¿Cómo puede transformarse la ciberseguridad para acelerar el valor de la IA?

Un rasgo clave del enfoque de ciberseguridad más eficaz y adaptable de los Creadores de Seguridad es su integración de la IA: el 62 % utiliza o se encuentra en las últimas etapas de adopción de la IA o el aprendizaje automático (ML, por sus siglas en inglés) frente al 45 % de otras organizaciones.

La IA en ciberseguridad no es nueva. La relación se remonta a la década de 1980, y el análisis de EY revela un fuerte aumento de la investigación cibernética, las patentes y la inversión relacionadas con la IA desde 2015. La IA forma parte ahora del 59 % de todas las patentes cibernéticas y es la principal tecnología explorada en la investigación cibernética desde 2017.

Hoy en día, los Creadores de Seguridad están integrando la IA en sus procesos de detección, respuesta y recuperación de nuevas maneras, lo que les permite adelantarse a los adversarios, que a su vez utilizan métodos de ataque de IA sin obstáculos por las regulaciones o las políticas de uso.

Al analizar rápidamente los datos a escala empresarial, la IA puede detectar automáticamente diferentes firmas de ataque y nuevos métodos de ataque. Con la arquitectura adecuada, la IA puede conectarse a los enfoques cibernéticos existentes en los sistemas de IT y OT para detectar incidentes más rápido que las personas por sí solas.

Los avances en el aprendizaje profundo y las redes neuronales ahora permiten el análisis de conjuntos de datos más grandes y heterogéneos en tiempo real. La capacidad de autocapacitarse y aprender está acelerando la automatización, lo que ayuda a los equipos cibernéticos a monitorear continuamente las redes y las aplicaciones, detectar y pronosticar amenazas casi en tiempo real y responder a los incidentes más rápido. El aprendizaje profundo también mejora la precisión y la eficiencia cibernéticas. Un metaanálisis de 69 estudios de investigación muestra una precisión promedio de más del 92 % en la detección de spam, malware e intrusiones en la red.²

Gajan Ananthapavan, Global Head of Security Operations, Intelligence and Influence de Australia and New Zealand Banking Group Limited (ANZ Bank), afirma que alrededor del 30 % de la respuesta a incidentes de la organización se ha automatizado, gracias, en gran medida, al ML y la IA. "Ingerimos más de 10.000 millones de eventos de datos cada día como parte del monitoreo, la detección y la respuesta a posibles eventos e incidentes de seguridad en todo nuestro entorno", dijo. "No seríamos capaces de gestionar ese volumen sin el ML y la IA".

Un CISO de una gran firma de gestión de activos de América del Norte dice que la compañía ha reducido su tiempo medio de detección y respuesta en al menos un 50 %. Los datos del estudio de 2023 muestran que los Creadores de Seguridad ahorraron más de 150 días de media en detectar y responder a una violación de datos.

La IA ayuda a los equipos cibernéticos a ser más eficaces con los mismos o menos recursos, lo que supone una oportunidad para satisfacer al director financiero haciendo más con menos. Los primeros análisis de EY apuntan a ganancias de eficiencia derivadas del uso de la IA en la ciberdefensa que pueden oscilar entre el 15 % y el 40 %. Para obtener las mayores ganancias de eficiencia, los CISO primero deben asegurarse de reducir la complejidad y consolidar la infraestructura cibernética heredada. Como señala el CISO del grupo Bupa: "Es necesario transformar su pila tecnológica antes de pensar en obtener beneficios con cosas como la automatización y la inteligencia artificial generativa. No tiene sentido tratar de automatizar un proceso roto".

Acciones para los CISO:

• Ampliar el alcance de la automatización: realizar una auditoría detallada de las tareas automatizables del equipo cibernético y considerar dónde se enfoca mejor el conocimiento de las personas, al tiempo que garantiza la atención a la explicabilidad y los umbrales apropiados. Evaluar las capacidades de automatización de los productos de proveedores externos, priorizando la implementación de la funcionalidad dentro del software de proveedores y socios por encima de los casos de uso de automatización personalizados.
• Tener en cuenta a toda la empresa a la hora de evaluar la IA para la ciberseguridad: esto incluye entornos corporativos, plantas y activos a nivel de campo.
• Mantenerse actualizado sobre las aplicaciones emergentes de la IA en la detección y recuperación de amenazas: si bien aún no está emergiendo de manera significativa, el análisis de agrupación de temas de EY muestra que la detección y recuperación de amenazas son áreas activas de investigación. Se deben tener en cuenta las aplicaciones en estas áreas, como la planificación de la recuperación, el análisis de los informes de incidentes y la prevención de ataques de día cero.
• Seguir los datos: las inversiones en IA y ML serán más rentables donde haya densidad de datos cibernéticos. Concentrarse en áreas como la gestión de identidades, las amenazas y la vulnerabilidad, y las operaciones de seguridad en las que los datos a gran escala son difíciles de gestionar.
• Construir para la reutilización: ciertas funciones tendrán una amplia aplicabilidad dentro de la ciberseguridad y en toda la empresa. Evitar la duplicación del desarrollo y el mantenimiento mediante la gestión centralizada de la admisión y el desarrollo. Por ejemplo, la priorización basada en el contexto de eventos, incidentes, amenazas, riesgos, vulnerabilidades y cualquier otra actividad de corrección debe estandarizarse, crearse una vez y usarse muchas veces.
• Capturar y bloquear, revisar y liberar: implementar un modelo en el que la IA automatice las tareas tediosas, propensas a errores y de gran volumen de "captura y bloqueo" y seleccione eventos para las decisiones de "revisión y liberación" de los profesionales de la ciberseguridad que requieren juicio y autorización.

Con las organizaciones implementando la IA en toda la empresa, la función de ciberseguridad tiene una oportunidad a corto plazo de convertirse en un socio de confianza para ayudar a otros a darse cuenta del potencial de creación de valor de las soluciones basadas en IA.

La rápida adopción de la IA puede dejar a la organización vulnerable a nuevos ciberataques y riesgos de cumplimiento. Los equipos cibernéticos deben asumir un papel más estratégico, proactivo e integrado dentro de la empresa para instalar los controles adecuados a medida que proliferan las funciones y los experimentos de IA.

Hacer frente a la amenaza cibernética en la expansión de la IA

Los adversarios ya están apuntando a las vulnerabilidades de los sistemas de IA. Los investigadores de seguridad han utilizado la inyección rápida (indicaciones de ingeniería para engañar a los sistemas para que eludan los filtros o las barandillas) para atacar a los bots conversacionales de empresas como Bard y OpenAI.⁴ Los hackers "sombrero blanco" han demostrado cómo el envenenamiento de datos, es decir, la introducción de datos maliciosos en algoritmos para manipular su salida, puede lanzarse en conjuntos de datos populares a bajo costo con habilidades técnicas mínimas.⁵ En otro proyecto, se agregaron calcomanías a una señal de alto para engañar a un vehículo autónomo, con el fin de que la leyera erróneamente como una señal de "45 millas por hora".⁶ Otro tipo de hackers crearon sonidos inaudibles capaces de inyectar comandos de voz maliciosos a los asistentes de voz impulsados por IA.⁷

Además de los ataques de los malos actores, las organizaciones deben asegurarse de que los empleados no infrinjan el cumplimiento o las regulaciones mientras usan IA, por ejemplo, exponiendo datos confidenciales, propiedad intelectual o material restringido en un modelo de IA para ejecutar consultas o realizar tareas. "Hay tantas herramientas disponibles, y funcionan de diferentes maneras y con diferentes riesgos. Es muy fácil que alguien se registre y comience a usarlos", dice el CISO de una organización de fabricación.

El estudio de 2023 muestra que solo el 36 % de los CISO están satisfechos con la adopción de las mejores prácticas cibernéticas por parte de la fuerza laboral no relacionada con IT. La necesidad de capacitación y educación cibernética de IA se evidencia aún más en las tendencias recientes de investigación académica de nuestro análisis de agrupación de temas. Casi el 50 % de la literatura sobre la gestión cibernética de las organizaciones involucra capacitación y educación, que comprende el tema más importante en este espacio. Además, el 23 % de esa investigación incluye la intersección de la IA con la formación y la educación, un área en la que los trabajadores buscan más orientación. Según una próxima investigación de EY, solo el 62 % de los trabajadores estadounidenses dicen que su empleador ha hecho de la educación de los empleados sobre el uso responsable de la IA una prioridad.

Cartwright, de Asahi, también argumenta que las herramientas de IA para generar resultados, como la información de los clientes, deben gestionarse adecuadamente en términos de protocolos de consentimiento y reutilización de datos. "Hay que asegurarse de que los entornos de desarrollo, y en particular los entornos de desarrollo de ciencia de datos, tengan controles sólidos y estén bien protegidos", afirma. Los entrevistados también señalaron la importancia de instituir la explicabilidad, como garantizar que una decisión sobre el límite de crédito no infrinja las normas antidiscriminatorias en relación con los datos de los que se extrae, las inferencias defectuosas o los datos indirectos engañosos.

Oportunidades de ciberseguridad para mejorar la implementación de la IA en diferentes dominios:

Visibilidad desde la cima

Los CISO eficaces son capaces de comunicar el valor de una postura sólida de ciberseguridad a toda la organización. El conocimiento de los riesgos de la IA entre la alta dirección y el consejo de administración ofrece una oportunidad sobre la que construir. Como se ejemplifica en el estudio de 2023, los CISO ya han comenzado a expandir su influencia, con más interacción con la junta directiva y más CISO reportando directamente a la C-suite. Generar confianza con la junta directiva y la alta dirección se basa en la transparencia.

"Una cosa que se está volviendo realmente importante es la capacidad de interactuar con las empresas de manera transparente para que se sientan cómodas levantando un teléfono y simplemente teniendo una conversación. Los días en que la seguridad era algo en la trastienda se han ido", dice Cartwright en Asahi. Cree que las conversaciones transparentes con la junta directiva y la rendición de cuentas en las decisiones cibernéticas allanan el camino para que los CISO se vuelvan más estratégicos en toda la organización.

Los miembros de la alta dirección a menudo sobreestiman la eficacia del enfoque general de su organización en materia de ciberseguridad (48 % satisfecho, frente al 36 % de los CISO) con brechas más pequeñas para los creadores seguros, lo que sugiere que es importante una mayor transparencia con los líderes sénior y una comprensión compartida del riesgo a medida que avanza la implementación de la IA.

Paralelamente, las organizaciones deben comenzar a explorar las capacidades para detectar la "IA en la sombra". Al igual que en los primeros días de la nube, las organizaciones ya han sido víctimas de la experimentación bien intencionada con IA en entornos que no son de producción, lo que ha provocado la exposición de datos confidenciales, el robo de modelos y los costos excesivos e inesperados de las soluciones debido a implementaciones no controladas. Este tipo de contratiempos pone en tela de juicio tanto el valor empresarial como la postura de riesgo de las organizaciones en cuestión.

Una visión de 360 grados de la IA en toda la empresa

Un CISO orientado hacia el exterior puede ayudar a una organización a mejorar la adopción general de la IA mediante el uso de la ciberseguridad como marco de coordinación. Algunas empresas están formando órganos asesores de IA para coordinar las iniciativas de IA que pueden abordar el problema de la IA en la sombra y mejorar la visibilidad de la experimentación con IA. Un administrador de activos ha creado una entidad de este tipo, con representantes de todos los grupos empresariales, incluido el cibernético, para cualquier persona de la organización que busque utilizar la IA, proporcionando reglas sobre datos compartibles y restricciones sobre el envío de datos fuera de la organización.

La ciberseguridad también se está convirtiendo en un componente central de las decisiones operativas sobre el terreno. Un CISO de un fabricante minorista con sede en Europa ejemplificó esta integración, señalando: "En el departamento de Compras ahora son consciente de que, cuando comiencen un nuevo proyecto, se pondrán en contacto con nosotros. Luego podremos darles nuestros requisitos para los próximos proveedores y las próximas aplicaciones que desean utilizar".

Una ciberseguridad sólida en la IA brinda a los equipos confianza para experimentar de forma segura, lo que ayuda a las empresas a identificar aplicaciones prácticas y definir claramente el retorno de la inversión. Un CISO con el que hablamos dice que su equipo cibernético ayudó a poner en marcha su propia instancia de ChatGPT para que otras funciones empresariales pudieran funcionar dentro de los límites de las cuatro paredes virtuales de la organización.

Encontrar un lenguaje común en el ámbito cibernético

Derribar las barreras a la ciberseguridad comienza con la familiaridad con el tema en general. Asahi atribuye el mérito a la celebración de sesiones periódicas de "almuerzo y aprendizaje" relacionadas con la cibernética para poner en marcha el negocio y pensar más en la ciberseguridad. Cartwright señaló que estos no necesariamente tienen que ser sobre las mayores amenazas cibernéticas como el phishing, sino que el objetivo se centra en hacer que el tema de la ciberseguridad sea accesible para todos.

Bupa es otro ejemplo, en el que el CISO está tratando de cerrar la brecha con el negocio asegurándose de que las métricas cibernéticas se incluyan en las métricas de informes. "En todos los comités de desempeño empresarial, estamos trabajando para incorporar métricas de ciberseguridad, tratando de incorporar métricas en términos de desempeño cibernético. No es perfecto, es un viaje, pero estamos tratando de hacer que la cibernética forme parte de las métricas de negocio", dice el CISO del grupo en Bupa.

Acciones para los CISO:

• Integrar a los profesionales cibernéticos en el proceso de identificación, admisión y gobernanza de casos de uso de IA: esta inserción en la etapa inicial permitirá una integración cibernética acorde con la sensibilidad de los datos y la función comercial.
• Publicar y gobernar los estándares de uso aceptable de la IA en toda la empresa: describir las barreras de protección y la orientación bajo las cuales la empresa, junto con los tecnólogos de apoyo, deben diseñar y crear soluciones de IA. Adoptar un conjunto de controles cibernéticos técnicos que se alineen con los marcos de estándares emergentes de la industria de la IA, como el National Institute of Standards and Technology’s AI Risk Management Framework de Estados Unidos y la AI Act de la Unión Europea.
• Implementar la mitigación de riesgos específicos de la IA: tener en cuenta las características y los desafíos únicos asociados con los sistemas de IA, como la complejidad, los ataques adversarios, la falta de interpretabilidad, el aprendizaje continuo y las consideraciones éticas.

Los Creadores de Seguridad trabajan con la alta dirección para ayudar a crear estrategias que impulsen la innovación y la creación de valor en toda la empresa. La aparición de la IA es otra oportunidad para que las funciones de ciberseguridad demuestren su valor para la organización. Dado que las aplicaciones de IA liberan tiempo para que el equipo cibernético se centre en los objetivos de valor agregado, los profesionales cibernéticos pueden ayudar al resto de la empresa a impulsar el valor de la IA con confianza.

Los CISO tienen una oportunidad a corto plazo de convertirse en un socio de confianza, ayudando a los equipos a maximizar el potencial de creación de valor de las herramientas de IA que buscan implementar. Ayudar a la empresa a implementar la IA con confianza puede cambiar la percepción de la ciberseguridad de un equipo que ralentiza las cosas a uno que permite la adopción segura de la tecnología a un ritmo acelerado. Al establecer procesos que incorporen la cibernética desde el principio, otras funciones ganarán eficiencia al minimizar los problemas o retrasos presupuestarios.

La integración de la ciberseguridad en las iniciativas de IA es una oportunidad para que las funciones cibernéticas amplíen su influencia en toda la organización. Los principales equipos cibernéticos están demostrando que sus aportaciones pueden informar para tomar mejores decisiones en todo, desde las adquisiciones hasta la gobernanza de la cadena de suministros. Un CISO está profundamente involucrado en la evaluación holística de los objetivos de adquisición, algo cada vez más importante dado el mayor apetito de los CEO por las fusiones y adquisiciones en 2024.⁸ El mismo CISO genera confianza con los accionistas al proporcionar información y garantías sobre la capacidad de la empresa para proteger su información. Del mismo modo, Ananthapavan, de ANZ, y su equipo proporcionan inteligencia estratégica de amenazas que alimenta la toma de decisiones empresariales.

Un CISO enfatiza cómo la ciberseguridad puede impulsar las ventas y aumentar los resultados al crear confianza con los clientes. "Hay una serie de clientes que se centran cada vez más en las certificaciones, los cuestionarios, en la comprobación de que sus proveedores cumplen con un cierto nivel de diligencia y nosotros demostrando que lo hacemos ayuda a mantener contentos a los clientes existentes o a abrir nuevos mercados para nosotros, en cuyo caso, deberíamos ser capaces de cuantificar eso para el negocio".

La IA también permite que la función cibernética tome decisiones y realice análisis más rápido, agilice los procesos para ahorrar costos y reduzca la necesidad de empleados adicionales. Esto puede ser esencial para cumplir con las exigencias normativas, pero también para responder rápidamente a las oportunidades del mercado.

Acciones para los CISO:

• Establecer principios y barreras de seguridad de IA para respaldar la experimentación: A medida que las empresas experimentan y adoptan rápidamente la IA, es esencial que los CISO se muevan rápidamente para proteger y acelerar la tasa de innovación.
• Ayudar a la empresa a comercializar los casos de uso más rápidamente: desarrolle un conjunto preconfigurado y autorizado de arquitecturas, patrones de integración y componentes de pila de tecnología para respaldar los casos de uso empresarial. Hacer que la seguridad por diseño sea la ruta más rápida al mercado en su organización.
• Apuntar a la habilitación cibernética: aprovechar un marco práctico de seguridad y riesgo de IA para ayudar a llegar al "sí" para el negocio, mientras se mantiene dentro de las tolerancias al riesgo, invirtiendo la percepción de que la ciberseguridad es el departamento de prevención del negocio.
• Obtener visibilidad de la superficie de ataque de IA y del ecosistema de terceros: Muchos CISO han pasado mucho tiempo frente a sus juntas directivas y equipos ejecutivos respondiendo a violaciones de datos de terceros. Nuestra investigación mostró que los Creadores de Seguridad cuentan con estrategias para gestionar todos los riesgos cibernéticos en la superficie de ataque y su ecosistema de terceros. Ampliar esto para cubrir nuevas superficies de ataque de IA permitirá a las organizaciones adoptar la IA con confianza.

Si bien las organizaciones líderes están entusiasmadas con la incorporación de IA para la ciberseguridad, todavía se encuentran en las primeras etapas para llevar la ciberseguridad a toda la empresa a medida que se implementa la IA. Los CISO más exitosos serán aquellos que puedan articular el valor de la ciberseguridad para la empresa en la era de la IA, más allá de las definiciones estrechas de seguridad, dando a la empresa la confianza de que pueden adoptar la IA de forma segura.

AnnMarie Pino, Associate Director, EY Insights, Ernst & Young LLP; Michael Wheelock, Associate Director, EY Insights, Ernst & Young LLP y Ryan Gavin, Supervising Associate, EY Insights, contribuyeron a este artículo.