La IA en la sombra está en aumento y está causando problemas a las organizaciones.
Un estudio reciente del MIT encontró que más del 90% de los empleados utilizan herramientas personales de inteligencia artificial y solo el 40% de las organizaciones gestionan el uso oficial.
Además, un informe reciente de IBM encontró que el 97% de las organizaciones han experimentado incidentes de ciberseguridad relacionados con la IA, pero la mayoría aún carece de gobernanza.
Director Senior de Investigación de Seguridad e Inteligencia Competitiva de Exabeam.
Un gran juego de tira y afloja ha permeado el panorama de la ciberseguridad: ¿Deberían las organizaciones limitar el uso de la IA en la sombra y potencialmente sofocar la creatividad y las oportunidades que conlleva, o deberían dejarla correr y asumir los riesgos de explotación que conlleva?
¿Podría haber un término medio para lograr un equilibrio entre innovación, visibilidad, cumplimiento y aplicación de la ley?
Shadow AI: ¿Qué es y cuál es el problema?
Un problema mayor es la incertidumbre que conlleva la IA en la sombra en su conjunto. La IA en la sombra no tiene una definición universal, pero a menudo ocurre cuando se utilizan recursos para realizar funciones comerciales que no son conscientes de ellas.
Una de las razones por las que la IA en la sombra es tan difícil de precisar es lo fácil que es implementarla, no sólo en todas las industrias, sino en la vida cotidiana.
La gente siempre encontrará la forma más fácil de realizar una tarea. Si hay una manera de que puedan adoptar la tecnología para hacer su trabajo de manera más eficiente, lo harán, incluso si no está aprobado por su organización.
El problema es que la naturaleza creativa de la IA hace que sea difícil de controlar. Entre los individuos y las indicaciones, existen muchas áreas grises de riesgo.
Las organizaciones no tienen forma de saber si se está llevando información confidencial más allá de la información compartida por el usuario, ni pueden garantizar que la información generada por la IA sea precisa o incluso real.
Los peligros de una adopción rápida
La capacidad de adoptar tecnologías nuevas y apasionantes siempre estará antes que la capacidad de comprenderlas y controlarlas, y la IA lo demuestra a una escala sin precedentes.
El crecimiento exponencial y la proliferación de la IA en el panorama cibernético moderno brinda a los individuos el mayor control sobre su propia expresión creativa en cualquier momento de la historia, y con ello surge una oportunidad sin precedentes.
Sin embargo, por otro lado, las organizaciones han implementado y adoptado la IA sin comprenderla realmente. Como resultado, el potencial de violaciones organizacionales se ha disparado, y la cantidad de trabajo y análisis que los equipos de seguridad deben realizar para mitigar estas violaciones se ha vuelto abrumadora hasta el punto en que la respuesta a las amenazas no puede seguir el ritmo de crecimiento de la IA.
Necesitamos analizar cómo gestionamos el riesgo de terceros, así como las indemnizaciones y los contratos. Esto se debe a que, a menudo, si bien una organización puede poseer un agente de IA, éste se construye utilizando el software de otra empresa.
Existe una cuestión de cuánta ayuda están dispuestas a brindar las empresas si surge un problema, en función de la participación del agente o las posibles consecuencias.
Agentes de IA: la clave para desbloquear la libertad creativa
Además, necesitamos una forma de crear una mayor visibilidad de las acciones de los agentes de IA. En el pasado, esto se debía a medidas como registros de red, registros de terminales y técnicas de prevención de pérdida de datos. Necesitamos comprender las entradas y salidas del sistema, qué identidades estaban involucradas y cuál era el contexto de la situación cuando comenzaron a surgir los problemas.
En cuanto a la retroalimentación, debemos determinar qué tan rápido podemos detectar si hay un problema. Sin embargo, las acciones de respuesta deben actualizarse para abordar los problemas que crean los agentes modernos de IA. Se debe establecer un grupo de gobernanza de la IA que sea responsable de hacer que los agentes de IA completen sus tareas programadas sin crear riesgos.
Esto permitirá a las personas aprovechar la libertad creativa y los beneficios que provienen de la IA, al mismo tiempo que protegerá a las organizaciones del riesgo de ataques y permitirá que los equipos de seguridad dependan de los agentes sin la necesidad de monitorearlos constantemente. Agentes de IA confiables y capacitados crean defensas de seguridad más eficientes.
Se requiere un paso reactivo adicional en el que volvamos a entrenar, desactivar o volver a enseñar a la fuerza a los agentes de IA, algo que no existe hoy en día. Debería haber una contraparte dentro del SOC para la respuesta inmediata y los dueños de negocios responsables de crear esta estructura. En este momento, estamos en el nivel uno de CMMI, tal vez incluso cero, para este proceso.
Los analistas de amenazas internas dependerán en gran medida de estos ajustes. Si podemos crear un marco y desarrollar un proceso para gestionar la sobrecarga de información que ha creado la IA en la sombra, los analistas de amenazas internos estarán mejor preparados para gestionar las amenazas antes de que se vuelvan destructivas para la organización.
Una política de uso de IA clara y fácilmente ejecutable, con herramientas conocidas y validadas, y el proceso de revisión, prueba e implementación de nuevos agentes o herramientas de IA con revisiones de ingeniería y seguridad es la única manera de lograr un nivel adecuado de mitigación de riesgos. Es importante que este proceso sea sencillo y transparente. De lo contrario, los empleados siempre buscarán formas de evitarlo.
El uso de la IA requiere comprender el camino a seguir. Las organizaciones no pueden controlar lo que no entienden y muchas han priorizado la implementación rápida sobre la visibilidad y la gobernanza. Si podemos equilibrar la innovación y la seguridad, las organizaciones pueden maximizar su protección contra amenazas externas al permitir a sus empleados la libertad de innovar y cambiar el mundo.
Enumeramos el mejor software antivirus: reseñas de expertos, pruebas y clasificaciones.
