Sicurezza informatica 
La guerra informatica non si limita più alla geopolitica. Quella che un tempo era principalmente una preoccupazione per le agenzie governative e le aziende del settore
I dipendenti stanno adottando strumenti di IA, agenti e automazioni più velocemente di quanto le organizzazioni riescano a gestirli. Il vero pericolo emerge quando questi strumenti si collegano direttamente ai sistemi interni e ai dati sensibili in nome del miglioramento della produttività. Tra i dipendenti che utilizzano l’IA sul lavoro, una quota significativa lo fa senza l’approvazione formale dei team IT o di sicurezza, cosa comunemente chiamata shadow AI.
Molte organizzazioni continuano a trattare lo shadow AI come un problema di esposizione ai dati, mentre in realtà sta diventando una questione di governance dell’identità. Ogni integrazione AI non autorizzata crea silenziosamente nuovi account, credenziali e identità che vanno oltre i tradizionali controlli di accesso. Le organizzazioni devono estendere i controlli di sicurezza all’identità su ogni identità umana e Identità non umana (NHI) collegata ai loro sistemi, per riacquistare visibilità, far rispettare la governance e ridurre i rischi complessivi per la sicurezza.
Cosa crea effettivamente lo shadow AI
Lo shadow AI si diffonde rapidamente perché i moderni strumenti di IA richiedono una configurazione minima o addirittura nessuna. I dipendenti possono collegare le applicazioni, automatizzare i flussi di lavoro e processare i dati quasi istantaneamente senza coinvolgere l’IT. Gli strumenti in sé raramente rappresentano il problema. Il rischio deriva da ciò a cui i dipendenti li collegano. Una volta che le piattaforme di intelligenza artificiale ottengono accesso a piattaforme SaaS, ambienti cloud e database interni, introducono credenziali e identità che la maggior parte dei team di sicurezza non conosce e per le quali non esiste un framework di governance.
Ogni integrazione non autorizzata dell’IA crea nuove identità e credenziali che nessuno controlla. Ognuno di essi va ad aggiungersi a un elenco sempre più lungo di account, punti di accesso e credenziali che il reparto IT non ha mai configurato e che quindi non può revocare. Quando i dipendenti creano account per gli strumenti di IA, creano identità con un proprio ambito di accesso, autorizzazioni sui dati e cronologie delle sessioni. Queste si moltiplicano rapidamente. L’IT si ritrova con un cluster invisibile di identità non gestite distribuite su piattaforme esterne, senza visibilità su ciò a cui possono accedere, senza modo di verificare l’utilizzo e senza un processo di revoca delle autorizzazioni quando il dipendente lascia l’azienda.
Quando i dipendenti vanno oltre e collegano strumenti di IA ai sistemi interni, introducono account di servizio negli ambienti organizzativi. Questi NHI operano solitamente al di fuori dei processi di gestione del ciclo di vita, rotazione delle credenziali e governance degli accessi. E ogni integrazione genera credenziali come chiavi API, token e segreti, che spesso finiscono per essere archiviate nelle estensioni del browser o nei file di configurazione al di fuori del perimetro di sicurezza. Queste credenziali vengono aggiornate raramente e quasi mai sottoposte a verifica.
Il divario nella governance delle identità che ne deriva
La sicurezza delle identità tradizionale è stata concepita per utenti umani, accessi gestiti dall’IT e perimetri di rete ben definiti. Lo shadow AI smentisce tutte e tre le ipotesi contemporaneamente.
In molti ambienti aziendali, le NHI superano già in numero le identità umane. Gli agenti AI con accesso a un database di produzione rappresentano lo stesso livello di rischio di accesso privilegiato di un amministratore umano con permessi equivalenti, ma spesso vengono assegnati senza la stessa supervisione, monitorati senza la stessa coerenza e revocati senza lo stesso processo.
Le nostre ricerche lo confermano. Il rapporto Identity Security at Machine Speed di Keeper Security ha rilevato che il 43% dei decisori di cybersecurity a livello globale identifica la gestione NHI legata all’IA come una delle principali lacune nei propri programmi di governance dell’identità. Le organizzazioni che riconoscono questo divario sono avanti rispetto a quelle che non se ne sono ancora accorte.
Cosa devono fare le organizzazioni in modo diverso
La risposta allo shadow AI non consiste in politiche più severe o divieti più ampi. Si tratta di estendere i controlli di sicurezza basati sull’identità per tenere conto di ogni identità creata dagli strumenti di IA, sia umana che artificiale, e di rendere la governance un processo continuo anziché periodico.
Ottieni visibilità completa sull’utilizzo dell’IA
Le organizzazioni non possono governare ciò che non possono vedere; devono scoprire continuamente ogni strumento, agente, automazione e integrazione di IA, autorizzati e non, che operano nei loro ambienti. Monitorando le proprie reti, le organizzazioni possono tracciare l’uso delle applicazioni e sviluppare controlli per limitare gli strumenti di IA non approvati, identificando al contempo ogni NHI creato da questi strumenti che non era mai stato originariamente fornito tramite IT. Oltre alla scoperta, le organizzazioni devono implementare il monitoraggio e la registrazione in tempo reale delle sessioni privilegiate per mantenere la piena visibilità sui flussi di lavoro guidati dall’IA per audit continui piuttosto che revisioni periodiche retrospettive.
Applicare la sicurezza dell’identità sia agli esseri umani che alle macchine
Ogni identità NHI dovrebbe essere soggetta alla stessa autenticazione, autorizzazione e gestione del ciclo di vita di un’identità umana, con accesso a privilegi minimi, rotazione automatica delle credenziali e disattivazione definita legata al ciclo di vita del proprietario umano associato o al carico di lavoro. Gli stessi controlli che si applicano agli account umani privilegiati devono applicarsi anche agli agenti AI e agli account di servizio che operano insieme a loro.
Offrire ai dipendenti un percorso percorribile
I dipendenti che contribuiscono allo shadow AI spesso lo fanno non per eludere le misure di sicurezza, ma perché non sanno che esiste un’alternativa regolamentata. Una guida chiara su quali strumenti sono approvati, per quali casi d’uso e a quali condizioni, abbinata ad alternative accessibili e approvate, affronta la causa alla radice anziché il sintomo.
Migliora la sicurezza dell’identità per gestire lo shadow AI
I modelli di sicurezza tradizionali sono stati costruiti per utenti umani, accesso gestito dall’IT e confini di rete definiti. Lo shadow AI mina queste ipotesi introducendo identità, credenziali e integrazioni di macchine non gestite in ambienti cloud e SaaS ogni volta che un dipendente collega uno strumento di IA non approvato all’infrastruttura. Le organizzazioni che considerano lo shadow AI solo un problema di perdita di dati non riconosceranno il pericolo sottostante: l’espansione incontrollata dell’identità. Per gestire lo shadow AI in modo più efficace, le organizzazioni devono avere piena visibilità sull’accesso basato sull’IA, sulla governance sulle identità umane e automatiche, e sui controlli automatici per le credenziali e gli accessi privilegiati. Per scoprire come le organizzazioni stanno adattando le loro strategie di sicurezza dell’identità agli ambienti guidati dall’IA, leggi il nostro ultimo rapporto.
