Informes

Informe de Manifestación Revela Brecha de Preparación para la Inteligencia Artificial en la Seguridad de la Cadena de Suministro Empresarial

mm
Published
Updated

Un nuevo informe de Manifest, “Más allá de la caja negra: Cómo la inteligencia artificial está obligando a replantear la cadena de suministro de software”, revela una creciente desconexión entre la confianza de los directivos y la realidad operativa en cuanto a la preparación para la seguridad de la inteligencia artificial. Basado en una encuesta a más de 300 líderes y practicantes de seguridad en los Estados Unidos y EMEA, el estudio encuentra que, aunque la mayoría de los directivos cree que sus organizaciones están preparadas para los riesgos de la cadena de suministro impulsados por la inteligencia artificial, los equipos de seguridad en el terreno informan de importantes brechas de gobernanza, uso de inteligencia artificial en la sombra y visibilidad limitada en los componentes que alimentan los sistemas de software modernos.

Los hallazgos destacan una tensión central que emerge en la tecnología empresarial: la adopción de la inteligencia artificial está acelerando rápidamente en productos y flujos de trabajo, pero los mecanismos necesarios para rastrear, gobernar y asegurar estos sistemas no están manteniendo el ritmo.

La inteligencia artificial está recreando los problemas de seguridad de la cadena de suministro en nuevas formas

Durante más de una década, las organizaciones han trabajado para mejorar la seguridad de la cadena de suministro de software mediante el seguimiento de dependencias, la supervisión de vulnerabilidades y el establecimiento de marcos de gobernanza. Sin embargo, el informe de Manifest argumenta que la inteligencia artificial está reintroduciendo efectivamente muchos de los mismos riesgos, ahora extendidos a modelos, conjuntos de datos, agentes y servicios de inteligencia artificial de terceros.

Los componentes de inteligencia artificial a menudo operan como sistemas opacos. Las empresas frecuentemente no pueden explicar completamente cómo se entrenaron los modelos, qué conjuntos de datos se utilizaron o qué servicios externos están incrustados en sus aplicaciones. Como resultado, las organizaciones enfrentan una nueva clase de riesgo en la cadena de suministro: sistemas de software que no pueden inspeccionar, verificar o monitorear de manera fiable con el tiempo.

El informe enfatiza que la visibilidad ya está disminuyendo. El 63% de las organizaciones informan la presencia de “inteligencia artificial en la sombra”, refiriéndose a herramientas o integraciones de inteligencia artificial adoptadas sin supervisión de los equipos de seguridad, compras o gestión de riesgos.

Daniel Bardenstein, CEO y cofundador de Manifest, dijo que los datos revelan una brecha creciente entre la percepción de los directivos y la realidad operativa: “La confianza de los directivos en la preparación para la inteligencia artificial no coincide con lo que los equipos de seguridad de aplicaciones están tratando día a día. Los líderes creen que la gobernanza está en su lugar, pero los practicantes están viendo un uso no gestionado de inteligencia artificial, una propiedad poco clara y puntos ciegos en lo que realmente se ejecuta en productos y proveedores.”

Los directivos dicen que están listos, pero los equipos de seguridad no están de acuerdo

Uno de los hallazgos más llamativos del informe es la divergencia entre la confianza de los directivos y las evaluaciones de seguridad de la línea de frente.

Casi el 80% de los directivos de seguridad dicen que sus organizaciones tienen prácticas de seguridad de inteligencia artificial maduras, sin embargo, solo alrededor del 40% de los equipos de seguridad de aplicaciones están de acuerdo con esa evaluación.

Los equipos de seguridad de aplicaciones son a menudo los primeros en encontrar fallos operativos en los marcos de gobernanza porque interactúan directamente con la cadena de suministro de software. Estos practicantes informan de encontrar grandes volúmenes de alertas, una propiedad de responsabilidad de seguridad poco clara y herramientas fragmentadas en los entornos de desarrollo y seguridad.

Según el informe, el 47% de los encuestados identificó a los equipos segmentados y la propiedad poco clara como el mayor obstáculo para mejorar la seguridad de la cadena de suministro de software.

El resultado es un entorno en el que las organizaciones pueden creer que tienen programas de seguridad sólidos mientras que existen brechas críticas en visibilidad, responsabilidad y coordinación operativa.

La paradoja de la factura de materiales de software: Generada pero rara vez utilizada

Otra idea importante del estudio se refiere a las Facturas de Materiales de Software (SBOM), que son inventarios de componentes de software diseñados para ayudar a las organizaciones a rastrear dependencias y vulnerabilidades.

La adopción de SBOM ha expandido significativamente en los últimos años, particularmente debido a la presión regulatoria y los ataques a la cadena de suministro. Sin embargo, la investigación de Manifest sugiere que muchas organizaciones tratan la generación de SBOM como una casilla de cumplimiento en lugar de una capacidad operativa.

El informe destaca varias estadísticas clave:

  • El 60% de las organizaciones generan SBOM
  • Más de la mitad no gestionan ni consumen activamente estos SBOM en la práctica
  • El 79,6% utiliza herramientas de Análisis de Composición de Software (SCA)
  • El uso operativo de SBOM sigue siendo mucho más bajo, en un 41,8%

Sin una ingesta centralizada, normalización, aplicación de políticas y monitoreo continuo, los SBOM se convierten en artefactos estáticos en lugar de herramientas de gestión de riesgos activas.

Los equipos de seguridad también expresan escepticismo hacia las plataformas tradicionales de Análisis de Composición de Software. El 56,3% de los encuestados dice que las herramientas de SCA crean ruido o retrasan a los equipos de desarrollo, mientras que el 46,4% duda de que estas herramientas reduzcan significativamente el riesgo de software en el mundo real.

Esta desconexión ilustra un desafío de madurez más amplio: las organizaciones pueden generar grandes volúmenes de datos de seguridad, pero a menudo carecen de la infraestructura operativa para traducir esas señales en reducción de riesgos.

Los datos de transparencia mejoran la seguridad y la velocidad de implementación

A pesar de estos desafíos, la investigación muestra que las organizaciones que logran una transparencia significativa en sus cadenas de suministro de software obtienen beneficios medibles.

Casi la mitad de los encuestados (49,4%) informan recibir datos de transparencia verificable, como SBOM, registros de procedencia o binarios firmados, de los proveedores durante la adquisición.

Cuando esta información es confiable y se opera, el impacto es significativo:

  • El 64% informa una implementación más rápida de nueva tecnología
  • El 61,6% informa una resolución más rápida de problemas de seguridad
  • El 15,5% informa una reducción del tiempo de inactividad

Las organizaciones que carecen de esta transparencia pagan lo que el informe describe como un “impuesto de transparencia”, el tiempo, costo y riesgo adicionales asociados con la investigación manual de componentes de software opacos.

Las industrias altamente reguladas ilustran este desafío. Los servicios financieros y las organizaciones de atención médica informan algunas de las tasas más bajas de recepción de datos de transparencia verificable de los proveedores, 14,3% y 19,5% respectivamente, a pesar de tener la mayor necesidad de ello.

La adopción de inteligencia artificial está acelerando en las empresas

El estudio también destaca cómo la inteligencia artificial se ha integrado rápidamente en los ecosistemas de software empresarial.

Prácticamente ninguna de las organizaciones encuestadas informó evitar completamente la inteligencia artificial. En cambio, las empresas están experimentando en una variedad de enfoques:

  • El 80,2% utiliza modelos de inteligencia artificial comerciales aprobados internamente
  • El 79,9% utiliza ampliamente herramientas comerciales como ChatGPT o Cursor
  • El 56,7% entrena modelos de pesos abiertos con datos internos
  • El 29,3% construye modelos de inteligencia artificial personalizados desde cero

Los servicios financieros y las empresas de tecnología están a la vanguardia de la adopción. Casi el 90% de las organizaciones de servicios financieros informan modelos de inteligencia artificial internos aprobados, y el 46,9% construye modelos personalizados desde cero, muy por encima del promedio general.

Estos sectores tienen fuertes incentivos para moverse rápidamente. En los servicios financieros, la inteligencia artificial afecta directamente la detección de fraude, la gestión de riesgos y la generación de ingresos. En las empresas de tecnología, la inteligencia artificial cada vez más se encuentra en el núcleo de las ofertas de productos y las capacidades de las plataformas.

Sin embargo, el ritmo acelerado de adopción a menudo supera la gobernanza.

La inteligencia artificial en la sombra se está convirtiendo en un problema generalizado

La investigación confirma que la inteligencia artificial en la sombra, herramientas o modelos desplegados sin supervisión formal, ya es generalizada.

Solo el 34,8% de los encuestados informa no tener inteligencia artificial en la sombra en sus organizaciones, mientras que el resto reconoce al menos algún uso no gestionado de inteligencia artificial.

Este patrón se asemeja a las olas anteriores de “tecnología en la sombra”, donde los empleados adoptaron servicios en la nube o herramientas de SaaS fuera de los procesos de adquisición oficiales.

Las diferencias regionales también están surgiendo. Las organizaciones en EMEA informan tasas más altas de operación sin inteligencia artificial en la sombra (45,7%), probablemente debido a marcos regulatorios más fuertes y procesos de adquisición más estrictos en comparación con otras regiones.

Sin embargo, el informe advierte que las herramientas de seguridad tradicionales nunca estuvieron diseñadas para rastrear modelos de inteligencia artificial, conjuntos de datos y servicios en entornos de desarrollo distribuidos.

Los riesgos legales y de licencia son otro punto ciego importante

Más allá de la gobernanza técnica, el estudio también destaca los desafíos legales y de cumplimiento asociados con la adopción de inteligencia artificial.

Entender los términos de licencia, los derechos de propiedad intelectual y las restricciones de uso de los modelos y conjuntos de datos de inteligencia artificial sigue siendo difícil para muchas organizaciones. La encuesta encontró:

  • El 93% de los encuestados dice que su organización tiene margen de mejora en la gestión de licencias y obligaciones de propiedad intelectual de inteligencia artificial
  • El 54,6% está de acuerdo en que esto sigue siendo un desafío importante

Estos riesgos se vuelven particularmente agudos cuando las organizaciones entrenan modelos de pesos abiertos con datos internos o combinan conjuntos de datos propietarios con componentes de inteligencia artificial de terceros.

Sin marcos de gobernanza más sólidos, las empresas podrían introducir involuntariamente violaciones de licencia o exposición a la cumplimentación en los sistemas de producción.

La alineación operativa puede ser el verdadero desafío

Mientras que las herramientas de seguridad siguen evolucionando, el informe sugiere que la mayor barrera para la seguridad efectiva de la cadena de suministro de inteligencia artificial puede no ser la tecnología en sí.

En cambio, muchas organizaciones luchan con la propiedad fragmentada, flujos de trabajo desconectados y la ausencia de un sistema de registro compartido para componentes de software y inteligencia artificial.

Las limitaciones más frecuentemente citadas incluyen:

  • El 47,3% de limitaciones organizativas
  • El 36,3% de habilidades insuficientes
  • El 35,7% de limitaciones presupuestarias
  • El 34,8% de falta de comprensión de la gestión
  • El 32,6% de escasez de personal

Estas brechas operativas hacen que sea difícil que las señales de seguridad se traduzcan en aplicación de políticas consistentes o reducción de riesgos medibles.

Por qué la seguridad de la cadena de suministro de inteligencia artificial se está convirtiendo en una prioridad estratégica

A medida que la inteligencia artificial se integra en cada capa del software empresarial, el concepto de la cadena de suministro de software se está expandiendo para incluir modelos, conjuntos de datos de entrenamiento, servicios de inferencia y plataformas de inteligencia artificial de terceros.

El informe de Manifest concluye que las organizaciones deben ir más allá de las herramientas de visibilidad en un momento dado y construir un control operativo continuo sobre sus cadenas de suministro de inteligencia artificial.

Esto incluye:

  • Rastrear todos los modelos de inteligencia artificial utilizados en los entornos de desarrollo
  • Verificar la procedencia y la licencia de los datos de entrenamiento
  • Asegurar el cumplimiento de las políticas de gobernanza durante el desarrollo y la implementación
  • Mantener inventarios continuos similares a los SBOM para los componentes de inteligencia artificial

Sin estos mecanismos, la brecha entre la adopción de inteligencia artificial y la gobernanza de inteligencia artificial seguirá ampliándose.

Y como el estudio hace claro, esa brecha ya existe dentro de muchas empresas hoy en día.

data Aplicar las políticas de gobernanza durante el desarrollo y la implementación Mantener inventarios continuos similares a los SBOM para los componentes de inteligencia artificial Sin estos mecanismos, la brecha entre la adopción de inteligencia artificial y la gobernanza de inteligencia artificial seguirá ampliándose. Y como el estudio hace claro, esa brecha ya existe dentro de muchas empresas hoy en día.

mm

Antoine es un líder visionario y socio fundador de Unite.AI, impulsado por una pasión inquebrantable por dar forma y promover el futuro de la IA y la robótica. Un empresario serial, cree que la IA será tan disruptiva para la sociedad como la electricidad, y a menudo se le escucha hablando con entusiasmo sobre el potencial de las tecnologías disruptivas y la AGI. Como un futurista, está dedicado a explorar cómo estas innovaciones darán forma a nuestro mundo. Además, es el fundador de Securities.io, una plataforma enfocada en invertir en tecnologías de vanguardia que están redefiniendo el futuro y remodelando sectores enteros.