Para una adopción segura de la IA en las empresas es necesario que los equipos de ciberseguridad establezcan reglas claras
La adopción de los productos y servicios basados en inteligencia artificial está marcando la pauta en una gran parte de empresas y organizaciones de todo tamaño en el mundo, principalmente por su promesa de dinamización de los procesos y abaratamiento de costos. Esta tendencia no escapa sin embargo a las nuevas preocupaciones sobre ciberseguridad que trae consigo y la importancia de que los equipos de TI estén capacitados para entender y educar sobre el tema con una perspectiva técnica y de negocios.
Jaime Garcés, gerente general de ventas para Latinoamérica de RAPID7, explica que esta coyuntura impulsa a las organizaciones a una mayor planificación sobre el uso de la IA generativa, que supera todos los modelos de análisis previos por su gran capacidad de procesar diversas fuentes de información para entregar un resultado final mucho más afinado. “La IA generativa tiene una dependencia grande de los datos; necesita que se le alimente y dé contexto. Si recuerdan, hace años hablamos del Big Data y la importancia de entender estos modelos, de utilizar toda la información de la organización en favor del negocio, y hoy ese es un insumo básico para la adopción de la IA”, detalla.
Para el ejecutivo está claro que el momento actual es fruto de tres grandes componentes que son la información a gran volumen, la gran capacidad de cómputo desarrollada y la evolución de los algoritmos que se consumen a través de una aplicación. Es esta conjunción la que hace que la IA en las organizaciones sea una realidad, y lo que, agrega, a veces despierta algunos miedos con respecto a la posibilidad de eliminar muchos puestos de trabajo, especialmente en áreas de ciberseguridad.
“Si le paso la información de un incidente de ciberseguridad a la IA, esta hará un análisis en segundos; lo mismo pasa en atención al cliente, y entonces se puede pensar que no se necesitan tantos empleados contestando teléfonos y atendiendo solicitudes porque con aplicaciones que interactúen puedo funcionar. Eso es cierto y no tan cierto, ya durante la Revolución Industrial se decía que las máquinas reemplazarían al humano y no habría gente en las empresas, y no fue cierto, pues los sistemas de evaluación de calidad, de satisfacción al cliente, de percepción del mercado, son cosas que no puede hacer una máquina. Aun así, es cierto que la IA tendrá un impacto en la economía mundial de hasta 4.3 trillones de dólares”, explica.
Esto revela el nivel de inversiones que la IA está generando en el ámbito global y que están dirigiéndose a áreas críticas del negocio como el desarrollo e ingeniería de software, marketing y ventas, soporte al cliente, manejo del recurso humano, publicidad. De hecho, se ha estimado que para este año el 48% de las organizaciones espera hacer inversiones en tecnologías relacionadas con la IA.
El reto de la seguridad
Jaime Garcés sostiene que un 70% de personas ya usan de manera directa o indirecta los componentes de la IA, ya sea para desarrollos sofisticados o para escribir un simple correo electrónico, donde la plataforma sugiere palabras, contexto y hasta el tono de la emoción que se quiere transmitir. Lo relevante, observa, es que no se sabe hasta qué punto se hace este uso bajo normas corporativas, pues se calcula que, de ese grupo, el 80% no ha implementado ninguna política de uso aceptable de la IA.
“Es decir, usamos algo que nos genera riesgos, pero no sabemos exactamente la forma correcta de adoptarlo. Aquí entra un viejo concepto de ciberseguridad que es la gobernanza de ciberseguridad, que es poner las reglas claras en la organización, decir bajo qué criterios y circunstancias se debe usar la IA, viendo qué es aceptable y qué no. Los responsables de ciberseguridad son hoy los encargados de establecer estas reglas porque son quienes manejan el riesgo, y los pilares corporativos hoy corren sobre tecnología, entonces tienen la visión transversal de lo que pasa en las organizaciones”, complementa.
Para las empresas y entidades que están en búsqueda de una guía normativa, recordó que en Estados Unidos ya hay un marco regulatorio del gobierno para el uso de la IA, el cual puede adaptarse, como ya han hecho múltiples compañías, a la realidad particular de cada organización. También hay guías de uso con políticas que se pueden implementar para el uso adecuado de estas herramientas, lo que revela que ya existen los recursos necesarios para regular adecuadamente esta tendencia. Lo importante a partir de este punto es garantizar que se cumpla y que toda propuesta nacida de los equipos de ciberseguridad para mayores inversiones en su segmento tenga el respaldo metódico que permita explicar fácilmente su utilidad directa para el negocio, evitándose así la impresión de que se están solicitando elementos no necesarios.
En ese camino, las soluciones de ciberseguridad deben estar al ritmo de la IA para detectar amenazas avanzadas que hacen uso de ella, por lo que deben ser capaces de establecer y analizar variables y patrones de comportamiento, siempre sin que esta tecnología implique un “borrón y cuenta nueva” con respecto a los controles y políticas que ya se tenían. La visión debe estar en entender que cada vez habrá menos gente en ciberseguridad y más en temas de IA, por lo que se debe apoyar la transición cerrando la brecha en talento humano con resiliencia para mantener buenos niveles de respuesta ante incidentes, a la vez que se adapta a las regulaciones legales y éticas que van surgiendo.
Visión y análisis
En RAPID7 la propuesta se desarrolla dentro de un ciclo de análisis maduro de las necesidades de cada organización, entendiendo el contexto y necesidades de cada caso particular, pues una empresa financiera no tiene los mismos compromisos que una de otro segmento. “Hacemos una investigación de lo que pasa en tiempo real para notificar y contener a tiempo los incidentes. La posterior revisión forense y análisis permite dejar enseñanzas para evitar repeticiones y permite hacer ‘cacería’ proactiva de los factores de riesgo y amenazas cuando adopto nuevas tecnologías y servicios, incluyendo la IA”, dice Garcés.
El especialista concluye recordando que la IA “no es nada extraterrestre” sino la conclusión de un largo proceso de desarrollo “basado en datos, código y fierros”, lo que no es nada ajeno a los profesionales de ciberseguridad. “Sabemos lidiar con ello, pero hay que poner reglas de juego claras para que se cumplan”. A esto se debe sumar una perspectiva precisa de para dónde va la organización y que función cumple la IA en ese camino, sus beneficios para el negocio y las posturas de los responsables de seguridad para la adopción. Y lo último es “no ir como locos comprando cosas y pidiendo más presupuesto para luego quedar cortos frente al negocio”, por lo que hay que hacer una evaluación consciente y constructiva de lo que hace sentido comprar y cómo adaptarlo a la organización según sus particularidades.
Les estaremos informando con mucho más detalle, en el marco del informe especial: “Ciberseguridad: malla, capas diversas, firewall, XDR (External Data Representation), aiXDR. Seguridad inteligente. Analítica, Video vigilancia. Drones: aplicabilidad productiva y comercial. Seguridad física. Data Center, componentes activos. Continuidad eléctrica. Soluciones altamente competitivas con carácter preventivo para la nueva realidad, teletrabajo, gestión remota, sistemas de impresión, multifuncionales y Escáneres. Buenas prácticas corporativas», que estamos preparando para nuestra edición 209 y publicaremos en el mes de julio.
Mantente conectado a nuestra revista Channel News Perú, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario.
