Gobernanza de la IA: Lo que los profesionales de tecnología y seguridad deben saber
La inteligencia artificial (IA), ya sea IA generativa o IA agentiva, está impactando de manera significativa a diversas líneas de negocio, incluida la ciberseguridad. Un estudio de la Cloud Security Alliance publicado en abril reveló que el noventa por ciento de las organizaciones están adoptando o planean adoptar IA generativa para fines de seguridad.
El mismo estudio, basado en 2,486 respuestas de profesionales de TI y seguridad, indicó que el 63% de los profesionales de ciberseguridad cree en el potencial de la IA para mejorar la seguridad, incluyendo capacidades de detección y respuesta ante amenazas.
A medida que las empresas y pequeños negocios evalúan cómo la IA puede beneficiar sus resultados, también surgen preocupaciones sobre el uso de estas herramientas. En algunos casos, las organizaciones ya enfrentan el uso de IA sombra por parte de empleados, y los cibercriminales también están utilizando estas herramientas para sus propios fines.
Estos desarrollos han llevado a un mayor interés en la gobernanza de la IA, que busca abordar problemas dentro del campo de la inteligencia artificial como los sesgos algorítmicos, las violaciones y las preocupaciones éticas. Al mismo tiempo, las agencias gubernamentales, incluyendo reguladores en EE.UU. y la UE, están examinando regulaciones más estrictas sobre esta tecnología, según una encuesta publicada por Markets & Markets.
Un mercado en crecimiento
El mercado de gobernanza de la IA estaba valorado en aproximadamente $890 millones en 2024, y se espera que aumente a $5.8 mil millones en los próximos cuatro años, lo que representa una tasa de crecimiento anual de aproximadamente 45%. Si las organizaciones no están lidiando con estas cuestiones ahora, sus equipos de seguridad y privacidad pronto se verán obligados a responder preguntas difíciles.
Según un experto en el campo, la gobernanza de la IA está pasando de una teoría abstracta a una urgencia operativa. Para los equipos de seguridad, la pregunta no es si la IA introduce riesgos, sino qué tan rápido podemos adaptar nuestros marcos para gestionarlo sin frenar la innovación.
La necesidad de profesionales capacitados
Con un mercado de gobernanza de la IA en auge, los expertos en ciberseguridad indican que las organizaciones necesitarán profesionales de seguridad que comprendan las plataformas de IA y estén versados en cuestiones de privacidad, regulación y ciberseguridad relacionadas con este nuevo campo.
A medida que emergen nuevos modelos de IA, la gobernanza de estos modelos aún está en su infancia. Las regulaciones no están claramente definidas para abordar preocupaciones de seguridad y privacidad de datos en el uso de modelos de IA, y la detección de anomalías debe incluir la identificación de estas violaciones.
Construcción de sistemas éticos y conformes
En eventos recientes, como la RSA Conference en San Francisco, los profesionales de tecnología y seguridad están intentando comprender cómo construir sistemas de IA éticos y conformes que no comprometan la confianza del usuario ni introduzcan riesgos organizacionales.
Los equipos más sólidos están tratando la gobernanza de la IA como lo harían con cualquier otro dominio crítico de seguridad: a través de la visibilidad, la automatización y procesos repetibles. Esto implica saber qué modelos se están utilizando, cómo fluyen los datos, quién tiene acceso y cómo se están tomando las decisiones.
Es fundamental que los profesionales de seguridad comiencen a discutir marcos, manuales y otras formas de construir la gobernanza de IA. Fundaciones de privacidad como el Registro de Actividades de Procesamiento (RoPAs) y las Evaluaciones de Impacto en la Protección de Datos (DPIAs) son guías cada vez más útiles.
El modelo de seguridad compartida
Las organizaciones que adoptan herramientas de IA de terceros deben reconocer que esto introduce un modelo de responsabilidad de seguridad compartida, similar a lo que se ha visto con la adopción de la nube. Cuando la visibilidad en la infraestructura de los proveedores, el manejo de datos o el comportamiento del modelo es limitada, las organizaciones deben mitigar proactivamente esos riesgos.
La gobernanza de la IA efectiva requiere una fuerza laboral capacitada que comprenda la colaboración multidisciplinaria. Esto puede incluir equipos de seguridad y privacidad, así como líderes de legal, RRHH, cumplimiento, datos y producto.
Preparación para el futuro
Para abordar las preocupaciones actuales de la IA y lo que está por venir, las organizaciones deberían incluir profesionales de privacidad en su planificación de seguridad. Existe la idea errónea de que proteger la privacidad limita la capacidad de los equipos de seguridad para detectar actividades maliciosas, lo cual es falso.
Los esfuerzos de seguridad que dependen de la vigilancia pueden crear sus propios riesgos organizacionales. Si las fundaciones de privacidad no están bien establecidas y son desconocidas para los usuarios, una herramienta de IA podría estar recopilando y almacenando información personal, lo que se convierte rápidamente en un problema de privacidad y seguridad.
