La inteligencia artificial ha dejado de ser una simple palabra de moda para convertirse en una realidad de nuestro día a día. Ya no se trata únicamente de hablar sobre IA, sino que la conversación ha evolucionado hacia los agentes de IA como el próximo gran desafío. La innovación en este sentido avanza a gran velocidad, y las empresas están identificando de manera ágil formas prácticas de integrar estos agentes en su operativa.

Al mismo tiempo, crece la preocupación por las nuevas amenazas y ciber riesgos que los agentes de IA pueden generar. Organismos y entidades encargadas de establecer los estándares trabajan activamente para definir directrices y desarrollar normativas que aborden estos desafíos emergentes.

En esencia, la IA responsable se hace la siguiente pregunta: ¿cómo pueden las organizaciones adoptar rápidamente la IA y sus agentes sin que esa innovación comprometa la seguridad y la confianza?

El statu quo en ciberseguridad está cambiando

Hoy en día, las organizaciones operan en mundos paralelos. Los sistemas legacy siguen sosteniendo operaciones críticas, mientras que a su lado crecen rápidamente entornos modernos que incluyen tanto herramientas y agentes de IA propios como de terceros.

Los equipos de ciberseguridad y gestión de riesgos deben mantenerse al día con las actividades impulsadas por IA que avanzan rápidamente en tres frentes: dentro de la organización, a través de terceros y desde actores maliciosos.

Los equipos de producto están acostumbrados a estar en la vanguardia de las capacidades de IA, pero ahora prácticamente toda la organización está desarrollando software. La IA impulsa la innovación desde la base, con empleados que experimentan creando sus propias soluciones, lo que en ocasiones genera una nueva forma de “shadow IT” o IT en la sombra. Los responsables de negocio utilizan la IA para simplificar tareas, ser relevantes y responder a demandas de mayor impacto.

Además, herramientas de terceros adquiridas hace años pueden incorporar capacidades de IA de la noche a la mañana, generando riesgos inesperados. Estas iniciativas plantean nuevos retos para los equipos de ciberseguridad, que ahora deben gestionar tanto el uso autorizado como el no autorizado de IA a lo largo de toda la cadena de suministro de software.

Mientras tanto, la IA ha democratizado el panorama de las amenazas. Los actores maliciosos están aprovechando herramientas de IA para escalar y automatizar sus ataques, ofreciendo potentes capacidades en mercados oscuros a cambio de pagos (cibercrimen como servicio).

Todos estos factores obligan a los equipos de ciberseguridad a encontrar formas de gestionar el riesgo de manera más ágil y rápida.

Las oportunidades de la IA responsable en ciberseguridad

Los equipos de ciberseguridad tienen un mandato amplio en la era de la IA: utilizar la automatización para mejorar el control de riesgos, simplificar tareas de seguridad complejas e incorporar nuevas capacidades que permitan a la organización avanzar con mayor rapidez. Esto consolida un cambio de paradigma similar al experimentado en otros avances tecnológicos, como el enfoque “shift left” y la estrategia “cloud first”.

Para mantenerse al ritmo, los equipos de ciberseguridad deberán integrarse con los equipos de producto, participando activamente en el ciclo de vida del desarrollo de IA, tanto como colaboradores como innovadores.

Las oportunidades clave también incluyen la capacitación continua, la automatización y la transformación del modelo de riesgo:

  1. Los equipos de ciberseguridad deberían cambiar el enfoque: en lugar de depender siempre del talento altamente especializado para resolver cada problema, deben aprovechar ese talento para desarrollar agentes de IA que asuman esas tareas. La inteligencia artificial puede ayudar a evaluar incidentes, clasificar automáticamente vulnerabilidades, gestionar notificaciones de inteligencia sobre amenazas y analizar boletines de proveedores para identificar posibles riesgos. De esta manera, los defensores impulsados por IA pueden adaptarse mucho más rápido que con métodos tradicionales, manteniéndose siempre un paso adelante ante las amenazas que evolucionan constantemente.
  2. Cada vez que se automatiza un proceso, el equipo de ciberseguridad puede enfocarse en tareas manuales más complejas, que también pueden optimizar. Esto les permite crear puntos de apoyo que ayudan aún más al negocio en la evaluación de riesgos y la aplicación de cambios.
  3. Implementar procesos de gestión del cambio y evaluación con agentes de IA permite que la valoración del riesgo se realice de forma automática. Esto facilita que la organización deje atrás los controles operativos que requieren revisiones heredadas y avance hacia procesos más automatizados, basados en riesgos y potenciados por la IA.

Las acciones clave a priorizar

A continuación, algunas medidas para empezar a generar confianza, facilitar la experimentación y fortalecer la gobernanza en la era de la IA:

  • Crear “espacios de juego” para la experimentación controlada. Ofrecer alternativas protegidas y delimitadas a chatbots populares u otras aplicaciones. Proporcionar un entorno seguro o sandbox donde la innovación pueda desarrollarse sin riesgos. Los empleados querrán explorar los límites, así que es fundamental darles un lugar para hacerlo de forma responsable.
  • Identificación de casos de uso a nivel operativo. A medida que los empleados incorporan innovaciones basadas en IA, a veces fuera de los controles habituales, los riesgos aumentan. Por eso es fundamental que entiendan el panorama de amenazas. Descubrir qué herramientas desearían contar puede abrir oportunidades para ofrecer soluciones seguras. Para ello, se pueden usar encuestas, grupos focales y reuniones, aplicando un marco estructurado para identificar casos de uso y recopilar sugerencias de forma continua.
  • Analizar la protección de datos y la seguridad en sistemas con agentes de IA. Comprender cómo los agentes de IA pueden usar datos de maneras novedosas, lo que podría exponerlos a riesgos de seguridad. Considerar la actualización de políticas y tecnologías de acceso a datos para monitorear y controlar el uso por parte de estos agentes.
  • Implementar gestión del cambio potenciada por IA. Evaluar riesgos mediante agentes de IA que agilicen el proceso de aceptación basándose en las expectativas de control y los objetivos del cambio.
  • Revisar la seguridad de datos en sistemas mejorados con IA. Reconocer que las soluciones que almacenan datos de la organización ya cuentan con capacidades de IA o las tendrán en el futuro. Considerar los riesgos asociados a estas mejoras.
  • Actualizar (o establecer) modelos de gobernanza de IA. Asegurarse de que el modelo de gobernanza refleje los riesgos cibernéticos más relevantes actualmente, incluidos aquellos que podrían requerir mitigación por regulaciones vigentes.

Artículo publicado originalmente bajo el titulo ‘Responsible AI and cybersecurity: what you need to know‘, de la serie Tech Effect y elaborado por Rohan Sen, principal, Data Risk and Responsible AI de PwC US; Chris Duffy principal, Cyber, Risk and Regulatory de PwC US; Norbert Vas, director, Cyber, Risk and Regulatory de PwC US; Karthik Ramakrishnan, director, Cyber, Risk and Regulatory de PwC US.