Los servicios financieros (FS) tienen la tasa más alta de incidentes de seguridad relacionados con la IA de cualquier sector, más que la atención médica, la manufactura o el gobierno. Y la mayoría de las organizaciones todavía tratan a los agentes de IA como una carga de trabajo más. No lo hacen.
Como sector construido sobre datos altamente sensibles y sistemas profundamente interconectados, hay mucho en juego. Los riesgos van más allá de incidentes aislados, desde exposición de datos a gran escala y pérdidas financieras hasta violaciones regulatorias, pérdida de confianza de los clientes e incluso interrupciones sistémicas cuando los servicios críticos se ven afectados.
Este no es un problema inclusivo. lo deletrea. Y debido a que FS a menudo adopta nuevas tecnologías, la forma en que maneje la IA hoy determinará cómo lo seguirán otras industrias.
Si se hace mal, se convertirá en un modelo de lo que no se debe hacer.
lo que está mal
Entonces, ¿por qué sucede esto? Las empresas de servicios financieros están impulsando la producción sin rieles para regular a los actores no regulatorios.
Información clara. No es la IA la que es insegura. Es el acceso que le estamos proporcionando. Las organizaciones que brindan a los agentes de IA un amplio acceso reportan tasas de incidentes mucho más altas que las organizaciones que implementan controles con menos privilegios.
Esto crea una clase de riesgo completamente nueva y crece rápidamente. A diferencia del software tradicional, los agentes de IA operan de forma autónoma, a la velocidad de una máquina, las 24 horas del día, los 7 días de la semana, y nunca se cansan. Entonces, cuando se les permite demasiado, no sólo introducen riesgos, sino que los amplifican.
Para ser útiles, los agentes de IA necesitan un amplio alcance en todos los sistemas. Esto es especialmente cierto en FS, donde los agentes se utilizan en la incorporación de clientes o en la gestión de riesgos y necesitan acceso a diversos datos para obtener información. Los agentes también operan en infraestructuras altamente complejas e interconectadas. Entonces los equipos toman atajos: otorgan amplios permisos para que las cosas funcionen.
El problema empieza desde ahí. Los agentes demasiado privilegiados no sólo aumentan la probabilidad de exposición de los datos; Hacen que sea más difícil ver lo que está pasando, probar los controles y cumplir los requisitos de auditoría. Cuando algo sale mal, no es así: el radio de la explosión se expande rápidamente.
El impulso para actuar con rapidez y adoptar herramientas de inteligencia artificial rápidamente es comprensible. Pero la velocidad sin control es exactamente lo que crea problemas, especialmente en entornos que ya enfrentan identidades fragmentadas, proliferación de credenciales y una gobernanza de identidad inconsistente.
En esencia, es un desajuste. Los modelos tradicionales de gestión de identidades suponen usuarios estáticos y acceso predecible. Tampoco lo es un agente de IA. Son dinámicos, no regulatorios, interactúan constantemente con múltiples sistemas y no conservan modelos obsoletos.
¿Albricias? Esta crisis de seguridad tiene absolutamente solución. He aquí cómo comunicarlo.
¿Qué hay que cambiar?
1. Trate a los agentes de IA como identidades de primera clase.
En primer lugar, es necesario reconsiderarlo desde el terreno de la identidad. Cada actor (humano, máquina o IA) debe operar dentro de un marco único, seguro y auditable.
Para los agentes de IA, esto comienza con una identidad única y verificable desde el momento en que se crean. Sin credenciales compartidas, sin ambigüedades, sin lagunas.
Todo lo demás se construye a partir de ahí. Todos los próximos pasos dependen de obtener la identidad en primer lugar. Porque si no se puede identificar de manera confiable a un agente, no se puede controlarlo y ciertamente no se puede proteger.
2. Aplicar privilegios mínimos como control clave
A continuación, reducir el acceso a lo estrictamente necesario. Audite los agentes existentes, identifique el acceso con privilegios excesivos y restrinja los permisos a tareas, sistemas y conjuntos de datos específicos.
El acceso debe ser específico y limitado en el tiempo, y contener riesgos innecesarios: un principio clave del acceso de confianza cero.
3. Eliminar la dependencia de certificados estáticos
Las credenciales estáticas, como contraseñas, claves API y cuentas de servicios de larga data, crean un acceso persistente que es difícil de controlar. Son de larga duración. Se dispersaron. Se reutilizan. Todos estos contribuyen directamente a la proliferación de la certificación.
En su lugar, reemplácelos con un acceso de corta duración basado en la identidad y vinculado al contexto. Sin privacidad específica. Sólo se verifica la identidad. Esto es especialmente importante cuando se gestiona la identidad de máquinas y cargas de trabajo a escala.
4. Crear visibilidad y auditabilidad totales
Sin visibilidad, el riesgo aumenta silenciosamente, hasta que deja de hacerlo. Los agentes de IA no pueden actuar como cajas negras. Cada acción debe registrarse y cada movimiento debe rastrearse en todos los sistemas y flujos de trabajo. Y esa visibilidad debe conectarse al monitoreo y detección existentes.
Sin visibilidad, sin responsabilidad. Y no existe un régimen de identidad efectivo.
Remodelar la gestión de identidades para un mundo impulsado por la IA
La identidad debe convertirse en una disciplina de ingeniería, no sólo en una función de seguridad. Esto significa que los equipos de plataforma, ingeniería y seguridad están alineados en torno a un único modelo de identidad, sin unir herramientas una vez que los agentes ya están en producción.
Esto significa alinear plataformas, ingeniería y seguridad en torno a un modelo compartido. Integrar sistemas fragmentados en una capa de identidad unificada para impulsar una complejidad reducida y controles más sólidos. Tratar la identidad como una infraestructura central, no como algo complementario.
Los agentes de IA ya están integrados en los servicios financieros. Eso no cambia. Pero la forma en que están protegidos. No basta con tratar a los agentes autónomos como cargas de trabajo tradicionales y asumir que se ajustan a los modelos de identidad existentes.
En los servicios financieros, la identidad no es una casilla de verificación de cumplimiento. Es la infraestructura la que determina si se puede escalar la IA.
Contamos con el mejor software RPA para simplificar y facilitar la reducción de costos mediante la automatización robótica de procesos..
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
