top of page
Cerca

AI e Data Governance: come proteggere i dati aziendali nell'era dell'AI generativa

L'utilizzo di strumenti di intelligenza artificiale generativa come ChatGPT, Claude, Gemini e altri assistenti conversazionali è cresciuto esponenzialmente negli ultimi due anni. Secondo diverse ricerche di settore, circa il 70% dei lavoratori knowledge worker utilizza regolarmente questi strumenti per attività quotidiane, spesso senza che l'IT aziendale ne sia consapevole o abbia implementato controlli adeguati.

Il problema centrale non è l'utilizzo delle AI in sé, che possono effettivamente aumentare la produttività, ma la mancanza di visibilità e controllo su quali dati vengono condivisi con questi servizi. Quando un dipendente inserisce informazioni aziendali in un prompt di ChatGPT, quei dati lasciano il perimetro di sicurezza dell'organizzazione e possono essere processati, memorizzati o utilizzati per l'addestramento di modelli in modalità che l'azienda non controlla.


Il fenomeno della "Shadow AI"

Il concetto di "Shadow IT" è noto da anni: i dipendenti utilizzano applicazioni cloud e servizi non autorizzati per svolgere il proprio lavoro, creando rischi di sicurezza e compliance. La "Shadow AI" è l'evoluzione più recente di questo fenomeno. A differenza del Shadow IT tradizionale, dove il rischio principale riguardava l'accesso non autorizzato ai dati aziendali, con la Shadow AI il problema è l'esfiltrazione di dati: informazioni sensibili che vengono volontariamente, ma inconsapevolmente, trasferite all'esterno dell'organizzazione.

I casi problematici più comuni includono:

  • Dipendenti che copiano e incollano codice sorgente proprietario per richiedere debugging o ottimizzazioni

  • Inserimento di dati di clienti (nomi, email, informazioni di contatto) per generare comunicazioni o analisi

  • Condivisione di strategie aziendali, piani di prodotto o informazioni finanziarie per ottenere analisi o suggerimenti

  • Upload di documenti interni per riassunti o traduzioni

Ognuna di queste azioni può violare policy aziendali, normative sulla privacy (GDPR) o accordi di riservatezza, spesso senza che l'utente sia consapevole della gravità dell'azione.


L'approccio tecnico alla governance: tre livelli di controllo

Per affrontare questo problema, è necessario implementare controlli tecnici a più livelli dell'infrastruttura IT. Vigilia Cyber, nell'ambito dei propri servizi di sicurezza gestita, implementa per i clienti una piattaforma che opera su tre fronti distinti: endpoint, utenti e rete.


Endpoint Data Governance: monitoraggio dei dati a riposo e in transito

Il primo livello di controllo si concentra sui dispositivi endpoint (laptop, desktop, dispositivi mobili) dove i dati aziendali vengono effettivamente utilizzati. Il modulo di Endpoint Data Governance monitora continuamente come i dati sensibili sono memorizzati su questi dispositivi e come vengono manipolati dagli utenti.

La tecnologia si basa sul riconoscimento di pattern di dati sensibili attraverso infotypes specifici per ciascun paese. Per il contesto italiano, ad esempio, il sistema è in grado di riconoscere:

  • Codici fiscali italiani

  • Partite IVA

  • Numeri di carte di credito (pattern PCI-DSS)

  • Dati sanitari secondo classificazioni europee

  • Informazioni personali identificabili (PII) secondo GDPR

Il modulo opera in due modalità principali:

Scansioni schedulate: l'amministratore può configurare scansioni automatiche periodiche che verificano la presenza di dati sensibili memorizzati sui drive degli endpoint. Questo permette di identificare situazioni dove file contenenti informazioni riservate sono stati salvati in posizioni non sicure o non autorizzate.

Scansioni manuali on-demand: dal console di gestione è possibile avviare scansioni immediate su specifici dispositivi, utile in caso di necessità di verifiche rapide o incident response.

Un aspetto tecnico importante è la configurazione delle tipologie di dati regolamentati. L'amministratore può definire cosa costituisce "dato sensibile" per l'organizzazione specifica: oltre ai tipi standard (carte di credito, dati sanitari, PII), è possibile configurare pattern personalizzati basati su keyword critiche per il business.

Tutti i rilevamenti vengono consolidati in ticket unificati, dove un singolo alert può contenere informazioni su diversi tipi di dati sensibili trovati sullo stesso endpoint, facilitando la gestione e la risposta agli incidenti.


User Data Governance: tracciabilità delle attività di condivisione

Mentre il modulo endpoint si concentra sui dati memorizzati, il modulo di User Data Governance monitora le attività di condivisione e trasmissione dati da parte degli utenti. Questo componente analizza il comportamento degli utenti attraverso email e attività cloud, rilevando quando vengono condivise informazioni sensibili.

Il sistema monitora diversi vettori di esposizione:

Email in uscita: un Outbound Gateway ispeziona in tempo reale le email prima che lascino l'organizzazione, verificando se contengono dati sensibili non autorizzati alla condivisione.

Allegati e file sharing: oltre al corpo delle email, vengono analizzati gli allegati e i file condivisi attraverso piattaforme cloud.

Esposizione di credenziali e codice: il modulo identifica situazioni particolarmente rischiose come la condivisione di password, certificati di sicurezza (.crt, .pem) o file di codice sorgente (.md, .yaml, .sh).

Un elemento chiave è la gestione granulare dei permessi di accesso: è possibile definire chi può condividere determinati tipi di dati, limitando per individui specifici, gruppi o domini. Questo permette, ad esempio, di autorizzare il team legal a condividere certi documenti sensibili mentre si impedisce ad altri reparti di farlo.


Network Module: controllo dell'accesso ai servizi AI

Il terzo livello opera sull'infrastruttura di rete, controllando quali servizi di intelligenza artificiale possono essere raggiunti dalla rete aziendale. Questo modulo mantiene intelligence aggiornata su interfacce AI, repository di prompt e servizi conversazionali.

Il controllo network ha diversi obiettivi:

Limitazione dell'accesso a servizi non approvati: bloccare la connettività verso piattaforme AI che non rispettano gli standard di sicurezza o privacy richiesti dall'organizzazione.

Rilevamento di elusione: identificare tentativi di mascherare traffico verso servizi AI attraverso VPN, proxy o tecniche di tunneling.

Whitelisting di servizi approvati: invece di un approccio puramente restrittivo, permette di definire un elenco di servizi AI che l'azienda ha valutato e approvato, bilanciando sicurezza e produttività.


Conformità normativa: GDPR e NIS2

Dal punto di vista della compliance, questi sistemi di governance rispondono a requisiti specifici di diverse normative:

GDPR (Regolamento Generale sulla Protezione dei Dati): l'articolo 32 richiede che le organizzazioni implementino "misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio". La capacità di tracciare e controllare dove i dati personali vengono condivisi rappresenta un'implementazione concreta di questo requisito. Inoltre, in caso di data breach, la documentazione delle misure di controllo implementate può ridurre significativamente le sanzioni.

NIS2 (Direttiva sulla Sicurezza delle Reti e dei Sistemi Informativi): questa direttiva, che si applica a un'ampia gamma di settori in Italia, richiede misure di gestione del rischio che includono il controllo degli accessi e la sicurezza dei dati. La governance delle AI rientra direttamente in questi requisiti.

AI Act Europeo: la nuova regolamentazione europea sull'intelligenza artificiale introduce obblighi di trasparenza e tracciabilità nell'uso di sistemi AI. Sebbene molte disposizioni riguardino i fornitori di AI, le organizzazioni che utilizzano questi sistemi beneficiano comunque di avere documentazione chiara su come vengono impiegati.


Il ruolo dei servizi gestiti

Per molte organizzazioni, in particolare le PMI italiane, costruire e mantenere internamente competenze specialistiche sulla governance delle AI rappresenta una sfida significativa. Questo è dove un approccio di servizi gestiti, come quello offerto da Vigilia Cyber, può fornire valore.

Un servizio gestito in questo ambito tipicamente include:

  • Configurazione iniziale della piattaforma basata su assessment dei rischi specifici

  • Monitoraggio continuo degli alert attraverso il SOC

  • Analisi dei pattern di utilizzo e raccomandazioni per l'ottimizzazione delle policy

  • Aggiornamento dell'intelligence sulle minacce e sui nuovi servizi AI emergenti

  • Supporto nella gestione degli incidenti e nelle indagini forensi quando necessario

  • Reporting periodico per la compliance e per il management


Se la tua organizzazione utilizza strumenti di intelligenza artificiale generativa e vuoi comprendere il livello di esposizione ai rischi di data leakage, Vigilia Cyber può supportarti con un assessment iniziale della situazione.


Non si tratta di bloccare l'innovazione, ma di renderla sostenibile e sicura. L'obiettivo è permettere ai tuoi collaboratori di sfruttare le potenzialità delle AI senza esporre l'azienda a rischi legali, reputazionali o di sicurezza.

 
 
 

Commenti

Non puoi più commentare questo post. Contatta il proprietario del sito per avere più informazioni.
bottom of page