Las organizaciones, y particularmente, sus equipos de seguridad y compliance, están siendo bastante conscientes de que la adopción de la inteligencia artificial generativa entraña riesgos y amenazas únicos que no se comprenden en profundidad fácilmente. Sin embargo, aún ignoran muchos aspectos sobre estas tecnologías.
Desde Techopedia han charlado con expertos para conocer de qué manera los profesionales de la seguridad están adaptándose, de qué manera deberían trabajar los líderes para resolver esa brecha de conocimiento y si los marcos y las leyes sobre IA les están ayudando.
Estas conversaciones han dejado algunas conclusiones interesantes. La primera de ellas es que los equipos de seguridad están adoptando rápidamente herramientas de IA generativa, pero no todos comprenden completamente los riesgos que involucra. Dicha brecha de conocimiento crear vulnerabilidades que los ciberdelincuentes pueden aprovechar en su favor.
Un estudio de Splunk encontró que un 91% de los equipos de seguridad usaban GenAI, pero únicamente el 70% eran conscientes de sus implicaciones.
Este análisis también ha evidenciado que hay una 'TI en la sombra' con un uso no declarado de la IA generativa y la propia naturaleza opaca de los algoritmos de IA que dificultan que los equipos de seguridad puedan evaluar los riesgos y confíen en los resultados de la IA.
Kevin Breen, director senior de investigación de ciberamenazas de Inmersive Labs, tiene una opinión clara sobre por qué los equipos no comprenden esta tecnología en detalle.
"La rápida adopción de la IA generativa por parte de las organizaciones hace que los equipos de seguridad y riesgos se apresuren a seguir el ritmo", opina.
Este experto considera que la GenAI se habilita sin previo aviso en muchos servicios online y los datos de una organización pueden procesarse por unn proveedor de servicios, como Open AI o Anthropic, donde no han sido declarados procesadores de datos.
Además, Breen cree que, por lo general, hay una carencia en cuanto a la educación y comprensión sobre cómo funciona la GenAI y cómo se procesan los datos.
En el caso de Cache Merrill, CTO de Zibtek, defiende que la principal batalla de los profesionales de seguridad suele radicar en la complejidad y opacidad de los algoritmos de IA.
Este otro experto habla de que la naturaleza de 'caja negra' de los sistemas de IA dificulta que los equipos de seguridad confíen o comprendan plenamente las evaluaciones de riesgos y las decisiones tomadas por la IA.
Que todo el mundo hable de inteligencia artificial y todas las empresas quieran ponerse 'su sello' para subirse a la ola tampoco ayuda. Erich Kron, de KnowBe4, explica que gran parte de culpa la tienen los departamento de marketing, por haber presionado para impulsar las funciones relacionadas con IA en los productos tanto como sea posible.
"El uso excesivo de la palabra de moda IA hace que sea muy difícil para los profesionales de la seguridad comprender qué es realmente útil y qué es trampa", explica.
"Esta presión de los proveedores a menudo da como resultado que los productos se lancen sin las pruebas adecuadas, mientras se esfuerzan por mantenerse al día respecto a la competencia", añade.
Ryan Smith, experto en ciberseguridad e inteligencia artificial y fundador de QFunction, plantea que es necesario formular algunas cuestiones y resolverlas, como si la IA facilitará su trabajo y cómo.
"Hasta que estas preguntas no sean formuladas y respondidas, los profesionales de la ciberseguridad seguirán sin comprender completamente sus implicaciones", afirma.
Qué deberían hacer los líderes
Ante este nuevo panorama los líderes deben decidirse por alguna de estas opciones: mejorar las habilidades del personal existente, contratar nuevos expertos en IA (lo que resulta costoso y desafiante) o subcontratar proyectos específicos. Aquí las opiniones de los expertos son diversas.
Merrill de Zibtek asegura que mejorar las skills del equipo actual es "crucial", pero para obtener conocimiento especializado lo mejor es incorporar nuevos talentos con experiencia en inteligencia artificial y aprendizaje automático.
Kron también aboga por impulsar las habilidades de la plantilla y que haya "planes para capacitar y mejorar al personal a medida que se lanzan más herramientas y funciones basadas en IA".
Falta de políticas
El citado informe de Splunk pone de manifiesto que las políticas sobre IA son un territorio inexplorado. Aunque existen marcos como NIST AI RMF o el IA Act de la Unión Europea para gestionar los riesgos inherentes a la IA, muchos equipos no los conocen. Para más inri, el 34% de las organizaciones carecen por completo de una política sobre GenAI.
Para otro 45% "una mejor alineación con los requisitos de compliance" es un área principal de mejora.
