Come proteggere la GenAI

L'indagine mostra che le aziende si stanno affrettando a utilizzare strumenti di IA generativa nonostante le significative preoccupazioni in termini di sicurezza

Il mondo IT ha la tendenza a ripetere gli errori commessi nel tentativo di adottare le ultime innovazioni tecnologiche. Un esempio lampante è ciò che abbiamo visto di recente con l'adozione degli strumenti di intelligenza artificiale generativa (Generative AI, or GenAI) nel corso dell'ultimo anno grazie alla popolarità di ChatGPT. La proliferazione di nuove applicazioni di GenAI è analoga a ciò a cui abbiamo assistito con il SaaS. Le aziende si sono affrettate a far migrare le proprie applicazioni dai data center agli ambienti cloud e hanno iniziato a preoccuparsi della sicurezza (e delle prestazioni) solo in un secondo momento. 

Zscaler ha recentemente commissionato una ricerca intitolata "Come proteggere la GenAI", con l'intento di scoprire il modo in cui le aziende di oggi utilizzano gli strumenti di GenAI, le implicazioni di questa rapida adozione sulla sicurezza e le modalità attraverso cui la proprietà intellettuale e i dati dei clienti vengono protetti lungo il percorso. I risultati, che rappresentano le risposte di 900 responsabili IT in 10 mercati globali, suggeriscono che le organizzazioni avvertono la pressione di doversi affrettare a adottare strumenti di GenAI nonostante le significative preoccupazioni in termini di sicurezza. 

Sono le preoccupazioni legate alla sicurezza a prevalere

Secondo la nostra ricerca, addirittura il 95% delle organizzazioni sta già utilizzando in qualche modo strumenti di GenAI nell'ambito delle proprie operazioni di business. Il 57% dei responsabili IT ne consente l'utilizzo senza restrizioni, mentre poco più di un terzo (38%) adotta un approccio più attento. Il restante 5% degli intervistati preferisce aspettare e vedere dove porterà questa tecnologia o ha vietato integralmente l'uso di questi strumenti. 

Nonostante dati di utilizzo così elevati, un significativo 89% dei responsabili IT intervistati ammette che la propria organizzazione considera la GenAI come un potenziale rischio per la sicurezza, e quasi la metà (48%) concorda sul fatto che la potenziale minaccia potrebbe attualmente superare le opportunità fornite da questi strumenti. 

 

Gran parte delle aziende utilizza strumenti di GenAI

 

Dati questi risultati, l'adozione anticipata della GenAI non sembra essere un rischio così calcolato quanto vorremmo credere. Le aziende infatti, prima di spingersi oltre, farebbero bene a prendere in considerazione sia i problemi di sicurezza che quelli relativi alla privacy. La GenAI promette vantaggi considerevoli in termini di produttività e creatività, quindi impedirne integralmente l'utilizzo può porre le organizzazioni in una sostanziale posizione di svantaggio rispetto alla concorrenza. Da questo punto di vista, è incoraggiante vedere che solo una piccola minoranza ha preso questa strada. L'adozione di questi strumenti, però, deve essere affrontata in modo strategico, con un'attenzione alla sicurezza, al fine di garantirne un utilizzo responsabile e sicuro. 

Da dove provengono le preoccupazioni per la sicurezza?

Le principali preoccupazioni indicate dalle aziende che non utilizzano la GenAI sono la potenziale perdita di dati sensibili, l'incapacità di comprenderne pericoli e benefici e la mancanza di risorse per monitorarne l'utilizzo. Dato che il 23% delle aziende che utilizzano strumenti di GenAI non monitora affatto questo aspetto, è chiaro il motivo per cui proprio quest'ultimo punto sia stato considerato una potenziale minaccia. 

Le organizzazioni non agiscono per risolvere i problemi di sicurezza

 

Quando si introduce una nuova tecnologia, è fondamentale comprendere le sfide specifiche che pone in termini di sicurezza, in modo che queste non ne oscurino il potenziale. La mancata implementazione di misure aggiuntive di sicurezza relative alla GenAI, che è stata ammessa da un terzo delle organizzazioni che la utilizzano, è un'altra mossa rischiosa che potrebbe rendere queste realtà vulnerabili. Sebbene il 31% dello stesso gruppo abbia incluso soluzioni specifiche per la GenAI nel proprio piano d'azione, l'intento è una cosa diversa dall'azione vera e propria, e molte misure temporanee tendono a diventare permanenti. 

In relazione alla GenAI, la principale sfida per la sicurezza risiede nella fuga dei dati; questo sottolinea l'importanza vitale di adottare solide misure in questo senso. Il primo passo che le aziende devono compiere è quindi quello di garantire la visibilità su chi utilizza le app di IA e su quali sono le app di IA utilizzate, per poi controllarne l'utilizzo. Una volta riacquistata visibilità, possono implementare misure per la protezione dei dati iniziando dalla loro classificazione, al fine di evitare la fuga delle informazioni. Sorprendentemente, solo il 46% degli intervistati ritiene che la propria azienda abbia classificato tutti i dati in base al livello di criticità. Un ulteriore 44% ha iniziato a classificare alcuni dei dati per poi implementare misure di sicurezza. Tutto questo lascia comunque un grande abisso ancora da colmare.

Le organizzazioni devono agire subito per riprendere in mano il controllo

 

L'IT deve assumere il controllo dell'uso e della sicurezza della GenAI

Con aziende che sembrano così impreparate a proteggere la GenAI, potremmo chiederci cosa stia forzando l'adozione rapida di questa tecnologia. 

Sorprendentemente, la pressione per il lancio non proviene da dove si penserebbe. Nonostante la diffusa popolarità, non sembrerebbero i dipendenti la forza trainante dell'attuale livello di interesse e utilizzo: solo il 5% degli intervistati ha affermato infatti che la pressione proviene da questo gruppo, e non si tratta neanche dei contatti commerciali (21%).  Secondo l'indagine, nel 59% dei casi sono gli stessi responsabili IT a essere i promotori di questa adozione. 

Se così fosse quindi, il contesto attuale riguarderebbe meno la "pressione" aziendale per l'introduzione di nuove tecnologie e più il "desiderio" dei team IT di stare al passo con l'innovazione tecnologica. Dato l'interesse ancora limitato da parte dei leader aziendali, sembrerebbe che la GenAI, dall'essere un interesse dei team IT, debba ancora diventare un vero e proprio fattore trainante del business in senso più ampio. 

Il fatto che siano i team IT a promuovere l'adozione anticipata dovrebbe rassicurare sia i responsabili IT che i leader aziendali. Questo significa che c'è spazio per moderare strategicamente il ritmo dell'adozione della GenAI dando all'IT abbastanza tempo per consolidare il controllo sulle proprie misure di sicurezza e privacy prima che i rischi si trasformino in vere e proprie crisi. 

L'implementazione della GenAI dovrebbe essere accompagnata da una soluzione zero trust come la piattaforma Zscaler Zero Trust Exchange, che garantisce piena autorità e supervisione sull'utilizzo della tecnologia per ogni singolo utente e applicazione e consente alle aziende di preservare la sicurezza e il controllo sull'ambiente. I seguenti passaggi consentiranno ai team IT di riprendere in mano il controllo degli strumenti di GenAI:

1. Condurre valutazioni approfondite dei rischi per la sicurezza e la privacy delle applicazioni di GenAI, al fine di comprenderli e rispondere efficacemente.
2. Implementare un'architettura zero trust olistica per ottenere la massima visibilità e autorizzare solo le applicazioni e gli utenti GenAI approvati
3. Stabilire un sistema di logging completo per tenere traccia di tutti i comandi e le risposte di GenAI
4. Abilitare misure per la prevenzione della perdita dei dati basate sullo zero trust, al fine di proteggere tutte le attività di GenAI e prevenire l'esfiltrazione dei dati

Ogni nuova tecnologia porta con sé sia aspetti positivi che negativi. Zscaler è pioniera dell'impiego delle soluzioni zero trust per realizzare in modo sicuro e responsabile l'enorme potenziale della GenAI, guidando l'innovazione con la stessa determinazione con cui ha guidato l'adozione sicura del cloud. Con Zscaler, puoi accelerare drasticamente la tua rivoluzione fondata sull'IA generativa.