
Las empresas están corriendo para adoptar e operacionalizar la IA, pero muchas la despliegan con una velocidad que supera su capacidad de gobernanza. Esta brecha se está convirtiendo de forma silenciosa en uno de los mayores riesgos de seguridad que enfrentan las organizaciones hoy en día.
Los agentes de IA se integran en flujos de trabajo diarios mientras los equipos buscan eficiencia, y la alta dirección presiona para automatizar procesos con mayor rapidez. Sin embargo, bajo este impulso percibido existe una realidad más incómoda: las empresas aún carecen de visibilidad clara sobre cómo se comportan estos sistemas una vez desplegados.
Los equipos de seguridad deben dar un paso atrás y replantear qué significa una gobernanza adecuada en un mundo donde los sistemas de IA operan con acceso autónomo, permisos heredados y visibilidad limitada.
La confianza está adelantándose a la verificación
Es comprensible que muchas organizaciones vean el despliegue exitoso de IA como prueba de que están listas para escalar la IA en toda la empresa. Estudios recientes muestran que el 87% de las organizaciones cree que su postura de gestión de identidades está preparada para apoyar la automatización impulsada por IA. Sin embargo, al mismo tiempo, el 46% admite que su gobernanza de identidades queda por detrás.
Esta contradicción está en el centro de la paradoja de seguridad de la IA. El problema principal es que las organizaciones otorgan a los sistemas de IA niveles cada vez mayores de acceso y autonomía antes de haber establecido formas claras de monitorear o verificar su comportamiento. Si nadie puede explicar por qué un agente de IA tomó una acción, qué permisos heredó, qué sistemas accedió y si ese comportamiento era realmente intencionado, la gobernanza se volverá reactiva en lugar de preventiva.
Los agentes de IA socavan los fundamentos tradicionales de gobernanza de identidades
Desafortunadamente, asegurar estas nuevas identidades de IA no ocurrirá de la noche a la mañana, ya que los modelos de gobernanza heredados no están preparados para los retos actuales. La gestión tradicional de identidades se basaba en cuatro supuestos clave: comportamiento predecible, intención humana y permisos acotados. La IA con agencia cambia los cuatro. Los equipos de seguridad ya comprenden los riesgos de los agentes de IA y de las identidades no humanas; el problema es que las realidades operativas están obligando a muchas organizaciones a aceptar esos riesgos de todos modos.
La investigación muestra que el 73% de las organizaciones considera que el acceso permanente para los agentes de IA aumenta el riesgo de seguridad. En otras palabras, los líderes reconocen los peligros de otorgar a los sistemas de IA privilegios, pero se sienten presionados a priorizar la rapidez y la eficiencia operativa de todas formas.
Crucialmente, el problema de gobernanza va más allá del riesgo. El hecho de que el 80% de las organizaciones diga que no puede determinar siempre por qué un agente de IA realizó una acción privilegiada sugiere un desafío fundamental. Eso genera una gobernanza completamente distinta a la que existía en la gestión tradicional de identidades. Los humanos pueden justificar la intención, el contexto o la toma de decisiones, pero los sistemas autónomos no.
La IA sombra se está convirtiendo en infraestructura operativa
El uso de IA en el entorno laboral ha dejado de ser cosa de unos pocos empleados que experimentan con ChatGPT. Ahora, la tecnología está profundamente integrada en los sistemas de producción, los flujos de trabajo y los datos empresariales. La magnitud del problema es significativa: el 53% de las organizaciones dicen encontrarse regularmente con herramientas o agentes de IA no sancionados que acceden a sistemas o datos de la empresa, pero solo el 28% pueden detectar la IA sombra en tiempo real.
En la práctica, las empresas están permitiendo que contratistas desconocidos se muevan por sus pasillos con una visibilidad limitada de hacia dónde van, qué hacen y a qué tienen acceso. Este cambio obliga a las organizaciones a replantear las prioridades de seguridad tradicionales y a centrarse en la monitorización y validación continua.
Como resultado, las empresas deben empezar a enfocarse en qué tan eficazmente pueden monitorear y verificar qué acceden sus sistemas de IA y si ese acceso sigue siendo adecuado.
Solucionar la contradicción de gobernanza
Sabemos que las organizaciones no pueden permitirse frenar la adopción de IA por los incentivos competitivos y operativos. Pero tampoco pueden ampliar el acceso y los permisos de IA más rápido de lo que pueden asegurarlos.
Esto implica llevar la seguridad de identidades al centro de las estrategias de gobernanza de IA. Aunque gran parte de las discusiones sobre el riesgo de IA se enfocan en modelos, regulación y privacidad de datos, lo importante es que el desafío operativo real se sitúa cada vez más entre los permisos heredados y la confianza no gestionada entre sistemas.
Para los líderes, la primera prioridad debe ser mejorar la visibilidad en lugar de añadir más controles. Necesitan entender qué identidades de IA existen en la organización, a qué sistemas pueden acceder, cómo se heredan los permisos y dónde se han acumulado privilegios permanentes con el paso del tiempo.
Las organizaciones también deben abandonar los modelos de privilegios persistentes en favor de modelos más dinámicos que proporcionen acceso temporal solo cuando sea necesario.
En última instancia, las organizaciones que obtendrán mayores beneficios de la IA serán aquellas que sepan entender, gobernar y validar los sistemas que utilizan.
Desplegar automatización lo más rápido posible puede generar victorias rápidas, pero hacerlo sin las medidas de gobernanza adecuadas podría acarrear problemas futuros.
Este artículo forma parte de TechRadar Pro Perspectives, nuestra vía para presentar las mentes más brillantes de la industria tecnológica actual.
from Latest from TechRadar https://ift.tt/4XaJRU6
via IFTTT IA