Es comprensible que el debate en torno a los mitos de Anthropic se haya centrado en la seguridad del modelo, pero la lección más importante para las empresas puede ser la gobernanza de la IA.
Los mitos apuntan a un problema que la mayoría de las organizaciones actualmente no están diseñadas para manejar: la IA ahora puede ayudar a las empresas a descubrir vulnerabilidades más rápido de lo que pueden evaluarlas, priorizarlas y remediarlas. Las vulnerabilidades de seguridad siempre existen en el software, la infraestructura, las relaciones con los proveedores, los flujos de datos y los procesos internos.
Lo que ha cambiado no es la existencia del riesgo, sino la velocidad a la que ahora se puede descubrir y la presión sobre las organizaciones para decidir qué es más importante, a quién corresponde la respuesta y con qué rapidez se deben tomar medidas.
Para las grandes empresas de tecnología con profundas capacidades de investigación en seguridad, esa aceleración puede ser difícil pero manejable. Para muchas otras empresas, especialmente las pequeñas, el desafío es muy diferente. Están expuestos a los mismos cambios en el descubrimiento de riesgos, pero los explotan sin nada parecido a los mismos recursos, equipos de expertos o capacidades de remediación.
En un momento en el que las organizaciones ya se enfrentan a una afluencia de ciberataques graves, esto no puede considerarse únicamente un problema de seguridad. También se está convirtiendo en una cuestión de gobernanza, ya que una mayor visibilidad del riesgo sólo mejora la resiliencia si las empresas tienen la estructura, la responsabilidad y la confianza para actuar en función de lo que encuentran.
Cuando el descubrimiento supera la respuesta
A medida que salen a la luz más vulnerabilidades, la prioridad pasa de la identificación y, en última instancia, a la remediación. Datos recientes muestran que el 34% de los líderes citan que los empleados ingresan datos confidenciales en los sistemas de inteligencia artificial como su principal preocupación, mientras que el 21% culpa a la capacitación inadecuada por el comportamiento riesgoso y otro 21% a la presión de trabajar rápidamente.
Los equipos de seguridad pueden ser los primeros en ver un problema, pero no pueden solucionarlo de forma aislada. Alguien necesita determinar qué sistemas son más críticos, qué vulnerabilidades crean una exposición empresarial real y qué riesgos pueden tolerarse durante un período de tiempo determinado. No se trata de decisiones puramente técnicas. Implican operaciones, asuntos legales, adquisiciones, cumplimiento, ingeniería y liderazgo senior.
Por eso los mitos deben leerse como señales de gobernanza. Esto muestra con qué rapidez la innovación tecnológica puede crear estrés organizacional. Si una empresa no puede responder claramente a quién pertenece la respuesta, cómo se intensifican los problemas y cuándo el liderazgo necesita tomar una decisión de riesgo clara, el descubrimiento rápido no necesariamente hace que la organización sea más segura. Sólo podía revelar áreas donde la gobernanza ya era débil.
Los riesgos desconocidos siguen siendo riesgos aceptados
Uno de los cambios más importantes en las empresas es cómo piensan sobre el riesgo desconocido. Pocas organizaciones tienen una visibilidad perfecta de todos los sistemas, proveedores y procesos, y los equipos de seguridad siempre han entendido que existe algún nivel de riesgo desconocido.
Lo que la IA cambia es la velocidad y la escala para sacar ese riesgo a la superficie. A medida que el descubrimiento se vuelve más rápido, más amplio y más continuo, las organizaciones pueden encontrarse con más problemas de los que tienen la capacidad de clasificar o solucionar rápidamente.
Esto crea una realidad incómoda. Si existe una vulnerabilidad dentro de la organización, la empresa la lleva a cabo independientemente de que esté registrada, revisada o aprobada formalmente o no. Un riesgo desconocido sigue siendo un riesgo aceptado, incluso cuando esa aceptación es accidental.
El descubrimiento de riesgos crea valor sólo cuando conduce a decisiones mejor informadas. Sin un modelo operativo claro, las empresas tienen una gran brecha entre lo que saben, lo que pueden solucionar y lo que eligen tolerar.
Las organizaciones deben comprender qué sistemas son los más importantes, qué proveedores son críticos, quién es responsable de la remediación y cuándo el liderazgo debe decidir si reparar, monitorear, transferir o aceptar un riesgo. Eso no significa que todas las empresas deban crear un programa de la escala del Proyecto Glasswing, pero sí significa que necesitan una forma más disciplinada de convertir la visibilidad en acción.
Cerrar las brechas de gobernanza
La respuesta práctica es tratar el descubrimiento de riesgos impulsado por la IA como algo más que un flujo de trabajo de seguridad. Los equipos de seguridad necesitan la capacidad de detectar, verificar e investigar vulnerabilidades, pero la gobernanza determina lo que sucede después de eso. Define la propiedad, el escalamiento, las prioridades y la rendición de cuentas y evita que las decisiones sobre riesgos se tomen de manera informal, inconsistente, demasiado tarde o no se tomen en absoluto.
Esto significa que la gobernanza debe acercarse a las operaciones cotidianas. No puede simplemente sentarse en documentos políticos, revisiones periódicas o estructuras de comités. Las personas necesitan influir en las decisiones en los sistemas que utilizan todos los días, ya sea aprobando un proveedor, implementando equipos, gestionando datos confidenciales o respondiendo a vulnerabilidades recién descubiertas.
Aquí es donde la gobernanza se convierte en una capacidad empresarial práctica en lugar de un ejercicio de cumplimiento. Un programa sólido ayudará a la organización a comprender qué se encuentra, qué tan grave es, quién es el responsable de la respuesta, qué medidas se están tomando y qué tan rápido se puede demostrar el progreso.
Conclusión
El mito es importante porque apunta a un futuro en el que será más difícil descubrir riesgos dentro de los mecanismos de seguridad tradicionales. Encontrar vulnerabilidades antes de que los atacantes las exploten brinda a las organizaciones una mejor oportunidad de abordarlas, pero el descubrimiento por sí solo no es suficiente.
Las organizaciones que gestionen bien esta transición no serán necesariamente las que dependan de la mayor cantidad de problemas. Serán las que puedan tomar decisiones importantes, asignar propiedad y actuar con suficiente rapidez para reducir la exposición.
La IA está ampliando la brecha entre lo que las organizaciones saben y lo que pueden gestionar. Cerrar esta brecha decidirá si una mayor visibilidad se convierte en una fuente de resiliencia o simplemente en otra fuente de estrés.
Hemos clasificado y revisado el mejor software antivirus disponible..
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: