Rosenquist señala un cliente anterior que quería reemplazar su mesa de ayuda humana con un chatbot de IA para restablecer contraseñas. Ese robot, afirma, validaría al usuario y restablecería las contraseñas corporativas para el departamento de TI, lo que supondría un gran ahorro de tiempo, pero el sistema requeriría acceso administrativo a sistemas de credenciales confidenciales que quedarían expuestos a Internet sin realizar pruebas, investigaciones y controles exhaustivos. proteccion. “La tecnología disruptiva es poderosa, pero también conlleva riesgos equitativos que deben gestionarse”, afirma.
La IA insegura conectada a sistemas vulnerables puede causar grandes problemas
Los vectores de amenazas como el DNS o las API que se conectan a repositorios o lagos de datos backend o basados en la nube, en particular a través de IoT (Internet de las cosas), constituyen dos vulnerabilidades importantes para los datos confidenciales, añade Julie Saslow Schroeder, directora jurídica y pionera en IA y leyes de privacidad de datos y plataformas SaaS. «Al instalar chatbots inseguros que se conectan a sistemas vulnerables y permitirles acceder a sus datos confidenciales, podría violar todas las regulaciones de privacidad globales que existen sin comprender y abordar todos los vectores de amenazas».
Resolver estos problemas no será fácil, afirma, y requerirá la experiencia multidisciplinaria adecuada, incluidos desarrolladores, científicos de datos, ciberseguridad, cumplimiento legal, de riesgos y regulatorio, y otros grupos.
Cuando se trata de evaluar el uso de la IA, las unidades de negocios desempeñan un papel clave en la configuración de la política de IA y la gestión del riesgo de la IA, dice Renee Guttmann, ex CISO de Coca Cola y otras organizaciones Fortune 500. Esto incluye ayudar a identificar dónde se ha adoptado la IA. «El descubrimiento inicial comienza con las relaciones con las unidades de negocio para ayudar a identificar si la IA está entrando por la puerta trasera», explica.
Para ilustrar su punto, se refiere a un Octubre de 2023 Encuesta de Gartner de 2.400 CIO globales. En él, el 45% de los encuestados dice que está comenzando a trabajar con sus pares de la alta dirección para reunir al personal de TI y de negocios para codirigir la entrega digital, mientras que el 70% dice que la IA generativa es una tecnología revolucionaria que está avanzando rápidamente en esta democratización. de entrega digital más allá de la función de TI.
Guttmann también aconseja a los CISO que hablen con sus proveedores de soluciones de seguridad sobre la funcionalidad que tienen en sus productos para abordar el riesgo de IA. Capacidades como la gestión de la postura de seguridad (SSPM) de SaaS pueden escanear aplicaciones SaaS y marcar herramientas de inteligencia artificial que se han integrado con el núcleo. Aplicaciones SaaS para brindar visibilidad del nivel de riesgo de cada herramienta, así como de los usuarios que la autorizaron y la utilizan activamente. «Esto permitirá a las organizaciones comprender cómo se utiliza la IA dentro de su organización y si se están siguiendo las políticas de gobernanza de la IA de la organización», afirma Guttmann.