L’AI generativa sta rivoluzionando il nostro modo di lavorare e la discussione sul futuro di queste applicazioni, come ChatGPT, è molto accesa. L’utilizzo di AI e machine learning (ML) non è una novità per Proofpoint, dato che queste funzionalità sono integrate nelle principali piattaforme per proteggere le persone e difendere i dati.
L’AI generativa, o gen AI, porta numerose opportunità. Non solo è in grado di aiutare i team a raggiungere livelli di comprensione ed efficienza ancora maggiori, ma offre anche a noi l’opportunità di scalare i prodotti, facendo progredire l’azienda.
Ma l’utilizzo di questi strumenti avanzati comporta anche dei rischi. L’approccio ai tool pubblici di intelligenza artificiale varia a seconda dell’azienda e può spaziare da policy di utilizzo accettabile a controlli di mitigazione.
Ecco alcune domande che le aziende dovrebbero porsi su l’AI:
- Chi utilizza ChatGPT in azienda?
È importante essere consapevoli di chi accede a ChatGPT e con quale frequenza, sia attraverso il traffico proxy che sull’endpoint. ChatGPT è una delle centinaia di app AI presenti sul mercato ed è fondamentale ottenere visibilità in modo efficiente su questa categoria di shadow IT e applicare gli opportuni controlli agli URL, per utente, gruppo o divisione.
- Come bloccare l’accesso a ChatGPT?
È opportuno dotarsi di soluzioni che permettano di bloccare l’accesso degli utenti a siti specifici, come ChatGPT o categoria di app gen AI. Le policy focalizzate sulle persone consentono di applicare controlli di accesso dinamici basati sul livello di rischio. Questo consente di bloccare dinamicamente l’accesso in base a:
- Vulnerabilità (ad esempio, non aver seguito un corso di formazione sulla consapevolezza della sicurezza o aver mostrato in passato un comportamento incauto, come aver cliccato su link di phishing)
- Livello di privilegio (accesso a dati sensibili)
- Come consentire agli utenti di utilizzare ChatGPT evitando la perdita di dati sensibili?
Esistono preoccupazioni molto concrete sul rischio di perdita di dati legato all’AI generativa. Gli utenti possono copiare e incollare quasi sei pagine (con font di grandezza 12) nel prompt di ChatGPT e gli splitter del prompt possono dividere anche quantità di testo più grandi in parti separate.
Un altro modo per ridurre il rischio è limitare il copia/incolla nel prompt di ChatGPT. È possibile bloccare o limitare il numero di caratteri consentiti. In questo modo si riducono gli scenari critici di fuga di dati, come l’invio di grandi quantità di codice sorgente riservato nella chat per ottimizzarlo o il copiare trascrizioni complete di riunioni per riassumerle.
È anche possibile bloccare l’upload di tutti i file o di quelli contenenti dati sensibili in ChatGPT tramite estensioni del browser per l’analisi. Notifiche in tempo reale (pop-up) inviate all’utente possono informarlo sul perché la sua azione sia stata bloccata, con la possibilità di includere anche link alla policy aziendale relativa all’uso accettabile.
- Come consentire agli utenti di utilizzare ChatGPT e allo stesso tempo monitorarne l’uso?
Alcune aziende non vogliono limitare l’uso di ChatGPT o di siti web di AI generativa. Tuttavia, è importante monitorare l’applicazione sicura o il contesto d’utilizzo per le analisi. Mentre gli utenti interagiscono con il prompt di ChatGPT, è possibile acquisire metadati e screenshot per averne contezza. Se si aggiunge la visibilità dei file in uso e della loro fonte, si ottiene rapidamente un quadro dei rischi potenziali.
È inoltre possibile impostare avvisi sulle visite ai siti di gen AI per segnalare la necessità di ulteriori indagini. Possono essere attivati per tutti gli utenti o un loro sottoinsieme, ad esempio quelli ad alto rischio.
- Dove iniziare? Come formare gli utenti?
È possibile iniziare questo percorso comunicando innanzitutto ai dipendenti una policy di utilizzo accettabile esplicita che consente ai dipendenti di essere consapevoli, promuovendo la responsabilità. Ecco alcuni passi da tenere in considerazione:
- Pubblicare un elenco di casi d’uso pre-approvati che indichi quali tipologie di dati sono accettabili per gli strumenti di AI generativa pubblici rispetto a quelli ospitati dall’azienda (o da terzi). Ad esempio, si deve sottolineare che solo dati pubblici possono essere inseriti nei tool pubblici, mentre quelli dei clienti non sono ammessi.
- Assicurarsi che gli utenti rivedano e modifichino i risultati degli strumenti di AI generativa e non si limitino a copiare e incollare.
- Creare un processo di revisione e approvazione dei nuovi strumenti di AI generativa e dei casi d’uso.
- Informare gli utenti che l’azienda si riserva il diritto di monitorare e registrare l’utilizzo di questi strumenti, se parte del proprio piano.
Ferdinando Mancini, Director, Southern Europe Sales Engineering di Proofpoint
