L’intelligenza artificiale è destinata a cambiare radicalmente tutti i settori dell’industria e della società, con molti che prevedono un impatto paragonabile a quello dell’elettricità durante la rivoluzione industriale.
Trasformare un’azienda in un’organizzazione guidata dall’AI è un’impresa complessa, sistemica e di lungo termine che richiede a tutte le aziende di potenziare, proteggere e sfruttare il loro bene più prezioso in questo nuovo mondo: i dati.
Questa trasformazione richiede un cambio strategico, culturale e organizzativo guidato direttamente dall’amministratore delegato e dal consiglio di amministrazione.
Il rischio crescente della cyber security nell’era dell’AI
L’ascesa dell’AI aumenta inoltre i rischi connessi alla cybersecurity. Tuttavia, poiché la cybersecurity è stata oggetto di attenzione per molti anni, alcune aziende hanno sviluppato un falso senso di sicurezza. Per i consigli di amministrazione e gli amministratori delegati, sarà sempre più importante rinnovare la loro attenzione sui rischi informatici e implementare metodologie e pratiche più sofisticate.
L’emergere dell’AI generativa: opportunità e rischi
L’emergere dell’AI generativa (GenAI) e del machine learning, inclusi i modelli basati su tecnologie di linguaggio come ChatGPT, crea innumerevoli opportunità e rischi per le aziende che molti consigli stanno solo iniziando a comprendere. Le opportunità includono la creazione di business adiacenti per monetizzare gli asset dati, migliorare i percorsi e il servizio clienti, automatizzare compiti qualificati e ottimizzare il processo decisionale e l’efficienza in aree come previsioni di vendita, gestione dell’inventario, gestione/efficienza operativa, controllo di qualità, miglioramenti nella produzione e programmazione informatica, solo per citarne alcuni.
La questione dei diritti di proprietà intellettuale nell’AI generativa
Un problema attualmente oggetto di contenzioso è inoltre la questione dei diritti di proprietà intellettuale e dell’AI generativa. Quando gli ingegneri del software utilizzano GenAI per sviluppare codice, per esempio, è finora incerto chi possieda i diritti di proprietà intellettuale su questo codice. I modelli AI sono “addestrati” su vasti set di dati, il che significa che è fondamentale comprendere non solo l’accuratezza del modello, ma anche i dati su cui è stato addestrato, e come vengono utilizzati e protetti i dati proprietari o sensibili. Ad esempio, le informazioni condivise con ChatGPT nelle conversazioni con gli utenti sono memorizzate per migliorare l’accuratezza dell’algoritmo. Questo rappresenta una sfida per l’uso di queste tecnologie per le aziende che hanno bisogno di proteggere dati sensibili di clienti o aziendali. Molte aziende GenAI stanno sviluppando versioni aziendali chiuse dei loro modelli per migliorare la privacy, ma queste soluzioni sono ancora nelle fasi molto iniziali di sviluppo.
La qualità dei dati come chiave del successo nell’AI
L’AI è buona quanto i dati ai quali accede. Le aziende che possiedono più dati, sia per la natura del business sia perché sono presenti sul mercato da decenni, possono avere un vantaggio competitivo rispetto a imprese più nuove o meno incentrate sui dati. Tuttavia, le aziende devono comprendere la qualità dei loro dati per sfruttare le opportunità AI. Con le nuove tecnologie arriva nuova regolamentazione. Ad esempio, la proposta di Atto AI dell’Unione Europea richiederebbe alle aziende di ottenere un’approvazione pre-mercato per qualsiasi nuovo sistema AI. I regolatori valuterebbero i dati utilizzati per addestrare l’AI, la sua resilienza agli attacchi informatici e il suo rischio di pregiudizi.
Investimenti in competenze e modelli operativi per sfruttare l’AI
Le ricerche suggeriscono che gli investimenti nella trasformazione del modello operativo e delle competenze sono indietro rispetto agli investimenti nella tecnologia di un notevole margine. La maggior parte delle aziende fallisce nel catturare valore dagli investimenti AI non a causa di carenze tecnologiche, ma perché le persone e le organizzazioni non sono pronte ad adattarsi. I team di leadership devono investire tanto tempo e sforzo nella trasformazione del modello operativo e del modello mentale quanto fanno nello sviluppo del modello matematico.
Tutti i rischi che un CdA dovrebbe considerare
I consigli di amministrazione dovrebbero valutare attentamente questi rischi e opportunità come parte della loro revisione della strategia aziendale, includendo rischi legati all’etica, alla privacy, ai regimi regolatori e alle interruzioni del modello di business, e opportunità come potenziali efficienze, sfruttamento dei dati, strategia dei talenti e nuovi modelli di business. Per garantire che stiano pensando nel modo più ampio possibile, i consigli potrebbero dover attingere a partner o stakeholder aggiuntivi in grado di fornire prospettive diverse, e potrebbero dover fare affidamento sui loro team esecutivi in aree in cui in precedenza erano stati più distaccati, incluso quanto bene la cultura organizzativa supporta — o no — la trasformazione.
Sfruttare con successo l’AI potrebbe anche richiedere ai consigli di amministrazione e alla gestione di esaminare attentamente la cultura e il modello operativo dell’azienda per valutare quali tipi di investimenti AI l’azienda è pronta ad adottare. Le road map AI allineate alle priorità culturali tendono a fornire più valore e a produrre più slancio per il cambiamento. Allo stesso modo, cercare di consegnare innovazione AI in silos non tende a produrre rendimenti su larga scala. I migliori risultati provengono da team interfunzionali, interdisciplinari, priorizzazione aziendale e sponsorship aziendale ben informata.
Naturalmente, la maggior parte dei direttori non saranno esperti di AI, ma data la portata delle interruzioni all’orizzonte, molti consigli dovrebbero pensare a aggiungere un direttore con una vasta comprensione delle strategie AI o a costruire un consiglio consultivo AI. Tutti i membri del consiglio hanno il dovere di porre alla gestione le domande giuste per sviluppare strategie AI complete, incluso l’origine dei dati per i sistemi AI, come vengono memorizzati e utilizzati i dati, le opportunità di utilizzare i dati per aumentare l’efficienza e generare nuovi modelli di business e le misure adottate per affrontare i rischi di privacy e sicurezza.
La necessità di piani e processi per resistere a un attacco informatico
I breach informatici sono sempre più visti come un costo del fare business. I direttori hanno il dovere fiduciario di garantire che le loro organizzazioni stiano mettendo in atto piani e processi per resistere agli attacchi informatici e costruire resilienza adattativa nei loro processi di gestione del rischio. La cybersecurity è stata all’ordine del giorno del consiglio e della gestione per molti anni, in gran parte guidata da agende tecnologiche incentrate sulla rapida digitalizzazione e sull’adozione del cloud pubblico, e in alcune organizzazioni si è insinuata la compiacenza. Tuttavia, l’accelerazione dell’AI e le nuove linee guida della SEC stanno spingendo a un rinnovato focus sulla preparazione alla cybersecurity.
Le regole di divulgazione della cybersecurity della SEC
Le regole di divulgazione della cybersecurity della SEC richiedono alle aziende di divulgare pubblicamente un incidente di cybersecurity entro quattro giorni dalla determinazione da parte del consiglio che l’evento era “materiale”. Sebbene le opinioni possano divergere su cosa costituisca “materialità” e qual sia il giusto cronogramma per la divulgazione, sarà compito del consiglio garantire che i direttori e la gestione abbiano le giuste conversazioni, documentino queste conversazioni e prendano decisioni giustificabili sulla divulgazione.
La gestione executive di un’azienda ha la responsabilità quotidiana di implementare la strategia di cybersecurity, ma il consiglio ha la supervisione finale, inclusa la comunicazione e la segnalazione alla SEC in caso di breach. La gestione deve poter contare sul sostegno del consiglio non solo per eseguire efficacemente la strategia di cybersecurity dell’azienda, ma anche in caso di breach. Data la drammatica evoluzione dell’ambiente tecnologico e cyber negli ultimi 10 anni, il consiglio deve avere fiducia che la leadership della cybersecurity dell’azienda abbia le competenze e le esperienze appropriate per gestire la funzione oggi e mentre continua a evolversi.
La supervisione della cybersecurity: le domande da porsi in Consiglio
In molti consigli, la supervisione della cybersecurity è affidata al comitato di revisione. Tuttavia, poiché la cybersecurity e la resilienza complessiva diventano sempre più complesse, alcuni consigli hanno creato comitati tecnologici dedicati per supervisionarla. Il quindici percento dei consigli S&P 500 oggi ha un comitato permanente per la tecnologia e la scienza, rispetto all’otto percento di un decennio fa. Date le loro responsabilità di supervisione, i consigli dovrebbero avere una completa comprensione dell’approccio alla cybersecurity della gestione ottenendo risposte a queste domande al minimo:
- Il business ha identificato rischi cyber alti, medi e bassi? I direttori hanno identificato il piano per dedicare risorse a questi rischi?
- Quanto è coinvolta nella community di condivisione dell’intelligenza sulla cybersecurity del governo l’azienda? E si incontrano regolarmente, non solo in caso di emergenza?
- Qual è il processo ripetibile per educare i direttori su questi argomenti?
- Come fanno i team di gestione e i consigli a garantire che la consapevolezza cyber faccia parte del DNA dell’azienda?
- Come è integrata la cybersecurity nei team di prodotto e altrove nell’azienda per minimizzare i rischi cyber e le vulnerabilità del prodotto?
- I fornitori e i fornitori terzi dell’azienda sono sicuri? Esiste un quadro di gestione del rischio in atto per identificare, valutare e gestire il rischio associato ai fornitori, ai fornitori, ecc.?
- C’è una squadra di gestione della crisi cyber e, in tal caso, quale direttore funge da collegamento con questa squadra?
- La cybersecurity è all’ordine del giorno del consiglio e dei comitati pertinenti in ogni riunione in modo che il consiglio sia aggiornato sui breach passati, attuali e potenziali?
- Quali consulenti esterni per la cybersecurity, team legali, aziende di comunicazione di crisi, ecc., saranno disponibili rapidamente (e sotto contratto) in caso di breach?
- Come facciamo a rendere la consapevolezza e la coscienza cyber parte del DNA dell’azienda?
Non c’è una quantità di denaro da spendere o un pulsante facile da premere che risolverà questo, ma è quello che dobbiamo rispondere per arrivare alla resilienza a lungo termine.
Conclusioni
Le strategie efficaci di cybersecurity vanno oltre i sistemi robusti e il software per garantire una preparazione a livello aziendale. Le aziende dovrebbero eseguire simulazioni che includano stakeholder interni ed esterni rilevanti per la risposta e il rimedio al breach — dalla gestione al consiglio. Questa preparazione dovrebbe includere un robusto piano di comunicazione agli impiegati, ai clienti e agli investitori. Quanto rapidamente le aziende si riprendono e comunicano in seguito a un breach è uno degli elementi più vitali della resilienza cyber.
