Regulación y preparación ante herramientas de ciberseguridad impulsadas por IA: un enfoque práctico para las organizaciones


OpenAI y Anthropic mantienen posturas públicas distintas sobre si sus nuevas herramientas de IA para ciberseguridad deberían compartirse con los reguladores europeos. OpenAI ha ofrecido acceso a Bruselas a su modelo, mientras que Anthropic continúa reteniéndolo, con las conversaciones con la Comisión en una etapa diferente. Ambas partes presentan sus argumentos como responsables, y cada uno tiene méritos.

Pero si la cuestión de apertura o restricción es la correcta en última instancia es una pregunta de políticas que tomará tiempo resolver. Para las organizaciones que gestionan el riesgo cibernético hoy, la pregunta más inmediata es si sus equipos están preparados para manejar lo que estas herramientas ya pueden hacer.

Los sistemas de IA pueden ahora realizar de forma autónoma tareas de ataques cibernéticos de múltiples pasos en entornos controlados. Mythos de Anthropic completó una simulación de ataque corporativo de 32 pasos en pruebas. Antes de existir, ninguna IA había llevado a cabo esa secuencia en este tipo de simulación de cadena completa. El acceso regulatorio a ese tipo de modelo importa para el desarrollo de políticas. Pero las organizaciones que serán blanco de los ataques que habilita no esperan a que ese proceso concluya.

La pregunta de quién decide cuándo es seguro desplegar una herramienta poderosa es importante. Pero el despliegue responsable no puede limitarse únicamente a una liberación responsable; también implica asegurar que las organizaciones encargadas de defenderse de estas capacidades cuenten con las personas y las habilidades necesarias para hacerlo.

La mayoría de las organizaciones no está preparada

Datos de una reciente encuesta en el Reino Unido muestran que solo el 27% de las organizaciones está completamente preparada para ataques potenciados por IA. Siete de cada diez operan con una preparación parcial o nula específica para IA, a pesar de que la gran mayoría de los directivos ya reconoce que la IA está aumentando su riesgo. La conciencia está, pero la preparación no avanza al mismo ritmo.

Parte del problema es que la seguridad cibernética ha sido tratada durante mucho tiempo como un problema técnico con una solución técnica. Comprar las herramientas adecuadas, ejecutar el software correcto y ya está cubierto. La IA cambia fundamentalmente esa suposición.

Cuando las herramientas de ataque pueden aprender, adaptarse y sondar las defensas de forma continua, encontrando debilidades, fallando y volviendo a intentarlo sin cansarse, los humanos del otro lado deben poder seguir el ritmo. Eso requiere experiencia, no solo familiaridad con un panel de control.

La evidencia lo respalda. Entre las organizaciones que han invertido en formación continua y certificaciones, el 86% reporta una reducción medible del riesgo cibernético, con una reducción promedio de casi el 48%. Los equipos certificados también se recuperan más rápido cuando algo sale mal.

Casi la mitad de las organizaciones del Reino Unido encuestadas experimentó al menos un ataque en los últimos 12 meses, y el costo financiero típicamente cayó entre £100,000 y £199,999 una vez considerados la recuperación, el tiempo de inactividad, las multas regulatorias y el daño reputacional.

La regulación se mueve, pero con lentitud

Aquí es donde la gobernanza adquiere un enfoque más práctico. Otorgar a los reguladores acceso a modelos de IA de frontera es útil para entender a qué se enfrentan. Pero ese acceso solo tiene sentido si las organizaciones que debe proteger pueden actuar sobre lo que esos modelos permiten hacer. Un marco político creado alrededor de herramientas para las que la mayoría de los equipos de seguridad aún no está preparada no cierra la brecha.

Las normas de seguridad de IA siguen en desarrollo. La mayoría de los equipos de seguridad tienen poca conciencia de qué marcos existen, y mucho menos de lo que está por venir. La EU AI Act, NIS2 (Directiva de Seguridad de la Red y la Información 2) y las guías sectoriales emergentes son objetivos cambiantes. Las organizaciones que incorporan la formación continua a su operativa estarán mejor posicionadas para seguir el ritmo a medida que esas exigencias evolucionen.

La solución es conocida

Para la mayoría de las organizaciones, la brecha entre la conciencia del riesgo y la capacidad de responder cuando importa es la clave. La inversión en profesionales de seguridad capacitados y certificados tiene un impacto medible en la capacidad de una organización para hacer frente a los ataques. También construye la capacidad interna que facilita mantener el cumplimiento regulatorio a medida que evolucionan los requisitos. No es una respuesta glamorosa, pero la evidencia es constante.

Las organizaciones que consideran la formación como parte central de la gestión del riesgo cibernético, en lugar de algo a revisar tras una brecha, suelen estar mucho mejor situadas. Las herramientas y las amenazas evolucionarán todo el tiempo. Es la diferencia entre resiliencia y vulnerabilidad.

Conéctese de forma segura en línea con el mejor servicio VPN.

Este artículo se produjo como parte de TechRadar Pro Perspectives, nuestro canal para presentar a las mentes más brillantes de la tecnología en la actualidad.

Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadar Pro o Future plc. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/pro/perspectives-how-to-submit

from Latest from TechRadar https://ift.tt/Vt7s3Ix
via IFTTT IA