Se il tuo quadro di governance non fa arrabbiare nessuno, stai sbagliando tutto

Una governance senza attriti è un mito—e lui lo ha dimostrato sulla propria pelle.

Se sei pronto a costruire una governance che funzioni davvero—con tanto di lamentele a dimostrazione della sua efficacia—il nostro Toolkit per la Governance IT ti offre framework, modelli e strumenti di misurazione per iniziare subito.

La Governance è una Priorità per le Aziende che Adottano l’AI Agentica

Dati recenti sottolineano proprio questa tensione tra innovazione e controllo. Un sondaggio condotto dalla società di gestione API Gravitee ha rilevato che quasi l’80% dei professionisti IT ritiene la governance "estremamente importante", sottolineando il forte focus sulla distribuzione responsabile di tecnologie avanzate, come AI agentica e modelli linguistici di grandi dimensioni (LLM). 

Lo stesso studio ha rivelato che, sebbene il 72% delle organizzazioni stia implementando attivamente queste soluzioni AI all’avanguardia, molte affrontano ancora notevoli sfide di integrazione e problemi di sicurezza dei dati, rischi che una governance efficace mira proprio a mitigare. 

Come sottolinea Rory Blundell, CEO di Gravitee,

Le aziende sono ansiose di implementare AI agentica per aumentare la produttività, ma sono caute sulla governance. Quando le aziende riusciranno a gestire meglio queste sfide, l’adozione crescerà ancora più rapidamente.

Tre Chiari Tipi di Fallimento (e Perché Persistono)

1. Linee Guida Lassiste

Le aziende redigono ampie guide di “best practice” senza farle rispettare, convinte che la chiarezza basti per garantire la conformità. In realtà, i team interpretano queste guide come opzionali, portando a un’applicazione incoerente e alla progressiva disattenzione.

2. Cultura della Convenienza

Quando i leader danno priorità a facilità d’uso e workflow privi di attriti rispetto alle giuste restrizioni, i team saltano passaggi critici. Ogni scorciatoia erode sicurezza e compliance, ponendo le basi per futuri disastri.

Ven Auvaa, Direttore della Sicurezza Informatica di ArmorPoint, sottolinea bene questa tensione:

È difficile mantenere un equilibrio tra sicurezza e convenienza, ed è per questo che vediamo molta frustrazione verso i framework di governance. Strumenti che rafforzano la sicurezza, come l’autenticazione a più fattori (MFA) o il cambio regolare delle password, sono spesso percepiti come scomodi dagli utenti che non ne comprendono l’importanza. Molti incidenti di sicurezza avvengono proprio perché gli utenti bypassano i controlli considerati fastidiosi, creando vulnerabilità. Riconoscere e affrontare le frustrazioni degli utenti nella progettazione dei framework di governance è fondamentale per trovare un equilibrio tra usabilità e sicurezza.

3. Eccezioni Fai-da-te fuori controllo

Quando gli ingegneri chiedono di frequente permessi o eccezioni “temporanee” pensate per risolvere problemi a breve termine, spesso queste diventano pratiche operative permanenti. Il management chiude un occhio perché i vantaggi a breve termine mascherano i rischi a lungo termine. Col tempo, le eccezioni si accumulano, creando reti complesse di autorizzazioni e policy quasi impossibili da sciogliere o verificare efficacemente.

Srikanth Ramachandra, Client Value Architect presso UST, evidenzia una delle principali ragioni per cui questi tipi di fallimento persistono:

I framework di governance falliscono quando il modello è troppo centralizzato e unidimensionale, creando inavvertitamente una burocrazia che limita la capacità dei team locali di prendere decisioni tempestive sulla base della cultura e delle esigenze locali, soffocando così l’innovazione. Ironia della sorte, il vero scopo della governance dovrebbe essere promuovere flessibilità e crescita rapida. Il problema peggiora quando c’è poco allineamento tra Business e IT, creando un’attenzione sproporzionata sui metriche di conformità piuttosto che soddisfare realmente clienti e partner dell’ecosistema.

Ramachandra sottolinea che una governance efficace richiede un modello federato, trasparente e guidato dai dati con i poteri decisionali delegati ai team più vicini all’operatività:

Applicare la responsabilità inizia con un modello operativo inclusivo e in continua maturazione, che articoli chiaramente scopo, visione, politiche e ruoli. Alla fine, è la cultura organizzativa a determinare quanto profondamente la governance venga adottata e mantenuta.

Riconoscere questi schemi di fallimento è il primo passo, ma l’implementazione richiede un’azione sistematica.

Il nostro IT Governance Toolkit offre un punteggio completo di valutazione della salute per capire la posizione attuale della tua organizzazione e un piano sprint di 30 giorni per colmare i gap più critici.

L’attrito intenzionale è essenziale

Una buona governance non è pensata per accontentare tutti. Netflix ha introdotto il concetto di "strada asfaltata", un percorso sicuro e standardizzato che i team sono incoraggiati, ma non obbligati, a seguire. Se i team deviano, si assumono l’onere operativo e il rischio aggiuntivo. Gli ingegneri inizialmente si sono lamentati, ma nel giro di un anno il tasso di incidenti è calato sensibilmente.

In modo simile, Capital One ha implementato gate di sicurezza che bloccano le fusioni di codice ad alto rischio. All’inizio gli sviluppatori erano frustrati dalla "burocrazia", ma le vulnerabilità critiche sono calate del 40%. 

Shopify ha automatizzato l’eliminazione notturna delle risorse cloud senza tag, inizialmente suscitando proteste, ma portando in definitiva a risparmi di milioni in spese cloud inutili.

Le lamentele sono la prova che i sistemi di protezione stanno funzionando.

JOIN THE COMMUNITY

Upgrade your inbox with more tech leadership wisdom for delivering better software and systems.

Sign up with:

LinkedInGoogleMicrosoft

Or sign up with email:

X/Twitter

This field is for validation purposes and should be left unchanged.

Name*

First name Last name

Business email*

This field is hidden when viewing the form

Free Account Module

Bottom BarLanding PageFooterInlinePop UpSidebarSSO

LinkedIn profile

Seniority*

Select an optionExecutive / C-suiteVPDirectorManagerIndividual ContributorOther

Company's AI adoption maturity*

Select an optionExploring opportunitiesRunning pilotsScaling adoptionEmbedded in the business model

Come costruire i tuoi sistemi di protezione

1. Identifica le regole critiche

Stabilisci i principi irrinunciabili. Esempi includono il tagging obbligatorio delle risorse, il divieto assoluto di bucket S3 pubblici e l’obbligo di scansione delle vulnerabilità prima della fusione del codice.

2. Automatizza l’applicazione

Usa soluzioni policy-as-code come Terraform Sentinel, Open Policy Agent (OPA) e la protezione dei branch GitHub. Integra la conformità nei processi di deployment e build in modo che le violazioni vengano bloccate il prima possibile.

3. Misura le lamentele

Tieni traccia di opposizioni e proteste come indicatori chiave. Se i tuoi canali Slack sono silenziosi, è un segnale d’allarme: probabilmente le tue regole non sono abbastanza stringenti.

4. Celebra l’attrito

Comunica regolarmente gli incidenti prevenuti dal tuo framework di governance. Evidenzia risultati tangibili (risparmi, violazioni evitate) per rafforzare il valore dell’attrito intenzionale.

Per guide pratiche, modelli di policy e framework di misurazione, scarica il nostro IT Governance Toolkit, che include policy pronte per Terraform Sentinel, modelli di protezione branch GitHub e dashboard per i metriche di attrito.

I venti regolatori sono appena cambiati 

L’amministrazione Trump sta eliminando le direttive sui rischi dell’IA dell’era Biden, tagliando i fondi alla CISA e inasprendo i controlli sulle esportazioni di chip per l’IA. 

Per i CTO, Washington offre ora maggiore libertà di innovare rapidamente, ma meno reti di sicurezza esterne se qualcosa va storto. 

Ora la tua governance interna è la prima linea di difesa e deve essere più rigorosa—e forse anche un po’ più impopolare—per compensare una regolamentazione esterna più blanda.

1. Più libertà, meno assistenza

• Le politiche su AI & cloud stanno venendo deregolamentate
  • E.O. 14179 “Removing Barriers to American Leadership in AI” cancella le direttive di gestione del rischio dell’era Biden e chiede alle agenzie di “sostenere e migliorare la supremazia nell’IA”.
  • OMB Memo M-25-21 ordina a tutte le agenzie di accelerare i progetti pilota sull’IA e di “evitare requisiti inutilmente gravosi”.

Implicazione: I sistemi di protezione federali si allenteranno; investitori e board si aspetteranno da te maggiore rapidità nelle azioni.

2. Pressione su export-control & supply chain

Mentre le regole interne vengono allentate, la Casa Bianca sta rafforzando i controlli sulle esportazioni di chip AI—il Framework per la Diffusione dell’IA potrebbe limitare la fornitura di GPU avanzate ai paesi non alleati.

Implicazione: Aspettati difficoltà nell'approvvigionamento, controlli più rigidi sui fornitori e improvvisi picchi di CAPEX per infrastrutture di calcolo interne.

3. Continuità nella sicurezza informatica—ma con meno risorse

• Trump ha mantenuto i principali ordini esecutivi sulla cybersicurezza di Biden ma ha ridotto il personale e i fondi della CISA di 10 milioni di dollari.
• Il nuovo E.O. 14144 su “Rafforzare e Promuovere l’Innovazione nella Sicurezza Informatica Nazionale” sposta la responsabilità verso soluzioni guidate dall’industria. 

Implicazione: I checklist di conformità rimangono, ma il supporto federale (bandi, servizi di red team) si riduce. Prevedi più investimenti per valutazioni di terze parti e threat intelligence.

4. "Delegazione della resilienza" a stati e autorità locali

Un EO intitolato “Raggiungere l’Efficienza tramite la Preparazione Statale e Locale”” spinge la responsabilità della preparazione delle infrastrutture critiche verso stati e contee.

Implicazione: Le soluzioni SaaS multi-giurisdizionali (fintech, health-tech) potrebbero dover gestire 50 requisiti di resilienza leggermente diversi—rafforza lo strato policy-as-code per assorbire le variazioni.

Cosa fare questo trimestre

1. Rivaluta i controlli del rischio IA interni – Il limite federale è più alto, ma gli azionisti vorranno comunque prove di un’IA sicura e conforme.
2. Estendi il tuo registro di controllo export ai partner GPU e regioni cloud—mappa i carichi di lavoro che potrebbero essere colpiti dalle nuove restrizioni.
3. Preventiva un aumento del 15% per valutazioni di sicurezza indipendenti, per sostituire i servizi CISA persi.
4. Codifica le regole di disaster recovery a livello statale (politiche Terraform Sentinel o OPA) così da poterle ereditare invece di doverle riscrivere quando cambiano i mandati.
5. Informa subito il consiglio – “Stiamo avanzando più rapidamente sotto regole federali meno rigide, ma la nostra governance interna rafforzata ci tutela.”

Il nostro Toolkit di IT Governance include fogli di calcolo per la valutazione del ROI e schemi di sintesi per manager, fondamentali per elaborare una business case convincente per questi controlli avanzati.

Sfida: Rafforza una regola oggi stesso

Una buona governance è scomoda perché mette in discussione lo status quo. Questa settimana, rafforza una regola fondamentale—magari imponendo un sistema di tagging oppure introducendo gate di sicurezza obbligatori. Poi ascolta con attenzione eventuali lamentele. Quei mugugni non sono solo rumore; sono la conferma che la tua governance è abbastanza solida da proteggere l’azienda.

Accogli l’attrito. È il tuo nuovo punto di riferimento per sicurezza e scalabilità.

Hai bisogno di aiuto per capire quale regola rafforzare per prima? Il nostro Toolkit di IT Governance comprende una scheda di valutazione della salute della governance per individuare i punti di controllo più deboli e suggerire interventi mirati step-by-step. E iscriviti alla newsletter di The CTO Club per ricevere altri strumenti, modelli e approfondimenti su governance IT.