analisi

Shadow AI, la minaccia invisibile che sfida la sicurezza aziendale



Indirizzo copiato

L’uso non autorizzato dell’intelligenza artificiale da parte dei dipendenti sta ridefinendo le politiche aziendali e mettendo alla prova la leadership IT. Ecco le mosse che i CIO devono attuare per minimizzare i rischi

Pubblicato il 25 nov 2024



Shutterstock_2508364451

L’intelligenza artificiale sta rivoluzionando il modo in cui le aziende lavorano, con un’ondata di strumenti innovativi ormai a portata di clic. Ma ragionando sul mero piano operativo, si tratta di un bene o di un male? Certamente i benefici, per quanto spesso ardui da cogliere, sono innegabili: l’aumento della produttività, l’efficienza operativa potenziata, e la possibilità di prendere decisioni più informate grazie all’elaborazione dei dati in tempo reale sono solo alcuni dei vantaggi tangibili.

Tuttavia, questa rivoluzione ha dato vita anche a una nuova e insidiosa sfida che sta seminando inquietudine tra i professionisti dell’IT e i dirigenti aziendali, costringendoli a ripensare le strategie di sicurezza e gestione dei rischi.

Il fenomeno prende il nome di “Shadow AI” e si presenta come un vero e proprio “campo minato” di complessità tecnologiche e potenziali vulnerabilità: qualcosa di mai visto, in grado di mettere alla prova la capacità delle aziende di bilanciare innovazione e controllo.

Shadow AI: cos’è e perché le aziende devono preoccuparsi 

La Shadow AI si riferisce all’utilizzo di strumenti di intelligenza artificiale da parte dei dipendenti all’interno delle organizzazioni, senza l’approvazione o la supervisione ufficiale dei team IT aziendali.

Uno studio condotto da Software AG rivela che circa metà dei lavoratori utilizza strumenti AI personali, preferendo la libertà e l’indipendenza che questi strumenti offrono. Questi strumenti, spesso scaricati e utilizzati senza il consenso delle divisioni IT, variano da chatbot e assistenti virtuali a software di analisi dati e strumenti di automazione, tutti facilmente accessibili tramite browser.

La ricerca di Software AG sottolinea che, sebbene molti dipendenti siano consapevoli dei rischi associati all’uso di tali strumenti, spesso la loro utilità supera le paure, con molti lavoratori che dichiarano che non rinuncerebbero ai loro strumenti personali anche se fossero vietati dalle loro aziende.

Sharon Maher, AI Thought Leadership di Dell Technologies, evidenzia su Forbes come il fenomeno della Shadow AI sia un’estensione del concetto di “Shadow IT”, dove sistemi e soluzioni vengono adottati al di fuori delle direttive ufficiali dell’IT.

Con l’espansione rapida delle capacità generative dell’AI, gli strumenti sono ormai a portata di clic per i dipendenti, il che sta alimentando una tendenza crescente verso un uso non autorizzato nel contesto professionale.

Parole confermate dal rapporto di Cyberhaven “How employees are leading the charge in AI adoption and putting company data at risk, secondo cui l’uso di strumenti AI nei luoghi di lavoro è aumentato esponenzialmente, con una crescita significativa nella quantità di dati sensibili inseriti in chatbot come ChatGPT e Gemini.

Questa tendenza è indicativa di come la Shadow AI stia diventando una pratica comune, con molti dipendenti che utilizzano account personali per interagire con questi strumenti, senza le stesse misure di sicurezza che sarebbero applicate su account aziendali: un’abitudine diffusa che non solo sottolinea l’utilità percepita di questi strumenti, ma fotografa anche un crescente distacco tra il controllo centrale dell’IT e l’uso effettivo dell’AI da parte dei singoli dipendenti.

I rischi aziendali della Shadow AI: una panoramica dettagliata

Il fenomeno della Shadow AI non solo ridefinisce le dinamiche lavorative all’interno delle organizzazioni, ma porta con sé una serie di rischi aziendali significativi. Questi rischi possono minacciare l’integrità, la sicurezza e l’efficienza operativa delle imprese, e sono amplificati dalla natura non regolamentata e pervasiva dell’utilizzo di AI da parte dei dipendenti. 

Uno dei rischi più evidenti legati alla Shadow AI è quello della sicurezza informatica. L’uso di strumenti AI su account personali, come evidenziato nel rapporto di Cyberhaven, espone l’organizzazione a vulnerabilità significative. Quando i dati sensibili vengono inseriti in chatbot e altri strumenti AI senza le necessarie misure di protezione, aumentano le probabilità di violazioni dei dati e di accesso non autorizzato. Questo è particolarmente preoccupante quando tali strumenti vengono utilizzati per gestire informazioni critiche come il codice sorgente, dati di ricerca e sviluppo, o documenti legali. 

In termini di conformità, la Shadow AI può portare le aziende a violare regolamenti stringenti, come il GDPR o l’EU AI Act. Sreekanth Menon di Genpact, citato da Forbes, sottolinea che l’uso non autorizzato di AI può comportare rischi di non conformità, con conseguenti sanzioni e responsabilità legali: le aziende devono quindi affrontare la sfida di garantire che tutti gli strumenti AI utilizzati dai dipendenti siano conformi alle normative, una sfida complessa data la rapidità con cui questi strumenti vengono adottati . 

Inoltre, la Shadow AI può generare inefficienze organizzative significative. L’assenza di coordinamento centrale per i progetti basati su AI può portare a duplicazioni di sforzi, sprechi di risorse e una frammentazione dell’infrastruttura tecnologica aziendale. Questo è aggravato dalla mancanza di comunicazione tra dipartimenti, che può portare allo sviluppo parallelo di soluzioni simili senza alcuna sinergia o condivisione di risorse. 

Un altro rischio critico è quello legato alla riservatezza dei dati. Il rapporto di Cyberhaven evidenzia che una significativa quantità di informazioni sensibili viene inviata a strumenti AI tramite account personali, mettendo a rischio la privacy e la sicurezza dei dati aziendali. Questo include non solo dati dei clienti, ma anche informazioni interne come i registri delle risorse umane, che rappresentano un significativo vettore di rischio per l’integrità dei dati aziendali. 

Infine, l’uso insicuro di contenuti generati da AI in ambito lavorativo può portare all’introduzione di vulnerabilità nei sistemi aziendali, come dimostrato dagli incidenti di sicurezza documentati da ricercatori di Salt Security, sempre riportati nel report Cyberhaven, dove le conversazioni e dati generati tramite AI sono stati compromessi. Questi rischi, se non adeguatamente gestiti, possono portare a danni reputazionali, perdite finanziarie e una diminuzione della fiducia da parte di clienti e partner.

Mitigazione dei rischi della Shadow AI: strategie per i CIO

Di fronte ai rischi significativi associati alla Shadow AI, i Chief Information Officer devono adottare strategie proattive e olistiche per mitigare tali minacce, garantendo che l’adozione dell’intelligenza artificiale avvenga in sicurezza e nel rispetto delle normative. Queste policy devono essere dettagliate e ben comunicate per essere efficaci.

Policy d’utilizzo

In primo luogo, è cruciale stabilire politiche chiare sull’uso degli strumenti AI all’interno dell’organizzazione. Sharon Maher di Dell Technologies sottolinea l’importanza di “decidere ora quando e come i dipendenti possono accedere agli strumenti AI generativi”. Questo implica l’implementazione di linee guida che specificano quale tipo di dati possono essere inseriti in questi strumenti e per quali scopi. Tali indicazioni devono essere supportate da infrastrutture tecnologiche adeguate, come firewall e VPN, per controllare e monitorare l’accesso.

Comunicazione efficace

Una comunicazione efficace e costante è fondamentale per assicurare che le policy siano comprese e rispettate. Secondo Maher, è essenziale “comunicare chiaramente le politiche interne agli utenti su quali strumenti AI generativi possono utilizzare”.

Questo richiede un impegno continuo nel sensibilizzare i dipendenti attraverso workshop, sessioni di formazione e materiali facilmente accessibili, costruendo una cultura aziendale consapevole dei rischi e delle responsabilità associate all’uso dell’AI.

Formazione

Un altro aspetto chiave è l’educazione e la formazione. Offrire corsi di formazione pratici non solo aiuta i dipendenti a capire come utilizzare gli strumenti AI in modo sicuro, ma anche a identificare e gestire i rischi potenziali. Come suggerito da J-M Erlendson di Software AG, organizzare programmi di formazione rigorosi è essenziale, poiché “gli utenti regolari di AI sono meglio preparati a mitigare i rischi rispetto agli utenti occasionali”. 

Uso sicuro dell’AI

Inoltre, è importante creare un ambiente che favorisca l’uso sicuro dell’AI. Questo include lo sviluppo di una roadmap chiara per i progetti AI e la promozione di casi d’uso AI-IT sicuri e approvati, facilitando l’innovazione senza compromettere la sicurezza. Come affermato da un’analisi SIA Partners, i CIO devono “farsi percepire come ‘evangelisti’ dell’AI”, promuovendo un uso sicuro e consapevole della tecnologia attraverso approcci sperimentali ben regolamentati.

Trasparenza e coinvolgimento

Infine, i CIO devono incoraggiare la trasparenza e il coinvolgimento attivo dei dipendenti nel processo di gestione dell’AI. Ciò può essere ottenuto promuovendo una cultura “aperta”, dove i dipendenti sono incoraggiati a riferire l’uso non autorizzato degli strumenti AI. Questo aiuta l’organizzazione a identificare rapidamente le minacce emergenti e a mitigare i rischi associati a un panorama tecnologico in continua evoluzione.

Una delle sfide più insidiose per i CIO 

La Shadow AI rappresenta una delle sfide più complesse e insidiose che le organizzazioni moderne si trovano ad affrontare nell’era della digitalizzazione e dell’intelligenza artificiale. Questo fenomeno, nato dall’accesso diffuso a strumenti AI non autorizzati, mette in luce la necessità urgente di un cambio di paradigma nella gestione dei rischi tecnologici: non si tratta solo di una questione di tecnologia, ma anche di leadership e visione strategica.

“Non possiamo permettere che la Shadow AI superi in astuzia la governance aziendale – conclude Steve Ponting di Software AG -: è imperativo invece anticipare i rischi con una strategia solida e lungimirante, perché l’AI è qui per restare e dobbiamo affrontarla nel modo giusto, ora”. L’invito ai leader è, in altre parole, quello di guardare oltre le sfide immediate e a costruire un futuro dove l’AI sia un alleato sicuro e potente, piuttosto che una minaccia invisibile.

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Round table
Keynote
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 5