Las herramientas de IA se están extendiendo rápidamente y los CISO deben estar listos.

Introducción

Con el uso de la inteligencia artificial (IA) creciendo en la empresa, los directores de seguridad de la información desempeñan un papel fundamental en su implementación y adopción. Los CISO deben prepararse para los riesgos asociados con la creación de contenido de IA, así como las amenazas de seguridad asistidas por IA de los atacantes. ¡Al seguir algunas de las mejores prácticas clave, estaremos mejor preparados para dar la bienvenida de manera segura a nuestros nuevos señores robots a la empresa!

La IA está creciendo rápidamente

La inteligencia artificial no es un desarrollo completamente nuevo. Sin embargo, la popularidad de ChatGPT despertó un interés masivo en el potencial de la IA generativa y muchas empresas la están implementando en toda la empresa. La tecnología de IA ahora está en la naturaleza, y se está moviendo más rápido que cualquier otra tecnología que haya visto.

Hay varios casos de uso convincentes para la IA generativa en la empresa:

• Creación de contenido: Herramientas como ChatGPT pueden ayudar a los creadores de contenido a generar ideas, esquemas y borradores, lo que podría ahorrar a individuos y equipos mucho tiempo y esfuerzo.
• Aprendizaje y educación: Las herramientas de IA debidamente entrenadas se pueden utilizar para comprender rápidamente temas nuevos y complejos resumiendo grandes cantidades de información, respondiendo preguntas y explicando conceptos complicados en un lenguaje sencillo.
• Soporte de codificación: Herramientas como GitHub Copilot1 y el servicio API2 de OpenAI pueden ayudar a los desarrolladores a escribir código de manera más eficiente e identificar errores para las consultas.
• Soporte de productos y operaciones: Las herramientas se pueden utilizar para preparar de manera más eficiente informes y avisos comunes, como resoluciones de errores.

Problemas y desafíos

Sin embargo, hay desafíos que superar. Una es la cuestión de si el uso de la IA entrará en conflicto con las leyes y regulaciones en los mercados internacionales. A principios de este año, OpenAI bloqueó temporalmente el uso de ChatGPT en Italia después de que la Autoridad de Protección de Datos italiana lo acusara de recopilar ilegalmente datos de usuarios. Los reguladores alemanes están analizando si ChatGPT se adhiere al Reglamento General Europeo de Protección de Datos (GDPR). En mayo, el Parlamento Europeo dio un paso más cerca de emitir las primeras normas sobre el uso de la inteligencia artificial. 3

Otro desafío son los problemas relacionados con la recopilación de datos y la divulgación accidental de información personal o patentada. Las empresas deben proteger su información confidencial y asegurarse de que no están plagiando de otras empresas e individuos que utilizan las mismas herramientas que ellos. Ya hemos visto informes de propiedad intelectual que se ingresan en sistemas públicos de IA generativa, lo que podría afectar la capacidad de una empresa para defender sus patentes. Un servicio de transcripción y toma de notas impulsado por IA hace copias de cualquier material que se presente en las llamadas de Zoom que monitorea.

El tercer gran desafío es la amenaza de ciberataques mejorados. El software de ciberataque impulsado por IA podría probar muchos enfoques posibles, aprender de cómo respondemos a cada uno y ajustar rápidamente sus tácticas para diseñar una estrategia óptima, todo a una velocidad mucho más rápida que cualquier atacante humano. Hemos visto nuevos ataques sofisticados de phishing que utilizan IA, incluida la suplantación de personas tanto por escrito como en el habla. Se ha descubierto que una herramienta de IA llamada PassGAN, abreviatura de Password Generative Adversarial Network, descifra contraseñas de manera más rápida y eficiente que los métodos tradicionales.

CISO e IA

Como CISOs, nuestro trabajo no es decir no a las nuevas tecnologías. Hacemos preguntas y brindamos orientación para ayudar a los líderes a crear una estrategia organizacional. Una buena estrategia de IA proporciona pautas para su uso y tiene en cuenta consideraciones legales, éticas y operativas.

Cuando se usa de manera responsable y con marcos de gobierno adecuados, la IA generativa puede proporcionar a las empresas muchas ventajas que van desde procesos automatizados hasta soluciones de optimización. Veamos algunas cosas en las que debe pensar y qué acciones podría necesitar tomar, según la postura de riesgo generativa de la IA.

"Una buena estrategia de IA tiene en cuenta sus consideraciones legales, éticas y operativas".

Creación de una estrategia integral de IA

Con las nuevas tecnologías, como la IA generativa, vienen oportunidades; Pero también conllevan riesgos que tenemos la responsabilidad de considerar y gestionar en nombre de la empresa y nuestros clientes. La emisión de una política sobre el uso de la IA garantizará que todos los empleados comprendan y se adhieran al uso seguro, legal y ético de las aplicaciones y herramientas de IA. Una estrategia integral de IA garantiza la privacidad, la seguridad y el cumplimiento, y debe considerar:

• Los casos de uso en los que la IA puede proporcionar el mayor beneficio.
• Los recursos necesarios para implementar la IA con éxito.
• Un marco de gobierno para gestionar la seguridad de los datos de los clientes y garantizar el cumplimiento de las regulaciones y las leyes de derechos de autor en todos los países donde hace negocios.
• Evaluar el impacto de la implementación de IA en empleados y clientes.

Una vez que su organización haya evaluado y priorizado los casos de uso para la IA generativa, se debe establecer un marco de gobierno para los servicios de IA como ChatGPT. Los componentes de este marco incluirán la creación de reglas para la recopilación y retención de datos, así como el establecimiento de políticas con respecto al control de acceso y los métodos de cifrado. Para los sistemas internos de IA, se deben crear políticas para mitigar el riesgo de sesgo, anticipar las formas en que se puede abusar de los sistemas y mitigar el daño que pueden causar si se usan incorrectamente.

La estrategia de IA de su empresa también debe cubrir cómo los cambios provocados por la automatización de la IA afectarán a los empleados y clientes. Las iniciativas de capacitación de los empleados pueden ayudar a garantizar que todos entiendan cómo estas nuevas tecnologías están cambiando los procesos cotidianos y cómo los actores de amenazas ya pueden estar usándolas para aumentar aún más la eficacia de sus ataques de ingeniería social. Los equipos de experiencia del cliente deben evaluar cómo los cambios resultantes de la implementación de la IA podrían afectar la prestación del servicio al cliente para que puedan ajustarse en consecuencia.

IA y seguridad

Un proceso para establecer y mantener estándares de seguridad de IA sólidos es vital. Sus políticas de seguridad existentes ya rigen la implementación y el uso de aplicaciones en su organización, y la IA no es fundamentalmente diferente de cualquier otra herramienta de software que usaría. Lo que necesita son barreras de seguridad que sean específicas de cómo funciona la IA, por ejemplo, de qué servicio de IA extrae contenido y qué hace con cualquier información, posiblemente confidencial, que le introduzca.

Las herramientas de IA deberán diseñarse teniendo en cuenta la robustez adversaria. Actualmente vemos que esto sucede en el laboratorio para mejorar la capacitación; Pero hacer esto en el mundo "real", contra un enemigo desconocido, debe ser lo más importante, especialmente en escenarios militares y de infraestructura crítica.

Con los atacantes mirando de cerca la IA, su organización necesita planificar y preparar su defensa en este momento. Aquí hay algunas prácticas a considerar:

Asegúrese de analizar su código de software en busca de errores, malware y anomalías de comportamiento. Los "escaneos" de firmas solo buscan lo que se sabe, y estos nuevos ataques aprovecharán técnicas y herramientas desconocidas.

Cuando supervise sus registros, use IA para combatir la IA. El análisis del registro de seguridad del aprendizaje automático es una excelente manera de buscar patrones y anomalías. Puede incorporar un sinfín de variables para buscar y producir inteligencia predictiva, que a su vez proporciona acciones predictivas.

Actualice su capacitación en ciberseguridad para reflejar las nuevas amenazas, como el phishing impulsado por IA, y sus políticas de ciberseguridad para contrarrestar las nuevas herramientas de descifrado de contraseñas de IA.

Continuar monitoreando los nuevos usos de la IA, incluida la IA generativa, para adelantarse a los riesgos emergentes.

Estos pasos son fundamentales para generar confianza con sus empleados, socios y clientes sobre si está protegiendo adecuadamente sus datos.

Preparación para el futuro

Para mantenerse competitivas, es esencial que las organizaciones adopten la tecnología de IA mientras se protegen contra los riesgos potenciales. Al tomar estas medidas ahora, las empresas pueden asegurarse de que pueden cosechar todos los beneficios de la IA al tiempo que minimizan la exposición.