Superando la fatiga por la IA
La IA está presente en todas partes dentro de las empresas. Muchos responsables de seguridad se sienten atrapados entre el deseo de avanzar y la falta de claridad sobre cómo comenzar. El temor a utilizar la IA de manera incorrecta o a no asegurarla adecuadamente a menudo detiene el proceso antes de que comience. Sin embargo, a diferencia de otras grandes olas tecnológicas, tenemos la oportunidad de establecer límites en torno a la IA antes de que se arraigue completamente en todos los aspectos del negocio. Esta es una oportunidad rara que no debemos desperdiciar.
De la fatiga por la IA a la claridad necesaria
Una gran parte de la confusión proviene de la propia palabra “IA”. Usamos la misma etiqueta para hablar de un chatbot que redacta copias de marketing y de agentes autónomos que generan e implementan planes de respuesta a incidentes. Técnicamente, ambos son IA, pero los riesgos son muy diferentes. Una forma sencilla de despejar el bombo alrededor de la IA es clasificarla según su nivel de independencia y el daño potencial que podría causar si algo sale mal.
En un extremo, tenemos la IA generativa, que no actúa por sí sola. Responde a solicitudes, crea contenido y ayuda con la investigación o la redacción. La mayoría del riesgo aquí proviene del uso indebido por parte de las personas, como compartir datos sensibles o filtrar propiedad intelectual. La buena noticia es que estos problemas son manejables mediante políticas claras de uso aceptable y capacitación sobre lo que no se debe ingresar en herramientas de IA generativa.
El riesgo aumenta cuando las empresas permiten que la IA generativa influya en las decisiones. Si los datos subyacentes son incorrectos o incompletos, las recomendaciones basadas en esos datos también serán erróneas. Es aquí donde los responsables de seguridad deben prestar atención a la integridad de los datos, no solo a su protección.
Por otro lado, en el espectro opuesto, tenemos la IA agentiva. Este es un área donde los riesgos son mayores. Los sistemas agentivos no solo responden preguntas, sino que también toman acciones y a veces hacen elecciones. Pueden activar flujos de trabajo o interactuar con sistemas internos con poca intervención humana. Cuanto más independiente sea el sistema, mayor será el impacto potencial.
Una oportunidad para los responsables de seguridad
Si has estado en el ámbito de la seguridad el tiempo suficiente, probablemente has vivido al menos una ola tecnológica en la que el negocio avanzó y la seguridad tuvo que ponerse al día. La adopción de la nube es un ejemplo reciente. Una vez que ese tren salió de la estación, no hubo vuelta atrás.
La IA es diferente. La mayoría de las empresas, incluso las más innovadoras, todavía están tratando de averiguar qué quieren de la IA y cómo desplegarla mejor. Esto crea una ventana para que los responsables de seguridad establezcan expectativas desde el principio. Este es el momento de definir las «reglas inquebrantables», determinar qué equipos revisarán las solicitudes de IA y estructurar cómo se toman las decisiones.
Integridad de los datos: fundamental para el riesgo de IA
Cuando se habla del triángulo de la CIA, la «integridad» generalmente recibe menos atención. La IA cambia nuestra forma de pensar al respecto. Si los datos que alimentan tus sistemas de IA están comprometidos o manipulados, las decisiones basadas en esos datos pueden afectar procesos financieros, cadenas de suministro o incluso la seguridad física.
Un enfoque escalonado para la gobernanza de la IA
Para entender los diferentes casos de uso de la IA, se recomienda un enfoque escalonado. Esto refleja cómo muchas empresas ya manejan el riesgo de terceros: cuanto mayor sea el riesgo, más control y escrutinio se aplican.
Paso 1: Categorizar el uso de la IA
Un programa práctico de gobernanza de la IA comienza clasificando cada caso de uso según dos métricas clave: el nivel de autonomía del sistema y su impacto potencial en el negocio. Cada caso de uso de IA debe evaluarse en función de su impacto en el negocio, categorizando el impacto como bajo, medio o alto.
Paso 2: Definir controles básicos para toda la IA
Una vez establecido el escalonamiento del riesgo, los responsables de seguridad deben asegurarse de que los controles fundamentales se apliquen de manera consistente en todos los despliegues de IA. Esto incluye políticas claras de uso aceptable y formación en concienciación sobre los riesgos específicos de la IA.
Paso 3: Determinar dónde se llevará a cabo la revisión de la IA
Con estas bases establecidas, las organizaciones deben determinar dónde se llevará a cabo la gobernanza de la IA. Algunas empresas pueden integrar revisiones de IA en un consejo de revisión de arquitectura existente, mientras que otras pueden necesitar un cuerpo dedicado de gobernanza de IA.
Paso 4: Establecer reglas inquebrantables y controles críticos
Por último, antes de aprobar cualquier caso de uso de IA, la organización debe articular sus reglas no negociables y controles críticos. Estas son las fronteras que los sistemas de IA nunca deben cruzar.
Conclusión
La IA ya no es opcional, pero una buena gobernanza tampoco puede serlo. Los responsables de seguridad no tienen que convertirse en expertos en aprendizaje automático ni frenar el negocio. Lo que necesitan es una forma clara y práctica de juzgar los riesgos de la IA y mantener la seguridad a medida que la adopción crece. Dividir la IA en categorías comprensibles, emparejar eso con un modelo de riesgo simple y involucrar a las personas adecuadas desde el principio ayudará a reducir la sobrecarga.
La IA transformará cada rincón de la empresa. La pregunta es quién dará forma a la IA.
