Gobernanza de IA en la era de la descubribilidad acelerada: lecciones de Mythos para las empresas


La discusión sobre Mythos de Anthropic ha puesto el énfasis en la seguridad del modelo, pero para las empresas la lección más importante podría ser una de gobernanza de IA. Mythos señala un problema que la mayoría de las organizaciones aún no están preparadas para gestionar: la IA puede ayudar a descubrir debilidades más rápido de lo que las empresas pueden evaluar, priorizar y remediar. Las vulnerabilidades de seguridad han existido siempre en software, infraestructura, relaciones con proveedores, flujos de datos y procesos internos.

Lo que ha cambiado no es la existencia del riesgo, sino la velocidad con la que ahora puede hacerse visible y la presión que ello impone a las organizaciones para decidir qué es lo más importante, quién es responsable de la respuesta y qué tan rápido debe actuar.

Para grandes empresas tecnológicas con capacidades de investigación en seguridad, esa aceleración puede ser difícil pero manejable. Para muchas otras organizaciones, especialmente las más pequeñas, el desafío es muy distinto. Están expuestas al mismo cambio en la detección de riesgos, pero sin recursos cercanos, equipos especializados o capacidad de remediación para absorberlo.

En un momento en que las organizaciones ya enfrentan una oleada de ciberataques serios, esto no puede tratarse solo como un tema de seguridad. Se está convirtiendo también en una cuestión de gobernanza, porque una mayor visibilidad del riesgo solo mejora la resiliencia si la empresa cuenta con la estructura, la rendición de cuentas y la confianza para actuar sobre lo que encuentra.

Cuando la descubribilidad supera a la respuesta

A medida que se revelan más debilidades, el verdadero cuello de botella cambia de la detección a la priorización y, finalmente, a la remediación. Datos recientes muestran que el 34% de los líderes citan la entrada de datos sensibles en sistemas de IA por parte de empleados como su principal preocupación, mientras que un 21% atribuye comportamientos de riesgo a una formación insuficiente y otro 21% a la presión por actuar con rapidez.

Los equipos de seguridad pueden ser los primeros en ver un problema, pero no pueden resolverlo de forma aislada. Alguien tiene que determinar qué sistemas son los más críticos, qué vulnerabilidades crean una exposición real para el negocio y qué riesgos pueden tolerarse durante un periodo de tiempo. Estas no son solo decisiones técnicas. Implican operaciones, legal, compras, cumplimiento, ingeniería y liderazgo senior.

Por ello Mythos debe leerse como una señal de gobernanza. Muestra cuán rápido la discovery técnica puede generar presión organizacional. Si una empresa no puede responder claramente quién posee la respuesta, cómo se escalan los problemas y cuándo la dirección debe tomar una decisión de riesgo explícita, entonces una discovery más rápida no necesariamente hace la organización más segura. Puede simplemente exponer los lugares donde la gobernanza ya era débil.

El riesgo desconocido sigue siendo riesgo aceptado

Uno de los cambios más importantes que las empresas deben hacer es en cómo piensan sobre el riesgo desconocido. Muy pocas organizaciones tienen visibilidad perfecta de cada sistema, proveedor y proceso, y los equipos de seguridad siempre han entendido que existe cierto nivel de riesgo desconocido.

Lo que la IA cambia es la velocidad y la escala con las que ese riesgo puede ponerse de manifiesto. A medida que la descubribilidad se vuelve más rápida, más amplia y continua, las organizaciones pueden encontrarse rápidamente con más problemas de los que tienen capacidad para triage o arreglar.

Eso crea una realidad incómoda. Si existe una vulnerabilidad en la organización, el negocio la está asumiendo, con o sin que haya sido registrada, revisada o aprobada formalmente. El riesgo desconocido sigue siendo riesgo aceptado, incluso cuando esa aceptación es accidental.

La discovery de riesgos solo genera valor cuando conduce a decisiones mejor informadas. Sin un modelo operativo claro, las empresas quedan con una brecha cada vez mayor entre lo que saben, lo que pueden arreglar y lo que están tolerando de forma implícita.

Las organizaciones deben entender qué sistemas importan más, qué proveedores son críticos, quién es responsable de la remediación y cuándo la dirección debe decidir si un riesgo debe arreglarse, monitorizarse, transferirse o aceptarse. Esto no significa que todas las empresas deban construir un programa del tamaño de un proyecto a gran escala, pero sí implica desarrollar una forma más disciplinada de convertir la visibilidad en acción.

Cerrando la brecha de gobernanza

La respuesta práctica es tratar el riesgo impulsado por IA como algo más que un flujo de seguridad. Los equipos de seguridad deben tener la capacidad de detectar, validar e investigar debilidades, pero la gobernanza determina lo que sucede después. Define propiedad, escalamiento, priorización y rendición de cuentas, y evita que las decisiones de riesgo se tomen de forma informal, inconsistente, demasiado tarde o no se tomen en absoluto.

Esto implica que la gobernanza debe moverse más cerca de las operaciones diarias. No puede quedarse solo en documentos de políticas, revisiones periódicas o estructuras de comités. Debe influir en las decisiones que las personas toman en los sistemas que usan cada día, ya sea aprobando un proveedor, desplegando una herramienta, manejando datos sensibles o respondiendo a una debilidad recién descubierta.

Aquí es donde la gobernanza se convierte en una capacidad empresarial práctica, más que en un ejercicio de cumplimiento. Un programa sólido debe ayudar a la organización a entender qué se ha encontrado, cuán grave es, quién es responsable de la respuesta, qué acción se está tomando y con qué rapidez se puede demostrar progreso.

Conclusión

Mythos importa porque apunta a un futuro en el que el descubrimiento de riesgos se vuelve más difícil de contener dentro de procesos de seguridad tradicionales. Encontrar debilidades antes permite una mayor probabilidad de abordarlas antes de que sean explotadas por atacantes, pero el descubrimiento por sí solo no es suficiente.

Las organizaciones que gestionen bien este cambio no serán necesariamente aquellas que descubran la mayor cantidad de problemas. Serán las que puedan decidir qué importa, asignar propiedad y actuar con la suficiente rapidez para reducir la exposición.

La IA está ampliando la brecha entre lo que las organizaciones saben y lo que pueden gobernar. Cerrar esa brecha decidirá si una mayor visibilidad se convierte en resiliencia o simplemente en otra fuente de presión.

Este artículo se produjo como parte de TechRadar Pro Perspectives, nuestro canal para presentar a las mentes más brillantes de la industria tecnológica hoy.

Las opiniones expresadas aquí son de la autora y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/pro/perspectives-how-to-submit

from Latest from TechRadar https://ift.tt/RvjySMV
via IFTTT IA