Truth in IT
    • Sign In
    • Register
        • Videos
        • Channels
        • Pages
        • Galleries
        • News
        • Events
        • All
Truth in IT Truth in IT
  • Data Management ▼
    • Converged Infrastructure
    • DevOps
    • Networking
    • Storage
    • Virtualization
  • Cybersecurity ▼
    • Application Security
    • Backup & Recovery
    • Data Security
    • Identity & Access Management (IAM)
    • Zero Trust
    • Compliance & GRC
    • Endpoint Security
  • Cloud ▼
    • Hybrid Cloud
    • Private Cloud
    • Public Cloud
  • Webinar Library
  • TiPs
  • DRAW

Commvault: Cyber Resilience, Data Sovereignty & AI Governance

Commvault
07/07/2026
0 (0%)
Share
  • Comments
  • Download
  • Transcript
Report Like Favorite
  • Share/Embed
  • Email
Link
Embed

Transcript


Qui stiamo parlando di chi tutti i giorni usa le soluzioni, tutti i giorni cerca di estrarre del valore dagli strumenti e quindi cerca di portare avanti il proprio business perché poi ognuno di noi ha degli obiettivi che poi devono diventare quelli dell'azienda e vi di seguito. Parlo con te che l'Inail che conosco abbastanza, azienda abbastanza complessa nel suo insieme e avete tanti sistemi che vanno ad impattare non solo dell'azienda ma anche dei cittadini, quindi avete una responsabilità estremamente importante e avrete anche delle linee rosse che non devono essere superate, dovete riuscire a garantire, quindi come fate oggi in quest'epoca del cloud e delle soluzioni a portare avanti il vostro business quotidianamente con le mille problematiche che affrontate? Buonasera a tutti e a tutte, grazie dell'invito, grazie della domanda. Mi permetto di andare un po' fuori dalla domanda anche perché a me piace tantissimo nel senso che gli argomenti trattati fino adesso ricoprono perfettamente il percorso che abbiamo fatto all'interno dell'istituto soprattutto perché siamo classificati come soggetto essenziale all'interno della NIS, ci troviamo nelle condizioni di dovere, ci mancherebbe altro ma qui abbiamo parlato di dormire o non dormire e vi posso garantire che le notte del CIO dell'istituto non è che siano le più belle in assoluto, dal mio punto di vista una platea come questa e un evento come questo potrebbe essere tranquillamente allargato, come mi batto all'interno dell'istituto per smetterla di parlare di sicurezza che sembra un'entità generica e cominciare a parlare di rischio che magari consente di personalizzare un po' di più la tematica che interessa all'istituto come missione fondamentale, dal mio punto di vista sarebbe interessante anche cambiare il termine resilienza con antifragilità, la resilienza è general generica, la fragilità è caratteristica di ognuno di noi e il percorso che abbiamo fatto all'interno dell'istituto è un percorso che ha visto crescere a livello culturale tutto l'istituto, perché fosse solo per la NIS i nostri organi sono coinvolti direttamente nelle responsabilità di sicurezza, quindi abbiamo provveduto a fare dei percorsi formativi nel momento in cui abbiamo dovuto segnalare piccoli disservizi sono stati gli informati del tutto, ma l'elemento che fa la differenza perché la cultura la si apprende dall'esterno verso l'interno è la consapevolezza, la consapevolezza è quell'entità che nasce dentro di te e a me la giornata di oggi è tornata particolarmente utile perché mi ha mostrato come effettivamente la consapevolezza che è cresciuta all'interno dell'istituto è diventata adeguatamente matura, consapevolezza che ha portato l'INAIL, la mia direzione centrale, a cambiare completamente postura nei confronti della sicurezza perché vogliamo essere realmente antifragili e quindi bellissima la domanda con la linea rossa, anche noi abbiamo definito dei perimetri oltre i quali non possiamo assolutamente andare, non ve li sto a elencare, tanto sono quelli che abbiamo visto fino adesso, li conoscete perfettamente, abbiamo un problema con le identità, quindi fare molta attenzione a cosa vuol dire, monitorarle con attenzione per vedere che tipi di problemi ci sono. Siamo il terzo polo di ricerca italiano dopo l'incorporazione di ISPES all'interno dell'istituto quindi abbiamo anche tematiche un po' particolari da affrontare, sicuramente la continuità dei servizi, un incidente può capitare, il tempo di downtime deve essere limitato quanto più possibile e gli elementi fondamentali, l'abbiamo visto fino adesso, è la capacità di essere oggettivamente coscienti di quello che ci sta capitando intorno con un focus importante sui dati perché per un ente come il mio il dato non è soltanto un asset aziendale ma è il mio vero biglietto d'avviso nei confronti dell'utenza, quindi questo dal mio punto di vista è l'elemento che fa la differenza e che ha portato a questo cambio di postura nei confronti della sicurezza e di tutto ciò che vi gravita attorno. Anche un cambio di passo se vogliamo, nel senso che la consapevolezza ti permette di guardare le cose con un occhio diverso, questo ti dice che stai guardando avanti in modo diverso e non è solo consapevolezza di quello che hai ma di quello che potrai andare a fare. Assolutamente sì, tant'è che per noi la sicurezza non è più un problema prettamente tecnologico ma è un problema di tipo organizzativo, di tipo procedurale e quindi è proprio per questo che un evento come Shift, dal mio punto di vista, dovrebbe vedere un allargamento della platea dei partecipanti perché dobbiamo essere tutti consapevoli dei problemi e dei perimetri legati a un potenziale problema. Però non diciamolo perché sennò Vincenzo da Milano si è già allargato Roma e qui andiamo veramente fuori. A me da buon toscano se la organizzi a Rizzo volentieri. No ma certo, potrebbe essere un'idea, si mangia bene quindi c'è il suo perché, no a parte le battute. Passiamo a Francesco, voi fate un sacco di osservatori, non preoccupatevi del microfono, arrivatelo accendendo al momento giusto. Un sacco di osservatori, ma oggi quando pensiamo alla sovranità del dato, a come oggi noi lo gestiamo, che cosa vi dicono le ricerche? A che punto siamo quando parliamo di sostenibilità digitale, di sostenibilità dei dati, di sostenibilità delle applicazioni? Perché poi insomma il tema è molto ampio, vorrei un po' capire che cosa state vedendo. Vai tranquillo, vedrai che va, è quello arancione, dico alla regia così almeno prova. Prova? Bella la tecnologia, vedi quando funziona. Allora guarda, sulla sovranità del dato, oggi si parla tantissimo della sovranità del dato ma spesso viene collegata la sovranità del dato alla localizzazione geografica, è un po' come parlare della proprietà di una casa parlando solo dell'indirizzo catastale. Si parla tantissimo di questo, quindi ho messo i dati in Italia, quindi la sovranità del dato, in realtà non è quello il punto. Noi con la fondazione abbiamo fatto una ricerca e abbiamo cercato anche di modellizzare il tema della sovranità. Abbiamo distinto tre layer diversi sulla sovranità, un layer di sovranità tecnologica che è quello delle infrastrutture, dei dati, quindi la parte più tecnica che ha a che fare con la sovranità, un layer di sovranità digitale che riguarda le regole, i modelli di comportamento e un layer che invece è quello forse più importante della sovranità cognitiva, cioè la capacità di capire come vengono letti i dati perché determinati algoritmi portano a un determinato risultato e scegliere, analizzare, decidere quali sono gli algoritmi che determinano le decisioni. Fermarsi alla localizzazione vuol dire fermarsi solo al primo strato e non avere consapevolezza di quello che poi succede con il dato. La vera sfida sulla sovranità del dato è quella di governare l'utilizzo del dato, come il dato viene utilizzato all'interno dei sistemi decisionali, come il dato si trasforma in decisione. Chi governa questo strato può dire di avere una certa sovranità, altrimenti è un aspetto un po' effimero. La sovranità ha molto a che fare con la sostenibilità perché non c'è sostenibilità se non c'è resilienza, non c'è resilienza se non c'è sovranità. Per poter gestire i miei dati, per avere contezza di come vengono utilizzati, ho bisogno di avere il governo di tutto il processo di gestione del dato. Quindi gli indicatori che ci guidano nel capire quanto ho una governance buona sul mio processo di utilizzo dei dati sono un po' quelli classici e sono indicatori misurabili. Il data lineage, quanto io ho coscienza della mappa dei miei dati all'interno della mia organizzazione, la conosco tutta, di tutti i miei dati, l'accesso, i permessi dei miei dati sono tutti tracciati, ce li ho presenti? Perché se ce li ho è bene, se non ce li ho non ho sovranità, sono solo fortunato finché dura. La gestione del rischio sui dati, poi c'è il tema della compliance, ma anche la compliance non risolve lo strato della sovranità cognitiva, si ferma al primo livello, posso essere compliant ma non avere sovranità. La sovranità è qualcosa a che fare con la capacità di decidere autonomamente cosa posso fare domani, di prendere decisioni indipendenti da qualsiasi altra forza esterna. Per fare questo non basta la compliance ma ci vuole qualcosa in più, che vuol dire prendere il controllo dei propri processi decisionali e quindi andare proprio a incidere su quello strato di sovranità cognitiva. La compliance mi dice che sono aderente alle leggi oggi, la sovranità mi dice se domani sarò ancora in grado di operare, la compliance dobbiamo attuarla, la sovranità dobbiamo iniziare a costruirla. E c'è un tema forse che è toccato, perché Inael molti dati, quasi tutti i dati ce li ha in casa, molte aziende non tutti i dati ce li hanno in casa, attingono all'esterno, dati non strutturati, quindi la sovranità diventa anche lì qualcosa di fluido. Anche questo è il modo di fare business moderno? Esatto, se non ho il controllo, se non so chi usa i miei dati, come li usa, ma all'interno della mia organizzazione se non ho mappato l'accesso ai dati, soprattutto adesso che parleremo anche di intelligenza artificiale, di agenti che chiamano agenti, se non ho il controllo di dove sono i dati, di chi ci accede, quali sono le regole per accedere, come vengono utilizzati, ma soprattutto qual è l'algoritmo che a partire da quei dati mi determina una decisione. Allora il potere è spostato più che sulla localizzazione del dato, sull'algoritmo. Sull'algoritmo, sulla trasparenza che insomma l'Europa ci chiede con grande vigore e quindi questo è un richiamo forte. Così passiamo a Marco. Marco, microfono verde, così dico la regia e non ci sbagliamo. Entriamo un attimino proprio in come oggi stiamo utilizzando l'intelligenza artificiale, voi avete un sacco di esempi che puoi raccontarci. Qual è l'errore più comune che si fa quando si approccia all'intelligenza artificiale, ma soprattutto come si fa a essere sicuri by design, quindi riuscire a ragionare in questi termini dall'inizio, dall'inizio del progetto. Visto che poi tu non ti occupi solo del nostro paese ma allarghi, vorrei un po' capire anche le esperienze quali sono. Allora intanto l'errore da non commettere, quantomeno tra gli addetti ai lavori, tra i professionisti della cyber, è quello di ritenere l'intelligenza artificiale esclusivamente una nuova tecnologia da proteggere, dalla quale proteggersi o della quale avvalersi per difendersi e per difendersi dalla minaccia cibernetica. Questo come primo aspetto, in realtà c'è molto di più perché abbiamo appreso che ogni qualvolta una tecnologia di frontiera di tal portata emerge in modo dirompente nel quinto dominio, nel dominio cyber, le capacità offensive che se ne avvalgono traggono molto più beneficio, risultano molto più efficaci delle capacità difensive che al contempo ne fanno uso. Questa tendenza si inverte solo alla fine del ciclo di vita, nel momento in cui una tecnologia raggiunge l'apice della propria maturità e ne abbiamo esempi plastici, Nitos è sicuramente la rappresentazione più classica, Glasswing non è la risposta ma è la conferma, quindi in cosa si sostanzia questo vantaggio competitivo delle capacità offensive. Nell'ultimo anno abbiamo osservato come in tutti i settori industriali, in tutti i segmenti di mercato ci sia stato un netto cambio di passo nella velocità, nell'impatto e nella scala con la quale gli attacchi informatici superano le difese tradizionali. La ragione risiede proprio nell'adozione di modelli di linguaggio, di reti orali antagoniste o comunque di sistemi di apprendimento automatico. Cyber, resilienza hanno mille dimensioni e in poco tempo possiamo semplicemente riassumere quelle che oggi ne rappresentano la priorità. Se parliamo di resilienza, in tutte le sue accezioni, oggi qualunque organizzazione deve essere preparata e riprendo una citazione di Pontremoli, non si può essere pronti a un evento che si tramuta in allarme, che scala in incidente, che apre una wall room e diventa una crisi. Non si può essere pronti. Per essere pronti bisognerebbe sapere quando accade, perché accade, come accade, dove accade. Non possiamo essere pronti e non possiamo neanche sapere a priori se avremo le competenze necessarie in quel momento per gestire quella situazione e quella dinamica. Possiamo però essere preparati. Essere preparati significa avere dei modelli di governo, avere i processi di gestione di questi eventi, di queste dinamiche e avere gli strumenti, le tecnologie che abilitano questi processi. e che noi dobbiamo essere in grado di padroneggiare. Per padroneggiarli bisogna testarli, bisogna collaudarli, bisogna esercitarsi. Forse ci urlavamo addosso prima con Vincenzo proprio condividendo questo pensiero e pensando a tante organizzazioni che investono tanto ma poi non si esercitano. È importante diventare padroni di questi strumenti per cui quel momento prima o poi arriva. Che è poi quello che ho chiesto a Senjai, dicendo che dobbiamo essere pronti a quello che non sappiamo. Questo è il tema, se non ti metti mai in discussione, quindi se non provi quello che hai a disposizione non sai se domani saprai affronteggiare qualsiasi cosa. Questo paese è un paese di terremoti per capirci, facciamo un sacco di esercitazioni sul tema, poi ovviamente ci sorprende e ci frega, per fortuna sempre meno, riusciamo a salvare vite quindi è già importante, però è un tema grosso, è un tema di rischio, di antifragilità come diceva prima giustamente Paolo, è un tema anche di come approcciamo il problema. Sappiamo che il rischio può essere un problema e se conosciamo la natura del problema, non quando verrà, forse abbiamo degli strumenti che ci permettono di fare qualcosa. C'è qualche differenza che tu vedi tra il nostro paese e quegli altri su cui tu stai operando, oppure siamo tutti sulla stessa barca in un mare tempestoso? Più che una questione geografica è una questione di maturità che è legata più ai settori d'industria, è legata più a una cultura di mercato e a quei settori d'industria che fanno della continuità operativa il proprio business e quindi alcune realtà nel settore dell'energia, nel settore della tradistribuzione, nel settore bancario rispetto al passato hanno anche superato le telco che in passato erano talvolta pionieri, talvolta antesignani di un nuovo modo di affrontare le nuove minacce con modelli più maturi. Queste sono le differenze. Poi ovvio ci sono dei paesi che nascono con quella cultura, in Israele la resilienza è un altro concetto ma non vorrei aprire... Entriamo in un altro discorso, è sicuramente vero, abbiamo visto con le Olimpiadi di Milano-Cortina che lato infrastruttura ha retto tutto ed i problemi ce ne sono stati, però non se ne ha accorto nessuno, questo è quello che conta. Poi chi si deve sporcare le mani, voi vi tocca rimboccare e partire, però questo è fondamentale, uno non si deve accorgere, il business va avanti, tutto quanto deve funzionare, quindi Carlo passo da te, quindi hai che colore di microfono, così aiuto la regia, perdonami, nero, quindi non lo vedevo ma semplicemente perché non c'era. Allora tu hai una grande esperienza sulla parte energie, un'esperienza che va proprio sull'operatività, sulla sovranità del dato, su che cosa si può fare con i dati, come dai dati si estrae valore, vorrei un po' capire quando questa sovranità, questi dati possono diventare un problema e quindi come si affronta questo elemento, perché è un elemento nuovo se vogliamo di questi ultimi anni. Vorrei ripartire da quello che diceva Marco ora, la mia esperienza della mia vita precedente, quella come sia io di Enel. Adesso ti tocca dirlo nei CDA, quindi la questione è un po' diversa. Ora mi trovo a fare il consigliere di amministrazione, quindi mi trovo un po' dall'altra parte. Quando tratti tematiche di resilienza, di cyber resilienza, quindi di business continuity per andare al sodo, su un perimetro dove un'azienda come Enel si è presente su 40 paesi, hai decine di milioni di clienti connessi alla tua rete, hai due milioni e mezzo di chilometri di linee di rete elettrica, un milione e mezzo di stazioni. Il tema è di security by design, di resilience by design, tu sai che prima o poi qualcosa succede, il perimetro è talmente vasto, è talmente liquefatto, è talmente stato automatizzato e esposto all'innovazione tecnologica, quindi non è solamente un tema di ampiezza, è un tema di ampiezza dell'infrastruttura, con la consapevolezza che se un operatore di servizi essenziali ci sono attaccati 75 milioni di clienti su 40 paesi, ma in realtà il bacino di utenti è di 300-400 milioni e quindi hai una responsabilità come operatore di servizi. Tutto quello che fai, dalla fase di ideazione, dalla fase di progettazione, dalla fase di gestione, mi piaceva quello che diceva il collega all'inizio, mi piace più di parlare di rischio, perché tu nel momento in cui progetti devi minimizzare la probabilità che succeda qualcosa, devi cercare di ridurre il più possibile l'impatto e proprio per la tipologia di servizio che dai, avere la certezza che saprai ripristinare e soprattutto in tempi certi, aspicabilmente i più brevi possibili. Quindi progetti su cinque dimensioni e oggi è stato detto, quindi dirò solamente i titoli, ELEAI non introduce problemi nuovi, li accelera drammaticamente sia dal punto di vista della capacità offensiva, ma vedendo l'altra parte della medaglia ci dà anche una possibilità di difendere il perimetro in modo molto diverso rispetto a come l'abbiamo fatto fino ad oggi, se la utilizziamo in modo intelligente e sapiente, se non spegniamo il cervello ma la utilizziamo in questo modo. Identity first, perché con l'intelligenza artificiale il tema della protezione dell'identità, della capacità di fraudare i sistemi attraverso l'uso fraudolento del credenziale dell'identità si moltiplica e zero trust. In un perimetro tecnologico come quello dell'energia e molti altri, una forte separazione fra l'IT e lo TI, il tema della security by design in un'azienda che opera su 40 paesi, lo diceva Marco prima, il tema culturale è fondamentale, non è un tema di tecnologia, è un tema di cultura, quindi la tecnologia aiuta e è disponibile se non si crea all'interno dell'azienda nelle diverse realtà, perché lì hai n culture nella cultura dell'azienda che sono figlie della storia dei diversi ambiti che tu ti trovi a gestire. Il secondo tema è l'IT e lo TI che sono due temi molto diversi che introducono problematiche di protezione e di disegno totalmente differenti, fare il patching su dei sistemi gestionali è molto diverso di fare il patching su degli impianti o degli scada. Il terzo tema è, e oggi è stato citato fortemente ed è il paradigma anche più come Convolt e i partner si pongono nel mercato, è impossibile difendersi da soli, ci si difende in gruppo. Il tema dell'anello dei fornitori nella protezione è fondamentale, direi che dirimente, oggi tre attacchi su quattro vengono dalla supply chain, quindi il fornitore deve essere visto come un elemento che concorre alla tua resilienza e partecipa alla tua protezione, non è alcun elemento passivo. E non è un caso che i regolamenti che arrivano vanno proprio a focalizzarsi lì. L'azienda ha un perimetro molto più esteso rispetto a quello che è l'azienda tradizionale della prima rivoluzione industriale e dell'upificio. Il quarto tema è il concetto di resilienza, io se mi chiedessi di declinare il concetto di resilienza in modo alternativo rispetto a come viene normalmente descritto è per me l'ingegneria del ripristino, perché se non la concepisci e la pensi in questo modo dal momento in cui tu progetti come vuoi funzionare, come sai funzionare e come puoi funzionare non puoi essere certo che con un backup, con le tecnologie più evolute tu hai risolto un problema, hai problemi di consistenza, hai problemi di RPO, di RTO, anche il problema di capire tu come sei fatto, quali sistemi hai, quali informazioni gestisci, quali competenze, quali tempi. Il quinto tema è l'esercizio, l'allenamento, si allena per ridurre quei rischi costantemente come fa una squadra, come fa un team, su situazioni di gioco reali. Quindi non basta fare il backup, bisogna capire se quel backup funziona nel momento in cui ne avrò eventualmente bisogno, come lo devo utilizzare, quindi per ridurre e mitigare questo tipo di rischio, questo tipo di gap è fondamentale allenarsi, non ci si può allenare quando c'è il problema e la tempesta, ci si allena quando c'è il bel tempo e il sole, quando non ci sono problemi, dal vertice dell'azienda alla direzione operativa. Quindi la gestione del crisis management, le regole d'ingaggio, i tempi, chi prende le decisioni, l'organizzazione in quel momento, deve essere una cosa che la gente sa fare a memoria, non posso andarmi a sfogliare il manuale per capire a chi devo telefonare o chi decide in quel momento o chi dirà l'ultima parola. La somma di queste cose fa la sicurezza per i design e quindi fa la mitigazione del rischio, non una più importante dell'altra, ma tutte insieme funzionano, questa è la mia esperienza. La tua esperienza è sul campo, ma provata, quindi non è che ci stai raccontando una ricetta, ci stai raccontando… Tenendo presente che noi abbiamo avuto due attacchi totali, noi siamo stati la prima azienda energetica al mondo che è andata in cloud nel 2015, cloud ibrido pubblico nel 2015, scelta in cui molti dei miei stessi colleghi, non condividerla, mi hanno guardato con molta difficoltà, non cito con quali facce e con quali espressioni. Abbiamo avuto due attacchi nel 2020 totali, nel primo attacco abbiamo ripristinato in sette giorni, nel secondo attacco l'azienda non si era accorta e abbiamo ripristinato in poche ore. E questa è quella la parte più importante, vuol dire che funziona… Attivare anche una learning organization a distanza di tre mesi. Allora, come vedete voi il timer è lì e quindi vi chiederò questo secondo giro di essere un pochino più brevi, ma mi piace sempre allargare un po' il discorso nel primo e riparto da Paolo, prima mi hai detto antifragilità. Antifragilità oggi nell'epoca dell'intelligenza artificiale, che cosa significa, come si presenta in pratica e come oggi si può andare oltre una dichiarazione d'intenti nella pratica reale. Esattamente il percorso che abbiamo fatto all'interno dell'Istituto, sono entrato in contatto con una dichiarazione d'intenti da parte della Fondazione due anni fa, con il manifesto sull'intelligenza artificiale, che abbiamo tradotto in delle regole interne. Siamo di fronte, perdonate per un ingegnere come me avere a che fare con un sistema non deterministico, è un colpo al cuore in maniera sistematica e purtroppo siamo di fronte a una tecnologia, me lo sono segnato perché è stato interessante l'intervento della collega di AWS, che è un completo cambio di paradigma, cioè siamo di fronte a una tecnologia che una delle poche volte nella mia vita non è neutra e non essendo neutra prevede che ci si debba attrezzare per poterla. Diciamo non è neutra nelle eccezioni che avevamo prima, abbiamo una nuova eccezione di neutra perché poi... Assolutamente, quindi la preoccupazione che avevamo soprattutto all'inizio dell'adozione in Istituto era definire delle regole, dei perimetri, torno alle linee rosse di prima, cosa non doveva essere fatto, perché la negazione in questi casi è particolarmente utile e ci siamo concentrati su quali dati non potevano essere utilizzati, quali decisioni non potevano essere delegate e quali strumenti non erano autorizzati e guardate nella chiacchierata che è venuta fuori oggi abbiamo ritoccato esattamente tutte queste informazioni perché abbiamo parlato dei dati, il dato per me è un rapporto diretto con il mio utente, quindi non è un asset ma è proprio un contratto che sottoscrive con lui, devo avere il massimo controllo di quello che avviene, quindi studiare, studiare, studiare, comprendere come gli implementiamo le soluzioni e guardate il machine learning mi preoccupa fino a un certo punto ma quando passiamo alla generativa sono sempre particolarmente preoccupato e con la gentica ancora di più. Fondamentale è avere la possibilità di sapere quello che sta succedendo, quindi tracciabilità e spiegabilità, è stato presentato uno strumento di non poco conto per fare il roll back dalle attività di un agent, l'altro elemento importante perché nella presentazione che è stata fatta rappresentazione che è stata fatta si è parlato di frammentazione in INAIL ma penso si è parlato di frammentazione in INAIL ma anche in altre aziende noi abbiamo anche un problema di stratificazione quindi sempre particolare attenzione all'utilizzo della tecnologia e l'ultimo punto è quello dello shadow AI, l'intelligenza artificiale non entra solo dall'alto per decisioni aziendali entra da tutte le parti soprattutto dal basso e questo ingresso dal basso porta un'area grigia che per me responsabile dell'IT dell'istituto diventa un problema grossissimo perché non so come approcciarlo e quindi solo grazie a strumenti come quelli che sono stati presentati dove c'è un censimento degli strumenti che vengono utilizzati, regole che possono essere messe e è per questo che io consiglio a tutti coloro che mi chiedono gli indicazioni di cominciare a mettere delle regole certe partendo dalle negazioni, cosa non è opportuno fare, possiamo partire con quello che è opportuno. Assolutamente così mi aggancio subito a Francesco visto che abbiamo capito cosa dobbiamo fare, cosa possiamo fare, cosa non dobbiamo fare e cosa non possiamo fare proprio, non dobbiamo farlo, vorrei capire voi come fondazione che cosa avete pensato quando pensate alla governance dell'intelligenza artificiale? Guarda, un primo tema, la faccio anche abbastanza breve, c'è un tema fondamentale che è quello di capire chi risponde di cosa, cioè oggi uno degli errori che si fa più spesso è quello di antropomorfizzare un po' l'intelligenza artificiale, pensare di poter delegare all'intelligenza artificiale delle decisioni, decisioni che impattano sui territori, sui nostri clienti, sulla società, questo è un errore grossissimo perché l'intelligenza artificiale di suo non deve avere né etica né accountability, l'accountability deve restare umana, quindi il primo punto per avere un governo responsabile dell'intelligenza artificiale è quella di capire chi risponde di cosa, cosa succede se l'intelligenza artificiale, se un agente AI causa un danno, non è chiaro che qualcuno deve rispondere a quel danno, ci vuole una responsabilità alla fine sempre umana su quello che l'intelligenza artificiale mette in atto. Poi ci sono una serie di strumenti per misurarsi, per misurare una buona governance dell'AI che sono un po' quelli classici che abbiamo anche già detto prima, la governance, quindi governare il dato, sapere gli agenti AI quali dato usano, come lo usano, che permessi ci sono, quando ci sono catene di agenti AI come questa catena accede al dato, quali sono i livelli di permission di ognuno di questi sul dato, come lo modifica, quali sono le skill che vengono utilizzate poi c'è il discorso della gestione del rischio, gestione del rischio che non può essere fatto solo nel momento del deployment di una soluzione ma deve essere continuativo, la gestione del rischio end to end, il fatto di avere train e test continui anche e soprattutto sulla creazione di una organizzazione, questo è un pezzo importante, su queste prove che spesso si fanno di resilienza, di risposta a problemi, ad attacchi o a danni causati nell'AI, si mettono in piedi dei protocolli, poi un conto è la maturità dichiarata, un conto è la maturità reale, a me personalmente, io oltre a questo faccio anche il vice direttore generale di AIC Informatica e ho avuto anche in altre organizzazioni precedentemente, mi è successo in un'organizzazione che abbiamo fatto tutto il processo di reazione all'incidente informatico, al data loss, al fatto che ci hanno rubato i dati, quando andiamo a testarlo poi due persone cardine della commissione, del comitato, non sono proprio venute e quando i telefoni dicevano ma io non avevo capito che dovevo venire, perché non avevo proprio la consapevolezza di cosa vuol dire quando poi arriva l'incidente e devi rispondere del danno che è stato fatto, allora con l'intelligenza artificiale questa cosa diventa ancora più pressante, questi strumenti servono a controllare e a migliorare la governance, due strumenti in più che riguardano più un approccio culturale che quello che anche come fondazione cerchiamo di portare avanti è quello di avere sempre l'accountability umana come fattore centrale nell'utilizzo dell'intelligenza artificiale e poi quello di valutare l'impatto a 360 gradi dell'introduzione di sistemi di intelligenza artificiale quando io metto un sistema di intelligenza artificiale, delego delle attività a un sistema di intelligenza artificiale, dovrei anche valutarne gli impatti in termini economici, ambientali e sociali che quel sistema può avere e quale è il reale vantaggio? L'esperienza personale, quello che vedo che anche noi abbiamo iniziato nella nostra organizzazione a testare in vari punti progetti di intelligenza artificiale, prima come esperimento adesso nasce l'esigenza di metterli a governo, cioè io devo sapere in ogni punto delle mie organizzazioni quali sono gli agenti AIA che stanno lavorando e anche iniziare a misurarli, a misurarli in ROI, avere una migliore governance non vuol dire frenare l'innovazione, vuol dire avere un'innovazione più affidabile, un'innovazione affidabile è una cosa buona, un'innovazione non affidabile è un debito rimandato perché poi si paga il conto. Assolutamente poi se vuoi ti incalzo su questo nel senso che ci sono settori, penso alle banche, che pensano di sostituire l'RPA con degli agenti o sciami di agenti, non è la stessa cosa perché l'RPA aveva dei paletti stretti, dei garrei molto molto precisi e entra invece in una parte non deterministica e quindi diventa complicato, quindi abbiamo ancora una serie di problemi da affrontare. Marco, vengo invece da te, nel senso che voi da sempre siete molto attenti a raccontare l'ecosistema che ruota intorno e la creazione delle soluzioni ai problemi di business co-creata, quindi fatta insieme, questo è sempre stato un pochino il vostro approccio. Oggi con l'intelligenza artificiale cosa sta cambiando? Tanto è un concetto di indipendenza che sfuma, ritengo che oggi non esista paese al mondo che possa ritenersi tecnologicamente indipendente o digitalmente sovrano senza perdere posizionamento o vantaggio competitivo in qualche forma, non può farlo un paese, figuriamoci se può farlo un'organizzazione o un'azienda. Partendo da questo la rilevanza dell'ecosistema, delle filiere delle catene di approvvigionamento è determinante, è un valore qualunque sia l'impresa, l'azienda, l'organizzazione che se ne avvale. È necessaria e quel vantaggio competitivo da una parte, dall'altra inevitabilmente moltiplica i rischi, quelli noti, e ne porta di nuovi che devono essere gestiti. Dal nostro osservatorio quello che abbiamo potuto constatare negli ultimi tre anni è che la superficie d'attacco esposta si è di fatto quintuplicata, moltiplicata di un fattore 5 negli ultimi tre anni. Oltre che ad allargarsi anche... È un tema di ampiezza, ma anche di profondità, non solo di ampiezza. Non è solo l'hyperscaler, è un catalogo servizi sempre più vasto di cui mi avvalgo dopo che ho fatto grandi programmi di trasformazione. Ci sono gli hyperscalers, c'è il software as a service, ci sono fornitori terze parti nevralgiche, c'è una proliferazione di modelli di linguaggio, di intelligenza artificiale regolata e anche non regolata, che comunque espone in modo importante. Quali sono le strade per affrontare queste complessità, sfide, ma anche grandi opportunità se si cambia la perspettiva e il punto di vista, sono anche opportunità. I primi sono la visibilità, cioè occorre avere contezza della catena tecnologica che abilita un servizio di business a un processo corporate, dei flussi dati, specie quelli critici, quelli classificati strategici. Devo sapere dove sono e come e dove viaggiano, altrimenti se non li vedo non li posso proteggere. Il secondo aspetto importante è un tema di diversificazione, di ridondanza, di diversificazione. Inevitabilmente qualunque soggetto a delle dipendenze esterne, spesso molto forti, per ogni dipendenza esterna occorre una o più alternative che devono essere in qualche modo trattate, che devono essere in qualche modo testate, quindi non è un aspetto squisitamente contrattuale che mi tutela. Devo anche poter verificare tecnicamente che quell'eventuale migrazione, che sia un prodotto, un servizio, un'infrastruttura, sia disponibile nei tempi che mi occorrono. L'intelligenza artificiale va regolata senza dubbio, a un certo momento dobbiamo concentrarci su implementare quelle regole attraverso dei controlli e quindi una policy deve diventare in qualche modo istrumentata, come si suol dire tra tecnici. Devo poter autorizzare e impedire, inibire, elettoralizzare qualunque modello di linguaggio LLM non autorizzato. Devo poter in qualche modo agire con una data loss prevention, con dei controlli, dei filtri sui prompt, sui dati che magari ho categorizzato e classificato e devo gestire prima che vengano iniettati in un modello. Stiamo parlando di inferenze, non stiamo parlando di addestramento, non voglio aprire quell'altro paragrafo. Così come le model response, oggi sarà sempre più integrata non solo nel mondo digitale ma anche nella robotica, nei sistemi di controllo industriale. Un agente con capacità cognitiva, capace di prendere decisioni, le può riversare non solo nel mondo digitale ma anche nel mondo fisico. Queste sono le contromisure che devono essere implementate, devono essere di natura tecnica perché sulle regole siamo stati bravissimi in Europa e in Italia. Sulle regole siamo bravi e su metterle in pratica insomma ce ne passano. Sintesi, nell'ecosistema ogni soggetto deve fare la sua parte ma l'organizzazione che si avvale di quell'ecosistema, di quella filiera dell'approvvigionamento deve mantenere la regia, il governo, il controllo e poter orchestrare ogni processo. Bene Carlo, invece vorrei un po' capire da te, visto che stiamo iniziando a utilizzare l'intelligenza artificiale ovunque, ce l'abbiamo messa nelle operazioni, nella Science, siamo accerchiati dall'intelligenza artificiale, che cosa possiamo fare in contesti critici per controllarla, per capire che cosa sta succedendo insomma nei meandri oscuri della costellazione di computer e server che abbiamo? Possiamo fare molto e ripartirei da quello che diceva molto bene Francesco, un concetto nuovo che stiamo sviluppando all'interno della Fondazione dove abbiamo portato in questi anni dentro molte aziende, il tema della sovranità cognitiva che è un concetto un po' più esteso. Ripartiamo un po' dalla base. Noi siamo stati tradizionalmente convinti che la Data Residency nel tempo, pensiamo ai data center, fosse un criterio di sicurezza. Sono seduto sui miei dati, ho piantato la mia bandierina, quindi intrinsecamente ne ho il controllo totale. Grande bugia, grande segno di consapevolezza rispetto a quello che era. Parto dai dati perché l'intelligenza artificiale è un'evoluzione del problema se pensate dal data center al cloud che si espande. Quindi la Data Residency per alcune giurisdizioni può essere una condizione necessaria, in quanto la giurisdizione lo richiede, ma non è una condizione sufficiente. La seconda condizione quindi è l'operational sovereignty, quindi i miei dati che risiedono nel mio paese o in un on-premise o in un altro paese nel cloud, con quali tecnologie sono gestiti, quindi quali sono gli stack tecnologici. Di questi stack tecnologici ho totale contezza e controllo diretto sul ciclo di vita di quel prodotto, sulle trasformazioni che ottengono i miei dati e per arrivare all'intelligenza artificiale, alla tua domanda, io non mi preoccupo dell'etica e non mi preoccupo delle regole. L'innovazione non si può regolare, non è corretto regolare. Assolutamente contrario. Mi preoccupo invece di conoscere se utilizzo un modello, i pesi, i bias, che introduce quel modello sulla quale io ma milioni di persone pensano di prendere decisioni delegando ai suggerimenti di quel modello, in un grading molto variabile, dalla delega totale allo dalla delega totale allo scetticismo totale, come sono stati costruiti, culturali, di genere e posso andare avanti all'infinito. Quindi noi dobbiamo preoccuparci di avere accesso, chiarezza, contezza e controllo di quelle trasformazioni che le informazioni subiscono sia nelle decisioni dell'uomo e nelle decisioni che prenderanno gli agenti per conto dell'uomo in funzione delle deleghe che in organizzazioni ibriche noi progressivamente daremo a esecutori o a controllori di esecutori in swarm organization mixed, quindi quello è l'elemento centrale di cui dobbiamo noi tenere il controllo ed è un tema cognitivo, è un tema di sovranità rispetto a come funzionano questi modelli inferenziali, quindi passo al tema operativo, quindi prima la tecnologia e non è un tema, guardate, di autarchia tecnologica perché non voglio introdurre questo tipo europea, statunitense, israeliana, no, l'importante è capire quel prodotto quanto io posso intervenire su quella terza parte, poi c'è un secondo e un terzo tema, il secondo tema è quella operativa, chi sono i provider o le terze parti che mettono le mani su quella tecnologia per me nel concetto di agenda estesa e come li controllo, quindi come faccio gli odi, come posso controllare, che tipo di permessi ho delegato, a quali livelli, quindi il control plan e l'intervento, perché questo mi serve poi anche per il ripristino, abbiamo parlato di resilienza, affiguratevi nell'esercizio corrente nella vita di tutti i giorni, poi c'è l'ultimo elemento che secondo me è quello fondamentale, sulla resilienza delle AI, del cloud o dell'azienda, ma io ho costruito delle opzionalità o delle exit strategy o della modularità o della flessibilità nella mia capacità operativa o ho generato sull'onda, sull'enfasi della tecnologia, dell'innovazione, tutti i costi, dei lock-in che sono diventati per me tremendi dai quali non escono neanche a milioni di dollari, quindi non avere opzionalità vuol dire essere con le spalle al muro sia quando c'è il sole sia quando c'è la tempesta, quindi la grande indipendenza per il cloud, per le AI, per i dati, quindi la resilienza e la riduzione del rischio passa dalla effettiva capacità di esercitare le opzionalità che io ho per agire in qualsiasi momento e come ricordava giustamente Marco qui l'Europa è stata geniale, ha iperregolato DataHack, ServiceHack, CloudHack, Nix2, Dora, però non abbiamo fatto investimenti e quindi se tu non fai investimenti e iperregoli, la regolazione è lettera morta perché non controlli e non governi un piano di sviluppo della tecnologia, d'altra parte se non regoli la tecnologia in un piano di investimento importante e qui guardo più agli USA o alla Cina è caos totale, quindi in ogni caso cosa serve in Europa? Investimenti e regolazione. E su questo insomma ci stiamo lavorando, sappiamo che non è un percorso facile, non è un percorso facile anche per il regolatore, quindi non è che si inventano la mattina, la sera le cose perché si svegliano scendo dal letto col piede sbagliato. Purtroppo questo settore è estremamente regolamentato, altri settori, l'abbiamo visto le cronache di questi giorni ci raccontano, le regole insomma sono un pochino più lasse diciamo così per essere gentili. Allora voglio ringraziarvi perché ci avete portato le vostre esperienze, ci avete portato nei casi concreti di tutti i giorni di quello che affrontiamo con le nostre aziende, con le vostre aziende per portare avanti dei valori e portare del valore alle aziende ma anche al paese, quindi grazie davvero.

TL;DR

  • INAIL's security leadership argues organizations should pursue 'anti-fragility' rather than generic resilience, treating security as an organizational and procedural challenge rather than a purely technical one.
  • True data sovereignty requires governing the cognitive layer — the algorithms that transform data into decisions — not merely ensuring geographic data residency or regulatory compliance.
  • Accenture reports that enterprise attack surfaces have quintupled in three years, driven by AI adoption, SaaS proliferation, and supply chain dependencies, with offensive AI capabilities consistently outpacing defensive ones in early technology cycles.
  • Carlo Bozzoli's Enel experience — recovering from a full cyberattack in hours after an earlier incident took seven days — demonstrates that resilience is 'restoration engineering' requiring continuous simulation, not just backup infrastructure.
  • AI governance must maintain human accountability at its center; shadow AI adoption, agent chains without permission mapping, and undocumented AI deployments represent the most pressing near-term governance risks for enterprise IT leaders.

From Resilience to Anti-Fragility

This Italian-language roundtable, hosted at a Commvault event, brings together senior practitioners from INAIL (Italy's national workers' compensation authority), Accenture, the Fondazione sulla Sostenibilità Digitale, and an independent board director with deep experience at Enel. The discussion opens with INAIL's Paolo, who argues that organizations should move beyond the generic concept of 'resilience' toward 'anti-fragility' — a posture that is specific to each organization's risk profile. INAIL, classified as an essential entity under NIS2, has undergone a cultural transformation in which security is no longer treated as a purely technical problem but as an organizational and procedural one. The institution has defined clear red lines around identity management, service continuity, and data governance, recognizing that citizen data is not merely a corporate asset but a direct contract with the public.

Data Sovereignty Beyond Geographic Location

Francesco from the Fondazione sulla Sostenibilità Digitale challenges the prevailing assumption that data sovereignty is synonymous with data residency. He presents a three-layer model: technological sovereignty (infrastructure and data), digital sovereignty (rules and behavioral models), and cognitive sovereignty — the most critical layer — which concerns the ability to understand and govern the algorithms that transform data into decisions. He argues that compliance alone addresses only the first layer; true sovereignty requires controlling the decisional processes themselves. The distinction he draws is sharp: compliance tells you whether you are operating within today's laws, while sovereignty determines whether you will still be capable of operating independently tomorrow.

AI Governance, Supply Chain Risk, and Operational Preparedness

Marco from Accenture observes that offensive cyber capabilities consistently outpace defensive ones during the early adoption phase of any frontier technology — and AI is no exception. He notes that attack surfaces have quintupled over the last three years, driven by hyperscaler dependencies, SaaS proliferation, and unregulated AI model adoption. He stresses that no country or organization can claim true technological independence without competitive sacrifice, making ecosystem governance and supply chain security non-negotiable. Carlo Bozzoli, drawing on his tenure as CIO at Enel — where the company suffered two full-scale cyberattacks in 2020, recovering from the second in hours rather than days — frames resilience as 'restoration engineering.' He outlines five pillars: AI-augmented defense, identity-first security, IT/OT separation, supply chain accountability, and continuous crisis simulation. Both speakers converge on the point that governance frameworks without investment and regular testing remain dead letters.

Accountability, Shadow AI, and the Governance Imperative

The final segment addresses practical AI governance. Paolo warns that shadow AI — AI tools adopted bottom-up by employees without organizational oversight — creates a significant blind spot for IT leadership. He recommends starting governance with explicit prohibitions: defining which data cannot be used, which decisions cannot be delegated, and which tools are not authorized. Francesco reinforces that AI accountability must remain human; anthropomorphizing AI systems and delegating consequential decisions to them without clear human responsibility chains is a governance failure. He also highlights the ROI measurement gap — organizations deploying AI agents often lack the instrumentation to evaluate their economic, environmental, and social impact. Carlo closes by warning against technology lock-in, arguing that resilience ultimately depends on maintaining genuine optionality: the ability to migrate, substitute, or exit any technology dependency on operationally viable timelines.

Chapters

0:00 - Introduction & INAIL Context
1:08 - Anti-Fragility vs. Resilience
6:36 - Three Layers of Data Sovereignty
11:44 - AI and Offensive Cyber Advantage
14:43 - Preparedness Over Readiness
18:48 - Enel: Resilience by Design at Scale
26:40 - AI Governance and Shadow AI
30:53 - Human Accountability in AI Systems
35:37 - Ecosystem Dependency and Attack Surface
41:27 - Cognitive Sovereignty and Lock-In Risk
47:59 - Closing Remarks

Key Quotes

2:19 "Dal mio punto di vista sarebbe interessante anche cambiare il termine resilienza con antifragilità, la resilienza è generica, la fragilità è caratteristica di ognuno di noi."
7:51 "Fermarsi alla localizzazione vuol dire fermarsi solo al primo strato e non avere consapevolezza di quello che poi succede con il dato."
9:51 "La compliance mi dice che sono aderente alle leggi oggi, la sovranità mi dice se domani sarò ancora in grado di operare, la compliance dobbiamo attuarla, la sovranità dobbiamo iniziare a costruirla."
14:43 "Essere preparati significa avere dei modelli di governo, avere i processi di gestione di questi eventi, di queste dinamiche e avere gli strumenti, le tecnologie che abilitano questi processi."
23:08 "Oggi tre attacchi su quattro vengono dalla supply chain, quindi il fornitore deve essere visto come un elemento che concorre alla tua resilienza e partecipa alla tua protezione, non è alcun elemento passivo."
26:18 "Nel primo attacco abbiamo ripristinato in sette giorni, nel secondo attacco l'azienda non si era accorta e abbiamo ripristinato in poche ore."
31:20 "L'intelligenza artificiale di suo non deve avere né etica né accountability, l'accountability deve restare umana."
37:17 "La superficie d'attacco esposta si è di fatto quintuplicata, moltiplicata di un fattore 5 negli ultimi tre anni."

FAQ

What is the difference between data residency and data sovereignty?

Data residency refers only to the geographic location where data is stored — the 'cadastral address' of data, as one panelist puts it. Data sovereignty is a broader concept encompassing three layers: technological sovereignty (infrastructure control), digital sovereignty (rules and behavioral governance), and cognitive sovereignty (the ability to understand and govern the algorithms that transform data into decisions). An organization can be fully compliant with data residency requirements while having no meaningful sovereignty over how its data is used in automated decision-making.

How should organizations approach AI governance practically?

Panelists recommend starting with explicit prohibitions rather than permissions: define which data cannot be used by AI systems, which decisions cannot be delegated, and which tools are not authorized. Organizations should map all AI agents in use — including those adopted bottom-up by employees (shadow AI) — establish permission hierarchies for data access, implement continuous risk management rather than point-in-time deployment reviews, and maintain human accountability for all consequential AI-driven decisions. Measuring AI deployments by ROI and broader impact (economic, environmental, social) is also highlighted as an underdeveloped governance practice.

What does 'resilience as restoration engineering' mean in practice?

Carlo Bozzoli, drawing on his experience at Enel, argues that resilience must be conceived from the design phase as the engineering of recovery — not as an afterthought addressed by backup tools. This means defining five dimensions: AI-augmented defense, identity-first security, IT/OT separation, supply chain accountability, and continuous crisis simulation. Critically, backup existence is insufficient; organizations must regularly test whether backups can be restored within required RPO/RTO windows, and crisis management procedures must be practiced until they are second nature — not referenced from a manual during an actual incident.


Categories:
  • » Webinar Library » Commvault
  • » Data Protection » Backup & Recovery
  • » Cybersecurity » Identity & Access Management (IAM)
  • » Cybersecurity » Zero Trust
  • » Data Protection
Channels:
News:
Events:
Tags:
  • Data Protection
  • Security Operations
  • AI & Machine Learning
  • Compliance & Governance
  • Zero Trust
  • Webinar
  • Executive Briefing
  • Cyber resilience
  • Data sovereignty
  • AI governance
  • NIS2 compliance
  • Supply chain security
  • Identity security
  • IT
  • OT security
  • Shadow AI
Show more Show less

Browse videos

  • Related
  • Featured
  • By date
  • Most viewed
  • Top rated
  •  

              Video's comments: Commvault: Cyber Resilience, Data Sovereignty & AI Governance

              Upcoming Webinar Calendar

              • 07/09/2026
                01:00 PM
                07/09/2026
                The HUMAN Experience: Empowering Agentic Trust in Practice
                https://www.truthinit.com/index.php/channel/2026/the-human-experience-empowering-agentic-trust-in-practice/
              • 07/14/2026
                01:00 PM
                07/14/2026
                Crafting a Championship-Level Security Team for Unmatched Defense Success
                https://www.truthinit.com/index.php/channel/2025/crafting-a-championship-level-security-team-for-unmatched-defense-success/
              • 07/14/2026
                02:00 PM
                07/14/2026
                Understanding the Crucial Role of Context in AI Data
                https://www.truthinit.com/index.php/channel/2037/understanding-the-crucial-role-of-context-in-ai-data/
              • 07/21/2026
                04:00 AM
                07/21/2026
                Strategies for Managing AI Governance and Securing App-to-LLM API Traffic
                https://www.truthinit.com/index.php/channel/1967/strategies-for-managing-ai-governance-and-securing-app-to-llm-api-traffic/
              • 07/22/2026
                06:30 AM
                07/22/2026
                Insights and Innovations in Data Privacy and Digital Protection
                https://www.truthinit.com/index.php/channel/2000/insights-and-innovations-in-data-privacy-and-digital-protection/
              • 07/22/2026
                01:00 PM
                07/22/2026
                Insights from Attackers During the FIFA World Cup: A HUMAN Dialogue
                https://www.truthinit.com/index.php/channel/2029/insights-from-attackers-during-the-fifa-world-cup-a-human-dialogue/
              • 07/28/2026
                01:00 PM
                07/28/2026
                Illumio + Netskope: Zero Trust in the Age of AI Autonomy
                https://www.truthinit.com/index.php/channel/2031/illumio-netskope-zero-trust-in-the-age-of-ai-autonomy/
              • 07/29/2026
                04:00 AM
                07/29/2026
                Real-Time Strategies for Safeguarding Against Prompt Injections
                https://www.truthinit.com/index.php/channel/1968/real-time-strategies-for-safeguarding-against-prompt-injections/
              • 07/29/2026
                12:00 PM
                07/29/2026
                Unified Data Security in Action: Uncover, Analyze, and Resolve Threats
                https://www.truthinit.com/index.php/channel/2045/unified-data-security-in-action-uncover-analyze-and-resolve-threats/
              • 07/29/2026
                01:00 PM
                07/29/2026
                Ask Your Cloud Anything: Unlocking Governance Silos in your Environments
                https://www.truthinit.com/index.php/channel/2048/ask-your-cloud-anything-unlocking-governance-silos-in-your-environments/
              • 08/19/2026
                12:00 PM
                08/19/2026
                Becoming Agent Ready: Insights from Cyera's Expertise
                https://www.truthinit.com/index.php/channel/2036/becoming-agent-ready-insights-from-cyeras-expertise/
              • 09/30/2026
                04:00 AM
                09/30/2026
                AI Command Center: Optimizing Visibility and Control in Your Operations
                https://www.truthinit.com/index.php/channel/2024/ai-command-center-optimizing-visibility-and-control-in-your-operations/

              Upcoming Events

              • Jul
                09

                The HUMAN Experience: Empowering Agentic Trust in Practice

                07/09/202601:00 PM ET
                • Jul
                  14

                  Crafting a Championship-Level Security Team for Unmatched Defense Success

                  07/14/202601:00 PM ET
                  • Jul
                    14

                    Understanding the Crucial Role of Context in AI Data

                    07/14/202602:00 PM ET
                    • Jul
                      21

                      Strategies for Managing AI Governance and Securing App-to-LLM API Traffic

                      07/21/202604:00 AM ET
                      • Jul
                        22

                        Insights and Innovations in Data Privacy and Digital Protection

                        07/22/202606:30 AM ET
                        More events
                        Truth in IT
                        • Sponsor
                        • About Us
                        • Terms of Service
                        • Privacy Policy
                        • Contact Us
                        • Preference Management
                        Desktop version
                        Standard version