Mientras sus colegas de negocios y tecnología están ocupados experimentando y desarrollando nuevas aplicaciones, los líderes de ciberseguridad están buscando formas de anticipar y contrarrestar las nuevas amenazas impulsadas por IA. Siempre ha estado claro que la IA impacta en la ciberseguridad, pero es una calle de doble sentido. Donde la IA se usa cada vez más para predecir y mitigar ataques, estas aplicaciones son vulnerables. La misma automatización, escala y velocidad que entusiasman a todos también están disponibles para los cibercriminales y los actores de amenazas. Aunque todavía está lejos de ser algo común, el uso malicioso de la IA ha estado creciendo. Desde redes generativas adversarias hasta botnets masivos y ataques DDoS automatizados, existe el potencial para una nueva clase de ciberataque que puede adaptarse y aprender a evadir la detección y la mitigación. En este entorno, ¿cómo podemos defender los sistemas de IA de los ataques? ¿Qué formas adoptará la IA ofensiva? ¿Cómo serán los modelos de IA de los actores de amenazas? ¿Podemos realizar pruebas de penetración de la IA? ¿Cuándo deberíamos comenzar y por qué? A medida que las empresas y los gobiernos expanden sus canales de IA, ¿cómo protegeremos los enormes volúmenes de datos de los que dependen? Son preguntas como estas las que han hecho que tanto el gobierno de los EE. UU. como la Unión Europea coloquen la ciberseguridad en el centro de atención a medida que cada uno busca desarrollar orientación, reglas y regulaciones para identificar y mitigar un nuevo panorama de riesgos. No es la primera vez que hay una marcada diferencia en el enfoque, pero eso no quiere decir que no haya superposición. Echemos un vistazo breve a lo que está involucrado, antes de pasar a considerar lo que todo esto significa para los líderes de ciberseguridad y los CISO. Enfoque regulatorio de IA de EE. UU.: una descripción general Dejando de lado la Orden Ejecutiva, el enfoque descentralizado de los Estados Unidos para la regulación de la IA se ve subrayado por estados como California que desarrollan sus propias pautas legales. Como sede de Silicon Valley, es probable que las decisiones de California influyan en gran medida en cómo las empresas de tecnología desarrollan e implementan la IA, hasta los conjuntos de datos utilizados para entrenar aplicaciones. Si bien esto influirá absolutamente en todos los involucrados en el desarrollo de nuevas tecnologías y aplicaciones, desde una perspectiva puramente de CISO o líder de ciberseguridad, es importante señalar que, si bien el panorama de EE. UU. enfatiza la innovación y la autorregulación, el enfoque general se basa en el riesgo. El panorama regulatorio de los Estados Unidos enfatiza la innovación y al mismo tiempo aborda los riesgos potenciales asociados con las tecnologías de IA. Las regulaciones se centran en promover el desarrollo y la implementación de IA responsables, con énfasis en la autorregulación de la industria y el cumplimiento voluntario. Para los CISO y otros líderes de ciberseguridad, es importante tener en cuenta que la Orden Ejecutiva instruye al Instituto Nacional de Estándares y Tecnología (NIST) a desarrollar estándares para las pruebas del equipo rojo de los sistemas de IA. También hay un llamado a que «los sistemas de IA más poderosos» estén obligados a someterse a pruebas de penetración y compartir los resultados con el gobierno. La Ley de IA de la UE: una descripción general El enfoque más precautorio de la Unión Europea incorpora la ciberseguridad y la privacidad de los datos desde el principio, con estándares obligatorios y mecanismos de cumplimiento. Al igual que otras leyes de la UE, la Ley de IA se basa en principios: la responsabilidad recae en las organizaciones para demostrar el cumplimiento mediante documentación que respalde sus prácticas. Para los CISO y otros líderes de ciberseguridad, el Artículo 9.1 ha atraído mucha atención. Establece que los sistemas de IA de alto riesgo se diseñarán y desarrollarán siguiendo el principio de seguridad por diseño y por defecto. En vista de su finalidad, deben alcanzar un nivel adecuado de precisión, robustez, seguridad y ciberseguridad, y funcionar de manera consistente en esos aspectos durante todo su ciclo de vida. El cumplimiento de estos requisitos incluirá la implementación de medidas de vanguardia, según el segmento de mercado específico o el ámbito de aplicación. En el nivel más fundamental, el artículo 9.1 significa que los líderes de ciberseguridad en infraestructuras críticas y otras organizaciones de alto riesgo deberán realizar evaluaciones de riesgos de IA y adherirse a estándares de ciberseguridad. El artículo 15 de la Ley cubre las medidas de ciberseguridad que podrían adoptarse para proteger, mitigar y controlar los ataques, incluidos los que intentan manipular conjuntos de datos de entrenamiento («envenenamiento de datos») o modelos. Para los CISO, los líderes de ciberseguridad y los desarrolladores de IA por igual, esto significa que cualquiera que construya un sistema de alto riesgo tendrá que tener en cuenta las implicaciones de ciberseguridad desde el primer día. Enfoque regulatorio de IA de la UE frente a IA de EE. UU.: diferencias clave Característica Ley de IA de la UE Enfoque de EE. UU. Filosofía general Precautorio, basado en el riesgo Impulsado por el mercado, centrado en la innovación Regulaciones Reglas específicas para IA de «alto riesgo», incluidos aspectos de ciberseguridad Principios amplios, pautas sectoriales, enfoque en la autorregulación Privacidad de datos Se aplica el RGPD, derechos estrictos del usuario y transparencia No hay una ley federal integral, mosaico de regulaciones estatales Estándares de ciberseguridad Estándares técnicos obligatorios para IA de alto riesgo Mejores prácticas voluntarias, se fomentan los estándares de la industria Aplicación Multas, prohibiciones y otras sanciones por incumplimiento Investigaciones de la agencia, posibles restricciones comerciales Transparencia Requisitos de explicabilidad para IA de alto riesgo Requisitos limitados, enfoque en la protección del consumidor Responsabilidad Marco de responsabilidad claro para el daño causado por IA Responsabilidad poco clara, a menudo recae en los usuarios o desarrolladores Qué significan las regulaciones de IA para los CISO y otros líderes de ciberseguridadA pesar de los enfoques contrastantes, tanto la UE como EE. UU. abogan por un enfoque basado en el riesgo. Y, como hemos visto con el RGPD, hay mucho margen para la alineación a medida que avanzamos hacia la colaboración y el consenso sobre estándares globales. Desde la perspectiva de un líder de ciberseguridad, está claro que las regulaciones y estándares para IA están en las primeras etapas de madurez y casi con certeza evolucionarán a medida que aprendamos más sobre las tecnologías y aplicaciones. Como subrayan los enfoques regulatorios de EE. UU. y la UE, las regulaciones de ciberseguridad y gobernanza son mucho más maduras, sobre todo porque la comunidad de ciberseguridad ya ha dedicado considerables recursos, experiencia y esfuerzo a generar conciencia y conocimiento. La superposición e interdependencia entre IA y ciberseguridad han significado que los líderes de ciberseguridad han sido más conscientes de las consecuencias emergentes. Después de todo, muchos han estado usando IA y aprendizaje automático para detección y mitigación de malware, bloqueo de IP maliciosas y clasificación de amenazas. Por ahora, los CISO tendrán la tarea de desarrollar estrategias integrales de IA para garantizar la privacidad, la seguridad y el cumplimiento en toda la empresa, incluidos pasos como: Identificar los casos de uso donde la IA ofrece el mayor beneficio. Identificar los recursos necesarios para implementar la IA con éxito. Establecer un marco de gobernanza para gestionar y proteger los datos confidenciales de los clientes y garantizar el cumplimiento de las regulaciones en todos los países donde su organización opera. Evaluación y valoración claras del impacto de las implementaciones de IA en toda la empresa, incluidos los clientes. Mantenerse al día con el panorama de amenazas de la IA A medida que las regulaciones de IA continúan evolucionando, la única certeza real por ahora es que tanto los EE. UU. como la UE ocuparán posiciones fundamentales en el establecimiento de los estándares. El rápido ritmo de cambio significa que estamos seguros de ver cambios en las regulaciones, los principios y las pautas. Ya sean armas autónomas o vehículos autónomos, la ciberseguridad desempeñará un papel central en la forma en que se aborden estos desafíos. Tanto el ritmo como la complejidad hacen que sea probable que evolucionemos lejos de las reglas específicas de cada país, hacia un consenso más global en torno a los desafíos y amenazas clave. Si analizamos el trabajo de EE. UU. y la UE hasta la fecha, ya existe un terreno común claro desde el cual trabajar. El RGPD (Reglamento General de Protección de Datos) mostró cómo el enfoque de la UE en última instancia tuvo una influencia significativa en las leyes de otras jurisdicciones. La alineación de algún tipo parece inevitable, sobre todo por la gravedad del desafío. Al igual que con el RGPD, es más una cuestión de tiempo y colaboración. Una vez más, el RGPD demuestra ser un caso práctico útil. En ese caso, la ciberseguridad pasó de ser una prestación técnica a un requisito. La seguridad será un requisito integral en las aplicaciones de IA. En situaciones en las que los desarrolladores o las empresas pueden ser considerados responsables de sus productos, es vital que los líderes de ciberseguridad se mantengan al día con las arquitecturas y tecnologías que se utilizan en sus organizaciones. En los próximos meses, veremos cómo las regulaciones de la UE y los EE. UU. afectan a las organizaciones que están desarrollando aplicaciones y productos de IA, y cómo evoluciona el panorama emergente de amenazas de IA. Ram Movva es el presidente y director ejecutivo de Securin Inc. Aviral Verma lidera el equipo de Investigación e Inteligencia de Amenazas en Securin. Generative AI Insights ofrece un lugar para que los líderes tecnológicos, incluidos los proveedores y otros colaboradores externos, exploren y discutan los desafíos y las oportunidades de la inteligencia artificial generativa. La selección es amplia, desde inmersiones profundas en la tecnología hasta estudios de casos y opiniones de expertos, pero también subjetiva, basada en nuestro juicio sobre qué temas y tratamientos servirán mejor a la audiencia técnicamente sofisticada de InfoWorld. InfoWorld no acepta material de marketing para su publicación y se reserva el derecho de editar todo el contenido aportado. Póngase en contacto con doug_dineley@foundryco.com. Copyright © 2024 IDG Communications, Inc.