Nel pieno sviluppo dell’intelligenza artificiale generativa, il ruolo del Ciso (Chief information security officer) diventa fondamentale per sbloccare il potenziale trasformativo della Gen Ai creando valore per il business, ma arginando i rischi legati a una tecnologia fortemente basata sui dati, con possibili ripercussioni sulla cybersicurezza (moltiplicazione di attacchi informatici a loro volta basati sull’Ai), sulla privacy e sulla proprietà intellettuale. Secondo un’analisi del World economic forum (Wef), il Ciso dovrà lavorare su quattro fronti: la governance dell’Ai generativa, la formazione delle persone, il budget e l’allineamento dei team, ovvero l’organizzazione.
Il direttore della cybersicurezza è fondamentale anche per aiutare a definire il o i business case concreti per l’Ai generativa, studiando rischi e sfide e definendo gli indicatori chiave di prestazione (Kpi) che guideranno soluzioni mirate.
L’intera policy andrà condotta con spirito di innovazione, scrivono gli esperti del Wef, incorporando la flessibilità nella governance. La limitazione dell’accesso alle tecnologie di intelligenza artificiale generativa o l’imposizione di politiche eccessivamente rigorose è controproducente, affermano gli analisti, soprattutto considerando gli alti tassi di adozione già registrati – 45% negli Stati Uniti e 73% in India – che suggeriscono che i dipendenti stanno già utilizzando questi strumenti. Nuove tecnologie emergeranno continuamente, quindi le organizzazioni dovrebbero dare la priorità allo sviluppo di una struttura di governance che tenga conto di tali evoluzioni.
Estrarre valore dall’Ai generativa: la governance
Molte organizzazioni hanno già istituito un centro di eccellenza multidisciplinare per l’Ai generativa, che comprende i team legale, sicurezza informatica, conformità, It, gestione del rischio e risorse umane. Questi centri sono solitamente organizzati come comitati direttivi o gruppi di lavoro che si riuniscono regolarmente, promuovendo attivamente la collaborazione tra i vari dipartimenti e assumendosi la responsabilità di diversi aspetti, tra cui la governance dell’Ai generativa, la formazione del personale, l’assegnazione delle risorse per i progetti e l’allineamento dei team.
In particolare, la governance comprende compiti come la formulazione di nuove policy, l’aggiornamento del codice di condotta It, la definizione dei principi fondamentali dell’intelligenza artificiale responsabile e la definizione concreta del valore dell’Ai generativa per l’organizzazione. La governance della Gen Ai include, inoltre, la creazione di un solido quadro di gestione del rischio, l’esecuzione di un risk assessment e l’attuazione dei controlli necessari per gestire tali rischi.
Alfabetizzazione all’Ai: la formazione
La formazione si esplica nella realizzazione di campagne di sensibilizzazione per il personale, in modo che i dipendenti siano tutti “alfabetizzati” all’uso dell’Ai generativa. Occorrerà anche un lavoro di comunicazione interna sull’impiego degli strumenti di intelligenza artificiale generativa.
Promuovendo una migliore comprensione di questioni come i pregiudizi negli algoritmi, le preoccupazioni per la privacy e le vulnerabilità di sicurezza dei sistemi di intelligenza artificiale, le organizzazioni possono consentire alla loro forza lavoro di prendere decisioni informate quando implementano o interagiscono con le tecnologie di intelligenza artificiale.
È anche fondamentale fornire una guida e delineare chiaramente gli obblighi associati all’uso di strumenti di intelligenza artificiale generativa accessibili al pubblico. Inoltre, gli sforzi di formazione e sensibilizzazione dovrebbero essere allineati con il monitoraggio continuo dell’uso degli strumenti di intelligenza artificiale generativa, facilitando risposte più rapide ai casi di uso improprio e alle minacce associate.
Democratizzazione dell’It: la gestione dei rischi
Sebbene l’Ai non sia una tecnologia nuova per le organizzazioni, la sua democratizzazione per scopi diversi presenta nuove sfide, sottolineano gli analisti del Wef. In passato, le organizzazioni spesso centralizzavano l’utilizzo delle tecnologie di intelligenza artificiale, rendendo più facile per il team di sicurezza informatica tracciarle e controllarle. Tuttavia, l’adozione diffusa dell’Ai generativa in tutte le organizzazioni ha reso questo compito più complesso. Una sfida critica per le organizzazioni è quella di espandere rapidamente e semplificare la governance e la gestione del rischio di pari passo con il crescente uso di tecnologie di intelligenza artificiale generativa in tutta l’organizzazione.
Per ottenere scalabilità nella governance e nella gestione del rischio, è essenziale stabilire un quadro di rischio e controllo che si allinei con i casi d’uso specifici e i modelli di servizio della tecnologia. Le organizzazioni dovrebbero anche definire chiaramente la loro tolleranza al rischio e prendere decisioni ben informate, considerando i compromessi associati.
Mantenere un equilibrio tra i diversi tipi di rischio (model-based, data-related e legale) è fondamentale. Il Ciso offre una prospettiva importante per ottenere un approccio a tutto tondo alla gestione generativa del rischio di Ai. Dato che i rischi posti dai sistemi di intelligenza artificiale generativa trascendono varie discipline di rischio, è imperativo adottare una prospettiva interdisciplinare nell’analisi e nell’affrontare questi rischi.
Le nuove responsabilità del Ciso
Gli analisti del Web descrivono nel dettaglio alcune delle nuove responsabilità del Ciso per quanto riguarda le tecnologie di intelligenza artificiale generativa. Tra queste, campeggia l’istituzione di strutture di governance per l’utilizzo dei dati e la privacy e per dare agli utenti la responsabilità (accountability) nella loro interazione con le tecnologie di intelligenza artificiale generativa.
Altrettanto importante è il compito di fornire consulenza sull’integrazione dell’Ai generativa nei prodotti, collaborando con la gestione del prodotto, il rischio e i team legali per garantire che l’Ai generativa sicura sia parte integrante dei casi d’uso aziendali fin dall’inizio.
Il Ciso dovrà anche essere attivamente coinvolto nella progettazione e nel monitoraggio delle iniziative interne sull’intelligenza artificiale, con particolare attenzione al miglioramento dei processi con i controlli di sicurezza, e nei programmi di formazione e comunicazione per costruire l’alfabetizzazione e l’awareness sulla Gen Ai.
La Gen Ai per la cybersicurezza aziendale
Infine, ma non meno importante, è compito del Ciso esplorare le opportunità presentate dai sistemi di intelligenza artificiale generativi per il team di sicurezza informatica, come facilitare le attività dei centri operativi di sicurezza (Soc) sul rilevamento delle tendenze, la risposta agli attacchi e la gestione degli incidenti.