Connect with us

Cómo la cultura de riesgo de la IA da forma a las decisiones organizacionales

Líderes de opinión

Cómo la cultura de riesgo de la IA da forma a las decisiones organizacionales

mm
Published
Updated

La contribución de la IA y su capacidad para tener un gran impacto ha sido principalmente ‘hablado’ en los últimos años, pero ahora ha llegado a todas las empresas, ya sea mediante el uso de LLM, flujos de trabajo automatizados, o agentes completamente autónomos. Sin embargo, apresurarse a implementar esta tecnología sin las barreras de seguridad adecuadas puede ser perjudicial para la arquitectura de una organización, poner en riesgo la infraestructura de TI y, en última instancia, poner en peligro su ventaja competitiva. Además, los programas de IA a medias y la falta de datos fundamentales pueden causar más riesgos y vulnerabilidades que eficiencias.

Esto es por qué las empresas necesitan adoptar e implementar una cultura de riesgo de IA madura que priorice los protocolos y procedimientos antes que las ganancias y la agilidad. Esto no solo mejorará la postura de seguridad general de una organización, sino que también garantizará que los flujos de trabajo de IA sean eficientes y estén arraigados en datos contextuales. Una cultura de riesgo de IA efectiva no está definida solo por la tecnología, sino por la sinergia interna creada cuando el CISO y los jefes de departamento ven la misma evidencia y hablan con una sola voz.

Crear una cultura de riesgo de IA transparente y medible

Para construir una cultura de riesgo de IA exitosa, los CISO y los líderes de seguridad necesitan equipar a los equipos para practicar un juicio ético rápido y alejarse del cumplimiento ciego cuando se trata de integración de IA. Esto comienza con definir cómo una cultura de riesgo de IA se puede alinear con los objetivos comerciales. Esta definición permite a los líderes medir si los empleados están adoptando comportamientos conscientes del riesgo, participando en discusiones abiertas y contribuyendo a una cultura de gestión de riesgos proactiva.

Hay tres enfoques de medición principales que pueden determinar dónde se necesitan ajustes y cuán efectivo es el programa: métricas de respuesta a incidentes y comportamiento, identificación de riesgos y métricas de participación y conciencia. Las métricas de respuesta a incidentes miden la eficacia de los programas de seguridad y las métricas de comportamiento analizan el comportamiento del usuario antes, durante y después de un incidente de IA. Las métricas de identificación de riesgos rastrean las posibles amenazas de IA antes de que se materialicen. Las métricas de participación y conciencia rastrean la eficacia de la capacitación y el comportamiento de los empleados para reducir el riesgo con aplicaciones de IA.

Estas métricas no solo describen la eficacia de las medidas de seguridad y las defensas cuando se trata de proyectos de IA, sino que también revelan si los empleados están adoptando comportamientos conscientes del riesgo, se sienten seguros al informar problemas y están priorizando activamente la gestión de riesgos proactiva. Ayudan a identificar dónde existe fricción, como la reluctancia a plantear preocupaciones o discusiones de riesgo inconsistentes. Esto solo se puede lograr si las métricas se comunican claramente, ayudando a los empleados a entender cómo están contribuyendo a un cambio cultural más grande dentro de la organización.

Dónde se rompe o se amplía la cultura de riesgo de IA

El éxito de estas mediciones depende en última instancia de cómo los líderes y gerentes las traducen en comportamientos sostenidos. Determinar si una cultura efectiva se incorpora o se fragmenta con el tiempo es crucial al comienzo de lanzar esta iniciativa, y comienza con el liderazgo que representa un compromiso de arriba hacia abajo.

La gestión media a menudo determina si la orientación de riesgo se refuerza o se omite. Por ejemplo, los gerentes de productos que incorporan requisitos de seguridad en los mapas de ruta ayudan a incorporar la conciencia de riesgo, mientras que aquellos que lo difieren hasta después del lanzamiento socavan la cultura que el liderazgo pretendía crear. La falta de compromiso desde arriba, la fatiga del cambio y la inestabilidad, y las insuficientes bases de datos pueden detener una cultura de riesgo de IA antes de que siquiera se establezca.

Este tipo de cultura no prosperará a menos que se construya en un entorno donde los empleados se sientan cómodos al informar incidentes. Los líderes y gerentes deben priorizar la creación de un espacio para el diálogo abierto y el aprendizaje continuo. Los roles necesitan estar claramente definidos, la capacitación continua debe proporcionarse y los presupuestos deben asignarse de manera efectiva.

En segundo lugar, una organización que tiene una alta rotación de empleados o ha experimentado una reestructuración reciente puede contender con una cultura de seguridad que no está incorporada en su fundación. Esto puede generar iniciativas inconsistentes y prioridades poco claras para los empleados. En estos casos, una sólida supervisión de seguridad a nivel de red, que ve toda la actividad de IA y el movimiento de datos dentro y fuera de una organización, es una copia de seguridad esencial para mantener las defensas en marcha contra la alucinación y la manipulación de IA. Con una línea de base de comportamiento a nivel de red, los equipos de seguridad y TI pueden detectar rápidamente cuándo los servicios de IA se están utilizando incorrectamente o si los servicios de IA no autorizados están operando dentro de su entorno y tomar medidas para eliminar el riesgo.

Por último, ampliar una cultura de riesgo de IA requiere datos de alta calidad, limpios y conectados que aseguren la soberanía de datos, la coherencia y el cumplimiento de las plataformas y herramientas de IA para ser entrenadas. La mala calidad de los datos puede erosionar la legibilidad de IA, lo que con el tiempo haría que los modelos se desviaran más del curso y presenten resultados de IA incorrectos, inconsistentes y rotos.

Toma de decisiones a través de la cultura de riesgo de IA

A medida que la alineación del liderazgo, la estabilidad y la madurez de datos se establecen, las organizaciones pueden pasar de respuestas fragmentadas a una toma de decisiones unificada y consciente del riesgo. Con las condiciones para la escala establecidas, la cultura de riesgo de IA se convierte en la lente a través de la cual los líderes interpretan los eventos, evalúan las compensaciones y actúan de manera decisiva.

Una cultura de riesgo de IA sólida está respaldada por una visibilidad sólida, con acceso compartido a la misma información para los equipos de seguridad, los equipos de TI y todos los departamentos organizacionales. Cuando todos los equipos pueden ver las mismas perspectivas en tiempo real, incluidas las líneas de tiempo de eventos, el ingreso y egreso de datos y el comportamiento vinculado a usuarios específicos, hay más evidencia concreta del uso y el riesgo de IA. Por ejemplo, si se encuentra un agente de IA no autorizado dentro de una organización, todos los equipos deben poder ver cómo pasó los controles de seguridad perimetrales, qué usuarios interactuaron con él y qué dispositivos y sistemas accedió. Esto permite procesos entre departamentos, como protocolos de respuesta a incidentes conjuntos y revisiones de riesgo trimestrales en todos los equipos, señales claves de una cultura de riesgo de IA exitosa más allá de la organización de seguridad.

En resumen

Las culturas de riesgo de IA comienzan con una definición y medición claras, pero tienen éxito solo cuando la confianza, la transparencia y la rendición de cuentas están incorporadas en toda la organización. El compromiso del liderazgo, la estabilidad operativa y las sólidas bases de datos determinan si la conciencia de riesgo se amplía en comportamientos consistentes y conscientes del riesgo o se rompe bajo presión.

Cuando el riesgo de IA es visible, compartido y traducido en prioridades específicas de equipo, se convierte en un impulsor de una mejor toma de decisiones, resiliencia y ventaja competitiva a largo plazo.

mm

Chad es el Oficial de Seguridad de la Información en ExtraHop. Chad es responsable de todos los aspectos del riesgo de ciberseguridad para ExtraHop, así como de la seguridad de las instalaciones, el personal y la seguridad física. Chad anteriormente se desempeñó como oficial de Operaciones Cibernéticas en la Fuerza Aérea de los Estados Unidos durante 31 años, ocupando cinco puestos de alto nivel en ciberseguridad para desarrollar e implementar mapas de ruta, estrategias y capacidades de ciberseguridad, así como asesorar a la dirección ejecutiva sobre cuestiones críticas de ciberseguridad. Además, fue un operador cibernético calificado y comandó equipos de caza de amenazas y respuesta a incidentes cibernéticos para una red empresarial global. Inmediatamente antes de unirse a ExtraHop, Chad fue el Oficial de Seguridad en jefe para Echelon Risk + Cyber, donde impulsó la estrategia y la integración de las líneas de servicios de seguridad ofensiva y defensiva. También se desempeñó como CISO y fue un vCISO para varios clientes.