La rápida proliferación de la inteligencia artificial (IA) promete un valor significativo para la industria, los consumidores y la sociedad en general, pero, como sucede con muchas tecnologías, los nuevos riesgos derivados de estos avances en IA deben gestionarse para aprovechar todo su potencial. El Marco de gestión de riesgos de IA del NIST (AI RMF) se desarrolló para gestionar los beneficios y riesgos para las personas, las organizaciones y la sociedad asociados con la IA y cubre una amplia gama de riesgos que van desde la seguridad hasta la falta de transparencia y responsabilidad. Para quienes trabajamos en el NIST en ciberseguridad, privacidad e IA, una preocupación clave es cómo los avances en la adopción generalizada de la IA pueden afectar los riesgos actuales de ciberseguridad y privacidad, los enfoques de gestión de riesgos y cómo estos enfoques de gestión de riesgos se relacionan entre sí a nivel empresarial. Con respecto a la privacidad, la IA crea nuevos riesgos de reidentificación, no solo por su poder analítico en conjuntos de datos dispares, sino también por la posible fuga de datos del entrenamiento de modelos. Las capacidades predictivas de la IA también podrían revelar mayores conocimientos sobre las personas, así como amplificar el seguimiento y la vigilancia del comportamiento. En el lado positivo, el alcance analítico y amplio de la IA podría usarse para potenciar los asistentes de privacidad personal que podrían ayudar a las personas a administrar mejor sus preferencias de privacidad en sus actividades en línea. La IA creará nuevas oportunidades y desafíos para la ciberseguridad, como las ciberamenazas habilitadas por la IA, el uso de la IA para mejorar las herramientas y capacidades de ciberseguridad y garantizar que los sistemas de IA estén protegidos de las amenazas de ciberseguridad tradicionales y emergentes. El uso de la IA para mejorar la búsqueda de amenazas de ciberseguridad, por ejemplo, podría aumentar las tasas de detección, pero también podría aumentar la cantidad de falsos positivos. Como resultado, los profesionales de la ciberseguridad y otro personal pueden necesitar diferentes habilidades de ciberseguridad, y destaca la importancia de garantizar que cualquier solución sea explicable e interpretable. Además, a medida que las unidades de negocios de una organización incorporen tecnología de IA en sus soluciones, será necesario comprender mejor las dependencias de los datos en toda la organización. Los responsables de gestionar los riesgos de ciberseguridad pueden necesitar reevaluar la importancia relativa de los activos de datos, actualizar el inventario de activos de datos y tener en cuenta las nuevas amenazas y riesgos. Finalmente, las amenazas habilitadas por la IA, como el uso de un adversario de un generador de voz de IA, pueden requerir que una organización actualice anualmente la capacitación antiphishing. Todo esto pone de relieve la necesidad crítica de normas, directrices, herramientas y prácticas para mejorar la gestión de la ciberseguridad y la privacidad en la era de la IA, garantizar la adopción responsable de la IA con fines de ciberseguridad y protección de la privacidad e identificar las medidas importantes que deben adoptar las organizaciones para adaptar su respuesta defensiva a las técnicas ofensivas habilitadas por la IA. Para satisfacer esta necesidad y garantizar un enfoque sostenido en estos temas importantes, el NIST está estableciendo un programa para la ciberseguridad y la privacidad de la IA y el uso de la IA para la ciberseguridad y la privacidad. El programa se basará en la experiencia, la investigación y las publicaciones existentes del NIST, como: El programa tiene como objetivo comprender cómo los avances en IA pueden afectar los riesgos de ciberseguridad y privacidad, identificar las adaptaciones necesarias para los marcos y las orientaciones existentes y llenar los vacíos en los recursos existentes. El programa trabajará con las partes interesadas de la industria, el gobierno y el mundo académico, y desempeñará un papel de liderazgo en los esfuerzos estadounidenses e internacionales para proteger el ecosistema de IA. El programa se coordinará con otros programas del NIST, agencias federales y entidades comerciales según sea necesario para garantizar un enfoque holístico para abordar los desafíos y las oportunidades de ciberseguridad y privacidad relacionados con la IA. Este programa, que funciona a través del NCCOE, está iniciando un proyecto para desarrollar un perfil comunitario para adaptar los marcos existentes, comenzando con el Marco de Ciberseguridad, así como para comprender los impactos en otros marcos, como el Marco de Privacidad, el Marco de Gestión de Riesgos de IA y el Marco NICE. Este esfuerzo se basa en otros perfiles comunitarios desarrollados para otros casos de uso y tecnologías. El perfil de la comunidad de IA comenzará con un enfoque en la gestión de tres fuentes de riesgos de ciberseguridad y privacidad relacionados con la IA: los riesgos de ciberseguridad y privacidad que surgen del uso de IA por parte de las organizaciones, incluida la protección de los sistemas, componentes e infraestructuras de aprendizaje automático de IA y la minimización de la fuga de datos; la determinación de cómo defenderse de los ataques habilitados por IA; la asistencia a las organizaciones en el uso de IA con sus actividades de ciberdefensa y el uso de IA para mejorar las protecciones de privacidad. Esperamos dialogar y colaborar sobre cómo hacer avanzar el programa y ayudar a la comunidad de ciberseguridad y privacidad a medida que adoptan el desarrollo y uso omnipresentes de la IA. Manténgase atento y visite el nuevo sitio web del programa para obtener más información. Envíe sus comentarios o preguntas a AICyber [at] nist.gov (AICyber[at]nista[dot]gobierno).