiale, ma anche ai sistemi di intelligenza artificiale agente in grado di azione autonoma. Le organizzazioni devono dimostrare visibilità, controllo e tracciabilità across l’uso di intelligenza artificiale all’interno dei loro ambienti. L’Intelligenza Artificiale Ombra erode direttamente questo mandato. Quando i dipendenti distribuiscono strumenti di intelligenza artificiale al di fuori dei canali autorizzati, le aziende perdono la capacità di affermare con credibilità una supervisione completa di intelligenza artificiale.

Nei settori regolamentati – tra cui sanità, servizi finanziari, governo e infrastrutture critiche – questa lacuna di governance è particolarmente conseguente. L’uso non gestito di intelligenza artificiale può creare un’esposizione di conformità materiale ai sensi delle leggi sulla privacy, delle norme sulla protezione dei dati e degli obblighi contrattuali.

I Controlli Di Sicurezza Tradizionali Non Sono Sufficienti Su Mobile

Molte organizzazioni suppongono che i controlli di sicurezza esistenti – come le porte di posta elettronica, le piattaforme di protezione degli endpoint e i CASB – siano sufficienti per gestire il rischio di intelligenza artificiale. In pratica, non lo sono. L’Intelligenza Artificiale Ombra, in particolare negli ambienti mobili dove l’attività si svolge interamente su smartphone e tablet, può evitare i controlli basati su desktop e bypassare il monitoraggio tradizionale della rete. Senza una visibilità dedicata nelle applicazioni mobili, i team di sicurezza mancano dell’insight necessario per rilevare l’esfiltrazione di dati guidata da intelligenza artificiale, l’uso non autorizzato o l’attività del sistema autonomo che si verifica al di fuori dei controlli di governance.

L’imperativo Di Conformità: Identificare Le Applicazioni Di Intelligenza Artificiale Mobile

Per allinearsi con ISO 42001 e le aspettative regolamentari emergenti, le organizzazioni richiedono capacità di sicurezza che possano identificare le applicazioni mobili abilitate da intelligenza artificiale, rilevare l’uso non autorizzato o ad alto rischio di intelligenza artificiale, monitorare i flussi di dati tra le app di intelligenza artificiale e i sistemi aziendali, valutare i modelli di comportamento agente e applicare i controlli di politica direttamente nel punto di terminazione mobile. I prodotti di sicurezza in grado di classificare e analizzare le applicazioni mobili alimentate da intelligenza artificiale – in particolare quelle con capacità autonome – stanno diventando strumenti di conformità essenziali piuttosto che miglioramenti opzionali.

Senza visibilità su quali app mobili incorporano motori di intelligenza artificiale, le organizzazioni non possono condurre valutazioni di rischio di intelligenza artificiale significative, documentare la supervisione o applicare i controlli di governance. Mentre l’intelligenza artificiale si integra all’interno delle app di produttività, delle piattaforme di messaggistica e degli strumenti di flusso di lavoro, la rilevazione deve evolversi oltre l’identificazione tradizionale del malware per includere l’analisi del comportamento, la mappatura delle autorizzazioni e il monitoraggio continuo dell’accesso e del movimento dei dati.

Appello All’azione

L’Intelligenza Artificiale Ombra non è una preoccupazione futura; è già incorporata nei dispositivi mobili che alimentano il lavoro aziendale. Mentre l’adozione accelera, le lacune di governance si allargheranno per prime – e più velocemente – su mobile. I leader della sicurezza devono sapere quali applicazioni di intelligenza artificiale sono presenti sui dispositivi aziendali e BYOD, rilevare il comportamento agente all’interno delle app mobili e monitorare i flussi di dati guidati da intelligenza artificiale che lasciano i punti di terminazione. Poiché l’Intelligenza Artificiale Ombra prospera all’interno del traffico mobile crittografato e degli ecosistemi di app, la conformità ora dipende dalle capacità di sicurezza native mobile che portano in superficie l’attività di intelligenza artificiale e applicano i controlli di governance.

Mentre l’intelligenza artificiale ridisegna le operazioni aziendali, governare l’intelligenza artificiale significa in ultima analisi assicurare la sicurezza dei dispositivi mobili che i dipendenti portano con sé ogni giorno.

mm

Jim Dolce è il Chief Executive Officer e Presidente del Consiglio di Amministrazione di Lookout. È stato il fondatore di quattro aziende tecnologiche di successo e ha ricoperto posizioni dirigenziali presso Juniper Networks, Inc. e Akamai Technologies, Inc. Jim si è unito a Lookout nel marzo 2014 per guidare l'azienda di sicurezza informatica nella sua prossima fase di crescita, compresa la riarchitettura dei prodotti, della leadership e della forza lavoro di Lookout per servire grandi aziende e agenzie governative che cercano di sfruttare i benefici della mobilità senza sacrificare la sicurezza.