El creciente papel de la IA en los entornos empresariales ha aumentado la urgencia de que los directores de seguridad de la información (CISO) impulsen una gobernanza eficaz de la IA. En el caso de cualquier tecnología emergente, la gobernanza es compleja, pero una gobernanza eficaz lo es aún más. El primer instinto de la mayoría de las organizaciones es responder con políticas rígidas. Redactar un documento de políticas, difundir un conjunto de restricciones y esperar que el riesgo se controle. Sin embargo, una gobernanza eficaz no funciona así. Debe ser un sistema vivo que moldee el uso diario de la IA, guiando a las organizaciones a través de un cambio transformador seguro sin ralentizar el ritmo de la innovación.
Para los CISO, encontrar el equilibrio entre seguridad y velocidad es crucial en la era de la IA. Esta tecnología representa, a la vez, la mayor oportunidad y el mayor riesgo que las empresas han enfrentado desde los albores de internet. Avanzar demasiado rápido sin medidas de seguridad puede provocar filtraciones de datos confidenciales en las solicitudes, la proliferación de la IA en la sombra o las lagunas regulatorias se convierten en responsabilidades. Avanzar demasiado lento puede llevar a la competencia a adelantarse con eficiencias transformadoras demasiado potentes para competir con ellas. Cualquiera de los dos caminos tiene consecuencias que pueden costarles el trabajo a los CISO.
A su vez, no pueden liderar un «departamento del no» donde las iniciativas de adopción de IA se vean obstaculizadas por la función de seguridad de la organización. Es crucial, en cambio, encontrar una vía hacia el sí, adaptando la gobernanza a la tolerancia al riesgo de la organización y a las prioridades del negocio para que la función de seguridad actúe como un verdadero generador de ingresos. En este artículo, compartiré tres componentes que pueden ayudar a los CISO a realizar ese cambio e impulsar programas de gobernanza de IA que permitan una adopción segura a gran escala.
1. Entender lo que está sucediendo sobre el terreno
Cuando ChatGPT se lanzó por primera vez en noviembre de 2022, la mayoría de los CISO que conozco se apresuraron a publicar políticas estrictas que indicaban a los empleados qué no debían hacer. Esto surgió con buenas intenciones, considerando que la fuga de datos confidenciales era una preocupación legítima. Sin embargo, si bien las políticas redactadas con ese enfoque de «documentar hacia atrás» son excelentes en teoría, rara vez funcionan en la práctica. Debido a la rápida evolución de la IA, su gobernanza debe diseñarse con una mentalidad de «progreso en el mundo real» que tenga en cuenta lo que realmente sucede en la práctica dentro de una organización. Esto requiere que los CISO tengan un conocimiento básico de la IA: la tecnología en sí, dónde se integra, qué plataformas SaaS la habilitan y cómo la utilizan los empleados para realizar su trabajo.
Los inventarios de IA, los registros de modelos y los comités interfuncionales pueden parecer términos de moda, pero son mecanismos prácticos que pueden ayudar a los líderes de seguridad a desarrollar esta fluidez en IA. Por ejemplo, una Lista de Materiales de IA (AIBOM) ofrece visibilidad de los componentes, conjuntos de datos y servicios externos que alimentarán un modelo de IA. Al igual que una Lista de Materiales de software (SBOM) aclara las dependencias de terceros, una AIBOM garantiza que los líderes sepan qué datos se utilizan, de dónde provienen y qué riesgos conllevan.
Los registros de modelos cumplen una función similar para los sistemas de IA ya en uso. Rastrean qué modelos se implementan, cuándo se actualizaron por última vez y su rendimiento para evitar la proliferación de cajas negras e informar sobre la aplicación de parches, el desmantelamiento o la ampliación del uso. Los comités de IA garantizan que la supervisión no recaiga únicamente en el departamento de seguridad o TI. Estos grupos, a menudo presididos por un responsable de IA o un responsable de riesgos, incluyen representantes de las unidades legales, de cumplimiento normativo, de RR. HH. y de negocio, convirtiendo la gobernanza de una directiva aislada en una responsabilidad compartida que conecta las preocupaciones de seguridad con los resultados empresariales.
2. Alinear las políticas a la velocidad de la organización
Sin políticas de futuro realistas, los líderes de seguridad suelen caer en la trampa de codificar controles que no pueden implementar de forma realista. Lo he visto de primera mano a través de un colega CISO. Sabiendo que los empleados ya estaban experimentando con IA, trabajó para facilitar la adopción responsable de varias aplicaciones GenAI en su plantilla. Sin embargo, cuando un nuevo CIO se incorporó a la organización y consideró que se utilizaban demasiadas aplicaciones GenAI, se le ordenó prohibir todas las GenAI hasta que se seleccionara una plataforma para toda la empresa. Un año después, esa plataforma aún no se había implementado y los empleados utilizaban herramientas GenAI no aprobadas que exponían a la organización a vulnerabilidades de IA oculta. El CISO se vio obligado a intentar imponer una prohibición general que no podía ejecutar, respondiendo a las críticas sin la autoridad para implementar una solución viable.
Este tipo de escenario se presenta cuando las políticas se redactan con mayor rapidez de la que se ejecutan o cuando no anticipan el ritmo de adopción organizacional. Las políticas que parecen decisivas en teoría pueden quedar obsoletas rápidamente si no evolucionan con los cambios de liderazgo, la funcionalidad de IA integrada y la forma natural en que los empleados integran nuevas herramientas en su trabajo. La gobernanza debe ser lo suficientemente flexible como para adaptarse; de lo contrario, corre el riesgo de que los equipos de seguridad se vean obligados a aplicar lo imposible.
El camino a seguir es diseñar políticas como documentos dinámicos. Deben evolucionar con la empresa, basándose en casos de uso reales y alineadas con resultados mensurables. La gobernanza no puede limitarse a las políticas; debe extenderse a estándares, procedimientos y criterios de referencia que guíen el trabajo diario. Solo entonces los empleados comprenderán cómo se traduce realmente la adopción segura de la IA en la práctica.
3. Hacer que la gobernanza de la IA sea sostenible
Incluso con políticas y planes de acción sólidos, los empleados seguirán utilizando la IA de formas no aprobadas formalmente. El objetivo de los responsables de seguridad no debería ser prohibir la IA, sino hacer que su uso responsable sea la opción más sencilla y atractiva. Esto implica equipar a los empleados con herramientas de IA de nivel empresarial, ya sean adquiridas o desarrolladas internamente, para que no tengan que recurrir a alternativas inseguras. Además, implica destacar y reforzar los comportamientos positivos para que los empleados vean el valor de seguir las medidas de seguridad en lugar de ignorarlas.
La gobernanza sostenible también se basa en el uso de la IA y su protección , dos pilares del Plan de IA Segura publicado recientemente por el SANS Institute . Para gobernar la IA eficazmente, los CISO deben capacitar a sus equipos del SOC para que utilicen la IA eficazmente en la ciberdefensa: automatizar la reducción de ruido y el enriquecimiento, validar las detecciones con la inteligencia de amenazas y garantizar que los analistas se mantengan informados para la escalada y la respuesta a incidentes. También deben garantizar la implementación de los controles adecuados para proteger los sistemas de IA de las amenazas adversarias, como se describe en las Directrices de Seguridad Crítica de la IA de SANS.
Fuente y redacción: thehackernews.com