L'adozione dell'AI sta trasformando le pratiche aziendali in tutti i settori – dall'analisi finanziaria all'ingegneria del software. Le imprese che abbracciano strategicamente questa tecnologia otterranno un notevole vantaggio competitivo.
“Lo sviluppo dell'AI è fondamentale quanto la creazione del microprocessore, del personal computer, di Internet e del telefono cellulare. Cambierà il modo in cui le persone lavorano, apprendono, viaggiano, ricevono assistenza sanitaria e comunicano tra loro. Interi settori si riorganizzeranno attorno ad essa.” – Bill Gates
Come sempre, i leader della sicurezza e della gestione del rischio devono valutare l'impatto dell'introduzione di qualsiasi nuova tecnologia sulla sicurezza e sul profilo di rischio della propria organizzazione.
In Integrity360, valutiamo l'impatto trasformativo dell'AI sulla cybersecurity attraverso quattro pilastri principali:
Utilizzo dell'AI per la difesa cibernetica e le operazioni di sicurezza. Ad esempio, l'uso del linguaggio naturale per le query di caccia alle minacce e l'impiego della GenAI per creare scenari offensivi per il red teaming e gli esercizi simulativi.
Difesa contro le minacce alimentate dall'AI, come la rilevazione di deepfake o avanzate tecniche anti-phishing.
Messa in sicurezza delle applicazioni AI sviluppate dall'azienda.
Protezione del consumo aziendale di applicazioni AI, che approfondiremo in questo blog.
Le applicazioni AI, in particolare la GenAI, sono strumenti eccellenti per le aziende, utilizzate per la ricerca di mercato, la creazione di contenuti, la valutazione del codice e molteplici casi d'uso che aumentano notevolmente la produttività e sbloccano nuove potenzialità. Esistono due modalità principali per il consumo di app AI da parte degli utenti aziendali:
Modalità web: in questa modalità, le app AI vengono utilizzate direttamente dall'utente tramite browser web o chiamate API. Esempi diffusi sono ChatGPT e Claude. Sebbene in questo caso le app non abbiano accesso diretto ai dati aziendali, l'utente può caricare file o inserire dati che espongono informazioni sensibili dell'azienda.
Modalità SaaS: molti fornitori SaaS integrano funzionalità GenAI come strumenti integrati nelle loro app. Gli esempi più noti sono Microsoft 365 e MS365 Copilot, Google Workspace e Gemini, e Salesforce ed Einstein Copilot. In questa modalità, sia i vantaggi che i rischi aumentano, poiché la GenAI può accedere ai dati aziendali a cui l'utente ha diritto.
In modalità web, il rischio è simile all'uso di altre app cloud non autorizzate o siti web e riguarda la perdita di dati. Di solito, gli utenti aziendali utilizzeranno la GenAI con un account personale dal loro dispositivo aziendale e anche dai loro dispositivi personali. I file e i dati caricati possono essere recuperati dallo stesso utente tramite un dispositivo personale o da un attore minaccioso se il loro account personale viene compromesso, considerando che queste app non applicano necessariamente l'autenticazione a più fattori (MFA) e potrebbero non allinearsi con le politiche di sicurezza della vostra organizzazione.
In modalità SaaS, il rischio può essere ancora più elevato, considerando questi scenari:
Lo strumento AI utilizzerebbe i diritti dell'utente, dandogli accesso a dati sensibili che l'utente potrebbe non riuscire ad accedere manualmente, specialmente con permessi utente eccessivi.
I documenti generati dall'AI (che possono contenere dati sensibili) possono essere etichettati in modo errato o condivisi in maniera eccessiva.
Insider malintenzionati possono scansionare milioni di file ed estrarre credenziali, informazioni personali, dati finanziari e altre informazioni sensibili.
In primo luogo, l'organizzazione dovrebbe definire una politica chiara per l'uso dell'AI da parte del proprio personale come parte della propria AUP, abbinata a una formazione sulla sicurezza dell'AI che chiarisca l'uso etico, legale e sicuro dell'AI. I requisiti di formazione differiranno in base al ruolo dell'utente, specialmente se il ruolo richiede l'accesso a dati sensibili o comporta accesso privilegiato, come i ruoli IT e di cybersecurity.
Dal lato dei controlli tecnici, le modalità Web e SaaS richiederanno capacità diverse.
Modalità web: simile ad altre app cloud non autorizzate, il modo più efficace per consentire all'azienda di adottare strumenti AI Web è utilizzare un Secure Web Gateway (SWG) con potenti controlli di protezione dei dati, solitamente parte di una soluzione Security Service Edge (SSE).
Con SSE, i team di sicurezza avranno piena visibilità sull'uso di tali app all'interno dell'organizzazione. Poi, possono applicare i controlli adeguati all'accesso e all'uso di queste app. Considerate questo scenario:
Coaching in tempo reale: l'utente cerca di accedere a ChatGPT e riceve un popup personalizzato che spiega l'uso sicuro di ChatGPT e offre indicazioni per rispettare la politica dell'organizzazione.
Controlli di prevenzione della perdita di dati (DLP): l'utente tenta di caricare un file con dati sensibili o incolla un testo con dati sensibili in ChatGPT; l'azione viene bloccata con un avviso personalizzato che spiega il motivo o richiede una giustificazione.
Per la modalità SaaS, sono necessari controlli di sicurezza più fondamentali per proteggere l'uso delle applicazioni AI in modalità SaaS, in particolare riguardo alla sicurezza SaaS aziendale e alla sicurezza dei dati.
La sicurezza SaaS aziendale richiede la capacità di monitorare e controllare l'accesso e l'uso dell'applicazione SaaS, che può essere coperta da un Cloud Access Security Broker (CASB) – anch'esso componente delle soluzioni SSE. Questo fornirà al team di sicurezza una visione completa di come gli strumenti AI accedono ai dati ospitati nell'app cloud, evidenziando comportamenti a rischio, proteggendo i dati sensibili e fornendo capacità di protezione dei dati e delle minacce.
I controlli fondamentali per la sicurezza dei dati includono la capacità di scoprire, classificare ed etichettare i dati, rivedere i diritti di accesso ai dati e revocare i permessi di accesso eccessivi. La Data Security Platform (DSP) offre un approccio centrato sui dati per la sicurezza, con la possibilità di bloccare i dati sensibili ospitati in IaaS, PaaS e SaaS da un'unica posizione.
In base alle esigenze, ai casi d'uso e all'appetito al rischio di ogni organizzazione, la soluzione ideale per proteggere l'adozione degli strumenti AI SaaS può comprendere una o entrambe le tecnologie.
Utilizzare SWG/SSE per adottare strumenti AI Web in azienda, in sicurezza.
Valutare lo stato delle capacità di sicurezza delle applicazioni cloud e della sicurezza dei dati della propria organizzazione prima di adottare strumenti AI in modalità SaaS.
Implementare la formazione sulla sicurezza dell'AI – basata sul ruolo dell'utente.
Se stai pianificando di adottare strumenti API SaaS come MS365 Copilot o Google Gemini, o sei preoccupato per l'uso attuale degli strumenti AI Web come ChatGPT, possiamo aiutarti con una valutazione del rischio complementare e consigliare le soluzioni più adatte alle esigenze della tua azienda.