La digitalizzazione aziendale è arrivata in modo graduale ma relativamente silenzioso. Non c’è stato un singolo momento di rottura. Senza grande clamore, si è integrata in ogni ambito del business.
Naturalmente ha portato con sé una serie di minacce che nessuno aveva immaginato. Ma le organizzazioni si sono adattate. Hanno costruito modelli di cybersecurity per proteggere sistemi e processi connessi e hanno continuato a operare in questi ambienti protetti.
Ma l’AI è diversa. Sta trasformando interi settori e introduce un insieme radicalmente nuovo di vettori di attacco, sfide legate alla fiducia e lacune di governance che superano la capacità dei programmi di sicurezza pensati per gestirli.
In un recente webinar con Prakash Narayanamoorthy, Global Capacity Leader: Emerging Technology (Cyber) di NTT DATA, e Peter Bailey, Senior Vice President e General Manager: Security di Cisco, abbiamo discusso cosa accade quando l’adozione dell’AI procede più velocemente della sicurezza. Esploriamo alcuni dei temi chiave emersi dalla conversazione.
Il divario tra ambizione e preparazione
Mentre l’AI alimenta crescita e innovazione a livello globale, l’imperativo di adottarla, e tenere il passo con i concorrenti, è diventato innegabile.
Meno chiaro è come farlo in modo sicuro.
I risultati della guida NTT DATA The AI security balancing act: From risk to innovation, basata su conversazioni con oltre 2.300 decision-maker GenAI in 34 Paesi e 12 settori, delineano un quadro coerente: se tutti comprendono la necessità dell’AI, pochi dispongono di una strategia chiara per implementarla e utilizzarla in sicurezza.
I leader stanno camminando su un filo sottile. Devono bilanciare la necessità di adottare rapidamente l’AI e dimostrarne il valore con l’esigenza di promuovere fiducia e trasparenza e prevenire usi impropri della tecnologia. Tuttavia, molti trovano difficile definire questi presìdi.
È qui che molte organizzazioni si trovano oggi: le loro ambizioni in ambito AI stanno accelerando più rapidamente delle strutture necessarie per gestire rischio, fiducia e responsabilità.
Inizia da dove vuoi arrivare
La maggior parte delle organizzazioni non inizia il proprio percorso nell’AI pensando al rischio, ma vedendo l’opportunità. Sanno di dover partire in piccolo con un nuovo caso d’uso, un progetto pilota o una proof of concept per testare il valore e creare slancio. Tuttavia, governance e sicurezza tendono a essere considerate in un secondo momento — qualcosa da affrontare una volta chiariti i benefici.
Considerare la sicurezza come un ripensamento non è mai consigliabile, ma è particolarmente rischioso nel caso dell’AI, perché è così dinamica.
I sistemi di AI non restano statici. Apprendono, si adattano e iniziano a influenzare decisioni e workflow in modi che possono essere difficili da riportare indietro. Quando emergono i rischi, l’AI è spesso già integrata in tutta l’organizzazione. Per questo non può essere trattata come un aspetto secondario.
Se vuoi scalare l’AI in modo responsabile, inizia definendo cosa dovrebbero significare fiducia, governance e responsabilità una volta che il sistema sarà pienamente implementato.
Potrai così stabilire criteri di utilizzo accettabile prima di introdurre nuovi strumenti, definire responsabilità prima di distribuire modelli e progettare controlli assumendo che questi sistemi evolveranno nel tempo.
Shadow AI: ciò che non vedi può farti male
La shadow AI non nasce con intenti malevoli. Spesso parte da buone intenzioni. Forse un membro del team scarica uno strumento di AI che riassume documenti per velocizzare attività ripetitive. Ottimo in linea di principio, ma ha introdotto l’AI nell’ambiente IT senza presìdi o governance.
Se questo diventa comune nell’organizzazione, il team di sicurezza non avrà una visione chiara di quali strumenti AI siano in uso, di quali dati siano stati condivisi e di come un uso improprio possa influenzare decisioni, raccomandazioni o azioni automatizzate.
Ecco perché la visibilità è fondamentale. Permette di comprendere dove e come l’AI opera nell’organizzazione. Senza visibilità, la governance resta teorica e il controllo diventa incoerente.
La sicurezza dell’AI è una disciplina continua
La sfida è che l’AI non esiste in un unico punto. Si trova nei dati, nei modelli, nelle integrazioni e nelle applicazioni — sempre più spesso sotto forma di agenti autonomi.
Poiché ogni tipologia di AI si comporta in modo diverso, cambia nel tempo e introduce rischi specifici, la visibilità non può fermarsi alla semplice scoperta. Comprendere l’utilizzo è solo il primo passo. Occorre anche sapere come il comportamento cambia con l’aggiornamento dei modelli, l’evoluzione dei dati e delle modalità d’uso. È qui che gli approcci tradizionali alla sicurezza mostrano i propri limiti.
Controlli una tantum non sono sufficienti in un ambiente in cui i sistemi apprendono e si adattano continuamente.
Questi sistemi devono essere testati e analizzati ripetutamente per capire dove possano presentare vulnerabilità o essere utilizzati in modo improprio e se i controlli esistenti siano ancora adeguati. La sicurezza, in questo contesto, è una disciplina continua e inizia dalla visibilità come fondamento di tutto ciò che segue.
Ciò che funziona oggi potrebbe non funzionare domani
La sicurezza dell’AI non può basarsi su un singolo controllo. Deve essere costruita a livelli, coprendo l’intero ciclo di vita dell’AI, perché dati, modelli, applicazioni e integrazioni introducono rischi differenti. Ognuno deve essere protetto nel proprio contesto, man mano che i sistemi diventano più interconnessi e autonomi.
Poiché questi livelli non sono statici, controlli che appaiono efficaci al momento del rilascio possono fallire quando modelli e modalità d’uso cambiano. È qui che il red teaming — test intenzionali di stress sui sistemi AI — diventa fondamentale.
Aiuta a comprendere come l’AI si comporta sotto pressione, dove i presìdi si indeboliscono e come possano emergere usi impropri o risultati non intenzionali. Significa mettere l’AI alla prova per verificare che i controlli funzionino sempre come previsto.
Anche i principi di zero trust svolgono un ruolo chiave. In un ambiente guidato dall’AI non si può presupporre fiducia. Che l’interazione provenga da una persona, un sistema o un agente autonomo, ogni richiesta, azione o decisione deve essere verificata.
Scalare l’AI: c’è il modo veloce e il modo giusto
L’adozione dell’AI non rallenta, e ciò significa che anche le superfici di attacco si espandono. Soluzioni reattive e isolate non sono sufficienti. Servono visibilità continua, test costanti e un approccio più flessibile alla sicurezza.
NTT DATA ha stretto una partnership con Cisco per aiutarti a mettere in pratica questi principi. Insieme, ci concentriamo sulla protezione dell’intero ciclo di vita dell’AI, dalla governance e visibilità alla protezione multilivello, ai test continui e ai principi zero trust, affinché la sicurezza evolva in linea con la tecnologia.
L’AI sta ridefinendo il modo in cui le organizzazioni operano e continuerà a farlo. Ma il suo impatto sarà tanto solido quanto i presìdi che metti in atto per governarla. Possiamo aiutarti a costruire un’AI affidabile e scalabile.
COSA FARE ORA
Guarda il webinar completo e scopri come le soluzioni di Cybersecurity di NTT DATA possono rafforzare la tua sicurezza per tenere il passo con l’adozione dell’AI.