Agustinas 1022 OF 1004, Santiago

+569 3179 0476

contacto@gaconsultingsolutions.com

Riesgos y oportunidades que ofrece la IA a un sistema de gestión de seguridad de la información (SGSI)

Por Mariángela Gatta

16 de agosto de 2024

La inteligencia artificial puede hacer muchísimo por ti. Y no estamos hablando de aspirar tu casa ni de que el refrigerador te recuerde que se acabaron la leche y los tomates, sino de revolucionar los negocios y la forma en que se hacen las cosas dentro de la organización, sobre todo en cuanto a ciberseguridad. Implementar un sistema de gestión de seguridad de la información basado en ISO/IEC 27001 es una decisión estratégica, incluir inteligencia artificial (IA) en el SGSI es llevarlo al siguiente nivel. 

No se trata de que la norma ISO/IEC 27001 sea insuficiente, sino que con la IA las respuestas a los requisitos y controles pueden ser más eficaces, ágiles e, inclusive, eficientes. Para empezar, se puede complementar con la IA para:

  • Gestionar los riesgos de forma más ágil.
  •  Analizar grandes volúmenes de datos sobre el comportamiento de los usuarios.
  • Visualizar posibles amenazas antes de que se materialicen.
  • Integrar controles. 
  • Fortalecer el conocimiento.
  • Destacar los aportes de otras disciplinas, como las finanzas, el talento humano, el compliance.
  • Combinar variables y modelar escenarios.

Una de las características más deseables de un SGSI es la oportunidad. No basta con que el sistema de gestión sea robusto, existan planes y tengamos los conocimientos si no ejecutamos de forma oportuna. En este sentido, la IA aporta un enfoque preventivo cuando se trata de detectar riesgos, implementar controles específicos y aumentar el nivel de conocimiento de las personas. ¿Podemos hacer todo esto sin la IA? Definitivamente, sí, pero no de forma tan expedita. Por ejemplo, mientras nos enteramos de la existencia de una amenaza, estudiamos cómo puede explotar vulnerabilidades, determinamos cuál es el control apropiado y verificamos que el control es eficaz, la amenaza sigue avanzando y la vulnerabilidad puede ser explotada antes de que sepamos que debemos implementar un control. La IA facilita que todo se haga de forma ágil, con conocimientos nutridos y con menos sesgos de los que tiene un ser humano. Y, si bien, la IA no carece sesgos, estos son menos significativos que los que puede tener un individuo.

Es habitual que en las organizaciones los encargados de seguridad de la información trabajen solos y cuenten con redes de contactos en las que no obtienen mayor validación porque el equipo de trabajo consta de pocas personas, pese a que las características de las amenazas requieren atención. La IA puede ser un apoyo y dar ventajas importantes, siempre que los profesionales comprendan de qué trata la IA y cómo puede contribuir específicamente para lograr los objetivos de seguridad de la organización. 

¿Estamos listos para la revolución?

Generalmente no estamos preparados para las innovaciones disruptivas, ellas surgen y avanzan sin que las leyes las regulen y sin que tengamos todas las capacidades para entender y aprovechar todo lo que implican. Los grandes expertos en seguridad y creadores de esta tecnología han hecho énfasis en que los legisladores deberían ayudar a los desarrolladores de la IA. Necesitamos crear leyes para regular y fortalecer todo lo referente a la IA porque nos estamos enfrentando a algo desconocido en toda su dimensión (consecuencias de su uso, implicaciones, cómo funciona en su completitud). La IA es una tecnología que aborda formas de adquirir información nunca experimentada, a una velocidad nunca vista. 

Emplear la IA implica riesgos, esta puede abrir nuevas brechas de seguridad y contribuir con el incumplimiento legal y reglamentario. Cuando se crean leyes y marcos regulatorios, los legisladores pueden exigir más de lo que las organizaciones pueden dar y esto puede acarrear sanciones importantes.

También existen sesgos cognitivos respecto a la seguridad de la información, pues en vista de que la IA es potente, los usuarios terminan por confiar solo en las amenazas, controles y recomendaciones de la IA, omitiendo nuevas fuentes de riesgos y amenazas y obviando que la IA tiene limitaciones dada la información a la que tiene acceso. En ese contexto sería posible no reaccionar oportunamente. Confiamos mucho en el potencial de la IA y ella no es infalible

Algunos expertos apuntan que un riesgo significativo sería la pérdida de empleos, aunque la experiencia nos demuestra que cada vez que hay cambios disruptivos, se crean nuevos cargos y fuentes de empleos. Sin embargo, la sustitución del talento humano por la IA es una tentación para muchos empresarios, pues la IA se vuelve más accesible conforme pasa el tiempo y carece de las debilidades de los seres humanos.

La IA será un apoyo para implementar la norma ISO/IEC 27001 en tanto que la tecnología apoye a las personas, disminuya la carga de tareas repetitivas y voluminosas, y sea empleada con fines bien pensados, que apunten al logro de objetivos de seguridad de la información y contribuya a la existencia de sociedades más protegidas. 

Contenido relacionado

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Abrir chat
GACS
Hola.
Te queremos asesorar, escríbenos para más.