Cybersicurezza, AI, talenti: 3 grandi sfide per i CIO di oggi

Sono tante le attività che fanno capo al CIO, come pure gli ostacoli che il Chief Information Officer incontra lungo il cammino dei suoi progetti digitali. Ma la cybersicurezza resta la sfida numero uno, tanto da essere una voce del budget in costante aumento, come hanno svelato i più recenti dati di IDC. In Europa la spesa in sicurezza informatica salirà nel 2024 del 12,3%, prevedono gli analisti; la crescita si manterrà a due cifre anche nei prossimi anni, raggiungendo gli 84 miliardi di dollari entro il 2027. Una delle spinte è la diffusione dell’intelligenza artificiale generativa: le nuove applicazioni richiedono cyber-protezione.

“Garantire la sicurezza sta diventando sempre più difficile. Bisogna investire somme crescenti e non si può mai abbassare la guardia”, evidenzia Sonia Belli, IT Director di Qubica AMF, azienda di Bologna e uno dei maggiori produttori mondiali di piste da bowling. “Ora con la Gen AI la sicurezza diventerà più critica, perché la nuova tecnologia viene usata anche dai cybercriminali, per esempio, per creare bot che cercano di entrare nelle reti”.

Cybersicurezza, la prima sfida con cui fare i conti

La sicurezza informatica si è classificata al vertice delle preoccupazioni dei Direttori dell’Information Technology anche nel recente Barometro di Cegos (player internazionale nel Learning & Development). Questo posizionamento “si deve al fatto che gli attacchi informatici sono in costante aumento e hanno un impatto critico sul business e la continuity”, commenta Emanuela Pignataro, Head of Business Transformation & Head of Execution di Cegos Italia. “Il CIO sente che, nonostante abbia protetto l’azienda in ogni modo possibile, prima o poi un cyberattacco avverrà e, quindi, la sua vera preoccupazione e la sua vera occupazione convergono nel mitigare al massimo l’impatto e ripristinare i sistemi e l’operatività il più velocemente e nella più ampia misura possibile”.

I CIO sono anche consapevoli che i cyber-criminali non sono hacker isolati, ma, sempre più spesso, si tratta di realtà organizzate con budget rilevanti: di qui l’alto livello di attenzione.

“La tecnologia, oggi è, in misura crescente, la base del business aziendale, ma può anche diventare un point of failure“, fa notare Giuseppe Ridulfo, Vice Responsabile Dipartimento Organizzazione e Responsabile Sistemi Informativi di Banca Popolare Etica.

Negli ultimi anni, le banche si sono adeguate a standard sempre più elevati di cybersicurezza, anche per effetto di una serie di normative che sono obbligate a seguire, come la PSD2 e, più di recente, la legge europea DORA (Digital Operational Resilience Act), parte del pacchetto della Commissione Europea sulla finanza digitale, che si applicherà dal 17 gennaio 2025.

Insieme al partner Cedacri, Banca Etica ha implementato un sistema di fraud detection di tipo dinamico che usa il machine learning per imparare a conoscere i comportamenti abituali dei clienti e a segnalare quelli anomali, come un bonifico particolarmente cospicuo o una connessione da un indirizzo IP diverso dal solito. Per questo, dal punto di vista tecnologico, Ridulfo afferma di sentirsi fiducioso di poter proteggere l’azienda e reagire a eventuali attacchi. Ma ci sono altri fattori che creano vulnerabilità.

“I frodatori sono molto abili a far leva sul lato emotivo delle persone”, spiega Ridulfo. “È qui che abbiamo più difficoltà a intervenire”.

Infatti, gli attacchi di tipo personale condotti con tecniche di social engineering sono complicati da intercettare, perché l’autore della frode impara qual è l’interlocuzione tipica tra banca e cliente, mima il comportamento dell’istituto e riesce a farsi dare dal cliente i suoi dati, mandando a buon fine la truffa. In precedenza, tutto ciò accadeva, tipicamente, con le email di phishing, ma adesso avviene anche tramite le telefonate.

“Ho portato all’attenzione della dirigenza questo fenomeno, chiedendo di investire di più sulla sensibilizzazione dei clienti affinché sappiano riconoscere quando a contattarli non è la banca ma qualcuno che la impersona”, nota Ridulfo. 

Un altro anello debole della catena è la supply chain: “Sui sistemi IT interni siamo protetti, abbiamo investito in formazione interna e abbiamo implementato tecnologie che intercettano le minacce: ci sentiamo sufficientemente tranquilli. Ma non possiamo dire lo stesso riguardo ai fornitori”, aggiunge il manager.

Non è un caso che la normativa europea NIS2 insista proprio sulla messa in sicurezza dell’intera catena di fornitura come parte della strategia aziendale di cybersecurity.

“Viviamo in un mondo interconnesso, in cui tutte le tecnologie sono collegate tramite le API. Per il CIO è necessario avere visibilità delle interconnessioni all’interno e all’esterno dell’ecosistema aziendale, individuando i possibili anelli deboli da cui può arrivare una minaccia cyber”, conferma Frédérique Liaigre, Presidente per la Francia e Managing Director per il Sud EMEA e il Benelux di Verizon Business. “In particolare, oggi, i CIO devono essere attenti al procurement e alla scelta dei fornitori: il 15% degli attacchi arriva dalla supply chain”.

Intelligenza artificiale: la sfida è sfruttarla a pieno

Come evidenziato dallo studio di IDC, nella cybersicurezza, l’intelligenza artificiale è un’arma a doppio taglio: aumenta gli strumenti per difendersi ma è anche una nuova tecnologia in mano al cybercrime.

Tuttavia, non è solo qui che si cela la sfida dell’AI per i CIO. Molti IT manager riconoscono nell’intelligenza artificiale e nell’automazione (RPA) delle preziose opportunità di efficienza, perché la tecnologia si prenderebbe carico dei compiti meccanici e ripetitivi in cui si impiegano risorse senza creare valore. Ma la difficoltà sta nel passare dai prototipi ai prodotti su scala.

Ridulfo riferisce che anche nel settore bancario c’è questa percezione: operazioni come il rinnovo dei fidi, l’aggiornamento dei documenti di identità e dei dati di contatto dei clienti e altri task simili assorbono tempo e risorse senza generare business, e molti CIO le vorrebbero automatizzare o supportare con l’AI. Ma spesso si tratta di una “lista dei desideri” che non raggiunge la piena fase operativa.

“Spesso le aziende sviluppano tanti piccoli Proof of Concept (PoC), dove (quasi sempre) tutto funziona perché gli elementi in gioco sono ridotti e semplificati. Tuttavia, quando il prototipo si espande, la complessità aumenta, portando a problemi di costo e di gestione”, commenta Michele Caruso, Adjunct Professor in AI & Marketing Strategy presso la LIUC – Università Cattaneo, e membro della Growth Tribe dei Partner e Director della società di consulenza francese Artefact.

Anche Belli vede nell’intelligenza artificiale una grande opportunità per creare efficienza in azienda e generare business. E anche per Qubica AMF l’AI rimane alle fasi di test, ma qui il problema è il costo: “Se pensiamo a un prodotto di AI generativa per back office, moltiplicato per i nostri utenti interni, arriviamo a un investimento da 140 mila dollari l’anno, che per noi non è fattibile”, osserva la manager.

Non per questo Belli rinuncia: la sua soluzione è procedere tramite progetti pilota, cercare qualche fondo per finanziarsi e negoziare con il fornitore con maggiore insistenza per ottenere condizioni più favorevoli. “Ma lo facciamo solo nel momento in cui abbiamo un caso d’uso che risponde a una nostra esigenza e ci produce veramente un beneficio”, sottolinea.

IT Talent shortage e guerra dei salari, una sfida che si ripete

Trovare le competenze IT è una terza, annosa, sfida segnalata dai CIO: i talenti IT sono scarsi e ambìti e il loro costo continua a salire. Spesso i candidati chiedono RAL che sono di circa il 30% superiori rispetto a quanto molte imprese, soprattutto medio-piccole, possono offrire. Moltissimi esigono di poter lavorare completamente da remoto, un benefit che non tutte le aziende, però, sono disposte a concedere.

“Per i profili digitali è in corso una ‘guerra al rialzo dei salari’, con conseguenze negative per l’intero mercato, perché le PMI sono tagliate fuori da questa competizione economicamente insostenibile e si crea iniquità interna di politiche retributive”, si legge nell’ultimo Osservatorio HR Innovation Practice della School of Management del Politecnico di Milano. 

“Noi abbiamo posizioni aperte da mesi, per esempio nello sviluppo”, riferisce Belli. “Come IT Director sto cercando analisti che conoscano anche gli strumenti tecnici: essendo una media impresa, non abbiamo vasti team specializzati su singoli settori, ma ci servono figure capaci di fare di tutto un po’ in base all’applicazione. Abbiamo faticato anche a trovare esperti sistemisti Azure, molti candidati non hanno veramente un livello alto di conoscenze e chiedono comunque RAL alte, non sostenibili per le piccole e medie imprese”, conferma la manager. “Un’ulteriore difficoltà è che noi facciamo solo un parziale remote working, perché crediamo nel lavoro di squadra che cementa la cultura aziendale”.

Per lo stesso motivo, Belli ha dovuto mettere in pausa alcuni progetti per la customer experience: “Ci mancano le competenze”.

Le possibili soluzioni: vincere la sfida dei talenti con l’AI e la formazione

L’intelligenza artificiale, però, potrebbe fornire una risposta alla difficoltà di assumere talenti IT, partendo proprio dalla RPA: automatizzare attività manuali aiuta a liberare risorse da assegnare a compiti più specialistici, evidenzia l’Osservatorio HR Innovation Practice del Polimi. Ovviamente, va condotta contestualmente in azienda un’apposita attività di aggiornamento delle competenze.

“L’adozione dell’intelligenza artificiale e dell’intelligenza artificiale generativa da parte delle aziende richiede un profondo ripensamento del ruolo delle persone e delle loro mansioni quotidiane”, osserva Michele Caruso. “È cruciale avviare percorsi di upskilling e reskilling; le aziende devono capire come ridefinire il ruolo delle persone non più coinvolte in attività ripetitive e facilmente rimpiazzabili dall’AI, facendole progredire verso mansioni intellettualmente più fascinose e appaganti. Questo è un momento di profonda trasformazione, di elevazione, di ricerca di un nuovo equilibrio tra uomo e macchina. Nei progetti AI occorre sempre preservare l’aspetto umano: si assegna alla macchina ciò che sa fare meglio e alle persone ciò che le macchine non possono fare efficacemente. È il fattore di complementarietà tra uomo e macchina che i CIO, e non solo, devono sempre più saper individuare”.

La formazione è fondamentale anche per trattenere i talenti, affinché le persone abbiano sempre la percezione di essere “nutrite” nella loro crescita professionale e personale e abbiano un posto significativo nell’organizzazione aziendale.

“Le risorse IT non si trovano perché nessuno forma i giovani”, ci ha detto il Direttore IT di un ente di ricerca italiano. “Noi li prendiamo quando hanno anche solo 20-22 anni, spesso senza ancora la laurea, e va bene così, perché partiamo da zero: l’importante è investire in persone intelligenti e pronte a imparare. Poi, con la formazione continua e progetti stimolanti, siamo sicuri di poter fidelizzare le nostre risorse”.

GenAI dal prototipo alla produzione: il focus deve essere la scalabilità

A proposito della difficoltà di passare dai prototipi alle implementazioni AI, il consiglio di Caruso è di integrare nel PoC elementi di scalabilità sin dal principio e di prevedere un chiaro business case alla base, con logiche di autofinanziamento del progetto già nelle fasi di test. È anche importante prevedere, da subito, una rappresentazione in scala ridotta della complessità generale che ci sarà nella fase di scale-up, accettando dei compromessi tra complessità massima e semplificazione estrema del prototipo.

“Uno dei fattori cruciali è determinato dalla qualità e dalla disponibilità dei dati per lo scale-up, in quanto no dati = no AI o GenAI; pessimi dati = pessima AI o GenAI”, evidenzia il professore. “Supponiamo che il CIO di un’azienda di moda sviluppi un PoC di una soluzione di GenAI in grado di generare automaticamente le schede prodotto, garantendo la correttezza di tutte le informazioni. In fase di progettazione, è fondamentale prevedere compromessi pratici: per esempio, assicurarsi che la soluzione sarà in grado di coprire tutte le tipologie di prodotti, il tipo di dati a disposizione con la granularità adeguata (SKU, size, ecc.) in tutte le lingue necessarie, e che le eventuali correzioni o aggiornamenti in tempo reale delle schede siano per esempio ancora gestite da esseri umani. Questo modus operandi, estremamente concreto e pragmatico, consentirà ai CIO di mantenere alta la qualità del lavoro svolto, sfruttando al meglio le capacità complementari tra intelligenza artificiale e umana”.

Un ulteriore elemento evidenziato da Caruso è la necessità di una governance, perché l’intelligenza artificiale, soprattutto nella sua componente generativa, rappresenta un nuovo salto evolutivo per le aziende e il rischio è che nell’IT si aggiungano tecnologie senza una regia chiara, creando un insieme non coerente.

“La data governance e i modelli operativi chiari sono il punto di partenza: sono la base su cui costruire e scalare i vari progetti AI”, afferma Caruso. 

Cybersicurezza: filosofia zero trust e cooperazione IT-business

Anche nella cybersicurezza si può ricorrere a prassi efficaci. Innanzitutto, adottare la filosofia zero trust: “L’assunto è: non ci si fida a priori e ogni utente che entra nella rete aziendale ha il minimo delle credenziali di accesso necessarie per il suo lavoro. Questo aiuta a proteggere al massimo le applicazioni e i dati”, afferma Liaigre.

Un’altra best practice è far collaborare allo sforzo della sicurezza tutta la C-suite: la cybersecurity non è responsabilità esclusiva del CIO.

“Siccome a rischio ci sono dati strategici, asset, continuità di business, denaro e reputazione, la cybersecurity non è un tema soltanto tecnico, ma riguarda tutti i direttori esecutivi. Ed è un lavoro di squadra: tutta l’organizzazione deve essere coinvolta, perché le cyber-minacce toccano ogni persona nell’azienda o che ha collegamenti con essa”, evidenzia Liaigre.

Questo approccio collaborativo vale anche per il SASE, ovvero Secure Access Service Edge, uno dei paradigmi più innovativi per quanto riguarda la cybersicurezza e che si lega all’approccio zero trust. E include i partner tecnologici: è molto importante avere al proprio fianco un fornitore o consulente capace di dare supporto anche nel ripristino dopo un eventuale attacco. Non essendo, ormai, più questione di “se”, ma di “quando”, il “come” si risponde e il “come” si recupera è cruciale.