Las empresas se apresuran a adoptar e implementar la IA, pero muchas están implementando la tecnología más rápido de lo que pueden gestionar. Esta brecha se está convirtiendo silenciosamente en el mayor riesgo de seguridad que enfrentan las empresas en la actualidad.
Los agentes de IA se están integrando en los flujos de trabajo diarios a medida que los equipos buscan eficiencias y las organizaciones están bajo presión de las juntas directivas y los altos directivos para automatizar los procesos más rápido.
Sin embargo, detrás de esta velocidad percibida se esconde una realidad más incómoda: las empresas todavía tienen una visibilidad limitada sobre cómo se comportan estos sistemas una vez implementados.
SVP Internacional, Delinia.
Los equipos de seguridad deben dar un paso atrás y repensar cómo es la gobernanza adecuada en un mundo donde los sistemas de IA operan con acceso autónomo, permisos heredados y visibilidad limitada.
La confianza triunfa sobre la verificación
Es comprensible que muchas empresas vean las implementaciones exitosas de IA como evidencia de que están listas para escalar la IA en sus negocios.
Investigaciones recientes muestran que el 87% de las organizaciones creen que su postura de gestión de identidades está preparada para soportar la automatización impulsada por la IA. Sin embargo, al mismo tiempo, el 46% admite que su gobernanza de identidad es insuficiente.
Este conflicto está en la raíz de la paradoja de la seguridad de la IA.
El problema clave es que las organizaciones están dando a los sistemas de IA niveles cada vez mayores de acceso y autonomía antes de establecer formas claras de monitorear o verificar cómo se comportan estos sistemas.
Si no se puede explicar por qué un agente de IA tomó una acción, los permisos que heredó, los sistemas a los que accedió y si ese comportamiento fue realmente intencionado, la gobernanza rápidamente se vuelve reactiva en lugar de proactiva.
Los agentes de IA socavan los cimientos de la gobernanza de identidad tradicional
Desafortunadamente, proteger estas nuevas identidades de IA no sucederá de la noche a la mañana, ya que los modelos de gobernanza heredados no están hechos para los desafíos que enfrentan los equipos de seguridad hoy en día.
La gestión de identidades tradicional se basó en cuatro supuestos clave: comportamiento predecible, intención humana y permisos limitados. La IA agente cambia los cuatro. Los equipos de seguridad ya comprenden los riesgos de los agentes de IA y las identidades no humanas. El problema es que las realidades operativas están obligando a muchas organizaciones a aceptar esos riesgos de todos modos.
Las investigaciones muestran que el 73% de las organizaciones cree que el acceso permanente a los agentes de IA aumenta los riesgos de seguridad. En otras palabras, los líderes reconocen los peligros asociados con dar acceso privilegiado a los sistemas de IA, pero de todos modos se sienten presionados a priorizar la velocidad y la eficiencia operativa.
Es importante destacar que la cuestión de la gobernanza va más allá del riesgo. El hecho de que el 80% de las organizaciones dijeran que no siempre podían determinar por qué un agente de IA tomó una acción privilegiada apunta a un problema fundamental.
Esto crea un desafío de gobernanza completamente diferente al que existe en la gestión de identidades tradicional. Los seres humanos normalmente pueden justificar la intención, el contexto o la toma de decisiones, pero los sistemas autónomos no.
Shadow AI se está convirtiendo en una infraestructura operativa
El uso de la IA en la fuerza laboral hace tiempo que unos pocos trabajadores selectos experimentaron con ChatGPT. Ahora, la tecnología está profundamente integrada en los sistemas de producción, los flujos de trabajo y los datos empresariales.
La magnitud del problema es significativa: el 53 % de las organizaciones dicen que acceden habitualmente a los sistemas o datos de la empresa con herramientas o agentes de IA no autorizados, pero solo el 28 % puede detectar la IA en la sombra en tiempo real.
De hecho, las empresas están permitiendo que contratistas desconocidos deambulen libremente por sus pasillos, con una visión limitada de hacia dónde se dirigen, qué están haciendo y a qué tienen acceso.
Este cambio está obligando a las organizaciones a repensar las prioridades de seguridad tradicionales y centrarse en el monitoreo y la validación continuos.
Como resultado, las empresas deben comenzar a centrarse en a qué acceden sus sistemas de inteligencia artificial y en cómo pueden monitorear y verificar de manera efectiva que ese acceso sigue siendo apropiado.
Resolver conflictos de gobernanza
Sabemos que las empresas no pueden frenar la adopción de la IA debido a incentivos operativos y competitivos. Pero no pueden ampliar el acceso y los permisos de la IA más rápido de lo que pueden protegerlos.
Esto significa llevar la protección de la identidad a la vanguardia de las estrategias de gobernanza de la IA. Gran parte del debate sobre el riesgo de la IA todavía se centra en los modelos, las regulaciones y la privacidad de los datos, y estas cuestiones son importantes. Pero el verdadero desafío operativo reside cada vez más en los permisos heredados y la confianza no administrada dentro de los sistemas.
Para los líderes empresariales, la primera prioridad debería ser mejorar la visibilidad en lugar de agregar más controles. Necesitan comprender qué identidades de IA existen dentro de su organización, a qué sistemas pueden acceder, cómo se heredan los permisos y dónde se han acumulado beneficios permanentes con el tiempo.
Las organizaciones deben alejarse de los modelos de privilegios permanentes y adoptar modelos más dinámicos que proporcionen acceso temporal sólo cuando sea necesario.
En última instancia, las organizaciones que obtendrán los mayores beneficios de la IA son aquellas que puedan comprender, gestionar y validar los sistemas que utilizan.
Implementar la automatización lo antes posible puede generar algunos beneficios rápidos, pero hacerlo sin las medidas administrativas adecuadas puede hacerle retroceder.
Hemos revisado y clasificado el mejor software de firewall.
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: