OpenAI y Anthropic están públicamente en desacuerdo sobre si compartir su nueva herramienta cibernética de IA con los reguladores europeos.
OpenAI ha ofrecido a Bruselas acceso a su modelo. La antropología se queda atrás y describe las deliberaciones de la Comisión como en una etapa diferente. Ambos han defendido sus posiciones como titulares y ambos argumentos tienen mérito.
Pero si la apertura o la restricción es la decisión correcta es, en última instancia, una cuestión de política y llevará tiempo resolverla. Para las organizaciones que gestionan el riesgo cibernético hoy en día, la pregunta más inmediata es si los equipos están equipados para manejar lo que estas herramientas ya pueden hacer.
Experto en la Materia Comercial (CSME) para Seguridad Cibernética en Firebrand Training.
Los sistemas de IA ahora pueden realizar de forma autónoma tareas de ciberataque de varios pasos en un entorno controlado. La prueba Mythos de Anthropic completó un ataque corporativo simulado de 32 pasos.
Antes de su existencia, ninguna IA había hecho esto en este tipo de simulación de cadena completa. El acceso regulatorio es fundamental para tales modelos de desarrollo de políticas. Pero las empresas que lo habilitan al final del ataque no están esperando a que termine ese proceso.
La cuestión de quién decide cuándo es seguro implementar una poderosa herramienta cibernética es importante. Pero el despliegue responsable no puede significar simplemente una liberación responsable. Esto significa garantizar que las organizaciones que se espera que se defiendan contra estas capacidades realmente tengan las personas y las habilidades para hacerlo.
La mayoría de las organizaciones no están preparadas
Los datos de una encuesta reciente del Reino Unido encontraron que solo el 27% de las organizaciones del Reino Unido están completamente preparadas para ataques impulsados por IA. Siete de cada diez están trabajando en alguna o ninguna preparación específica de IA, a pesar de que la gran mayoría de los altos directivos ya reconocen que la IA está aumentando su riesgo. La conciencia está ahí. Los preparativos no van de la mano.
Parte del problema es que durante mucho tiempo la ciberseguridad se ha considerado un problema técnico con una solución técnica. Compre el equipo adecuado, ejecute el software adecuado y estará cubierto. La IA cambia fundamentalmente esa suposición.
Si bien las herramientas de ataque pueden aprender, adaptarse y buscar defensas constantemente, encontrar vulnerabilidades, fallar y volver a intentarlo sin cansarse, las personas del otro lado deben poder mantenerse al día. Esto requiere no sólo familiaridad con el tablero, sino también experiencia.
La brecha de habilidades es un riesgo operativo
Identificar una vulnerabilidad de la IA es la primera parte del problema. Alguien todavía necesita comprender lo que está viendo, evaluar la gravedad del problema, priorizarlo frente a todo lo demás que tiene entre manos y actuar con rapidez. Ese juicio no proviene de una herramienta.
Proviene de personas capacitadas y experimentadas que han desarrollado esa capacidad con el tiempo. Esto es especialmente importante ya que los ataques generados por IA se vuelven difíciles de distinguir de la actividad legítima. El reconocimiento rápido de amenazas requiere una coincidencia de patrones construida a través de la experiencia y la capacitación, no solo el acceso al software adecuado.
Los datos lo respaldan. Entre las organizaciones que invirtieron en capacitación continua para la certificación, el 86 % informó una reducción mensurable en el riesgo cibernético, con una reducción promedio de alrededor del 48 %. Los equipos certificados también se recuperan rápidamente si algo sale mal.
Casi la mitad de las empresas del Reino Unido han experimentado al menos un ataque en los últimos 12 meses, con costos financieros que generalmente oscilan entre £100.000 y £199.999 cuando se tienen en cuenta la recuperación, el tiempo de inactividad, las multas regulatorias y el daño a la reputación.
El control está en marcha, pero lentamente.
También aquí la cuestión de la gobernanza se vuelve más realista. Dar a los controladores acceso a los modelos de Frontier AI es útil para comprender con qué están trabajando. Pero ese acceso sólo tiene sentido si las organizaciones que lo protegen tienen la capacidad de trabajar en lo que esos modelos pueden hacer. Un marco de políticas construido en torno a herramientas para las que la mayoría de los equipos de seguridad aún no están equipados para responder no cierra la brecha.
Los estándares de seguridad de la IA todavía se están escribiendo. La mayoría de los equipos de seguridad tienen un conocimiento limitado de los marcos que existen, y mucho menos de lo que está por venir. La legislación de la UE sobre IA, la NIS2 (Directiva de seguridad de la información y las redes 2) y las directivas sectoriales emergentes son objetivos en movimiento. Las organizaciones que desarrollen una capacitación continua sobre su forma de trabajar estarán en mejores condiciones para mantenerse al día con los requisitos a medida que evolucionan.
La solución es conocida.
Para la mayoría de las organizaciones, la brecha entre la conciencia del riesgo y la preparación para gestionarlo es crítica cuando se trata de si su gente tiene las habilidades para responder.
Invertir en profesionales de seguridad capacitados y certificados tiene un impacto mensurable en la capacidad de una organización para hacer frente a los ataques. También crea el tipo de capacidades internas que facilitan el mantenimiento del cumplimiento normativo a medida que evolucionan los requisitos. No es una respuesta llamativa, pero la evidencia es consistente.
Las organizaciones que tratan la capacitación como una parte clave de la gestión del riesgo cibernético, en lugar de una revisión posterior a una infracción, generalmente se encuentran en una posición mucho mejor. Las herramientas y las amenazas evolucionarán todo el tiempo. Ésta es la diferencia entre resiliencia y vulnerabilidad.
Conéctese en línea de forma segura con el mejor servicio VPN.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: