Shadow AI: Un Fenomeno in Crescita che Richiede Governance
Il Generative AI (GenAI) è già profondamente integrato nelle imprese, che i manager lo vogliano o meno. I team di vendita lo utilizzano per redigere email, gli ingegneri eseguono agenti che generano e testano codice, e i marketer si affidano a esso per la scrittura di testi e l’ideazione di campagne. Tuttavia, gran parte di questo avviene senza un’approvazione formale, supervisione o controllo.
Questo fenomeno è noto come Shadow LLM o Shadow AI: l’uso non approvato e non supervisionato degli strumenti GenAI che spesso rimane completamente sotto il radar.
La Necessità di Visibilità
Simile all’Shadow IT, la visibilità è fondamentale per i team di sicurezza per ottenere informazioni sugli strumenti GenAI in uso, su come vengono utilizzati e quali utenti presentano il maggior rischio. Questo non è guidato da cattive intenzioni; gli utenti finali si rivolgono agli strumenti GenAI per motivi validi. È semplicemente un caso in cui la velocità supera la supervisione. Questi strumenti sono facili da accedere, veloci da implementare e incredibilmente produttivi, ma sono anche difficili da monitorare. Nella maggior parte dei casi, non esiste un audit trail da seguire quando qualcosa va storto.
I Dati Parlano Chiaro
I numeri confermano questa situazione. Un recente rapporto di Palo Alto Networks, “The State of Generative AI”, ha rivelato che il traffico GenAI è aumentato dell’890%. Un’indagine separata sui team legali europei ha rivelato che, mentre oltre il 90% delle aziende utilizza strumenti AI, solo il 18% ha implementato forme di governance formale.
Rischi Senza Politiche Chiare
È proprio tra le lacune della tecnologia in rapida evoluzione e della governance lenta che iniziano i problemi. Senza regole e politiche chiare, esiste il rischio di esporre dati sensibili, automatizzare decisioni senza supervisione e creare zone cieche nell’uso del GenAI.
Per questo motivo, le aziende hanno bisogno di una politica GenAI per mantenersi al sicuro sia in termini di regolamentazione che di conformità e sicurezza. Se il GenAI è già parte del funzionamento della tua attività (e probabilmente lo è), hai bisogno di guardrail chiari e di un’applicazione delle politiche riguardo a ciò che è permesso, ciò che non lo è e chi è responsabile per l’applicazione.
Cosa Dovrebbe Prevedere una Politica GenAI Efficace
Una politica GenAI non deve rallentare le operazioni. Deve semplicemente garantire che gli strumenti di cui i tuoi team si fidano possano essere considerati affidabili, soprattutto quando gli strumenti stessi iniziano a prendere decisioni, spostare dati o agire per conto dell’azienda. Le politiche dovrebbero coprire sei aree chiave:
1. Approvazione di Chatbot GenAI e Applicazioni di Terze Parti
Nessuno strumento GenAI dovrebbe ricevere il via libera senza una revisione adeguata. Questo significa esaminare attentamente cosa fa realmente lo strumento, come si collega ai tuoi sistemi, chi lo ha creato e cosa fa con i tuoi dati – che si tratti di un chatbot, di un plug-in o di un’app di terze parti.
2. Inventario delle Applicazioni GenAI e Assegnazione della Proprietà
È difficile proteggere ciò che non si traccia. Ogni sistema GenAI in uso – interno o esterno – deve essere registrato in un inventario centrale. E qualcuno deve esserne responsabile, con una chiara assegnazione di proprietà che non dovrebbe essere vaga o condivisa.
3. Controlli di Accesso e Gestione dei Permessi
I chatbot o gli strumenti GenAI dovrebbero seguire le stesse regole di accesso di tutto il resto. Questo significa limitare ciò che gli strumenti e gli agenti possono vedere o fare, in base ai loro ruoli, e rivedere regolarmente quei permessi con ruoli specifici per valutare chi può accedere a quali contenuti.
4. Registrazione e Audit Trails
Se qualcosa va storto, è necessario sapere cosa è successo. Ecco perché uno degli aspetti chiave dello Shadow AI è registrare le interazioni GenAI, attraverso tutti i flussi di dati per input e output, e avvisare gli amministratori di comportamenti a rischio.
5. Testing e Red Teaming
Assumere che i sistemi GenAI si comporteranno come previsto non dovrebbe essere una certezza. Devono essere testati prima della distribuzione e su base continua. Ciò include il red teaming, simulazioni e controlli per vulnerabilità e minacce specifiche del GenAI come l’iniezione di prompt, la protezione dei dati o le normative di sicurezza.
6. Applicazione delle Guardrail per l’Uso del GenAI
Le politiche non sono utili a meno che non siano applicate. Le guardrail che stabiliscono quali strumenti un agente può utilizzare, quale tipo di dati può estrarre o quando è necessaria l’approvazione umana dovrebbero essere integrate nel sistema.
Costruire la Politica GenAI Giusta Fin dal Primo Giorno
Scrivere una politica è una cosa; farla contare è un’altra. Molte organizzazioni hanno pubblicato linee guida GenAI. Pochissime hanno costruito i muscoli di governance per applicarle in modo coerente, attraverso team, strumenti e casi d’uso in evoluzione. Troppe organizzazioni hanno politiche GenAI all’interno di documenti che nessuno legge, o che sembrano chiare in teoria ma si sgretolano quando vengono applicate a flussi di lavoro reali, processi di distribuzione o strumenti di sviluppo. Questo fallimento deriva da una mancanza di connessione tra ciò che dice la politica e come le persone lavorano realmente. Tra le regole e i sistemi destinati a farle rispettare, e tra proprietà e responsabilità.
Far funzionare una politica GenAI significa trasformarla in qualcosa di operativo. Ciò include i controlli giusti, la giusta visibilità e le persone giuste a cui è affidato il compito di mantenerla aggiornata. Perché una volta che il GenAI è integrato nella tua azienda, la politica non è il punto di partenza, è la rete di sicurezza. E se quella rete non è in atto quando qualcosa va storto, è già troppo tardi.
