¿Quién tiene la culpa cuando la herramienta AI que administra el estado de cumplimiento de una empresa se equivoca? 07 de agosto de 2025 •, 3 min. Lea si coloca un grupo de CISO en una habitación, es probable que todos esperen a que uno de ellos declare que tienen la respuesta, la bala de plata, que resuelve el problema del día. En realidad, sin embargo, lo que debe suceder es que todos los CISO combinados tienen un fragmento de la respuesta y necesitan reconstruirlos para crear la respuesta al problema. Lo anterior fue un comentario de un panel de políticas en Black Hat USA 2025. El comentario tiene mérito, ya que ningún proveedor único, proveedor de servicios, individuo u otra entidad puede resolver el enigma de seguridad cibernética. Realmente es un deporte de equipo que requiere que todos los involucrados desempeñen un papel activo. El problema es desglosar las barreras de intercambio que pueden existir entre empresas que podrían ser competidores. En situaciones de seguridad física, las empresas comparten información; Por ejemplo, en el comercio minorista, es común que los guardias de seguridad de la tienda colaboren con los guardias vecinos para advertir sobre una amenaza. Sin embargo, en la ciberseguridad, la oscuridad puede verse como seguridad y la amenaza nunca se comparte. Como el panel estaba dominado por los responsables políticos, o aquellos involucrados en el asesoramiento de responsables políticos, acreditaron una mejor postura de ciberseguridad a la política. No estoy seguro de suscribirme a esto. En parte, puede ser cierto, pero la postura mejorada de ciberseguridad es probablemente el resultado del riesgo financiero. El costo de un incidente cibernético continúa aumentando, y las multas regulatorias que resultan de las violaciones de la política (si la política tiene un componente de penalización financiera) son solo una línea de línea en los costos generales. El riesgo comercial de un incidente cibernético ya no está solo en el escritorio del equipo de TI y ciberseguridad: es un problema de nivel de junta o C y se trata de garantizar que el negocio pueda resistir la pérdida financiera incurrida si hay un incidente cibernético, y cada compañía tiene un apetito diferente al riesgo. El riesgo financiero, incluidos los problemas regulatorios, a menudo se mitigan a través del seguro, y el riesgo cibernético no es diferente a los seguros más tradicionales que tiene una empresa, por lo que el mercado de seguros de riesgos cibernéticos continúa creciendo. AI al rescate El panel también discutió el uso de IA por defensores y adversarios. Para los defensores, es imperativo usar la IA como emplear suficientes cazadores de amenazas para emprender la tarea sin el uso de IA sería casi imposible. Otro comentario interesante del panel en cuestión de herramientas de IA que proporcionan confirmación del cumplimiento de las regulaciones y la política. A medida que el número de políticas continúa aumentando, también lo hace la carga de gestionar el cumplimiento. Las herramientas de IA que gestionan el cumplimiento y los cambios continuos en los requisitos de cumplimiento se están convirtiendo rápidamente en la única forma en que algunas compañías pueden administrar su estado de cumplimiento. Sin embargo, ¿qué pasa si el modelo AI que se usa para calcular el cumplimiento de la política relevante se equivoca? ¿Un regulador reducirá a la compañía una floja al pensar que cumplían, o la penalización se aplicará independientemente de quién o qué culpue? Para mí, esta es otra instancia en la que la IA necesita convertirse en una herramienta que complementa la experiencia humana y que no debe ser confiable como la única fuente. La conclusión de la sesión del panel para mí es que continuará habiendo más requisitos de política y cumplimiento. Con el cambio en la administración que sigue siendo relativamente nuevo, es un momento crucial. Nadie sabe realmente la política de dirección y si se simplificará o simplemente se agregará. La razón de más política podría verse como una declaración de que la industria no ha podido autorregular y que una postura de seguridad más fuerte solo se logrará mediante sanciones por incumplimiento. El punto final del panel de discusión mencionó la autorización multifactor (MFA), y el panel acordó que se necesita un enfoque de Nación completa para garantizar que todas las empresas adopten MFA como un estándar de referencia. Y no podría estar más de acuerdo: realmente no hay excusa para no implementar MFA.