En el capítulo anterior se habló acerca del laboratorio realizado por anthropic el cual concluyo que la IA utilizará múltiples maneras de conseguir el objetivo para el cual se la ha programado, incluso, llegar al chantaje a su propio creador en caso de percibirlo como una amenaza.
La IA ha sido utilizada por comunidades de ciberseguridad desde finales de los 80 hasta hoy en día, los avances han sido significativos, para el año 2000 se incorpora el aprendizaje automático y luego evolucionan a la IA Generativa e IA Agéntica.
El problema no radica aquí, sino, en algo que la “Ley de Martec” planteaba en su enunciado cuando decía, que existía una brecha entre la evolución de la tecnología y la velocidad más lenta con la que las organizaciones, y las personas, adoptan e integran dichas tecnologías, este es el principal motivo por el cual hacemos principal énfasis en la “desalineación agéntica”, ya que se ha podido demostrar en diversos laboratorios que la IA puede convertirse en un “Insider Threat” a un nivel para el cual nuestros sistemas de ciberseguridad no estén preparados.
Las empresas hoy en día están optando por tercerizar delegando la gestión de ciberseguridad en los SOC (Security Operation Center), estos a su vez, han evolucionado convirtiéndose en CyberXoc, estas evoluciones han conllevado consigo mucha adopción de IA que les permita combatir las nuevas amenazas en igualdad de condiciones, pero; ¿Quién está regulando esos avances en adopción de IA en los CyberXoc?, ¿Cómo podemos asegurarnos que el principal atacante no proviene de nuestro CyberXoc por no controlar, mitigar o eliminar que la IA se convierta en un “Insider Threat”?.
Los CyberXoc deben contar de manera imprescindible con auditores internos o externos certificados en Advanced AAIA (Auditor Avanzado en IA), la cual les permita brindar información detallada acerca de los sistemas de defensas basados en IA evaluando el diseño, la gobernanza y los riesgos operativos asociados con los sistemas de IA.
Los CyberXoc deben poseer estas auditorias para evaluar riesgos, identificar oportunidades y garantizar el cumplimiento en tres áreas claves;
- Gobernanza y riesgo de la IA: Debe brindar asesoramiento en la implementación de soluciones de IA a través de políticas adecuadas y efectivas, controles de riesgos, gobernanza de datos y estándares éticos.
- Operaciones de la IA: Se debe brindar un informe detallado de la preparación operativa y el perfil de riesgo con los beneficios y la innovación que la IA promete para respaldar la adopción de esta poderosa tecnología en toda la empresa.
- Herramientas y técnicas de auditoría de IA: Finalmente, se debe optimizar el resultado de la auditoría a través de la innovación y de las técnicas adaptadas a los sistemas de IA y el uso de herramientas habilitadas para IA que agilizan la eficiencia de la auditoría y brindan información más rápida y de calidad.
Si eres un cliente de SOC o CYBERXOC, consulta acerca de qué nivel de controles tienen las IA’s con las que te brindan el servicio, no está demás optar por estas auditorias en tu empresa a cargo de un certificado en AAIA si es que tienes implementado IA en tu negocio o empresa.
Recuerda, no es lo mismo IA para la ciberseguridad que la seguridad para la IA.
Xperto:
Henry Hoyos es un referente visionario en innovación, tecnología y transformación digital en Latinoamérica. Socio de los holdings Siscotec, Hexacorp y Quantec, lidera iniciativas en ciberseguridad, telecomunicaciones, inteligencia artificial y neurotecnología. Con presencia empresarial en varios países y una destacada participación en cámaras binacionales, proyectos de smart cities, bioseguridad y educación disruptiva, impulsa el cambio desde una perspectiva centrada en el ser humano. Actualmente, trabaja en modelos de neuroventa avanzada y en el desarrollo de tecnologías emergentes para mejorar la vida y el futuro de las sociedades.
LinkedIn: https://www.linkedin.com/in/henryhoyoszoriano/
Únete a nuestra comunidad en LinkedIn: https://www.linkedin.com/build-relation/newsletter-follow?entityUrn=7323061820913532931
📝 Referencias
https://www.microsoft.com/es-es/security/business/security-101/what-is-ai-for-cybersecurity
https://www-isaca-org.translate.goog/credentialing/aaia?_x_tr_sl=en&_x_tr_tl=es&_x_tr_hl=es&_x_tr_pto=tc
Desalineación Agéntica- parte II