interviste
Mark Nicholson, responsabile della modernizzazione della sicurezza informatica di Deloitte negli Stati Uniti – Serie di interviste: una conversazione di ritorno
Marco Nicholson, Responsabile della modernizzazione della sicurezza informatica di Deloitte negli Stati Uniti, è Principal presso Deloitte con oltre vent'anni di esperienza all'intersezione tra sicurezza informatica, intelligenza artificiale e gestione del rischio aziendale. Guida le iniziative di Cyber AI e la strategia commerciale per la divisione Cyber di Deloitte, aiutando le grandi organizzazioni a modernizzare i propri framework di sicurezza e ad allineare gli investimenti in sicurezza informatica con l'evoluzione del panorama dei rischi. Prima di entrare in Deloitte, ha co-fondato e ricoperto il ruolo di COO di Vigilant, Inc., una società di consulenza in sicurezza informatica specializzata in threat intelligence e monitoraggio degli eventi dannosi. La sua precedente esperienza in ruoli di vendita e sviluppo commerciale presso diverse aziende tecnologiche gli ha fornito una solida base sia negli aspetti tecnici che commerciali della sicurezza informatica.
Deloitte è una delle più grandi società di servizi professionali al mondo, che offre servizi di revisione contabile, consulenza, fiscalità e advisory a organizzazioni in quasi tutti i settori. La sua divisione di cybersecurity si concentra sull'aiutare le aziende a gestire scenari di minaccia sempre più complessi, consentendo al contempo la trasformazione digitale attraverso tecnologie come l'intelligenza artificiale. L'azienda fornisce servizi che spaziano dalla strategia informatica alla resilienza, dalla gestione del rischio alla sicurezza aziendale, posizionando la cybersecurity sia come funzione protettiva sia come fattore strategico abilitante per l'innovazione e la crescita.
Questo segue a intervista precedente che è stato pubblicato nel 2025.
Lei è coinvolto nella sicurezza informatica fin dagli albori del moderno monitoraggio delle minacce, avendo co-fondato Vigilant e contribuito a portare sul mercato le prime funzionalità di Security Information and Event Management (SIEM) e di threat intelligence. In che modo l'evoluzione da quei primi sistemi di monitoraggio alle odierne piattaforme di difesa informatica basate sull'intelligenza artificiale ha cambiato il modo in cui le organizzazioni rilevano e rispondono alle minacce?
Quando abbiamo iniziato a costruire piattaforme di monitoraggio agli albori del SIEM, la sfida principale era raccogliere i dati in un unico luogo e renderli comprensibili. Ricordo quando gli analisti stampavano i log dei firewall ogni mattina e li esaminavano manualmente per cercare di individuare anomalie. Anche con la maturazione del SIEM, persisteva un problema di scalabilità. La velocità umana non era sufficiente a gestire l'enorme numero di eventi rilevati. Nonostante l'automazione, i difensori della sicurezza informatica si trovavano ancora ad affrontare un problema di correlazione e analisi dei dati, lavorando costantemente alla stesura di nuove regole, spesso in risposta a malfunzionamenti del monitoraggio.
Una delle speranze è che l'intelligenza artificiale (IA) possa cambiare radicalmente questa dinamica. Oltre a implementare capacità agentive per automatizzare le operazioni di sicurezza di livello 1, l'IA promette di contribuire a spostare il rilevamento e la risposta da un approccio "a posteriori" a uno molto più immediato, sfruttando la regolazione dinamica degli algoritmi di monitoraggio. In alcuni casi, le organizzazioni di sicurezza informatica si sentiranno a proprio agio anche nel lasciare che sia l'IA ad avviare le azioni correttive.
Ma la difficoltà non scompare, si sposta. Man mano che i sistemi diventano più autonomi e complessi, la fiducia e l'osservabilità diventano un campo di battaglia: cosa sta facendo il sistema, perché lo sta facendo e come possiamo essere certi che non sia stato manipolato? Le opportunità offerte dall'intelligenza artificiale sono enormi, ma aumentano anche la posta in gioco quando l'ambiente opera alla velocità di una macchina.
Hai osservato che l'IA sta consentendo agli avversari di automatizzare la ricognizione, generare exploit e accelerare i cicli di attacco. In termini pratici, di quanto ha ridotto l'IA il tempo che intercorre tra la scoperta di una vulnerabilità e il suo sfruttamento?
Storicamente, c'era spesso un intervallo di tempo tra la scoperta di una vulnerabilità e il suo sfruttamento. C'era certamente urgenza, ma in genere, a meno che non si venisse colpiti da una vulnerabilità zero-day, c'era tempo per comprendere la minaccia, applicare una patch e mitigarla prima che un attaccante potesse sfruttare le vulnerabilità su larga scala. L'intelligenza artificiale ha praticamente eliminato questo intervallo di tempo.
Gli avversari possono automatizzare la ricognizione, eseguire scansioni continue per individuare vulnerabilità e utilizzare strumenti basati sull'intelligenza artificiale per accelerare fasi di sviluppo e individuazione degli exploit. In molti casi, ciò che prima richiedeva settimane ora può essere completato in poche ore e, in scenari altamente automatizzati, può risultare persino più veloce di quanto la maggior parte dei programmi di sicurezza sia in grado di gestire.
Il messaggio chiave è semplice: i team di sicurezza hanno bisogno di automazione e intelligenza artificiale sul fronte della difesa, abbinate a controlli rigorosi, se vogliono rimanere al passo con i tempi.
I team di sicurezza si stanno spostando sempre più da modelli di supervisione "con intervento umano" a modelli "con intervento umano". Come si traduce operativamente questo cambiamento all'interno di un moderno Security Operations Center (SOC) e come dovrebbero le organizzazioni ripensare i ruoli degli analisti man mano che l'IA assume compiti più autonomi?
In un SOC tradizionale, gli analisti si trovano al centro di ogni processo decisionale. Arrivano gli avvisi, gli analisti li valutano, li esaminano e determinano quali azioni intraprendere. Questo approccio funzionava quando il volume degli avvisi e la frequenza degli attacchi erano gestibili. Ma nell'ambiente odierno, la portata dell'attività è semplicemente troppo elevata perché gli esseri umani possano fungere da filtro per ogni decisione.
Il passaggio a un modello in cui l'intervento umano è presente significa che i sistemi di intelligenza artificiale possono svolgere molte delle attività di routine che prima erano gestite dagli analisti, come la valutazione degli avvisi, la raccolta di informazioni contestuali, la correlazione dei dati e l'esecuzione di determinate azioni correttive. Il ruolo umano diventa quindi quello di supervisione e convalida, anziché di esecuzione manuale.
Dal punto di vista operativo, ciò significa che il tempo degli analisti viene spostato dalla gestione degli avvisi a compiti di maggior valore, come la ricerca delle minacce, l'ingegneria dei sistemi di rilevamento, la simulazione degli avversari e il miglioramento dell'architettura difensiva. Gli esseri umani rimangono essenziali, ma il loro ruolo si evolve verso la supervisione, la valutazione e la strategia, piuttosto che verso l'elaborazione primaria dei dati di sicurezza.
Si parla molto di "IA sicura fin dalla progettazione". Dal vostro punto di vista, perché questo concetto dovrebbe estendersi oltre la sicurezza dei modelli, includendo sistemi di identità, architettura dei permessi e livelli di orchestrazione?
Molte discussioni sull'IA sicura si concentrano principalmente sul modello stesso, ad esempio sulla protezione dei dati di addestramento, sulla prevenzione dell'avvelenamento del modello o sulla difesa dagli attacchi di prompt injection. Si tratta di problemi reali, ma rappresentano solo una parte del rischio.
In pratica, i sistemi di intelligenza artificiale operano all'interno di ecosistemi digitali molto più ampi. Accedono ai dati, interagiscono con le API, attivano flussi di lavoro e, sempre più spesso, operano tramite agenti in grado di agire con un certo grado di autonomia.
Quando ciò accade, l'identità e le autorizzazioni diventano il piano di controllo. Gli agenti di intelligenza artificiale sono di fatto nuove identità digitali all'interno dell'azienda. Se queste identità non vengono gestite correttamente, possono introdurre rischi significativi.
Un'IA sicura fin dalla progettazione deve quindi estendersi alla governance delle identità, ai controlli di accesso, ai livelli di orchestrazione e ai sistemi di monitoraggio che tracciano le attività di questi agenti. Le organizzazioni devono trattare gli agenti di IA in modo molto simile agli utenti umani, con autorizzazioni definite, audit e supervisione, altrimenti la superficie di attacco si espande rapidamente.
Molte aziende stanno integrando strumenti di intelligenza artificiale nei flussi di lavoro di sicurezza preesistenti, progettati per essere eseguiti a velocità umana. Quali sono i principali cambiamenti architetturali che le organizzazioni devono apportare per sfruttare appieno il potenziale dell'IA nella difesa informatica?
Un modello comune è quello di integrare l'intelligenza artificiale in processi e flussi di lavoro preesistenti, progettati per operazioni gestite da esseri umani. Non è un cattivo approccio iniziale, soprattutto ora che la visione artificiale è diventata una realtà. Ad esempio, Deloitte ha creato un agente che può essere addestrato a sostituire l'operatore umano nel processo di gestione e amministrazione delle identità, senza dover dismettere soluzioni software specifiche già esistenti, la cui dismissione sarebbe complessa. Questo può portare a notevoli risparmi sui costi.
Il vantaggio futuro, tuttavia, è che le aziende probabilmente inizieranno a ripensare i flussi di lavoro di sicurezza end-to-end: modernizzare l'infrastruttura dati in modo che gli strumenti di sicurezza possano accedere in modo affidabile a dati di telemetria di alta qualità e ben strutturati; creare un sistema di orchestrazione in modo che le funzioni di rilevamento, risposta e identificazione operino come un sistema coordinato, non come strumenti scollegati.
L'identità si conferma come uno dei controlli più critici. Con l'introduzione di un numero sempre maggiore di automazione e agenti di intelligenza artificiale, il numero di identità non umane cresce in modo significativo. Gestire efficacemente tali identità diventa quindi essenziale per mantenere il controllo.
La sicurezza nativa dell'IA è in definitiva una combinazione di dati migliori, migliore orchestrazione e governance che tenga conto sia degli attori umani che di quelli automatici.
Con l'aumentare dell'autonomia dei sistemi di intelligenza artificiale, la superficie di attacco si espande in aree come l'orchestrazione degli agenti, le catene di API e i processi decisionali automatizzati. Quale di queste superfici emergenti ti preoccupa di più?
Se dovessi scegliere un'area che merita attenzione immediata, sarebbe quella relativa all'identità e alle autorizzazioni di accesso ai dati all'interno dei sistemi basati su agenti.
Con l'introduzione di un numero sempre maggiore di IA agentive nelle organizzazioni, si sta creando una popolazione crescente di attori autonomi che operano all'interno dell'azienda. Questi agenti possono avere accesso a dati, API e flussi di lavoro incredibilmente potenti, il che li rende un bersaglio appetibile per un aggressore se le autorizzazioni non vengono progettate, monitorate e verificate rigorosamente. È fondamentale trattare ogni agente come un nuovo dipendente: assegnargli un nome, definirne l'ambito, monitorarlo e consentirne la rapida disconnessione in caso di necessità.
Anche le catene di API e le pipeline decisionali automatizzate introducono dei rischi, ma la governance dell'identità è spesso il controllo fondamentale. Se non si riesce a definire con chiarezza chi è un agente, a cosa può accedere e cosa ha fatto, in realtà non lo si controlla.
Dal punto di vista del consiglio di amministrazione, come considerano attualmente i dirigenti e gli amministratori il rischio informatico derivante dall'intelligenza artificiale e dove si riscontra il divario maggiore tra la realtà tecnica e la comprensione a livello di consiglio?
I consigli di amministrazione sono sempre più consapevoli che, se da un lato l'IA offre enormi opportunità, dall'altro può anche comportare rischi significativi. La maggior parte degli amministratori comprende che l'IA plasmerà la trasformazione aziendale e sta iniziando a porsi domande su governance, sicurezza e resilienza.
Il divario emerge spesso in termini di velocità e complessità. Molte discussioni nei consigli di amministrazione si basano ancora sui modelli di sicurezza informatica tradizionali, che rimangono importanti, ma non sempre riflettono la rapidità con cui le minacce basate sull'intelligenza artificiale possono evolversi e diffondersi.
L'altro problema è che "La nostra IA è sicura?" sembra una domanda semplice, ma la risposta si articola in diversi ambiti: governance dei dati, integrità dei modelli, gestione delle identità e orchestrazione su più sistemi. I consigli di amministrazione che stanno colmando questo divario promuovono la rendicontazione basata sui controlli, che rende visibili e verificabili questi elementi interconnessi, e investono tempo nella formazione dei dirigenti, affinché la supervisione tenga il passo con la tecnologia.
L'intelligenza artificiale viene sempre più utilizzata da entrambe le parti del campo di battaglia. Stiamo entrando in una corsa agli armamenti permanente tra IA e IA nel settore della sicurezza informatica? E se sì, quali vantaggi hanno i difensori che gli attaccanti potrebbero faticare a replicare?
È evidente che ci troviamo in un'era in cui l'intelligenza artificiale viene utilizzata sia dagli attaccanti che dai difensori. Gli avversari la stanno già impiegando per accelerare la ricognizione, identificare le vulnerabilità e automatizzare alcune fasi del ciclo di attacco. Tuttavia, i difensori conservano ancora vantaggi concreti se scelgono di sfruttarla.
I difensori hanno visibilità sul proprio ambiente, accesso alla telemetria interna e la capacità di costruire architetture a più livelli che gli attaccanti devono aggirare. L'intelligenza artificiale può aiutare i difensori ad analizzare enormi volumi di dati provenienti da reti, endpoint e identità, offrendo loro la possibilità di rilevare comportamenti anomali molto prima.
Il punto cruciale è l'adozione. Se i difensori rimangono ancorati a flussi di lavoro manuali mentre gli attaccanti automatizzano, l'asimmetria diventa brutale. La corsa agli armamenti è reale e i vincitori saranno coloro che implementeranno l'IA con una solida governance, non coloro che si limiteranno a gestirla.
Nel suo lavoro di consulenza per le grandi aziende, quali sono gli errori più comuni che le organizzazioni commettono quando cercano di integrare l'intelligenza artificiale nella loro strategia di sicurezza informatica?
Uno degli errori più comuni che riscontriamo è quello di considerare l'IA come uno strumento a sé stante anziché come un cambiamento architetturale. I team conducono esperimenti isolati senza aggiornare le fondamenta dei dati, il modello di governance o i processi operativi necessari per sostenere l'impatto, il che porta a una stagnazione dei risultati.
Un altro errore consiste nell'implementare funzionalità di intelligenza artificiale senza tenere pienamente conto dei nuovi rischi: nuove identità, nuovi flussi di dati e percorsi decisionali automatizzati che ampliano la superficie di attacco. Se questi elementi vengono aggiunti senza i controlli adeguati, l'IA può generare fragilità anziché resilienza.
Infine, molte organizzazioni sottovalutano l'importanza del coinvolgimento dei dipendenti. Chi si occupa quotidianamente di sicurezza sa dove si annidano i punti critici e cosa significa un buon risultato. Le trasformazioni più efficaci coinvolgono questi team fin dalle prime fasi, in modo che la tecnologia amplifichi il loro giudizio anziché comprometterlo.
Guardando ai prossimi tre-cinque anni, come si presenterà un centro operativo di sicurezza (SOC) basato sull'intelligenza artificiale rispetto agli attuali ambienti SOC?
Beh, probabilmente sarà molto diverso, sotto molti aspetti che non posso prevedere. Con ogni probabilità, il SOC del futuro opererà come una forza lavoro ibrida, composta da esseri umani e tecnologie digitali. I sistemi di intelligenza artificiale gestiranno gran parte dell'elaborazione dei dati, della correlazione e delle attività di risposta iniziale. I sistemi basati su agenti contribuiranno ad automatizzare i flussi di lavoro relativi alla gestione delle vulnerabilità, alla governance delle identità, alla risposta agli incidenti e al monitoraggio continuo dei controlli.
Gli analisti umani restano essenziali, ma il centro di gravità si sposta: la supervisione dei sistemi di intelligenza artificiale, la convalida dei casi d'uso di rilevamento (anziché la loro stesura), l'indagine su minacce complesse e il miglioramento dell'architettura difensiva.
L'obiettivo non è eliminare l'intervento umano, bensì valorizzarne il ruolo. Invece di dedicare tempo alla valutazione degli avvisi e alla raccolta manuale dei dati, gli analisti si concentreranno sugli aspetti strategici della sicurezza informatica. La domanda che ci si pone è: "Come formeremo la prossima generazione di professionisti della sicurezza quando i livelli 1 e 2 saranno completamente automatizzati?". Forse la risposta risiede nel notevole miglioramento delle tecnologie di simulazione e formazione che l'intelligenza artificiale potrà aiutarci a sviluppare.
Le organizzazioni che riusciranno a creare una forza lavoro ibrida efficace, combinando le competenze umane con l'automazione basata sull'intelligenza artificiale, saranno probabilmente nella posizione migliore per operare alla velocità richiesta nell'attuale contesto di minacce.
Grazie per l'ottima intervista, i lettori che desiderano saperne di più dovrebbero visitare Deloitte o leggere il nostro intervista precedente.
