Cómo los CISOs Pueden Impulsar una Gobernanza Efectiva de la IA
El creciente papel de la IA en los entornos empresariales ha aumentado la urgencia para que los Chief Information Security Officers (CISOs) impulsen una gobernanza efectiva de la IA. Cuando se trata de cualquier tecnología emergente, la gobernanza es difícil, pero la gobernanza efectiva es aún más complicada. La primera reacción de la mayoría de las organizaciones es responder con políticas rígidas. Redactar un documento de políticas, circular un conjunto de restricciones y esperar que el riesgo esté contenido. Sin embargo, la gobernanza efectiva no funciona de esta manera. Debe ser un sistema vivo que dé forma a cómo se utiliza la IA todos los días, guiando a las organizaciones a través de un cambio transformador seguro sin ralentizar el ritmo de la innovación.
Para los CISOs, encontrar ese equilibrio entre seguridad y rapidez es crítico en la era de la IA. Esta tecnología representa simultáneamente la mayor oportunidad y el mayor riesgo que las empresas han enfrentado desde el inicio de Internet. Si se avanza demasiado rápido sin barandillas, los datos sensibles pueden filtrarse en los prompts, la IA en la sombra proliferar o las lagunas regulatorias convertirse en pasivos. Si se avanza demasiado lento, los competidores pueden adelantarse con eficiencias transformadoras que son demasiado poderosas para competir. Cualquiera de estas opciones conlleva ramificaciones que pueden costarle el trabajo a un CISO.
Por lo tanto, no pueden liderar un «departamento de no», donde las iniciativas de adopción de IA se vean obstaculizadas por la función de seguridad de la organización. Es crucial encontrar un camino hacia el sí, mapeando la gobernanza a la tolerancia al riesgo organizacional y las prioridades comerciales, de modo que la función de seguridad sirva como un verdadero habilitador de ingresos. A lo largo de este artículo, se compartirán tres componentes que pueden ayudar a los CISOs a hacer ese cambio y a impulsar programas de gobernanza de IA que permitan una adopción segura a gran escala.
1. Comprender lo que Sucede en el Terreno
Cuando ChatGPT llegó por primera vez en noviembre de 2022, la mayoría de los CISOs que conozco se apresuraron a publicar políticas estrictas que indicaban a los empleados lo que no debían hacer. Esto provenía de una intención positiva, dado que la fuga de datos sensibles era una preocupación legítima. Sin embargo, mientras que las políticas redactadas desde un enfoque «documento hacia atrás» son excelentes en teoría, raramente funcionan en la práctica. Debido a la rapidez con la que la IA está evolucionando, la gobernanza de la IA debe ser diseñada a través de una mentalidad «hacia adelante en el mundo real» que tenga en cuenta lo que realmente sucede en el terreno dentro de una organización.
Esto requiere que los CISOs tengan una comprensión fundamental de la IA: la tecnología en sí, dónde está incrustada, qué plataformas SaaS la están habilitando y cómo los empleados la están utilizando para realizar su trabajo. Inventarios de IA, registros de modelos y comités interfuncionales pueden sonar como palabras de moda, pero son mecanismos prácticos que pueden ayudar a los líderes de seguridad a desarrollar esta fluidez en IA. Por ejemplo, un AI Bill of Materials (AIBOM) ofrece visibilidad sobre los componentes, conjuntos de datos y servicios externos que alimentarán un modelo de IA. Al igual que un software bill of materials (SBOM) aclara las dependencias de terceros, un AIBOM asegura que los líderes sepan qué datos se están utilizando, de dónde provienen y qué riesgos introduce.
2. Alinear las Políticas a la Velocidad de la Organización
Sin políticas que avancen en el mundo real, los líderes de seguridad a menudo caen en la trampa de codificar controles que no pueden entregar de manera realista. He visto esto de primera mano a través de un colega CISO. Sabiendo que los empleados ya estaban experimentando con IA, trabajó para permitir la adopción responsable de varias aplicaciones GenAI en toda su fuerza laboral. Sin embargo, cuando un nuevo CIO se unió a la organización y sintió que había demasiadas aplicaciones GenAI en uso, el CISO fue dirigido a prohibir todas las GenAI hasta que se seleccionara una plataforma única para toda la empresa. Un año después, esa plataforma única aún no se había implementado, y los empleados estaban utilizando herramientas GenAI no aprobadas que exponían a la organización a vulnerabilidades de IA en la sombra. El CISO se encontró tratando de hacer cumplir una prohibición general que no podía ejecutar, enfrentando críticas sin la autoridad para implementar una solución viable.
Este tipo de escenario se desarrolla cuando las políticas se redactan más rápido de lo que pueden ejecutarse, o cuando no anticipan el ritmo de adopción organizacional. Las políticas que parecen decisivas en papel pueden volverse rápidamente obsoletas si no evolucionan con los cambios de liderazgo, la funcionalidad de IA incrustada y las formas orgánicas en que los empleados integran nuevas herramientas en su trabajo. La gobernanza debe ser lo suficientemente flexible para adaptarse, o de lo contrario arriesga dejar a los equipos de seguridad haciendo cumplir lo imposible.
El camino a seguir es diseñar políticas como documentos vivos. Deben evolucionar a medida que lo hace el negocio, informadas por casos de uso reales y alineadas con resultados medibles. La gobernanza también no puede detenerse en la política; debe cascada a estándares, procedimientos y líneas base que guíen el trabajo diario. Solo entonces los empleados sabrán cómo se ve realmente la adopción segura de la IA en la práctica.
3. Hacer la Gobernanza de IA Sostenible
Aun con políticas y hojas de ruta sólidas en su lugar, los empleados continuarán utilizando IA de maneras que no están formalmente aprobadas. El objetivo de los líderes de seguridad no debería ser prohibir la IA, sino hacer que el uso responsable sea la opción más fácil y atractiva. Eso significa equipar a los empleados con herramientas de IA de nivel empresarial, ya sea adquiridas o desarrolladas internamente, para que no necesiten recurrir a alternativas inseguras. Además, significa resaltar y reforzar comportamientos positivos para que los empleados vean el valor de seguir las barandillas en lugar de eludirlas.
La gobernanza sostenible también se basa en Utilizar IA y Proteger IA, dos pilares del recientemente publicado Secure AI Blueprint por el SANS Institute. Para gobernar la IA de manera efectiva, los CISOs deben empoderar a sus equipos de Security Operations Center (SOC) para utilizar la IA en la defensa cibernética, automatizando la reducción de ruido y el enriquecimiento, validando detecciones con inteligencia de amenazas y asegurando que los analistas permanezcan informados para la escalada y respuesta a incidentes.
También deben asegurarse de que los controles adecuados estén en su lugar para proteger los sistemas de IA de amenazas adversarias, como se describe en las Directrices Críticas de Seguridad de IA del SANS.
Conclusiones
La gobernanza de la IA es un desafío multifacético que requiere un enfoque equilibrado y adaptable. Los CISOs deben convertirse en facilitadores de la adopción de IA segura, alineando políticas con la realidad organizacional y fomentando un entorno donde la innovación y la seguridad coexistan. Solo así podrán las organizaciones navegar con éxito en la era de la IA.
