En esta tribuna José Manuel Antón Brias, Senior Sales Engineer de Commvault plantea un ‘modus operandi’ para implementar la IA en la estructura empresarial.
El mundo empresarial se ha visto arrastrado por la fiebre de la IA. En casi todas las empresas se habla de cómo utilizar mejor estas nuevas herramientas de IA. Y en casi todas, los empleados se descargan aplicaciones de IA para averiguar cómo puede ayudarles esta tecnología en sus tareas más cotidianas.
Por otro lado, las organizaciones responden a esta tendencia incorporando nuevas herramientas y funciones basadas en IA en sus soluciones. IDC prevé que el gasto empresarial en IA aumente un 27% este año, hasta alcanzar los 154.000 millones de dólares.
Sin embargo, se debe proceder con cautela. A medida que las empresas se apresuran a adoptar la tecnología de IA en sus diversas formas, corren el riesgo de pasar por alto pasos críticos de seguridad que tarde o temprano podrían exponerlas a hackeos devastadores. Esto se debe a que muchas de las nuevas herramientas de IA se basan en infraestructuras o repositorios de datos de código abierto, que pueden requerir una estrategia defensiva completamente nueva.
Es más importante que nunca que los CIO, CISO y otros líderes tecnológicos internos pongan en marcha un proceso para que los profesionales de la seguridad puedan validar las bibliotecas o plataformas en las que se basan muchos de estos programas de IA.
Lo abierto no siempre es bueno
Con una simple búsqueda en Google, es posible encontrar un producto respaldado por IA para ayudar con prácticamente cualquier tarea empresarial común. Algunos se pueden probar gratis.
No es un problema nuevo. La llamada “TI en la sombra” -software y dispositivos que los trabajadores utilizan sin el conocimiento de su empleador- ha sido una espina clavada en los CISOs y los CIOs durante años. Pero la IA puede agravar mucho más el problema, ya que las herramientas modernas de IA se basan cada vez más en una arquitectura de código abierto.
Como parte de esta ola de código abierto, ya hay legiones de bibliotecas de datos disponibles online. Y ese número no hace más que crecer a medida que empresas como OpenAI liberan sus propios conjuntos de datos para que los desarrolladores creen sobre ellos.
El código abierto es una herramienta poderosa. Pero existen riesgos. Algunos cibercriminales tienen como objetivo las plataformas abiertas. Y el pirateo de SolarWinds de hace unos años, en el que miles de redes de datos se vieron comprometidas, muestra el daño que pueden causar las violaciones de la cadena de suministro de TI. Por eso, desde el punto de vista de la seguridad, estamos tan preocupados por la fiebre del oro de la IA: cuantas más plataformas de IA abiertas se adopten, más se expone una empresa a una violación potencialmente catastrófica de la cadena de suministro de TI.
Afortunadamente, hay medidas que los responsables de seguridad pueden tomar para ayudar a examinar continuamente las herramientas de código abierto en busca de posibles vulnerabilidades.
Iluminar las sombras
Es más importante que nunca que las empresas hagan sus deberes e investiguen a fondo a cualquier proveedor que, en última instancia, pueda prestar servicios de TI a la empresa. Pero
también es importante que los CISO y sus equipos estén constantemente al tanto de las herramientas que los empleados pretenden utilizar.
A partir de ahora, los equipos de seguridad deben colaborar estrechamente con sus colegas de desarrollo para cualificar a los proveedores y averiguar los protocolos de seguridad que se utilizan para proteger las bibliotecas de código abierto.
Una vez que el equipo de TI interno sepa si los repositorios son seguros, podrá empezar a elaborar directrices de acceso que permitan a los empleados descargar las aplicaciones de su elección o empezar a utilizar determinadas bibliotecas para ayudar a potenciar los algoritmos de aprendizaje automático.
Puntúa a los proveedores
Pero eso no significa que los trabajadores deban apresurarse a probar todas las herramientas disponibles. Sigue siendo importante que tanto los empleados como los profesionales de la seguridad sopesen el valor que puede aportar el software frente a la amenaza potencial que podría suponer.
El análisis de los proveedores puede desempeñar un papel importante en la evaluación de las amenazas potenciales. Dedicar tiempo a comparar los proveedores de TI entre sí puede proporcionar a las empresas la información que necesitan para decidir qué proveedores contratar.
Esta evaluación comparativa ya se ha convertido en una práctica habitual para cualquier equipo de TI empresarial responsable. Pero la IA ha creado un ecosistema completamente nuevo de proveedores y partners potenciales que debe gestionarse. Las empresas deben buscar respuestas a preguntas como:
- ¿Qué metodología de desarrollo utilizó este proveedor?
- ¿Ha realizado el proveedor un análisis de código suficiente?
- ¿Tiene el proveedor habilitado el escaneo dinámico, que ayudaría a detectar anomalías?
- ¿Qué proceso tiene el proveedor para remediar cualquier vulnerabilidad que se encuentre?
- ¿Dispone el proveedor de los sistemas necesarios para comprender el impacto en sus productos en caso de un hackeo de la cadena de suministro?
Una vez hecho esto, los equipos informáticos internos pueden decidir si dan luz verde al proveedor como entidad de confianza. Pero el trabajo no acaba ahí. A medida que se despliegan más herramientas de código abierto, es imperativo que los equipos de seguridad vigilen constantemente sus aplicaciones en busca de código desconocido o posibles fallos de seguridad.
Por suerte, la IA puede ayudar a los equipos de seguridad en esta tarea, ya que ahora pueden automatizar gran parte de la supervisión diaria. Esto permite a los analistas dedicar más tiempo a proteger el software de IA de nueva generación.
Aunque comprendemos la gran expectación que despierta la IA, debemos acompañarla de un mayor escrutinio. Las empresas deben dejar de lado el bombo publicitario para comprender tanto el valor que el software puede aportar realmente como los riesgos asociados a su adopción. De lo contrario, en lugar de beneficiarse de la fiebre del oro de la IA, podrían encontrarse luchando por proteger sus sistemas contra una nueva oleada de piratas informáticos oportunistas.
