Effettua la tua ricerca
More results...
Carta di credito con fido
Procedura celere
Investire e innovare mediante soluzioni di intelligenza artificiale può essere un valido volano di crescita, a patto che si abbia contezza della gestione dei rischi informatici correlati alla nuova tecnologia.
Il World Economic Forum, in collaborazione con Global Cyber Security Capacity Centre dell’Università di Oxford, ha esplorato queste tematiche per orientare strategie e decisioni in modo bilanciato, fra le opportunità emergenti e i rischi di sicurezza informatica associati.
Ne è scaturito un white paper che propone un approccio più esteso del noto “shift left” della sicurezza informatica (ovvero all’approccio per cui è necessario anticipare il design della sicurezza fin dall’avvio di un qualsiasi progetto) e che si contraddistingue per l’aggiunta della necessaria tenuta sotto controllo della cyber security, anche durante le fasi implementative dei sistemi di AI, senza dimenticare gli obiettivi di miglioramento continuo.
Microcredito
per le aziende
Il nuovo termine coniato per l’occasione è quindi sintetizzato nella dicitura “shift left, expand right & repeat“.
Lo studio sui rischi legati all’AI
Pubblicato a gennaio 2025 in occasione dell’ultimo WEF di Davos, il white paper “Artificial Intelligence and Cybersecurity: Balancing Risks and Rewards ” punta a “catalizzare la trasformazione responsabile del settore esplorando le implicazioni strategiche, le opportunità e le sfide della promozione dell’innovazione guidata dall’IA nei modelli aziendali e operativi”, tenendo conto delle implicazioni di sicurezza informatica.
Lo studio fa parte delle iniziative dell’AI Governance Alliance, un gruppo eterogeneo formato da leader del settore, governi, istituzioni accademiche e organizzazioni della società civile coinvolte in progetti e innovazioni nel campo delle AI ed interessate ad una adozione consapevole.
Esigenza di affidabilità
Per innovare in modo affidabile con le tecnologie globalmente ricomprese nella generica dicitura di intelligenza artificiale, è necessario che le aziende possano adattare il loro approccio, per trarre vantaggio in modo sicuro.
Sebbene sia necessario un approccio basato sul rischio anche in campo AI, così come è strutturato oggi, non sembra essere sufficiente, in quanto i sistemi di IA sono intimamente integrati con le altre componenti di una soluzione, di un sistema, o di un intero sistema informativo.
In effetti, l’esigenza di uno stesso approccio end-to-end all’interno dell’organizzazione, si scontra con pratiche di Segregation of duties (SoD, segregazione dei ruoli), Least priviledge (privilegio minimo) e Need-to-know sui dati (restrizione dei dati considerati molto riservati e sensibili) che sono invece abitudini e pratiche ferree di sicurezza nelle organizzazioni.
Pratiche di analisi di rischio e governance per le tecnologie di AI
Si rende quindi necessario un sistema di analisi di rischio e governance che tenga conto sia delle esigenze preventive di progettazione e realizzazione/distribuzione (deployment) sia di quelle post implementazione che possano garantire monitoraggio e resilienza ovvero continuità e ripristino ed essere in linea con le prassi di security.
A tal fine e come primo passo, lo studio propone di mutuare l’esperienza della sicurezza anticipata (secondo la ‘security shift left’) spostando le pratiche di sicurezza “a monte del ciclo di vita del sistema IA (vale a dire, nelle fasi di costruzione e pre-distribuzione) per mitigare i rischi correlati, imponendo l’uso di processi che affrontino le vulnerabilità intrinseche nei sistemi e nei servizi IA utilizzati e acquistati dalle organizzazioni”.
Microcredito
per le aziende
A queste attività preparatorie della progettazione, lo studio suggerisce di “implementare pratiche di sicurezza informatica che proteggano i sistemi di intelligenza artificiale una volta che sono in uso e suggerendo in particolare azioni di:
- comprensione dei rischi più ampi affrontati dalle aziende che utilizzano e dipendono dall’intelligenza artificiale;
- comprensione dei rischi associati alla criticità dei dati elaborati;
- efficaci capacità di sicurezza informatica operativa per proteggere da questi rischi e rilevare gli attacchi;
- processi di risposta e ripristino efficaci per gestire gli incidenti quando si verificano”.
Tutto questo costituisce un’espansione a valle dell’adozione di un sistema di AI che, aggiunto all’approccio a monte, si riassume in ‘shift left, expand right’. Ma non basta.
L’approccio “shift left, expand right & repeat”
Se qualcosa ci ha insegnato il Ciclo di Deming e il metodo Kaizen in tema di miglioramento continuo è che qualsiasi approccio metodologico deve tenere conto dei cambiamenti e progressivamente adeguarsi per garantire flessibilità.
Allora se le tecnologie e il suo uso evolvono nel tempo, lo stesso deve fare l’approccio di sicurezza suggerito, che quindi deve ricomprendere “una ripetuta rivalutazione dei rischi e dei controlli, insieme a prove frequenti e test regolari della preparazione dell’organizzazione”.
Lo studio chiarisce come “ciò rappresenti un’altra opportunità per integrare ulteriormente la valutazione del rischio informatico e le capacità di intelligence nel ciclo di resilienza e adattare le strategie di test in base ai profili di rischio dell’IA in evoluzione e agli sviluppi degli attori delle minacce osservati nel settore”.
Si passa quindi a completare l’approccio ‘shift left, expand right’, con la visione cicicla: ‘shift left, expand right & repeat’.
Le policy di sicurezza
Infine, poiché “i sistemi di AI sono integrati nei processi e nei sistemi aziendali l’analisi di rischio deve poter tenere conto delle policy di sicurezza, ma anche delle interconnessioni dei flussi e soprattutto degli impatti potenziali che un disservizio di tali sistemi potrebbe creare”.
Mutuo 100% per acquisto in asta
assistenza e consulenza per acquisto immobili in asta
Gli esperti spiegano in questo caso che “laddove la garanzia sulla sicurezza dell’intelligenza artificiale sottostante o sull’efficacia delle difese sia limitata, è fondamentale considerare come superare qualsiasi compromesso, includendo eventualmente controlli aggiuntivi all’esterno del sistema stesso o revisionando quali dati dovrebbero o non dovrebbero essere esposti all’intelligenza artificiale”.
Per arrivare, infine, all’obiettivo di un approccio end-to-end è necessario, secondo gli esperti, integrare “i rischi e i controlli in strutture di governance più ampie e processi di gestione dei rischi aziendali”.
Analisi rischio/beneficio
A valle di una analisi di rischio estesa, che ricomprenda anche la BIA per gli impatti potenziali sui dati e sui processi che coinvolgono sistemi di AI, i decisori sono invitati ad un approccio preventivo di valutazione e analisi rischio/costo/beneficio per “assicurarsi che il beneficio sia commisurato ai costi e ai rischi”.
E per esserne certi suggeriscono che “le aziende tengano conto dei potenziali rischi di guasti del sistema di IA accidentali o dovuti ad attacchi malevoli”, aggiungendo, se possibile, di rivalutare periodicamente, ad ogni ciclo evolutivo delle tecnologie di AI adottata.
Questo richiede ai leader aziendali/decisori un aggiornamento continuo della loro comprensione della tecnologia.
L’auspicio a fare una più ampia collaborazione
Il richiamo finale dello studio è un auspicio a fare una più ampia collaborazione fra stakeholder ovvero comunità IA e sicurezza informatica, gli enti regolatori e i decisori politici sia per scambiare buone prassi, sia per proteggere le catene di fornitura.
Finanziamenti e agevolazioni
Agricoltura
Ma fino ad oggi le logiche di concorrenza spietata e di spartizione del mercato non hanno favorito questa piena collaborazione pubblico-privata, che resta pertanto e per ora, una fulgida chimera dei nostri tempi.
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
