¿Cómo puede transformarse la ciberseguridad para acelerar el valor de la IA?

Por Richard Watson

EY Asia-Pacific Cybersecurity Risk Consulting Leader

Líder de Ciberseguridad en la región de Asia-Pacífico de EY. Orador público. Asesor de confianza sobre riesgos cibernéticos y confianza digital. Golfista, viajero y padre.

Colaboradores
16 minutos de lectura 1 may. 2024
Temas relacionados Ciberseguridad Consultoría

Con el auge de la adopción de la IA en todas las funciones empresariales, los CISO pueden reposicionar la ciberseguridad de una barrera percibida a aceleradores del valor de la IA.

En resumen

  • Los profesionales de la ciberseguridad están aprovechando la precisión y la eficiencia de la IA para adelantarse a los adversarios.
  • La ciberseguridad debe ayudar al despliegue y la experimentación de la IA, y desempeñar un papel estratégico, proactivo e integrado en las empresas de IA en toda la organización.
  • Los CISO exitosos transmiten la importancia de la ciberseguridad en las iniciativas de IA, ayudando a la empresa a capturar valor, transformarse rápidamente y aprovechar las oportunidades del mercado.

Los últimos avances de la inteligencia artificial (IA) y su ritmo de experimentación en todas las funciones empresariales presentan oportunidades y riesgos para el Director de Seguridad de la Información (CISO, por sus siglas en inglés). La IA tiene un gran potencial para aliviar las cargas de trabajo de ciberseguridad y la escasez global de habilidades al ampliar el alcance de la automatización de tareas, acortar el tiempo de respuesta y optimizar la visibilidad en toda la superficie de ataque. Pero el uso de la IA generativa (GenAI, por sus siglas en inglés) en todas las funciones empresariales está abriendo nuevas vulnerabilidades que muchas funciones cibernéticas no están actualmente en condiciones de abordar.

El EY Global Cybersecurity Leadership Insights Study de 2023 mostró que uno de los rasgos clave de las organizaciones con las funciones cibernéticas más efectivas, conocidas como "Creadores de Seguridad"1 es su velocidad en la adopción de tecnología emergente en ciberdefensa, incluido el uso de IA y automatización. Esta velocidad les ha permitido, en parte, tener tiempos de detección y respuesta a incidentes cibernéticos que son más de un 50 % más rápidos que otras organizaciones.

Para el 2024 Global Cybersecurity Leadership Insights Study, los equipos de EY realizaron una investigación adicional este año para saber cómo los Creadores de Seguridad están respondiendo al reciente aumento en el uso de IA y GenAI, tanto en la función cibernética como en toda la empresa.

A través de entrevistas en profundidad y análisis de grupos temáticos de publicaciones de investigación académica, la investigación encontró que los CISO están adoptando de manera proactiva la IA en la función cibernética, pero aún no están ayudando a otras funciones comerciales a integrar medidas cibernéticas en sus modelos de IA en gran medida.

Si los CISO pueden llenar este vacío, les ayudará a generar valor en toda la organización a través de una adopción más segura y generalizada de la IA. También les ofrece la oportunidad de reposicionar la ciberseguridad del "departamento del no" a los verdaderos facilitadores de la transformación tecnológica.

  • Acerca de la investigación

    Los equipos de EY llevaron a cabo un análisis de grupos temáticos examinando seis años (2017-2022) de publicaciones de investigación académica relacionadas con la ciberseguridad como un indicador para comprender las tendencias tecnológicas cambiantes y las líneas de innovación en ciberseguridad. Utilizando EY SALIENT, se analizaron más de 18.000 publicaciones utilizando el procesamiento del lenguaje natural (PLN) para formar grupos de temas de investigación. Utilizando el análisis de gráficos de citas, estos grupos de temas se organizaron para ayudar a crear cadenas temporales que muestren cómo una idea está conectada con conceptos pasados y futuros. Utilizando GenAI, mapeamos temas cibernéticos clave en los grupos temáticos, brindando una visión amplia de cómo evolucionan los temas y temas generales de ciberseguridad con el tiempo.

    Además, se realizaron entrevistas cualitativas en profundidad para comprender mejor el enfoque de las organizaciones para asegurar el uso de la IA y cómo la propia función de ciberseguridad está aprovechando la IA para obtener mejores resultados. En febrero de 2024 se realizaron entrevistas con líderes de ciberseguridad en cinco sectores diferentes y cubriendo las Américas; Asia-Pacífico (APAC); y Europa, Oriente Medio, India y África (EMEIA, por sus siglas en inglés). Los encuestados representaron organizaciones con más de mil millones de dólares en ingresos anuales. Para simplificar, nos referimos a estos líderes como CISO en este estudio.

Corredores de trail en los Alpes
(Chapter breaker)
1

Capítulo 1

La IA como aliada para la ciberseguridad

Los Creadores de Seguridad utilizan la IA para adelantarse a las amenazas, ya que necesitan menos personas y recursos para hacerlo.

Un rasgo clave del enfoque de ciberseguridad más eficaz y adaptable de los Creadores de Seguridad es su integración de la IA: el 62 % utiliza o se encuentra en las últimas etapas de adopción de la IA o el aprendizaje automático (ML, por sus siglas en inglés) frente al 45 % de otras organizaciones.

La IA en ciberseguridad no es nueva. La relación se remonta a la década de 1980, y el análisis de EY revela un fuerte aumento de la investigación cibernética, las patentes y la inversión relacionadas con la IA desde 2015. La IA forma parte ahora del 59 % de todas las patentes cibernéticas y es la principal tecnología explorada en la investigación cibernética desde 2017.

Hoy en día, los Creadores de Seguridad están integrando la IA en sus procesos de detección, respuesta y recuperación de nuevas maneras, lo que les permite adelantarse a los adversarios, que a su vez utilizan métodos de ataque de IA sin obstáculos por las regulaciones o las políticas de uso.

Al analizar rápidamente los datos a escala empresarial, la IA puede detectar automáticamente diferentes firmas de ataque y nuevos métodos de ataque. Con la arquitectura adecuada, la IA puede conectarse a los enfoques cibernéticos existentes en los sistemas de IT y OT para detectar incidentes más rápido que las personas por sí solas.

Los avances en el aprendizaje profundo y las redes neuronales ahora permiten el análisis de conjuntos de datos más grandes y heterogéneos en tiempo real. La capacidad de autocapacitarse y aprender está acelerando la automatización, lo que ayuda a los equipos cibernéticos a monitorear continuamente las redes y las aplicaciones, detectar y pronosticar amenazas casi en tiempo real y responder a los incidentes más rápido. El aprendizaje profundo también mejora la precisión y la eficiencia cibernéticas. Un metaanálisis de 69 estudios de investigación muestra una precisión promedio de más del 92 % en la detección de spam, malware e intrusiones en la red.2

Gajan Ananthapavan, Global Head of Security Operations, Intelligence and Influence de Australia and New Zealand Banking Group Limited (ANZ Bank), afirma que alrededor del 30 % de la respuesta a incidentes de la organización se ha automatizado, gracias, en gran medida, al ML y la IA. "Ingerimos más de 10.000 millones de eventos de datos cada día como parte del monitoreo, la detección y la respuesta a posibles eventos e incidentes de seguridad en todo nuestro entorno", dijo. "No seríamos capaces de gestionar ese volumen sin el ML y la IA".

Un CISO de una gran firma de gestión de activos de América del Norte dice que la compañía ha reducido su tiempo medio de detección y respuesta en al menos un 50 %. Los datos del estudio de 2023 muestran que los Creadores de Seguridad ahorraron más de 150 días de media en detectar y responder a una violación de datos.

Necesitas transformar tu pila tecnológica antes de pensar en beneficiarte de cosas como la automatización y la GenAI. No tiene sentido tratar de automatizar un proceso roto.
El grupo CISO de Bupa

La IA ayuda a los equipos cibernéticos a ser más eficaces con los mismos o menos recursos, lo que supone una oportunidad para satisfacer al director financiero haciendo más con menos. Los primeros análisis de EY apuntan a ganancias de eficiencia derivadas del uso de la IA en la ciberdefensa que pueden oscilar entre el 15 % y el 40 %. Para obtener las mayores ganancias de eficiencia, los CISO primero deben asegurarse de reducir la complejidad y consolidar la infraestructura cibernética heredada. Como señala el CISO del grupo Bupa: "Es necesario transformar su pila tecnológica antes de pensar en obtener beneficios con cosas como la automatización y la inteligencia artificial generativa. No tiene sentido tratar de automatizar un proceso roto".

  • Aplicación de la IA en la detección, respuesta y recuperación

    Hoy en día, las organizaciones están aprovechando la IA en la ciberseguridad principalmente para la detección, la respuesta y la recuperación. Por ejemplo, nuestro análisis de agrupación de temas muestra que los nuevos detectores neuronales pueden mejorar la detección de intrusiones en la red, mientras que el procesamiento del lenguaje natural (NLP, por sus siglas en inglés) y el ML pueden generar automáticamente registros de inteligencia de amenazas cibernéticas (CTI, por sus siglas en inglés). Las aplicaciones van desde la detección de errores humanos internos a través de análisis de usuarios y ML, análisis de IA que proporciona una evaluación de amenazas cibernéticas en tiempo real para redes de energía inteligentes, e incluso aprovechamiento de IA y ML en dispositivos médicos implantables para protegerse contra ataques maliciosos potencialmente fatales.

    Descripción de la imagen : Visualización de datos que muestra ejemplos de aplicaciones de IA en ciberseguridad en diferentes sectores de la industria.

  • La irrupción de la GenAI en la defensa de la ciberseguridad

    El uso de la GenAI en ciberseguridad es un área de investigación emergente, con decenas de publicaciones solo en los últimos dos años. La GenAI tiene el potencial de complementar los sistemas tradicionales de IA en el ámbito cibernético y, al mismo tiempo, permitir enfoques totalmente nuevos. Su capacidad para actuar como un copiloto que realiza resúmenes y responde preguntas podría ayudar a los profesionales a distinguir rápidamente entre una amenaza real y un falso positivo. También podría ayudar a mejorar la explicabilidad, un desafío clave para muchas herramientas cibernéticas impulsadas por IA en la actualidad.

    Ejemplos de casos de uso de GenAI de investigaciones recientes3:

    • Inteligencia de amenazas cibernéticas (CTI, por sus siglas en inglés): mejora la recopilación y la generación de informes de CTI, ayudando a analizar grandes volúmenes de datos de código abierto para crear resúmenes relevantes en todas las fuentes.
    • Identificación de riesgos: identifica y prioriza automáticamente los posibles riesgos cibernéticos en el software en función de las reseñas de los usuarios de las aplicaciones móviles.
    • Datos sintéticos para entrenar a la IA: genera datos anónimos y sintéticos de ciberataques para entrenar a los sistemas de IA o a los profesionales cibernéticos.
    • Capacitación cibernética inmersiva: los chat bots permiten una capacitación interactiva, como ejercicios de captura de la bandera (CTF, por sus siglas en inglés) más realistas para profesionales de IT o mejorar la educación cibernética para estudiantes y no profesionales de IT.
    • Pruebas de penetración mejoradas: proporcionan un copiloto para que los profesionales cibernéticos realicen preguntas y respuestas en tiempo real para evaluar mejor las amenazas y, al mismo tiempo, automatizar aspectos de las pruebas de penetración.
    • Detección y resolución de anomalías y vulnerabilidades: detectan anomalías en los registros de seguridad, como inyecciones SQL, y detección y reparación automatizadas de vulnerabilidades, con ejemplos en aplicaciones web y software.

Equilibrar la IA y tu gente

Lograr el equilibrio adecuado entre la automatización habilitada por IA y el control de las personas será de vital importancia para la rendición de cuentas de las organizaciones ante los accionistas, los consejos de administración y los reguladores. La clave para los CISO es identificar las áreas en las que la automatización habilitada por IA es más adecuada para reemplazar los procesos manuales.

Por ejemplo, los equipos todavía están produciendo planos para que los sistemas los sigan, según Adam Cartwright, CISO de Asahi. "Lo que nos gustaría es no tener que escribir playbooks en un futuro cercano porque el motor de IA tendrá el contexto para comprender lo que haría un analista en este caso y recomendarnos esos pasos, o incluso realizarlos".

Del mismo modo, Ananthapavan, de ANZ Bank, declaró: "Actualmente, la búsqueda de amenazas es un proceso manual intensivo que implica codificar y desarrollar scripts, y luego ejecutarlos en nuestro entorno. Estamos buscando automatizar grandes partes de ese proceso, para ayudar a identificar la actividad maliciosa y responder más rápido".

El impacto de la IA en la retención del talento cibernético también será profundo. Permitirá a los empleados centrarse en un trabajo más atractivo y de valor agregado, y aumentar su rendimiento. Los CISO informan de una mejor retención de empleados gracias a la eliminación del trabajo de baja categoría. También permitirá a los CISO reducir el gasto en contratación. "Es mucho más fácil implementar un caso de uso de IA que contratar, capacitar y retener personal. Puede manejar una cantidad mucho mayor de información en un período de tiempo más corto", señala un CISO de un fabricante de productos electrónicos con sede en Asia.

Los CISO también están observando un cambio incipiente de profesionales cibernéticos técnicos a operadores de IA y "sintonizadores finos". Los empleados con habilidades de ingeniería rápidas, habilitadas por la tecnología adecuada y una interfaz de IA, pueden hacer el trabajo de múltiples verificadores de penetración.

  • Preguntas que los CISO deben hacer a los posibles proveedores de IA

    Un desafío de implementación al que hace referencia Kostas Georgakopoulos, global CISO de Mondelez, es que los CISO y las organizaciones deben lidiar con una exageración excesiva de los proveedores sobre sus ofertas de IA. En el EY CEO Outlook Pulse, dos tercios de los CEO señalan el fuerte aumento de las empresas que afirman tener experiencia en IA, lo que dificulta la identificación de socios creíbles u objetivos de adquisición.

    Las cosas clave para preguntar a los proveedores incluyen:

    • ¿De dónde obtiene el producto los datos para guiar su automatización?
    • ¿Qué medidas se han tomado para verificar la exactitud de esos datos?
    • ¿Se están utilizando nuestros datos para entrenar productos de ciberseguridad o modelos de terceros?

    Más allá de la selección de proveedores, los CISO también deben tener en cuenta:

    • ¿Cómo estamos midiendo el rendimiento más allá de la precisión?
    • ¿Cómo participan las personas en la supervisión de los sistemas impulsados por IA?
    • ¿Qué nivel de umbrales de alerta deben establecerse para equilibrar los beneficios de la automatización y la posibilidad de que los empleados bajen la guardia y los ataques genuinos pasen desapercibidos?

Acciones para los CISO:

  • Ampliar el alcance de la automatización: realizar una auditoría detallada de las tareas automatizables del equipo cibernético y considerar dónde se enfoca mejor el conocimiento de las personas, al tiempo que garantiza la atención a la explicabilidad y los umbrales apropiados. Evaluar las capacidades de automatización de los productos de proveedores externos, priorizando la implementación de la funcionalidad dentro del software de proveedores y socios por encima de los casos de uso de automatización personalizados.
  • Tener en cuenta a toda la empresa a la hora de evaluar la IA para la ciberseguridad: esto incluye entornos corporativos, plantas y activos a nivel de campo.
  • Mantenerse actualizado sobre las aplicaciones emergentes de la IA en la detección y recuperación de amenazas: si bien aún no está emergiendo de manera significativa, el análisis de agrupación de temas de EY muestra que la detección y recuperación de amenazas son áreas activas de investigación. Se deben tener en cuenta las aplicaciones en estas áreas, como la planificación de la recuperación, el análisis de los informes de incidentes y la prevención de ataques de día cero.
  • Seguir los datos: las inversiones en IA y ML serán más rentables donde haya densidad de datos cibernéticos. Concentrarse en áreas como la gestión de identidades, las amenazas y la vulnerabilidad, y las operaciones de seguridad en las que los datos a gran escala son difíciles de gestionar.
  • Construir para la reutilización: ciertas funciones tendrán una amplia aplicabilidad dentro de la ciberseguridad y en toda la empresa. Evitar la duplicación del desarrollo y el mantenimiento mediante la gestión centralizada de la admisión y el desarrollo. Por ejemplo, la priorización basada en el contexto de eventos, incidentes, amenazas, riesgos, vulnerabilidades y cualquier otra actividad de corrección debe estandarizarse, crearse una vez y usarse muchas veces.
  • Capturar y bloquear, revisar y liberar: implementar un modelo en el que la IA automatice las tareas tediosas, propensas a errores y de gran volumen de "captura y bloqueo" y seleccione eventos para las decisiones de "revisión y liberación" de los profesionales de la ciberseguridad que requieren juicio y autorización.
Mujer mirando hacia arriba en el muro de escalada
(Chapter breaker)
2

Capítulo 2

La ciberseguridad en el proceso de adopción de la IA

La ciberseguridad puede acelerar la adopción segura de la IA en toda la empresa.

Con las organizaciones implementando la IA en toda la empresa, la función de ciberseguridad tiene una oportunidad a corto plazo de convertirse en un socio de confianza para ayudar a otros a darse cuenta del potencial de creación de valor de las soluciones basadas en IA.

La rápida adopción de la IA puede dejar a la organización vulnerable a nuevos ciberataques y riesgos de cumplimiento. Los equipos cibernéticos deben asumir un papel más estratégico, proactivo e integrado dentro de la empresa para instalar los controles adecuados a medida que proliferan las funciones y los experimentos de IA.

Hacer frente a la amenaza cibernética en la expansión de la IA

Los adversarios ya están apuntando a las vulnerabilidades de los sistemas de IA. Los investigadores de seguridad han utilizado la inyección rápida (indicaciones de ingeniería para engañar a los sistemas para que eludan los filtros o las barandillas) para atacar a los bots conversacionales de empresas como Bard y OpenAI.4 Los hackers "sombrero blanco" han demostrado cómo el envenenamiento de datos, es decir, la introducción de datos maliciosos en algoritmos para manipular su salida, puede lanzarse en conjuntos de datos populares a bajo costo con habilidades técnicas mínimas.5 En otro proyecto, se agregaron calcomanías a una señal de alto para engañar a un vehículo autónomo, con el fin de que la leyera erróneamente como una señal de "45 millas por hora".6 Otro tipo de hackers crearon sonidos inaudibles capaces de inyectar comandos de voz maliciosos a los asistentes de voz impulsados por IA.7

Además de los ataques de los malos actores, las organizaciones deben asegurarse de que los empleados no infrinjan el cumplimiento o las regulaciones mientras usan IA, por ejemplo, exponiendo datos confidenciales, propiedad intelectual o material restringido en un modelo de IA para ejecutar consultas o realizar tareas. "Hay tantas herramientas disponibles, y funcionan de diferentes maneras y con diferentes riesgos. Es muy fácil que alguien se registre y comience a usarlos", dice el CISO de una organización de fabricación.

El estudio de 2023 muestra que solo el 36 % de los CISO están satisfechos con la adopción de las mejores prácticas cibernéticas por parte de la fuerza laboral no relacionada con IT. La necesidad de capacitación y educación cibernética de IA se evidencia aún más en las tendencias recientes de investigación académica de nuestro análisis de agrupación de temas. Casi el 50 % de la literatura sobre la gestión cibernética de las organizaciones involucra capacitación y educación, que comprende el tema más importante en este espacio. Además, el 23 % de esa investigación incluye la intersección de la IA con la formación y la educación, un área en la que los trabajadores buscan más orientación. Según una próxima investigación de EY, solo el 62 % de los trabajadores estadounidenses dicen que su empleador ha hecho de la educación de los empleados sobre el uso responsable de la IA una prioridad.

Cartwright, de Asahi, también argumenta que las herramientas de IA para generar resultados, como la información de los clientes, deben gestionarse adecuadamente en términos de protocolos de consentimiento y reutilización de datos. "Hay que asegurarse de que los entornos de desarrollo, y en particular los entornos de desarrollo de ciencia de datos, tengan controles sólidos y estén bien protegidos", afirma. Los entrevistados también señalaron la importancia de instituir la explicabilidad, como garantizar que una decisión sobre el límite de crédito no infrinja las normas antidiscriminatorias en relación con los datos de los que se extrae, las inferencias defectuosas o los datos indirectos engañosos.

Oportunidades de ciberseguridad para mejorar la implementación de la IA en diferentes dominios:

  • Cadena de suministros

    El análisis de grupos temáticos de EY muestra que las vulnerabilidades de la cadena de suministros se han duplicado en la investigación en los últimos cinco años. En la próxima investigación de EY, vemos que los líderes de la cadena de suministro ya están aprovechando la IA en docenas de casos de uso y buscan hacer lo mismo con la GenAI en la planificación, las compras, la fabricación, la logística y las ventas. Cuatro de cada cinco líderes de la cadena de suministros creen que el aumento de la vulnerabilidad de la ciberseguridad es un riesgo moderado o importante, encabezando la lista de riesgos de implementación de la cadena de suministros de GenAI. Los líderes cibernéticos deben priorizar un mayor compromiso y monitoreo continuo de la cadena de suministros para garantizar que esta superficie de ataque ya vulnerable esté protegida con una adopción más amplia de la IA.

    Fuente: Análisis de agrupación de temas de EY

  • Redes inteligentes

    Las redes de servicios de energía (ESN, por sus siglas en inglés) inteligentes utilizan IA y ML para optimizar las soluciones para la producción y el consumo de energía, la respuesta a la demanda y el autodiagnóstico de la red. Sin embargo, el rápido despliegue de estas tecnologías a veces ha dejado atrás las preocupaciones de ciberseguridad. Los líderes cibernéticos tienen la oportunidad de aprovechar los análisis de redes inteligentes impulsados por IA existentes para crear evaluaciones de amenazas cibernéticas en tiempo real.

    Fuente: Análisis de agrupación de temas de EY

  • Vehículos autónomos

    Los vehículos autónomos (AV, por sus siglas en inglés) utilizan sistemas de IA integrados que detectan su entorno para tomar decisiones, lo que crea un delicado sistema ciberfísico que, si no se asegura adecuadamente, podría tener consecuencias potencialmente fatales. Los ciberataques hacia los AV pueden adoptar muchas formas, incluidos los ataques a los sistemas de control impulsados por IA, los componentes de conducción y los elementos de evaluación de riesgos. Los líderes de ciberseguridad se están adelantando a la amenaza, y algunos están construyendo sistemas de detección de intrusos a bordo de IA, que monitorean cuidadosamente el funcionamiento del AV para detectar cualquier comportamiento anómalo.

    Fuente: Análisis de agrupación de temas de EY

Visibilidad desde la cima

Los CISO eficaces son capaces de comunicar el valor de una postura sólida de ciberseguridad a toda la organización. El conocimiento de los riesgos de la IA entre la alta dirección y el consejo de administración ofrece una oportunidad sobre la que construir. Como se ejemplifica en el estudio de 2023, los CISO ya han comenzado a expandir su influencia, con más interacción con la junta directiva y más CISO reportando directamente a la C-suite. Generar confianza con la junta directiva y la alta dirección se basa en la transparencia.

"Una cosa que se está volviendo realmente importante es la capacidad de interactuar con las empresas de manera transparente para que se sientan cómodas levantando un teléfono y simplemente teniendo una conversación. Los días en que la seguridad era algo en la trastienda se han ido", dice Cartwright en Asahi. Cree que las conversaciones transparentes con la junta directiva y la rendición de cuentas en las decisiones cibernéticas allanan el camino para que los CISO se vuelvan más estratégicos en toda la organización.

Los miembros de la alta dirección a menudo sobreestiman la eficacia del enfoque general de su organización en materia de ciberseguridad (48 % satisfecho, frente al 36 % de los CISO) con brechas más pequeñas para los creadores seguros, lo que sugiere que es importante una mayor transparencia con los líderes sénior y una comprensión compartida del riesgo a medida que avanza la implementación de la IA.

Los días en que la seguridad era algo en la trastienda se han ido.
Adam Cartwright, CISO de Asahi

Paralelamente, las organizaciones deben comenzar a explorar las capacidades para detectar la "IA en la sombra". Al igual que en los primeros días de la nube, las organizaciones ya han sido víctimas de la experimentación bien intencionada con IA en entornos que no son de producción, lo que ha provocado la exposición de datos confidenciales, el robo de modelos y los costos excesivos e inesperados de las soluciones debido a implementaciones no controladas. Este tipo de contratiempos pone en tela de juicio tanto el valor empresarial como la postura de riesgo de las organizaciones en cuestión.

Una visión de 360 grados de la IA en toda la empresa

Un CISO orientado hacia el exterior puede ayudar a una organización a mejorar la adopción general de la IA mediante el uso de la ciberseguridad como marco de coordinación. Algunas empresas están formando órganos asesores de IA para coordinar las iniciativas de IA que pueden abordar el problema de la IA en la sombra y mejorar la visibilidad de la experimentación con IA. Un administrador de activos ha creado una entidad de este tipo, con representantes de todos los grupos empresariales, incluido el cibernético, para cualquier persona de la organización que busque utilizar la IA, proporcionando reglas sobre datos compartibles y restricciones sobre el envío de datos fuera de la organización.

La ciberseguridad también se está convirtiendo en un componente central de las decisiones operativas sobre el terreno. Un CISO de un fabricante minorista con sede en Europa ejemplificó esta integración, señalando: "En el departamento de Compras ahora son consciente de que, cuando comiencen un nuevo proyecto, se pondrán en contacto con nosotros. Luego podremos darles nuestros requisitos para los próximos proveedores y las próximas aplicaciones que desean utilizar".

Una ciberseguridad sólida en la IA brinda a los equipos confianza para experimentar de forma segura, lo que ayuda a las empresas a identificar aplicaciones prácticas y definir claramente el retorno de la inversión. Un CISO con el que hablamos dice que su equipo cibernético ayudó a poner en marcha su propia instancia de ChatGPT para que otras funciones empresariales pudieran funcionar dentro de los límites de las cuatro paredes virtuales de la organización.

Encontrar un lenguaje común en el ámbito cibernético

Derribar las barreras a la ciberseguridad comienza con la familiaridad con el tema en general. Asahi atribuye el mérito a la celebración de sesiones periódicas de "almuerzo y aprendizaje" relacionadas con la cibernética para poner en marcha el negocio y pensar más en la ciberseguridad. Cartwright señaló que estos no necesariamente tienen que ser sobre las mayores amenazas cibernéticas como el phishing, sino que el objetivo se centra en hacer que el tema de la ciberseguridad sea accesible para todos.

Bupa es otro ejemplo, en el que el CISO está tratando de cerrar la brecha con el negocio asegurándose de que las métricas cibernéticas se incluyan en las métricas de informes. "En todos los comités de desempeño empresarial, estamos trabajando para incorporar métricas de ciberseguridad, tratando de incorporar métricas en términos de desempeño cibernético. No es perfecto, es un viaje, pero estamos tratando de hacer que la cibernética forme parte de las métricas de negocio", dice el CISO del grupo en Bupa.

Acciones para los CISO:

  • Integrar a los profesionales cibernéticos en el proceso de identificación, admisión y gobernanza de casos de uso de IA: esta inserción en la etapa inicial permitirá una integración cibernética acorde con la sensibilidad de los datos y la función comercial.
  • Publicar y gobernar los estándares de uso aceptable de la IA en toda la empresa: describir las barreras de protección y la orientación bajo las cuales la empresa, junto con los tecnólogos de apoyo, deben diseñar y crear soluciones de IA. Adoptar un conjunto de controles cibernéticos técnicos que se alineen con los marcos de estándares emergentes de la industria de la IA, como el National Institute of Standards and Technology’s AI Risk Management Framework de Estados Unidos y la AI Act de la Unión Europea.
  • Implementar la mitigación de riesgos específicos de la IA: tener en cuenta las características y los desafíos únicos asociados con los sistemas de IA, como la complejidad, los ataques adversarios, la falta de interpretabilidad, el aprendizaje continuo y las consideraciones éticas.

EY.ai Modelo de madurez de la IA generativa

Mapea y visualiza la madurez actual de la GenAI en toda la organización, independientemente de la ciberseguridad y dentro de ella.

Comenzar

Índice de confianza de la IA generativa de EY.ai

Evalúa la puntuación de confianza a nivel de empresa, portafolio/unidad de negocio o solución en 10 categorías responsables de la GenAI.

Más información

Mujer en escúter de empuje por la noche en la ciudad cerca de la carretera
(Chapter breaker)
3

Capítulo 3

Cómo la IA ayuda a la ciberseguridad a ofrecer más valor empresarial

Las ganancias de productividad de la IA en ciberseguridad permiten a los profesionales ayudar a otras funciones empresariales a adoptar la IA por sí mismos.

Los Creadores de Seguridad trabajan con la alta dirección para ayudar a crear estrategias que impulsen la innovación y la creación de valor en toda la empresa. La aparición de la IA es otra oportunidad para que las funciones de ciberseguridad demuestren su valor para la organización. Dado que las aplicaciones de IA liberan tiempo para que el equipo cibernético se centre en los objetivos de valor agregado, los profesionales cibernéticos pueden ayudar al resto de la empresa a impulsar el valor de la IA con confianza.

  • Abrir descripción de la imagen#Cerrar descripción de la imagen

    Gráfico de barras de visualización de datos que muestra el impacto que tiene la ciberseguridad en la creación de valor, la respuesta a las oportunidades del mercado y el ritmo de transformación e innovación de los Creadores de Seguridad en comparación con otras organizaciones.

Los CISO tienen una oportunidad a corto plazo de convertirse en un socio de confianza, ayudando a los equipos a maximizar el potencial de creación de valor de las herramientas de IA que buscan implementar. Ayudar a la empresa a implementar la IA con confianza puede cambiar la percepción de la ciberseguridad de un equipo que ralentiza las cosas a uno que permite la adopción segura de la tecnología a un ritmo acelerado. Al establecer procesos que incorporen la cibernética desde el principio, otras funciones ganarán eficiencia al minimizar los problemas o retrasos presupuestarios.

La integración de la ciberseguridad en las iniciativas de IA es una oportunidad para que las funciones cibernéticas amplíen su influencia en toda la organización. Los principales equipos cibernéticos están demostrando que sus aportaciones pueden informar para tomar mejores decisiones en todo, desde las adquisiciones hasta la gobernanza de la cadena de suministros. Un CISO está profundamente involucrado en la evaluación holística de los objetivos de adquisición, algo cada vez más importante dado el mayor apetito de los CEO por las fusiones y adquisiciones en 2024.8 El mismo CISO genera confianza con los accionistas al proporcionar información y garantías sobre la capacidad de la empresa para proteger su información. Del mismo modo, Ananthapavan, de ANZ, y su equipo proporcionan inteligencia estratégica de amenazas que alimenta la toma de decisiones empresariales.

Un CISO enfatiza cómo la ciberseguridad puede impulsar las ventas y aumentar los resultados al crear confianza con los clientes. "Hay una serie de clientes que se centran cada vez más en las certificaciones, los cuestionarios, en la comprobación de que sus proveedores cumplen con un cierto nivel de diligencia y nosotros demostrando que lo hacemos ayuda a mantener contentos a los clientes existentes o a abrir nuevos mercados para nosotros, en cuyo caso, deberíamos ser capaces de cuantificar eso para el negocio".

La IA también permite que la función cibernética tome decisiones y realice análisis más rápido, agilice los procesos para ahorrar costos y reduzca la necesidad de empleados adicionales. Esto puede ser esencial para cumplir con las exigencias normativas, pero también para responder rápidamente a las oportunidades del mercado.

Acciones para los CISO:

  • Establecer principios y barreras de seguridad de IA para respaldar la experimentación: A medida que las empresas experimentan y adoptan rápidamente la IA, es esencial que los CISO se muevan rápidamente para proteger y acelerar la tasa de innovación.
  • Ayudar a la empresa a comercializar los casos de uso más rápidamente: desarrolle un conjunto preconfigurado y autorizado de arquitecturas, patrones de integración y componentes de pila de tecnología para respaldar los casos de uso empresarial. Hacer que la seguridad por diseño sea la ruta más rápida al mercado en su organización.
  • Apuntar a la habilitación cibernética: aprovechar un marco práctico de seguridad y riesgo de IA para ayudar a llegar al "sí" para el negocio, mientras se mantiene dentro de las tolerancias al riesgo, invirtiendo la percepción de que la ciberseguridad es el departamento de prevención del negocio.
  • Obtener visibilidad de la superficie de ataque de IA y del ecosistema de terceros: Muchos CISO han pasado mucho tiempo frente a sus juntas directivas y equipos ejecutivos respondiendo a violaciones de datos de terceros. Nuestra investigación mostró que los Creadores de Seguridad cuentan con estrategias para gestionar todos los riesgos cibernéticos en la superficie de ataque y su ecosistema de terceros. Ampliar esto para cubrir nuevas superficies de ataque de IA permitirá a las organizaciones adoptar la IA con confianza.

Si bien las organizaciones líderes están entusiasmadas con la incorporación de IA para la ciberseguridad, todavía se encuentran en las primeras etapas para llevar la ciberseguridad a toda la empresa a medida que se implementa la IA. Los CISO más exitosos serán aquellos que puedan articular el valor de la ciberseguridad para la empresa en la era de la IA, más allá de las definiciones estrechas de seguridad, dando a la empresa la confianza de que pueden adoptar la IA de forma segura.

AnnMarie Pino, Associate Director, EY Insights, Ernst & Young LLP; Michael Wheelock, Associate Director, EY Insights, Ernst & Young LLP y Ryan Gavin, Supervising Associate, EY Insights, contribuyeron a este artículo.

Premios y reconocimientos de nuestro ecosistema

EY se enorgullece de ser reconocido por el valor transformador que ayudamos a alcanzar a nuestros clientes.

Explora nuestros reconocimientos

  • Mostrar referencias de artículos#Ocultar referencias de artículos

    1. Los Creadores de Seguridad fueron identificados a través de modelos estadísticos de los datos de la encuesta del estudio de 2023.
    2. Performance Comparison and Current Challenges of Using Machine Learning Techniques in Cybersecurity, Shaukat, et. al. 2020
    3. Large Language Models in Cybersecurity: State-of-the-Art (arxiv.org), https://arxiv.org/pdf/2402.00891.pdf
    4. The Guardian: UK cybersecurity agency warns of chatbot ‘prompt injection’ attacks; https://www.theguardian.com/technology/2023/aug/30/uk-cybersecurity-agency-warns-of-chatbot-prompt-injection-attacks
    5. IEEE Spectrum: Protecting AI Models from “Data Poisoning”; https://spectrum.ieee.org/ai-cybersecurity-data-poisoning
    6. Autoblog: Researchers hack a self-driving car by putting stickers on street signs; https://www.autoblog.com/2017/08/04/self-driving-car-sign-hack-stickers/?guccounter=1
    7. Latest Hacking News: Study Reveals Inaudible Sound Attack Threatens Voice Assistants; https://latesthackingnews.com/2023/03/27/study-reveals-inaudible-sound-attack-threatens-voice-assistants/
    8. EY CEO Outlook pulse survey

Resumen

Los Creadores de Seguridad están avanzados en el uso de la IA para la ciberseguridad, pero aún se encuentran en las primeras etapas de su uso para promover el uso de la IA en toda la empresa. Los CISO más exitosos serán aquellos que puedan articular el valor de la ciberseguridad para la empresa en la era de la IA, dando a la empresa la confianza para adoptar la IA de forma segura.

Acerca de este artículo

Por Richard Watson

EY Asia-Pacific Cybersecurity Risk Consulting Leader

Líder de Ciberseguridad en la región de Asia-Pacífico de EY. Orador público. Asesor de confianza sobre riesgos cibernéticos y confianza digital. Golfista, viajero y padre.

Colaboradores
Related topics Ciberseguridad Consultoría