El creciente papel de la IA en los entornos empresariales ha aumentado la urgencia del Director de Seguridad de la Información (CISO) para promover una gobernanza efectiva de la IA. Cuando se trata de nuevas tecnologías, la gobernanza es difícil, pero la gobernanza efectiva es aún más difícil. Para la mayoría de las organizaciones, el primer instinto es responder con políticas estrictas. Esperamos crear un documento de política, distribuir un conjunto de restricciones e incluir riesgos. Sin embargo, la gobernanza efectiva no funciona de esa manera. Debe ser un sistema vivo que guía un cambio seguro y transformador sin reducir el ritmo de la innovación que da forma a la forma en que se usa AI todos los días.
Para CISO, vemos que el equilibrio entre seguridad y velocidad es importante en la era de la IA. Esta tecnología representa las mayores oportunidades y los mayores riesgos que las empresas han enfrentado desde los albores de Internet. Si no tiene barandillas, los datos confidenciales se filtrarán a las indicaciones, difundiendo la IA de la sombra, y las brechas de regulación se convierten en deuda. Se mueve demasiado y los competidores son una eficiencia transformadora que es demasiado fuerte para competir. Ambos pases tienen impactos que pueden costar un trabajo.
En segundo lugar, las iniciativas de adopción de IA no pueden liderar «sin divisiones» donde las funciones de seguridad organizacionales se ven obstaculizadas. En cambio, es importante encontrar un camino para mapear la gobernanza de la tolerancia al riesgo organizacional y las prioridades comerciales para que las características de seguridad actúen como verdaderos habilitadores de ingresos. En el curso de este artículo, compartimos tres componentes que ayudarán a CISO a hacer ese cambio e impulsar programas de gobierno de IA que permitan una adopción segura a gran escala.
1. Comprenda lo que está pasando en el suelo
Cuando ChatGPT llegó por primera vez en noviembre de 2022, la mayoría de los CISO que conozco se apresuraron a publicar políticas estrictas que le dijeran a los empleados lo que no deberían. Dado que la fuga de datos confidenciales es una preocupación legítima, proviene de un lugar de intención positiva. Sin embargo, si bien la política escrita a partir de ese enfoque de «documento atrasado» es en teoría bueno, rara vez funciona en la práctica. Qué tan rápido está evolucionando la IA, la gobernanza de la IA debe diseñarse a través de una mentalidad de «delantero del mundo real» que explica lo que realmente está sucediendo en el terreno dentro de una organización. Esto requiere que los CISO tengan una comprensión básica de la IA. Es la tecnología en sí, la tecnología integrada en sí, lo que la plataforma SaaS la hace posible y cómo los empleados la usan para hacer el trabajo.
Si bien el inventario de IA, el registro modelo y los comités más allá de la funcionalidad pueden sonar como una palabra de moda, es un mecanismo práctico que ayuda a los líderes de seguridad a desarrollar este flujo de IA. Por ejemplo, la factura AI (AIBOM) proporciona visibilidad en los componentes, conjuntos de datos y servicios externos que suministran modelos de IA. Así como los materiales de software (SBOM) aclaran las dependencias de terceros, AIBOM asegura a los líderes de los datos que están utilizando, de dónde proviene y qué riesgos introducirán.
El Registro de Modelos juega un papel similar en los sistemas de IA ya en uso. Se rastrean qué modelos se implementan, cuándo se actualizaron por última vez y cómo están haciendo para evitar «expansiones de caja negra» e informar decisiones sobre parches, obsolescencia o escalamiento. El comité de IA asegura que la vigilancia no caiga en seguridad ni nada más. Estos grupos, a menudo presididos por clientes potenciales de IA designados o oficiales de riesgo, incluyen representantes de unidades legales, de cumplimiento, recursos humanos y de negocios. Esto transforma la gobernanza de las directivas aisladas en una responsabilidad común que une las preocupaciones de seguridad con los resultados comerciales.
2. Ajuste su política a la velocidad de su organización
Sin políticas de avance del mundo real, los líderes de seguridad a menudo caen en la trampa de los controles de codificación que no pueden proporcionar de manera realista. Vi esto en persona a través de mi colega de CISO. Sabiendo que los empleados ya estaban experimentando con IA, trabajó para permitir la adopción responsable de varias aplicaciones de Genai en su fuerza laboral. Sin embargo, cuando un nuevo CIO se unió a la organización y sintió que había demasiadas aplicaciones de Genai en uso, el CISO recibió instrucciones de prohibir todos los Genais hasta que se seleccionó una plataforma de toda la empresa. Un año después, debido a que esa plataforma única aún no se había implementado, los empleados usaron herramientas Genai no aprobadas para exponer a sus organizaciones a las vulnerabilidades de la IA. El CISO estaba atascado tratando de implementar una prohibición general que no pudiera proteger las críticas sin la autoridad para implementar una solución viable.
Este tipo de escenario se desarrolla cuando las políticas se escriben más rápido de lo que pueden implementarse, o cuando el ritmo de adopción de una organización es impredecible. Las políticas que parecen críticas en el papel rápidamente se vuelven obsoletas si no evolucionan en los cambios de liderazgo, las capacidades de IA integradas y las formas en que los empleados integran nuevas herramientas en su trabajo. La gobernanza debe ser lo suficientemente flexible como para adaptarse, o de lo contrario existe el riesgo de que los equipos de seguridad los dejen con lo imposible de implementar.
El método futuro es diseñar la política como un documento vivo. Deben evolucionar como el negocio, estar informados por casos de uso reales y evolucionar para adaptarse a los resultados medibles. La política tampoco puede detenerse por la política. Debe en cascada en estándares, procedimientos y líneas de base que guían el trabajo diario. Solo entonces los empleados sabrán cómo se ve realmente la adopción segura de IA.
3. Haga que la gobernanza de IA sea sostenible
Incluso con fuertes políticas y hoja de ruta, los empleados continuarán usando IA de manera que no se aprueben formalmente. El objetivo de un líder de seguridad no es prohibir la IA, sino utilizar la responsabilidad como la opción más fácil y atractiva. Esto significa que ya sea comprado o casero, los empleados equiparán a sus empleados con herramientas de IA de grado empresarial, por lo que no tienen que buscar una alternativa volátil. Además, significa enfatizar y reforzar las acciones positivas para que los empleados puedan ver valor rastreando las barandillas en lugar de pasarlas.
La gobernanza sostenible también utiliza la IA para detener la protección de la IA, dos pilares del plan de IA seguro publicado recientemente del Instituto. Para manejar efectivamente la IA, CISOS necesita permitir que los equipos de SOC utilicen efectivamente la IA para la defensa cibernética. Debe automatizar la reducción y el enriquecimiento de ruido, verificar la detección de inteligencia de amenazas y garantizar que los analistas mantengan el bucle para la escalada y la respuesta a incidentes. También debe asegurarse de tener los controles adecuados para proteger sus sistemas de IA de las amenazas hostiles, como se describe en las pautas de seguridad de IA clave de SANS.
Obtenga más información en la Iniciativa de Defensa Cyber 2025
Este diciembre, SANS proporcionará LDR514: Planificación estratégica de seguridad, política y liderazgo en la Iniciativa de Defensa Cibernética Sans 2025. Cree políticas procesables, cubra cómo la gobernanza se adapta a la estrategia comercial, incorpora la seguridad en su cultura y le permite liderar con seguridad la era de la IA.
Si está listo para convertir el gobierno de AI en un habilitador de negocios, regístrese en Sans CDI 2025 aquí.
Nota: Este artículo fue aportado por Frank Kim de Sans Institute Fellow.
Source link
