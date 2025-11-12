I data leader stanno affrontando una nuova doppia realtà: sono sotto pressione per offrire dati per iniziative di AI, ma devono assicurarsi che i propri dati rimangano sicuri e non a portata di hacker. Purtroppo, il divario tra la governance dell'AI e la supervisione potenzialmente sta lasciando esposti tali dati.
L'annuale report Cost of a Data Breach di IBM ha analizzato 600 organizzazioni di tutto il mondo che hanno subito violazioni in 17 settori e chiarisce che questo divario può essere costoso in termini di dati rubati, interruzioni operative e pesanti multe pagate alle autorità di controllo. Le violazioni dei dati possono anche esporre le aziende a danni reputazionali, erosione della fiducia tra i clienti e perdita di clienti.
Per i chief data officer e altri data leader, o per chiunque altro responsabile della strategia dei dati, della governance e della creazione di valore, questa ricerca rappresenta un campanello d'allarme. Con l'interruzione operativa che ha colpito il 31% delle organizzazioni oggetto di studio e il 60% che ha subito una compromissione diretta dei dati a causa di attacchi alla supply chain dell'AI e ai modelli di AI, i risultati sono più che altro semplici notizie. Rappresentano un blueprint d'azione per i CDO.
L'importanza di questi risultati va oltre un problema di sicurezza: rappresentano una sfida strategica per la leadership. Il CDO si trova nel punto di incontro tra innovazione dei dati e governance dei dati e deve garantire il potere trasformativo dell'AI e assicurarsi che la trasformazione non avvenga a scapito della fiducia, della conformità o della resilienza.
Ecco cinque cose che i CDO devono sapere sulla sicurezza dei dati nell'era dell'AI e tre cose che devono fare per assicurarsi che i propri dati rimangano al sicuro.
Il report Cost of a Data Breach ha rivelato che il 63% delle organizzazioni studiate che hanno subito una violazione non disponeva di policy di governance dell'AI e che solo il 37% era in possesso di processi di approvazione o meccanismi di supervisione. Sebbene queste violazioni rappresentino delle sfide dirette per il team che guida la governance dell'AI (tipicamente, il team legal e di conformità) e i loro colleghi leader della sicurezza, i CDO devono essere consapevoli del problema e, prima che i propri dati vengano utilizzati per addestrare modelli o sviluppare applicazioni, chiedere informazioni in merito.
Questo significa che devono contribuire a definire tali policy di governance e supervisione, bilanciando innovazione con la conformità e la gestione del rischio, creando una strategia unificata in cui governance dell'AI, governance dei dati e sicurezza si completano a vicenda.
Un'organizzazione su cinque tra quelle oggetto di studio (20%) ha subito violazioni legate alla shadow AI, strumenti di AI non autorizzati adottati dai dipendenti senza supervisione IT o di sicurezza. Questi incidenti hanno aggiunto fino a 670.000 dollari al costo medio delle violazioni e hanno esposto in modo sproporzionato le informazioni di identificazione personale (PII) e la proprietà intellettuale dei clienti.
Per essere chiari, la shadow AI non è solo un problema tecnico, ma anche culturale. I dipendenti sono sotto pressione perché adottino strumenti di AI che semplifichino il proprio lavoro, aumentino la produttività e ottengano insight preziosi su clienti, supply chain e condizioni di mercato in rapida evoluzione. Tuttavia, senza una guida adeguata, i dipendenti potrebbero aggirare inavvertitamente i protocolli di sicurezza caricando dati personali identificativi dei clienti o proprietà intellettuale aziendale.
Tra le organizzazioni che hanno segnalato violazioni legate all'AI, un impressionante 97% ha dichiarato di mancare di adeguati controlli di accesso. Anche se i CDO non gestiscono questi controlli, devono essere consapevoli di questa potenziale lacuna e chiedere alle loro controparti leader della sicurezza e dell'AI se questi controlli sono in atto e, in caso contrario, perché? Dal momento che i dati sono alla base dell'AI, i controlli di accesso deboli aumentano il rischio di compromissione di dati sensibili.
Tra le organizzazioni violate oggetto di studio, più della metà (53%) ha segnalato la compromissione dei dati personali identificativi dei clienti. Nelle violazioni che hanno coinvolto la shadow AI, quella cifra è salita a quasi due terzi (65%). Sebbene la proprietà intellettuale sia stata esposta meno frequentemente, ha comportato il costo più elevato per record (178 USD per record) nelle violazioni legate a shadow AI.
Sebbene la realtà sia che i dati possono essere vulnerabili ovunque vengano memorizzati, il report Cost of a Data Breach ha rilevato che la maggior parte delle violazioni ha coinvolto dati distribuiti in più ambienti, come cloud pubblici, cloud privati e on-premise. Questi sistemi hybrid cloud possono essere convenienti, ma possono anche presentare complessità e comportare rischi, che si traducono poi in costi. Le violazioni dei dati riguardanti più ambienti sono costate in media 5,05 milioni di USD, mentre le violazioni dei dati on-premise sono costate in media 4,01 milioni di USD.
Tratta i set di dati dell'AI come asset di alto valore, al pari dei dati finanziari o delle cartelle cliniche.
La protezione dei dati dell'AI è fondamentale non solo per motivi di privacy e conformità, ma anche per proteggere l'integrità dei dati, mantenere la fiducia dell'organizzazione ed evitare la compromissione dei dati. Questo significa che i CDO dovrebbero adottare misure attive per classificare e proteggere i dati sensibili in ambienti cloud, on-premise e ibridi. Inoltre, devono assicurarsi che tutte le PII siano crittografate, sia a riposo sia in transito.
Questo approccio significa andare oltre i controlli superficiali e implementare solide basi sulla sicurezza dei dati: scoperta e classificazione dei dati, così come protezioni dei dati, controllo degli accessi, crittografia e gestione principale.
Può anche includere l'uso di servizi di sicurezza dei dati e dell'AI. Queste misure non riguardano esclusivamente la sicurezza dell'AI, ma l'ascesa dell'AI sia come vettore di minaccia sia come supporto della sicurezza le rende più importanti che mai.
La sicurezza dell'AI e la governance dell'AI sono discipline complementari. Quando le organizzazioni le tengono in silos, aumentano rischi, complessità e costi.
Le organizzazioni devono assicurarsi che CDO, CISO e team di conformità collaborino costantemente. Investire in software e processi integrati di sicurezza e governance per unire questi stakeholder interfunzionali può aiutare le organizzazioni a scoprire e governare automaticamente la shadow AI.
È di fondamentale importanza che i CDO svolgano un ruolo fondamentale nella creazione di pipeline di dati sicure per l'AI, nonché di linee guida chiare sull'utilizzo dell'AI. È inoltre fondamentale che gestiscano l'intero ciclo di vita dei modelli AI con una governance integrata in ogni fase.
Riconosci che gli agenti e i modelli AI funzionano come identità con privilegi di accesso.
È importante che i CDO trattino gli agenti AI e gli esseri umani allo stesso modo dal punto di vista della governance dei dati. Entrambi richiedono controlli operativi per accedere ai sistemi, ma è fondamentale che agli agenti AI venga concesso accesso solo all'attività o al workflow specifico per cui sono stati progettati.
Adottando un approccio unificato e collaborativo alla sicurezza e alla governance, i CDO svolgono un ruolo fondamentale nel rafforzare la sicurezza dell'identità. Esattamente come per gli utenti umani, anche gli agenti AI si affidano sempre più alle credenziali per accedere ai sistemi e svolgere attività. Quindi è fondamentale implementare robusti controlli operativi o servizi che possano aiutarti a farlo, e mantenere la visibilità su tutte le attività di identità non umana (NHI). Le organizzazioni devono essere in grado di distinguere tra NHI che utilizzano credenziali gestite (sicure) e quelle che utilizzano credenziali non gestite.
Il ruolo del CDO non è mai stato così critico. L'AI sta riscrivendo le regole della leadership dei dati e coloro che abbracciano l'innovazione responsabile definiranno la prossima era di aziende affidabili e resilienti.
In qualità di CDO, puoi integrare la governance in ogni fase del ciclo di vita dell'AI, proteggere i dati che sono alla base dell'AI e promuovere collaborazioni interfunzionali per proteggere gli asset più preziosi dell'organizzazione.
Il report Cost of a Data Breach spiega che il vero rischio non è l'AI in se stessa, ma l'AI senza governance.
Shadow AI, controlli di accesso inadeguati e responsabilità frammentate stanno erodendo la fiducia e facendo aumentare i costi.
Se si adottano le misure giuste, i CDO non solo possono ridurre il rischio di violazione e i costi, ma possono anche rafforzare la capacità della loro organizzazione di innovare in tutta sicurezza.