Muchas organizaciones todavía están intentando hacer frente a la proliferación de la nube. Años de adopción de la nube han brindado beneficios innegables, brindando a las empresas acceso a mayor agilidad, escalabilidad e innovación.
Pero también plantean un importante desafío de gestión. A medida que los entornos se expanden a través de múltiples proveedores, cuentas y servicios de nube, mantener la visibilidad se vuelve cada vez más difícil.
CISO de campo en Orca Security.
Los equipos de seguridad y TI han pasado años tratando de establecer una visibilidad consistente en entornos de nube cada vez más complejos, identificando qué activos existen, dónde están ubicados, quién es responsable de ellos y si están adecuadamente protegidos. Para muchas organizaciones, estas preguntas siguen siendo difíciles de responder.
Ahora, a medida que las empresas aceleran la adopción de la IA, se agrega una nueva capa de complejidad a los entornos de nube existentes. Los modelos de IA, agentes, API, bases de datos vectoriales y flujos de trabajo automatizados están apareciendo en las organizaciones a un ritmo notable, creando un nuevo desafío que muchos líderes de seguridad apenas están comenzando a enfrentar.
En muchos casos, la expansión de la IA se está convirtiendo en la nueva expansión de la nube.
El ritmo de adopción de la IA está creando un problema visible
Si bien los cambios tecnológicos anteriores se han desarrollado a lo largo de años, las capacidades de la IA están evolucionando en meses. Constantemente surgen nuevos modelos, herramientas y servicios, mientras que los proveedores de software están incorporando rápidamente la funcionalidad de IA en los productos existentes. Este ritmo de cambio presenta un desafío único para la gobernanza.
Tradicionalmente, las organizaciones han introducido nuevas tecnologías a través de un proceso relativamente estructurado que involucra asuntos rutinarios como adquisiciones, revisiones de seguridad y evaluaciones de cumplimiento. La adopción de la IA suele verse muy diferente.
Los equipos pueden experimentar con modelos en entornos de desarrollo, los departamentos pueden adoptar de forma independiente aplicaciones impulsadas por IA y pueden aparecer nuevas capacidades dentro de las plataformas de software existentes casi de la noche a la mañana.
Como resultado, muchas organizaciones no tienen un inventario completo de dónde se utiliza la IA en sus negocios.
Esto es tanto un problema de seguridad como un problema de visibilidad para una gobernanza y un cumplimiento efectivos. Si las organizaciones no pueden identificar dónde se ejecuta la IA, tendrán dificultades para comprender a qué datos accede, en qué decisiones influye y qué riesgos podría introducir.
La IA está añadiendo otra capa a la complejidad de la nube
A medida que las organizaciones adoptaron múltiples estrategias de nube, adoptaron aplicaciones SaaS y capacitaron a los equipos de desarrollo para moverse rápidamente, los entornos de nube se han vuelto cada vez más distribuidos. Los equipos de seguridad se encuentran administrando miles de activos repartidos en múltiples entornos.
La IA está introduciendo ahora otro conjunto de servicios y tecnologías que es necesario descubrir, comprender y proteger. Una implementación moderna de IA rara vez consiste en un único modelo que funcione de forma aislada. En cambio, las organizaciones están construyendo ecosistemas interconectados que involucran infraestructura en la nube, canales de datos, API, plataformas de aprendizaje automático, servicios de terceros y agentes cada vez más autónomos.
Cada conexión adicional crea otra dependencia que monitorear y otro posible punto de falla. El desafío no es necesariamente que la IA introduzca riesgos de seguridad completamente nuevos. En muchos casos, esto amplificó los problemas existentes de visibilidad y gobernanza que las organizaciones ya estaban luchando por abordar.
Muchos líderes de seguridad todavía están trabajando para lograr una visibilidad integral en sus entornos de nube. Agregar sistemas de inteligencia artificial a la mezcla significa gestionar otra capa de complejidad sin un manual establecido para hacerlo de manera efectiva. La falta de madurez es una característica definitoria de la gobernanza de la IA en la actualidad.
Por qué los agentes de IA están cambiando las conversaciones
A diferencia de las aplicaciones de software tradicionales, los agentes de IA son cada vez más capaces de actuar en nombre de los usuarios. Pueden recuperar información, acceder a sistemas, activar flujos de trabajo e interactuar con otras aplicaciones con distintos grados de autonomía.
Históricamente, las estrategias de seguridad se han centrado principalmente en gestionar el acceso humano a los sistemas y datos. Conceptos como gobierno de identidad, autenticación multifactor y confianza cero se diseñaron en torno a usuarios humanos. Pero la IA está empezando a cambiar esa suposición.
Las organizaciones están creando un número cada vez mayor de identidades no humanas, cada una de las cuales requiere permisos y derechos de acceso adecuados. Estos sistemas pueden interactuar con datos confidenciales, aplicaciones comerciales e infraestructura crítica de maneras que son difíciles de monitorear utilizando métodos tradicionales.
A medida que se acelera la adopción de la IA, la identidad puede convertirse en uno de los puntos de control más importantes para la gestión de riesgos. El principio de privilegio mínimo sigue siendo tan relevante como siempre, pero las organizaciones ahora deben aplicarlo tanto a los actores humanos como a las máquinas.
Esto requiere una comprensión más clara de cómo funcionan los sistemas de IA, a qué recursos pueden acceder y cómo se gestionan esos permisos a lo largo del tiempo.
Asegurar la IA a la velocidad de la IA
Las capacidades de IA están evolucionando a un ritmo extraordinario, mientras que los procesos de seguridad y gobernanza a menudo se ven limitados por requisitos regulatorios, aprobaciones internas y realidades operativas.
Los atacantes no enfrentan las mismas limitaciones. La mayoría de las organizaciones pueden probar, adaptar y explotar las oportunidades emergentes más rápido de lo que pueden implementar nuevos controles. Esto crea una carrera continua entre innovación y gobernanza.
El objetivo no debería frenar la adopción de la IA. Pocas organizaciones pueden darse el lujo de ignorar las oportunidades que presenta la IA a través de aumentos de productividad, eficiencias operativas o ventajas competitivas. En cambio, la atención debería centrarse en garantizar la adopción y el desarrollo de la gobernanza.
Esto significa que la seguridad de la IA significa proteger los modelos y comprender cómo interactúa la IA con los entornos de nube, los procesos comerciales, las identidades y los datos. Las organizaciones deben abordar esto estableciendo visibilidad en lugar de intentar reinventar la gobernanza después de que la complejidad ya se haya afianzado.
Aplicar los aprendizajes de la nube
La buena noticia es que las empresas no necesitan empezar de cero. La era de la nube ofrece lecciones valiosas sobre la relación entre innovación, visibilidad y gobernanza. Muchas de estas lecciones se aplican directamente a la IA.
Las organizaciones deben comenzar por comprender su huella de IA. De esta manera pueden identificar dónde se está utilizando la IA, a qué sistemas se conecta y a qué datos puede acceder. Pueden establecer una propiedad clara, ampliar los marcos de gestión de riesgos existentes y garantizar que las implementaciones de IA estén sujetas al mismo nivel de escrutinio que otras tecnologías complejas.
Lo más importante es que reconocen que la visibilidad no es un ejercicio cerrado. A medida que las capacidades de la IA sigan evolucionando, mantener una comprensión precisa del entorno se convertirá en un requisito continuo.
Cloud Sprawl ha demostrado con qué rapidez se puede acumular la complejidad cuando la adopción de tecnología supera la gobernanza. La IA presenta un desafío similar, pero a mayor velocidad.
A medida que la IA se integra cada vez más en toda la empresa, esa lección puede resultar más importante que nunca.
Hemos presentado el mejor software de seguridad para terminales
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: