La relación de los CISO con la IA generativa no resulta sencilla. Si bien se trata de una tecnología con un enorme potencial para resolver problemas vinculados a la ciberseguridad, el informe reciente de NTT DATA “Ciberseguridad e inteligencia artificial: papel de la IA y la IA generativa en la protección de las empresas” identificó que apenas una de cada cuatro empresas en Iberoamérica está implementando casos de uso vinculados a la protección de los datos y los activos digitales.
Las razones para este fenómeno son múltiples. Por lo pronto, la propia tecnología es utilizada por los atacantes para refinar y sofisticar sus amenazas. Esto, en principio, no parecería afectar a los responsables de seguridad de las organizaciones. Cuando se consultó entre diferentes líderes empresariales sobre las principales razones que obstaculizan la adopción de IA generativa, los CIO identificaron como el segundo factor más importante “temores de seguridad y protección”. Entre los CISO, este ítem ocupó apenas el octavo lugar.
Otra diferencia notable se da en la percepción entre CEO y CISO de si los posibles riesgos de seguridad asociados con GenAI se entienden y gestionan adecuadamente dentro de la organización. Las respuestas afirmativas llegan al 96% entre los primeros y se reducen al 89% entre los segundos.
Al mismo tiempo, los CISO se muestran más ansiosos respecto de esta innovación que el resto de los líderes empresariales. Mientras que en líneas generales, el 68% de los encuestados manifestó “sentimientos positivos” respecto de la IA generativa, esa cifra cayó al 49% entre los gerentes de seguridad que, al mismo tiempo, expresaron emociones negativas en un porcentaje muy por encima del de sus pares: 45% dijo sentirse presionado, amenazado y abrumado por esta tecnología, contra apenas 19% del resto de los encuestados.
Aún así, el 89% está muy satisfechos con la inversión en GenAI (aún cuando el 75% admite que sus equipos no tienen las habilidades necesarias) y un 37% ya está evaluando que necesitará ayuda para establecer marcos claros y responsabilidades éticas y de seguridad de la IA.
Recomendaciones: alinear estrategias y capacitar
Una empresa que adopta GenAI debe atender múltiples aristas en términos de gestión de riesgos, incluyendo el mantenimiento de estándares de ciberseguridad (amenazas, deepfakes, desinformación), consideraciones legales (como derechos de propiedad intelectual o falta de marco regulatorio), falta de transparencia (incluye la explicación del razonamiento detrás de los modelos complejos), respeto de la privacidad (incluido el consentimiento del usuario), ética y discriminación (como un sesgo de algoritmo), falta de precisión (fuentes de datos deficientes) y falta de una clara propiedad o responsabilidad, entre otras. Muchas de estas tareas recaen, precisamente, sobre los CISO.
¿Pueden las organizaciones comenzar a capitalizar el poder de la IA y la IA generativa para reforzar sus estrategias de ciberseguridad y, al mismo tiempo, minimizar los riesgos y eliminar esa sensación de “fatiga" que sienten los CISO ante estas tecnologías?
El primer paso consiste en alinear totalmente las estrategias de GenAI y ciberseguridad, algo que aún no logró más de la mitad de las empresas. En este sentido, es importante definir casos de uso que promuevan GenAI internamente en los departamentos de ciberseguridad y asegurar que la organización tenga las herramientas necesarias para adoptarla y gestionar los riesgos.
Luego, es fundamental cerrar la brecha de talento: upskilling y oportunidades de capacitación para mantener a la fuerza laboral del área de ciberseguridad a la vanguardia.
La oportunidad es enorme. Con algoritmos avanzados de aprendizaje automático y grandes conjuntos de datos, GenAI identifica patrones y anomalías que los métodos tradicionales podrían pasar por alto, reduce los falsos positivos en la detección de amenazas y acelera la respuesta a incidentes al automatizar tareas rutinarias, entre otros beneficios. Estamos en el inicio de una nueva era en términos de protección de datos y activos digitales.