Ciberseguridad

El AI ya está dentro de tu negocio. Si no lo estás protegiendo, estás retrasado

mm
Published
Updated

Ya sea que hayas implementado oficialmente el AI en toda tu organización o no, ya está allí. Los empleados están utilizando ChatGPT para redactar documentos, probablemente subiendo datos sensibles a herramientas en línea para acelerar el análisis y apoyándose en herramientas generativas para acortar todo, desde código hasta servicio al cliente. El AI está sucediendo con o sin ti, y eso debería mantener a los CISOs despiertos por la noche.

Esta proliferación silenciosa de herramientas de AI no verificadas en todos los departamentos ha creado una nueva capa de TI sombra en rápido crecimiento. Está descentralizada, en gran medida invisible y llena de riesgos. Desde violaciones de cumplimiento hasta fugas de datos y toma de decisiones no rastreables, las consecuencias de ignorar esta ola de uso de AI son reales. Sin embargo, muchas empresas todavía piensan que pueden contenerla con políticas o firewalls.

La verdad es que el AI no se puede bloquear. Solo se puede proteger. Y cuanto antes las empresas acepten eso, antes podrán comenzar a cerrar las brechas peligrosas que el AI ya ha abierto.

El AI sombra está infiltrando las organizaciones, y es un punto ciego de seguridad

Hemos visto este patrón antes. La adopción de la nube despegó a principios de la década de 2010 exactamente de esta manera, con equipos que alcanzaban herramientas que les ayudaban a moverse más rápido, a menudo sin la aprobación del equipo de seguridad. Muchos equipos de seguridad intentaron resistir el cambio, solo para ser obligados a limpiar reactivamente una vez que se produjeron violaciones, malas configuraciones o fallos de cumplimiento.

Hoy, lo mismo está sucediendo con el AI. Según nuestro Informe sobre el estado de la seguridad del AI 2024, más de la mitad de las organizaciones están utilizando el AI para desarrollar sus propias aplicaciones personalizadas, y sin embargo, pocas tienen visibilidad sobre dónde viven esos modelos, cómo están configurados o si están expuestos a datos sensibles.

Esto crea dos riesgos:

  1. Los empleados utilizan herramientas públicas para acceder a datos propietarios o sensibles, lo que expone esa información a sistemas externos sin supervisión.
  2. Los equipos internos despliegan modelos de AI sin controles de seguridad adecuados, lo que resulta en vulnerabilidades que pueden ser explotadas y malas prácticas que podrían fallar en las auditorías.

El AI sombra no es solo un problema de seguridad, puede ser una crisis de gobernanza. Si no puedes ver dónde se está utilizando el AI, no puedes gestionar cómo se entrena, a qué datos tiene acceso o qué salidas genera. Y si no estás rastreando las decisiones del AI, pierdes la capacidad de explicarlas o defenderlas, lo que te deja abierto a riesgos regulatorios, de reputación u operativos.

Por qué las herramientas de seguridad tradicionales no son suficientes

La mayoría de las herramientas de seguridad no fueron diseñadas para manejar el AI. No reconocen artefactos de modelos, no pueden escanear rutas de datos específicas del AI y no saben cómo rastrear interacciones de LLM o hacer cumplir la gobernanza de modelos. Incluso las herramientas que existen tienden a centrarse en piezas estrechas del rompecabezas, dejando a las organizaciones manipulando soluciones puntuales sin una visión cohesiva.

Ese es un problema. La seguridad del AI no puede ser un pensamiento posterior o un componente agregado. Debe estar integrada en la forma en que gestionas tu entorno de nube, proteges tus datos y estructuras tus tuberías de DevSecOps. De lo contrario, estás subestimando lo central que se está volviendo el AI para tus operaciones y perdiendo la oportunidad de protegerlo como parte integral de tu infraestructura empresarial.

El mito de “bloquearlo” debe terminar

Es tentador pensar que se puede resolver esto con una prohibición en blanco a través de políticas de “no herramientas de AI de terceros” o “no experimentación interna”. Pero eso es pensamiento deseoso. Simplemente, los empleados de hoy están utilizando herramientas de AI para hacer su trabajo más rápido. Y no lo están haciendo con mala intención, lo están haciendo porque funciona.

El AI es un multiplicador de fuerzas y la gente lo utilizará siempre que les ayude a cumplir con los plazos, reducir el trabajo tedioso o resolver problemas más rápido.

Intentar bloquear ese comportamiento directamente no lo detendrá. Solo lo llevará más bajo tierra. Y cuando algo salga mal, estarás en la peor posición posible con ninguna visibilidad, ninguna política y ningún plan de respuesta.

Abrace el AI estratégicamente, con seguridad y visibilidad

El enfoque más inteligente es abrazar el AI de manera proactiva, pero en tus propios términos. Eso comienza con tres cosas:

  1. Ofrece a los empleados opciones seguras y sancionadas. Si deseas desviar el uso de herramientas riesgosas, necesitas ofrecer alternativas seguras. Ya sea que se trate de LLM internos, herramientas de terceros verificadas o asistentes de AI integrados en sistemas centrales, la clave es encontrar a los empleados donde están, con herramientas que son tan rápidas pero mucho más seguras.

  2. Establece políticas claras y hazlas cumplir. La gobernanza del AI necesita ser específica, activable y fácil de seguir. ¿Qué tipo de datos se pueden compartir con herramientas de AI? ¿Cuáles son las líneas rojas? ¿Quién es responsable de revisar y aprobar proyectos de AI internos? Publica tus políticas y asegúrate de que tus mecanismos de aplicación, técnicos y procedimentales, estén en su lugar.

  3. Invierte en visibilidad y monitoreo. No puedes proteger lo que no puedes ver. Necesitas herramientas que puedan detectar el uso de AI sombra, identificar claves de acceso expuestas, marcar modelos mal configurados y resaltar dónde los datos sensibles podrían estar filtrándose en conjuntos de entrenamiento o salidas. La gestión de la postura del AI se está convirtiendo rápidamente en algo tan crítico como la gestión de la postura de seguridad en la nube.

Los CISO necesitan liderar esta transición

Le guste o no, este es un momento definitorio para el liderazgo de seguridad. El papel del CISO ya no se trata solo de proteger la infraestructura. Está convirtiéndose más en habilitar la innovación de manera segura, lo que significa ayudar a la organización a utilizar el AI para moverse más rápido mientras se asegura de que la seguridad, la privacidad y el cumplimiento estén integrados en cada paso.

Ese liderazgo se ve así:

  • Educando a la junta y a los ejecutivos sobre los riesgos reales versus percibidos del AI
  • Creando asociaciones con equipos de ingeniería y productos para integrar la seguridad más temprano en las implementaciones del AI
  • Invertir en herramientas modernas que entiendan cómo funcionan los sistemas de AI
  • Construyendo una cultura en la que el uso responsable del AI es tarea de todos

Los CISO no necesitan ser los expertos en AI en la sala, pero necesitan ser los que hacen las preguntas correctas. ¿Qué modelos estamos utilizando? ¿Qué datos los alimentan? ¿Qué guardias hay en su lugar? ¿Podemos probarlo?

Al final, no hacer nada es el mayor riesgo de todos

El AI ya está cambiando la forma en que nuestras empresas operan. Ya sea que se trate de equipos de servicio al cliente que redactan respuestas más rápidas, equipos de finanzas que analizan previsiones o desarrolladores que aceleran su flujo de trabajo, el AI está integrado en el trabajo diario. Ignorar esa realidad no ralentiza la adopción, solo invita a puntos ciegos, fugas de datos y fallos regulatorios.

El camino más peligroso hacia adelante es la inacción. Los CISO y los líderes de seguridad deben aceptar lo que ya es cierto: el AI ya está aquí. Está en tus sistemas, está en tus flujos de trabajo y no se va a ir. La pregunta es si lo protegerás antes de que cree daños que no puedas deshacer.

Abrace el AI, pero nunca sin una mentalidad de seguridad primero. Es la única manera de mantenerse por delante de lo que viene a continuación.

mm

Gil Geron es CEO y Co-Fundador de Orca Security. Gil tiene más de 20 años de experiencia liderando y entregando productos de ciberseguridad. Anteriormente, en su papel como CEO, Gil fue Director de Producto desde la creación de Orca. Está apasionado por la satisfacción del cliente y ha trabajado estrechamente con los clientes para asegurarse de que puedan prosperar de manera segura en la nube. Gil se compromete a proporcionar soluciones de ciberseguridad sin comprometer la eficiencia. Antes de co-fundar Orca Security, Gil dirigió un gran equipo de profesionales de la ciberseguridad en Check Point Software Technologies.