La rápida adopción de la IA está generando una serie de nuevos riesgos para las empresas a nivel mundial, y la fragmentación de las políticas en materia de responsabilidad y seguridad agrava aún más el problema, así lo afirmó Stephen Vintz, ejecutivo de Tenable, quien cree que en los últimos tres años ha surgido una «brecha de responsabilidad» en la gobernanza de la IA, y que esta es ahora una de las dificultades más acuciantes a las que se enfrentan las organizaciones.

Durante su intervención en la conferencia en San Francisco, Vintz comentó a los asistentes que los ejecutivos y los consejos de administración no están del todo seguros de cómo abordar los riesgos relacionados con la IA, a pesar de la fuerte inversión realizada en esta tecnología.

Según Vintz, el revuelo generado por el auge inicial de la IA generativa y la velocidad de su adopción han sido factores clave, ya que las empresas se apresuraron a lanzar proyectos de adopción dando por sentado que las prácticas de gobernanza de larga data seguirían estando a la altura “existe una discrepancia fundamental entre la velocidad exponencial de la adopción de la IA y la velocidad lineal de la gobernanza corporativa tradicional, y las cosas no harán más que acelerarse y volverse más complejas”, les dijo a los asistentes.

“Aproximadamente el 90 % de las organizaciones han adoptado la IA de alguna forma, y, ​​sin embargo, la mitad de ellas ya han sufrido algún tipo de incidente cibernético”, añadió Vintz. “Es una cifra asombrosa para una tecnología que aún está en sus inicios”.

Determinar dónde recae la responsabilidad en materia de riesgos relacionados con la IA es un reto, ya que los diferentes departamentos persiguen sus propios objetivos con esta tecnología, muchas organizaciones tienen proyectos relacionados con la IA que abarcan múltiples divisiones, segmentos y equipos individuales. Esto da como resultado un enfoque fragmentado que dificulta la definición de la propiedad, la rendición de cuentas y, en última instancia, la seguridad “la brecha de responsabilidad existe en parte porque la propiedad de la IA está fragmentada, muy fragmentada, dentro de la empresa”, afirmó.

“Uno de los principales retos es que los sistemas de IA son considerablemente más complejos de implementar que las aplicaciones SaaS tradicionales , no solo desde el punto de vista técnico, sino también organizativo.

“El equipo de ciencia de datos es responsable de los modelos, el equipo de operaciones de aprendizaje automático es responsable del proceso de producción y de la implementación. El equipo de producto es responsable de la integración de estas capacidades en la oferta, y el departamento legal es responsable del cumplimiento normativo”, añadió.

Desde la perspectiva de la ciberseguridad, los equipos de este ámbito quedan relegados a una posición desventajosa, luchando por proteger sistemas que ni diseñaron ni controlan por completo.

Riesgos del mundo real

Según Vintz, los incidentes de seguridad relacionados con la IA no solo están aumentando en frecuencia, sino también en magnitud e intensidad, y presentó una serie de ejemplos reales; en un caso concreto, una «importante institución financiera» implementó un asistente interno de IA destinado a ayudar a los trabajadores a resumir documentos de forma más eficiente y a acelerar el análisis de datos.

Sin que la empresa ni miles de usuarios lo supieran, una configuración errónea provocó que el agente tuviera acceso a una gran cantidad de información confidencial, incluidos modelos financieros, documentos estratégicos y comunicaciones internas.

“Como resultado, miles de empleados podían consultarla y extraer información que otros no debían ver, la vulnerabilidad no fue causada por un hacker, sino por una simple configuración errónea. ¿Y quién la provocó? El equipo de seguridad, el mismo grupo responsable de proteger a la organización.” explicó Vintz.

Esto subraya la importancia del desarrollo multifuncional y la evaluación de riesgos a la hora de construir e implementar sistemas de IA, cada parte interesada tiene un papel crucial que desempeñar en el proceso, pero este enfoque fragmentado implica que los problemas potencialmente desastrosos o los fallos hipotéticos no se consideran ni se abordan.

Riesgo global

Vintz afirmó que la responsabilidad y la rendición de cuentas en materia de riesgos de la IA no son solo un desafío organizacional en la actualidad, sino un tema regulatorio de alto nivel que debe abordarse directamente. Entre las herramientas que podrían emplearse se incluyen cambios legislativos, ajustes menores a los marcos existentes de la industria y una reevaluación de las prácticas de gobernanza tradicionales.

“Para cerrar la brecha de responsabilidad, tenemos que tomarnos en serio cómo gestionamos esta tecnología y la gestión eficaz de riesgos, y la gobernanza debe darse tanto en el sector público como en el privado”, dijo.

En cuanto al primero, Vintz afirmó que los reguladores desempeñarán un papel fundamental a la hora de marcar la pauta y el ritmo en materia de seguridad.

Desde la perspectiva del sector, las actualizaciones de los marcos de seguridad existentes desempeñarán un papel clave para ayudar a gestionar el riesgo de la IA y establecer nuevos estándares para las organizaciones.

Vintz destacó específicamente el marco de ciberseguridad del NIST como un «excelente punto de partida», ya que está «ampliamente reconocido como el estándar para la gestión del riesgo cibernético».

«Es lo suficientemente flexible como para adaptarse a las amenazas basadas en IA», afirmó. Asimismo, a nivel internacional, las normas ISO de ciberseguridad ya se están modificando ligeramente para «reducir la brecha entre la seguridad y la seguridad de la IA».

En última instancia, la responsabilidad de la gobernanza recaerá sobre el sector privado y las empresas que desarrollan estas herramientas, señaló Vintz. Esto significa que las organizaciones deben empezar a considerar el riesgo de forma proactiva, lo que requerirá una inversión significativa y un cambio de enfoque respecto a las estrategias tradicionales.

“Durante más de 30 años, nuestra industria se ha basado en la extinción de incendios, la detección y la respuesta a la velocidad humana”, afirmó. Vintz añadió que esto tenía sentido cuando los riesgos “se propagaban a la velocidad humana”, pero que todo eso está cambiando.

“Era la forma correcta de operar, pero resulta ineficaz en la era de la IA, donde todo se mueve a la velocidad de las máquinas”, afirmó. “Nuestro gasto refleja esta realidad obsoleta. Hoy en día, más del 90 % del gasto total en ciberseguridad se destina a la detección y respuesta”.

La “gestión de la exposición” es un enfoque que Vintz destaca específicamente, y que está diseñado para abordar los riesgos de frente.

Esto implica un enfoque coordinado en la “visibilidad, el conocimiento y la acción unificados”, lo que ayuda a las empresas a comprender el riesgo y a reducirlo de forma proactiva. Esto es crucial, señaló, ya que el riesgo “rara vez se presenta de forma aislada”.

“La gestión de la exposición también proporciona la capa de inteligencia necesaria para orquestar la combinación adecuada de humanos e IA para lograr los objetivos, porque eso es realmente importante”, dijo Vintz.