Connect with us

Rapporto di Manifest rivela un divario di prontezza per l’AI mentre le squadre di sicurezza aziendale lottano con la visibilità e la governance

Report

Rapporto di Manifest rivela un divario di prontezza per l’AI mentre le squadre di sicurezza aziendale lottano con la visibilità e la governance

mm
Published
Updated

Un nuovo rapporto di Manifest, “Beyond the Black Box: How AI Is Forcing a Rethink of the Software Supply Chain,” rivela una crescente disconnessione tra la fiducia degli executive e la realtà operativa quando si tratta di prontezza per la sicurezza dell’AI. Basato su un sondaggio di oltre 300 leader e pratici della sicurezza negli Stati Uniti e in EMEA, lo studio scopre che mentre la maggior parte degli executive ritiene che le loro organizzazioni siano pronte per i rischi della catena di approvvigionamento guidata dall’AI, le squadre di sicurezza sul campo segnalano significative lacune di governance, utilizzo di AI in ombra e limitata visibilità nei componenti che alimentano i moderni sistemi software.

Le scoperte mettono in luce una tensione centrale che emerge nella tecnologia aziendale: l’adozione dell’AI sta accelerando rapidamente attraverso prodotti e flussi di lavoro, ma i meccanismi necessari per tracciare, governare e proteggere questi sistemi non stanno tenendo il passo.

L’AI sta ricreando i problemi di sicurezza della catena di approvvigionamento in nuove forme

Per oltre un decennio, le organizzazioni hanno lavorato per migliorare la sicurezza della catena di approvvigionamento del software tracciando le dipendenze, monitorando le vulnerabilità e stabilendo framework di governance. Tuttavia, il rapporto di Manifest sostiene che l’AI sta di fatto reintroducendo molti dei same rischi – ora diffusi tra modelli, set di dati, agenti e servizi di AI di terze parti.

I componenti dell’AI operano spesso come sistemi opachi. Le imprese spesso non possono spiegare completamente come sono stati addestrati i modelli, quali set di dati sono stati utilizzati o quali servizi esterni sono incorporati all’interno delle loro applicazioni. Di conseguenza, le organizzazioni affrontano una nuova classe di rischio della catena di approvvigionamento: sistemi software che non possono essere ispezionati, verificati o monitorati in modo affidabile nel tempo.

Il rapporto sottolinea che la visibilità sta già scivolando. Il 63% delle organizzazioni segnala la presenza di “AI in ombra”, che si riferisce a strumenti o integrazioni di AI adottate senza la supervisione delle squadre di sicurezza, di acquisto o di gestione dei rischi.

Daniel Bardenstein, CEO e co-fondatore di Manifest, ha detto che i dati rivelano un divario in crescita tra la percezione degli executive e la realtà operativa: “La fiducia degli executive nella prontezza per l’AI non corrisponde a ciò con cui le squadre di sicurezza delle applicazioni si confrontano quotidianamente. I leader ritengono che la governance sia in atto, ma i pratici vedono un utilizzo non gestito di AI, una proprietà non chiara e punti ciechi in ciò che effettivamente funziona attraverso prodotti e vendor.”

Gli executive dicono di essere pronti, le squadre di sicurezza dissentono

Una delle scoperte più sorprendenti nel rapporto è la divergenza tra la fiducia della leadership e le valutazioni della sicurezza di prima linea.

Quasi l’80% degli executive della sicurezza afferma che le loro organizzazioni hanno pratiche di sicurezza dell’AI mature, eppure solo circa il 40% delle squadre di sicurezza delle applicazioni concorda con tale valutazione.

Le squadre di sicurezza delle applicazioni sono spesso le prime a incontrare fallimenti operativi nei framework di governance perché interagiscono direttamente con la catena di approvvigionamento del software. Questi pratici segnalano di incontrare volumi elevati di avvisi, una proprietà non chiara delle responsabilità di sicurezza e strumenti frammentati attraverso ambienti di sviluppo e sicurezza.

Secondo il rapporto, il 47% dei rispondenti ha identificato team isolati e una proprietà non chiara come il più grande ostacolo al miglioramento della sicurezza della catena di approvvigionamento del software.

Il risultato è un ambiente in cui le organizzazioni possono credere di avere programmi di sicurezza solidi mentre restano lacune critiche nella visibilità, nella responsabilità e nella coordinazione operativa.

La paradosso dell’SBOM: generato ma raramente utilizzato

Un’altra importante scoperta dello studio riguarda i Software Bills of Materials (SBOM) – inventari di componenti software progettati per aiutare le organizzazioni a tracciare le dipendenze e le vulnerabilità.

L’adozione di SBOM si è estesa notevolmente negli ultimi anni, in particolare a causa della pressione regolamentare e degli attacchi alla catena di approvvigionamento. Tuttavia, la ricerca di Manifest suggerisce che molte organizzazioni trattano la generazione di SBOM come una casella di controllo per la conformità piuttosto che come una capacità operativa.

Il rapporto mette in evidenza diverse statistiche chiave:

  • Il 60% delle organizzazioni genera SBOM
  • Più della metà non gestisce o utilizza attivamente tali SBOM nella pratica
  • Il 79,6% utilizza strumenti di analisi della composizione del software (SCA)
  • L’utilizzo operativo degli SBOM rimane molto più basso, al 41,8%

Senza un’introduzione centralizzata, normalizzazione, applicazione delle politiche e monitoraggio continuo, gli SBOM diventano artefatti statici piuttosto che strumenti di gestione del rischio attivi.

Le squadre di sicurezza esprimono anche scetticismo nei confronti delle tradizionali piattaforme di analisi della composizione del software. Il 56,3% dei rispondenti afferma che gli strumenti SCA creano rumore o ritardano i team di sviluppo, mentre il 46,4% dubita che questi strumenti riducano efficacemente il rischio software nel mondo reale.

Questa disconnessione illustra una sfida di maturità più ampia: le organizzazioni possono generare grandi volumi di dati di sicurezza ma spesso mancano dell’infrastruttura operativa per tradurre quei segnali in riduzione del rischio azionabile.

I dati di trasparenza migliorano la sicurezza e la velocità di distribuzione

Nonostante queste sfide, la ricerca mostra che le organizzazioni che raggiungono una trasparenza significativa attraverso le loro catene di approvvigionamento del software ottengono benefici misurabili.

Quasi la metà dei rispondenti (49,4%) segnala di ricevere dati di trasparenza verificabili – come SBOM, registri di provenienza o binari firmati – dai vendor durante l’acquisto.

Quando queste informazioni sono attendibili e operative, l’impatto è significativo:

  • Il 64% segnala un’implementazione più rapida di nuove tecnologie
  • Il 61,6% segnala una risoluzione più rapida dei problemi di sicurezza
  • Il 15,5% segnala un tempo di fermo ridotto

Le organizzazioni che mancano di tale trasparenza pagano ciò che il rapporto descrive come una “tassa di trasparenza” – il tempo, il costo e il rischio aggiuntivi associati all’indagine manuale dei componenti software opachi.

I settori altamente regolamentati illustrano questa sfida. Le organizzazioni di servizi finanziari e sanitarie segnalano alcuni dei tassi più bassi di ricezione di dati di trasparenza verificabili dai vendor – 14,3% e 19,5% rispettivamente, nonostante abbiano il maggior bisogno di tali dati.

L’adozione dell’AI sta accelerando in tutta l’impresa

Lo studio sottolinea anche come rapidamente l’AI sia diventata integrata attraverso gli ecosistemi software aziendali.

Virtually nessuna organizzazione intervistata ha segnalato di evitare completamente l’AI. Invece, le aziende stanno sperimentando attraverso una gamma di approcci:

  • L’80,2% utilizza modelli di AI commerciali approvati internamente
  • Il 79,9% utilizza ampiamente strumenti commerciali come ChatGPT o Cursor
  • Il 56,7% addestra modelli di peso aperto su dati interni
  • Il 29,3% costruisce modelli di AI personalizzati da zero

Le organizzazioni di servizi finanziari e tecnologici sono in prima linea nell’adozione. Quasi il 90% delle organizzazioni di servizi finanziari segnala modelli di AI interni approvati, e il 46,9% costruisce modelli personalizzati da zero, ben al di sopra della media generale.

Questi settori hanno forti incentivi per muoversi rapidamente. Nei servizi finanziari, l’AI influenza direttamente la rilevazione delle frodi, la gestione dei rischi e la generazione di entrate. Nelle aziende tecnologiche, l’AI si trova sempre più al centro delle offerte di prodotti e delle capacità delle piattaforme.

Tuttavia, il ritmo accelerato dell’adozione spesso supera la governance.

L’AI in ombra sta diventando un problema diffuso

La ricerca conferma che l’AI in ombra – strumenti o modelli distribuiti senza una supervisione formale – è già diffusa.

Solo il 34,8% dei rispondenti segnala di non avere AI in ombra nelle loro organizzazioni, mentre il resto ammette almeno un utilizzo non gestito di AI.

Questo modello riflette le precedenti ondate di “IT in ombra”, dove i dipendenti adottavano servizi cloud o strumenti SaaS al di fuori dei processi di acquisto ufficiali.

Le differenze regionali stanno anche emergendo. Le organizzazioni in EMEA segnalano tassi più elevati di funzionamento senza AI in ombra (45,7%), probabilmente a causa di quadri regolamentari più solidi e processi di acquisto più severi rispetto ad altre regioni.

Tuttavia, il rapporto avverte che gli strumenti di sicurezza tradizionali non sono stati progettati per tracciare modelli di AI, set di dati e servizi attraverso ambienti di sviluppo distribuiti.

I rischi di licenza e legali sono un altro punto cieco importante

Al di là della governance tecnica, lo studio sottolinea anche le sfide legali e di conformità associate all’adozione dell’AI.

Comprendere i termini di licenza, i diritti di proprietà intellettuale e le restrizioni d’uso dei modelli e dei set di dati di AI rimane difficile per molte organizzazioni. Il sondaggio ha scoperto:

  • Il 93% dei rispondenti afferma che la propria organizzazione ha bisogno di migliorare la gestione delle licenze e degli obblighi di proprietà intellettuale dell’AI
  • Il 54,6% è fortemente d’accordo che questo rimane una sfida importante

Questi rischi diventano particolarmente acuti quando le organizzazioni addestrano modelli di peso aperto su dati interni o combinano set di dati proprietari con componenti di AI di terze parti.

Senza framework di governance più solidi, le aziende potrebbero introdurre involontariamente violazioni di licenza o esposizioni alla conformità nei sistemi di produzione.

L’allineamento operativo potrebbe essere la vera sfida

Mentre gli strumenti di sicurezza continuano a evolversi, il rapporto suggerisce che la maggiore barriera alla sicurezza efficace della catena di approvvigionamento dell’AI potrebbe non essere la tecnologia stessa.

Invece, molte organizzazioni lottano con una proprietà frammentata, flussi di lavoro disconnessi e l’assenza di un sistema di registrazione condiviso per componenti software e AI.

Le limitazioni più frequentemente citate includono:

  • Il 47,3% di vincoli organizzativi
  • Il 36,3% di competenze insufficienti
  • Il 35,7% di limitazioni di budget
  • Il 34,8% di mancanza di comprensione della gestione
  • Il 32,6% di carenza di personale

Queste lacune operative rendono difficile per i segnali di sicurezza tradursi in un’applicazione coerente delle politiche o in una riduzione misurabile del rischio.

Perché la sicurezza della catena di approvvigionamento dell’AI sta diventando una priorità strategica

Mentre l’AI si integra in ogni livello del software aziendale, il concetto di catena di approvvigionamento del software si sta estendendo per includere modelli, set di dati di addestramento, servizi di inferenza e piattaforme di AI di terze parti.

Il rapporto di Manifest conclude che le organizzazioni devono andare oltre gli strumenti di visibilità punto-nel-tempo e costruire un controllo operativo continuo sulla loro catena di approvvigionamento dell’AI.

Ciò include:

  • Tracciare tutti i modelli di AI utilizzati attraverso gli ambienti di sviluppo
  • Verificare la provenienza e la licenza dei dati di addestramento
  • Applicare le politiche di governance durante lo sviluppo e la distribuzione
  • Mantenere inventari continui simili agli SBOM per i componenti dell’AI

Senza questi meccanismi, il divario tra l’adozione dell’AI e la governance dell’AI continuerà ad allargarsi.

E come lo studio mette in chiaro, quel divario esiste già all’interno di molte imprese oggi.

Data Enforcing governance policies during development and deployment Maintaining continuous inventories similar to SBOMs for AI components Without these mechanisms, the gap between AI adoption and AI governance will continue to widen. And as the study makes clear, that gap already exists inside many enterprises today.

mm

Antoine è un leader visionario e socio fondatore di Unite.AI, guidato da una passione incrollabile per plasmare e promuovere il futuro dell'AI e della robotica. Un imprenditore seriale, crede che l'AI sarà altrettanto disruptiva per la società quanto l'elettricità, e spesso viene colto a parlare con entusiasmo del potenziale delle tecnologie disruptive e dell'AGI.
Come futurist, è dedicato a esplorare come queste innovazioni plasmeranno il nostro mondo. Inoltre, è il fondatore di Securities.io, una piattaforma focalizzata sugli investimenti in tecnologie all'avanguardia che stanno ridefinendo il futuro e ridisegnando interi settori.