Prepárate para los desafíos del mañana, hoy. Descubre cómo diseñar estrategias de ciberseguridad que evolucionen junto con tu IA generativa. Una hoja de ruta esencial para los CISO que lideran la vanguardia de la innovación tecnológica.
Cada semana, se presentan nuevos ejemplos que resaltan el potencial revolucionario de la IA en la resolución de desafíos globales, como el cambio climático.
Sin embargo, también emergen advertencias inquietantes sobre los posibles riesgos que esta tecnología conlleva para la sociedad humana.
En medio de este constante flujo de información, los CISO se encuentran en la imperiosa necesidad de recibir orientación práctica y concreta acerca de cómo establecer sólidas medidas de seguridad para la IA, fortificando así las defensas de sus organizaciones.
No podemos pasar por alto las voces más destacadas y perspicaces dentro de la comunidad tecnológica cuando enfatizan que atender los riesgos de manera proactiva debe ser un objetivo global prioritario.
Un momento clave en este sentido tuvo lugar el 30 de mayo de 2023, cuando el Centro para la Seguridad de la IA emitió una carta abierta que reunió firmas de más de 350 científicos de renombre y líderes empresariales.
Este documento advertía enfáticamente sobre los potenciales extremos peligros que la IA podría acarrear si no se abordan adecuadamente.
Temer lo peor puede ser realmente una distracción para afrontar los peligros de la IA
Como muchos medios de comunicación han destacado posteriormente, preocuparse excesivamente por las peores suposiciones podría, en realidad, convertirse en una distracción perjudicial al afrontar los riesgos reales que la IA presenta en la actualidad.
Estos riesgos tangibles abarcan aspectos como el sesgo interno en los sistemas y la proliferación de información falsa, situaciones con las que ya estamos lidiando.
Un ejemplo reciente de estos desafíos quedó plasmado en los titulares, al descubrirse que un informe legal generado por una IA incluía casos ficticios en su contenido.
Frente a esta realidad, surge de manera natural la siguiente interrogante: «¿Cómo pueden los CISO fortalecer la seguridad de la IA en sus respectivas organizaciones?»
Los CISO tienen que respaldar herramientas de IA y entenderlas, no prohibirlas
Durante la última década, los expertos en seguridad informática en las empresas han experimentado en carne propia que la estrategia de prohibir ciertos programas y dispositivos tiende a resultar contraproducente, incluso aumentando potencialmente el riesgo para la organización.
En casos en los que una aplicación o solución resulta lo suficientemente eficaz, o cuando las herramientas aprobadas por la empresa no satisfacen todas las necesidades y deseos de los usuarios, estos encuentran la manera de retener las herramientas que les resultan más cómodas. Esto, a su vez, da origen al fenómeno del shadow IT.
Considerando que en tan solo dos meses desde su lanzamiento, ChatGPT ha logrado conquistar a más de 100 millones de usuarios, se presume que plataformas similares de IA generativa ya están firmemente arraigadas en las rutinas laborales de los usuarios.
Imponer una prohibición en la empresa podría generar un escenario de «shadow IA», el cual podría presentar riesgos aún mayores que cualquier intento anterior de implementación furtiva o uso encubierto.
Restringir el uso de Inteligencias Artificiales afectaría a la productividad
Además, muchas empresas están adoptando la IA como un medio para mejorar la productividad, lo que dificultaría considerablemente la tarea de restringir su uso.
Por lo tanto, la tarea que tienen por delante los CISO radica en proporcionar a los empleados acceso a herramientas de IA respaldadas por políticas sensatas sobre su utilización.
Aunque han empezado a circular ejemplos de este tipo de políticas en línea, especialmente para modelos lingüísticos prominentes como ChatGPT, y se han ofrecido consejos para evaluar los riesgos de seguridad asociados a la IA, aún no se han establecido enfoques estándar.
Incluso organizaciones de renombre como el IEEE no han abordado este asunto de manera exhaustiva. A pesar de que la calidad de la información en línea está en constante mejora, no siempre resulta confiable.
Por consiguiente, cualquier organización que busque adoptar políticas de seguridad para la IA debe proceder con una selección muy cuidadosa y meticulosa.
Analizando la política de seguridad de la IA desde cuatro perspectivas esenciales
Considerando los riesgos mencionados previamente, resulta evidente que la preservación de la privacidad y la integridad de los datos empresariales emerge como una meta primordial en la ciberseguridad de la IA. Por lo tanto, cualquier política que una empresa establezca debe, al menos:
1. Impedir la divulgación de información confidencial en plataformas públicas de IA o en soluciones de terceros que no estén bajo el dominio de la empresa
«Gartner ha subrayado la necesidad de que, hasta que exista una mayor claridad al respecto, las compañías orienten a sus colaboradores a manejar la información compartida a través de ChatGPT y otras herramientas de IA públicas como si la estuvieran difundiendo en una plataforma pública o red social», señaló la firma consultora y de investigación de las TIC en una declaración reciente.
2. No ‘pasar los límites’
Asegúrate de mantener normas de separación bien definidas para las diversas categorías de datos, garantizando así que la información de carácter personal identificable y cualquier dato sujeto a normativas legales o regulaciones nunca se amalgamen con la información que puede ser compartida públicamente.
Esto podría implicar la implementación de una estructura de clasificación de datos dentro de la organización, si aún no se encuentra establecida.
3. Verificar y validar toda la información producida por plataformas de IA, asegurándose de su veracidad y precisión
La empresa enfrenta un riesgo significativo al difundir resultados generados por IA que resulten evidentemente falsos, lo cual podría tener un impacto desastroso tanto en términos de imagen corporativa como en el ámbito financiero.
Es imperativo que las plataformas capaces de generar citas y referencias a fuentes sean requeridas a hacerlo, con una verificación rigurosa de dichas referencias.
Adicionalmente, cada afirmación presente en un contenido creado por IA debe ser objeto de un escrutinio minucioso antes de su empleo.
Gartner subraya que, a pesar de que ChatGPT pueda aparentar realizar tareas altamente complejas, carece de comprensión de los conceptos subyacentes y se limita a generar predicciones. Por tanto, es vital que cualquier información generada por IA sea sometida a una evaluación exhaustiva antes de ser utilizada en cualquier contexto.
4. Establecer un modelo de ‘confianza cero’
En la gestión de los riesgos vinculados al acceso de usuarios, dispositivos y aplicaciones a los recursos y datos informáticos de la compañía, el enfoque de «zero trust» se erige como una estrategia sólida.
A medida que las organizaciones se encontraban lidiando con la difuminación de los límites convencionales de sus redes empresariales, este concepto ganó cada vez más seguidores.
Aunque es innegable que la habilidad de la IA para emular entidades confiables plantea un desafío para las arquitecturas de «zero trust», en última instancia, esto subraya la importancia de ejercer un control riguroso sobre las conexiones no confiables.
La evolución de amenazas impulsada por la IA hace que la vigilancia del enfoque «zero trust» adquiera un carácter verdaderamente crucial. En este escenario cambiante, es esencial que las organizaciones mantengan una postura proactiva y sólida respecto a su estrategia de ciberseguridad, considerando tanto los avances tecnológicos como los riesgos emergentes.
Escoger las herramientas adecuadas
Las políticas orientadas a salvaguardar la seguridad en el ámbito de la IA pueden encontrar respaldo y aplicación mediante tecnología avanzada.
Se encuentran en desarrollo nuevas herramientas de IA destinadas a detectar engaños y tramas originados por IA, así como a identificar textos plagiados y otros casos de uso indebido.
En la actualidad, las soluciones de detección y respuesta ampliada (XDR) ya pueden ser empleadas para monitorear conductas anómalas en los entornos informáticos empresariales.
Aprovechando la potencia de la IA y el aprendizaje automático, el XDR procesa volúmenes masivos de datos de telemetría, lo cual le permite supervisar de manera eficaz las normativas de la red a gran escala.
Además, otras categorías de herramientas de vigilancia, tales como los sistemas de información y gestión de eventos de seguridad (SIEM), los firewalls de aplicaciones y las soluciones de prevención de pérdida de datos, ofrecen oportunidades para administrar la navegación web y el uso de software por parte de los usuarios.
En este ámbito surge toma gran importancia la Concienciación en Ciberseguridad. Esta tiene un papel fundamental en las empresas. El fallo humano representa entre el 88 y el 95% de las brechas de datos y el empleado suele ser el eslabón más débil de la cadena, exponiendo a la empresa a altos costes de recuperación, daño reputacional y consecuencias sociales.
Los empleados de una empresa manejan gran cantidad de datos sensibles y el objetivo de la concienciación en ciberseguridad es que los empleados se conviertan en firewall humano contra los ciberataques.
Pero, ¿Cómo se puede conseguir esto? Con Formación y Concienciación en Ciberseguridad, de forma que cada trabajador tenga la responsabilidad individual de proteger la información más sensible y crítica de la empresa.
La IA ha llegado para quedarse
En definitiva, estamos apenas en los albores de una historia que promete ser emocionante y desafiante en el mundo de la IA.
Si bien el porvenir es aún incierto, una certeza se alza innegable: la IA ha llegado para establecerse y, pese a las inquietudes que plantea, su potencial es asombroso si la edificamos y empleamos con cautela.
Conforme avance el tiempo, veremos cómo la propia IA se erige en una herramienta esencial para combatir los usos indebidos de su propia tecnología.
No obstante, en la actualidad, el mejor escudo reside en adoptar un enfoque fundamentado y claro desde el principio.
Ante las innumerables posibilidades y desafíos que nos depara la IA, es esencial que todos los actores involucrados, desde empresas hasta expertos en ciberseguridad, asuman una postura responsable y comprometida.
Con un ojo puesto en el futuro y otro en la prudencia, podemos forjar un camino hacia la excelencia en seguridad en un mundo alimentado por la inteligencia artificial.