Los directores de seguridad de la información (CISO) impulsan reglas básicas de negocios para la inteligencia artificial (IA)

-

La responsabilidad de la inteligencia artificial en el lugar de trabajo ha subido rápidamente hasta la bandeja de entrada del director de seguridad de la información (CISO). Ninguna estrategia de ciberseguridad redactada hoy puede ignorar la promesa de procesos comerciales o los posibles peligros de seguridad que representa esta tecnología.

Para ayudar a los CISO a comprender el impacto interno de la IA en TI, un grupo de CISO está desarrollando una "guía rápida" que tiene como objetivo ayudar a sus colegas a establecer parámetros básicos para la integración de la tecnología en su pila de TI.

"Algunas organizaciones tienen una actitud mixta hacia la IA. Algunas la han bloqueado hasta que se establezca una estructura de gobernanza. Otros me dicen que están ansiosos por subirse al tren de la IA y comenzar a usarla", dijo Tom Scurrah, VP de contenido y programas de la Alianza de Ciberseguridad.

Hablando en la conferencia InfoSec World 2023, Scurrah dijo a los asistentes que los casos de uso comercial varían ampliamente para la IA según el perfil de riesgo de una empresa. Por esa razón, dijo que se necesita un primer borrador de una guía universal que describa los principios fundamentales de los casos de uso de la IA para los CISO.

Junto a Scurrah en el escenario se encontraban miembros del grupo de pares de la industria de la Alianza de Ciberseguridad CyberRisk Collaborative, que incluía a Jason Mortensen, arquitecto principal de seguridad de TI de Lenovo; Cheryl Nifong, CISO de la Universidad de Texas en Arlington; y Greg Berkin, CIO y CISO de Lisata Therapeutics.

Los panelistas eran miembros del recién formado Grupo de Trabajo de Seguridad de IA de la Alianza Colaborativa. La iniciativa se centra en los roles de CISO relacionados con la IA, orientando a los CISO en los fundamentos de la IA, desarrollando políticas de gobernanza en torno a la IA y creando entornos operativos seguros para la IA.

Junto con la "guía rápida" de un CISO para la adopción de la IA, la misión del grupo es crear una política de uso aceptable de la IA, controles de seguridad para modelos existentes, listas de verificación de evaluación de riesgos/controles y una plantilla para la sala de juntas, todo diseñado para hacer que el viaje de un CISO con la IA sea menos incierto.


De izquierda a derecha: Tom Scurrah, VP de contenido y programas de la Alianza de Ciberseguridad CyberRisk; Greg Berkin, CIO y CISO de Lisata Therapeutics; Cheryl Nifong: CISO de la Universidad de Texas en Arlington; Jason Mortensen, arquitecto principal de seguridad de TI de Lenovo.

A continuación, se muestra un resumen de las perspectivas sobre los usos comerciales de la IA de los tres panelistas.

Jason Mortensen, Arquitecto Principal de Seguridad de TI de Lenovo

Mortensen dijo que la IA representa una ventaja competitiva para Lenovo.

"Si no la estamos utilizando, nuestros competidores lo harán, y nos quedaremos atrás", dijo Mortensen, señalando que el equipo de seguridad debe actuar como facilitador y encontrar una forma de respaldar esta tecnología. Y una forma de hacerlo de manera segura es mantener un registro de cualquier proyecto de la empresa que utilice programas como ChatGPT.

Lenovo pide a los empleados que compartan una lista de expectativas al usar la IA, comparte directrices desarrolladas internamente y acuerda el acuerdo mediante una firma digital.

Mortensen dijo que esto permite a Lenovo comprender la intención de un empleado al usar la IA y emparejarlo con el personal de seguridad adecuado y orientación legal.

"También nos da visibilidad en toda la empresa", dijo. "Queremos asegurarnos de que no tengamos a muchas personas diferentes trabajando en el mismo problema... o queremos que colaboren juntos".

Otra medida para reducir el riesgo es prohibir el uso de versiones de herramientas de grado de consumo como ChatGPT. "Hay otras soluciones. Hay soluciones internas que hemos incorporado, hay [el] servicio Azure OpenAI donde básicamente se utiliza GPT. Pero es una instancia confinada específica de la organización", explicó Mortensen.

Una preocupación de alta prioridad es la filtración de datos. "No quiero que alguien vaya al ChatGPT gratuito y diga: 'Aquí está nuestra estrategia corporativa para los próximos ocho trimestres. Resúmame un plan de cómo vamos a llegar allí', y ahora eso está ahí", dijo Mortensen. También en la lista de preocupaciones de Lenovo: infracción de derechos de autor, riesgo de terceros y determinar si los empleados que alimentan datos en el motor de IA están realmente autorizados para ver dichos datos.

Cheryl Nifong: CISO, Universidad de Texas en Arlington

En un entorno universitario, no hay vuelta atrás a los días previos a ChatGPT, dijo Nifong.

Nifong y la CIO de la universidad, Deepika Chalemela, han creado un consejo ejecutivo de trabajo de IA para examinar el uso de la IA en la universidad. El objetivo es desarrollar controles y gobernanza de IA.

Las políticas de IA para los estudiantes, dijo, probablemente pronto incluirán conducta personal y cláusulas de plagio vinculadas al uso de la IA. Las barreras para el uso de la IA por parte de la facultad podrían incluir la definición de limitaciones en el tipo de datos compartidos con herramientas de IA generativa.

Nifong dijo que la nueva versión empresarial de ChatGPT de OpenAI es prometedora. Pero, por el momento, los miembros de la facultad "utilizan la IA, lo que hace necesario asegurarse de que los modelos de aprendizaje que están utilizando... estén aislados o protegidos dentro de nuestras fronteras".

Los controles de seguridad deben centrarse en los datos. "¿Qué datos está ingresando en una IA generativa?... ¿Y esos datos incluyen propiedad intelectual? ¿Incluyen datos confidenciales de nuestra empresa? Esa es una de nuestras mayores preocupaciones", dijo.

Al igual que Lenovo, el grupo de trabajo de IA de la universidad pronto distribuirá pautas básicas para los usuarios a medida que finaliza una estrategia más completa. La universidad también podría incorporar el uso de la IA en su capacitación anual de cumplimiento y capacitación de concienciación del usuario.

Greg Berkin, CIO, CISO y DPO, Lisata Therapeutics

La empresa farmacéutica Lisata Therapeutics ha pausado la inteligencia artificial generativa. Cita la seguridad y la discreción como razones para ello.

"Siendo una organización farmacéutica altamente regulada y cotizada en bolsa, no podemos correr riesgos asociados con el uso de la IA", dijo Berkin. Dijo que Lisata ha bloqueado el uso de aplicaciones de IA generativa. Esa posición no es probable que cambie hasta que la empresa tenga una imagen más clara de las posibles implicaciones de privacidad y pérdida de datos.

"Si existe la más mínima duda de que existe un riesgo de seguridad asociado, entonces no tengo duda de que no deberíamos usarlo en este momento", afirmó Berkin enfáticamente.

"Necesitamos preocuparnos por la seguridad y eficacia de nuestros datos y registros de salud de los pacientes", dijo Berkin. "Entiendo que las personas quieran usarlo y ayudar a beneficiar al negocio. Pero no estoy tomando ese riesgo. No estoy poniendo mi trabajo en peligro para que alguien pueda escribir un correo electrónico más rápido o desarrollar algún modelo más rápidamente".

La postura cautelosa de Lisata se extiende incluso a los asistentes de IA, como la nueva herramienta Microsoft 365 Copilot. "Hemos encontrado una forma de... desactivar o retrasar el lanzamiento de esto en los puntos finales hasta que podamos determinar mejor lo que va a hacer desde el punto de vista comercial o de seguridad", dijo Berkin.

Berkin expresó preocupación acerca de que aún más proveedores de software introduzcan capacidades de IA generativa en sus aplicaciones, sin que sus usuarios estén verdaderamente informados o adecuadamente educados en estas funciones. "Los usuarios no se dan cuenta de que cualquier aplicación que hayan estado utilizando tiene IA incorporada", dijo Berkin, señalando que algunos proveedores están cambiando los términos y condiciones para poder recopilar, analizar y aplicar la IA a los datos de sus clientes. "Ya te has registrado para ello y ahora están cambiando las reglas con las que juegan", dijo.

Sin embargo, la postura firme de Lisata contra la IA podría suavizarse con el tiempo. "No estoy diciendo que no vayamos a abrir las compuertas, por así decirlo, más adelante", dijo Berkin. "Escuchando a algunos de los abogados [en la conferencia] hablar en los últimos días, estoy seguro de que estarán encantados de tomar nuestro dinero y trabajar en el marco y los procesos y la legitimidad y la jerga legal detrás de la IA. Pero aún no estamos listos para eso". 


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó ChatGPT, al ser una traducción automática puede contener errores gramaticales o de otro tipo, favor enviar comentarios al moderador para corregir.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Falsos sitios de DocuSign y Gitcode propagan NetSupport RAT mediante ataque PowerShell en múltiples etapas

-
Imagen
Cazadores de amenazas están alertando sobre una nueva campaña que utiliza sitios web falsos para engañar a usuarios desprevenidos y hacer que ejecuten scripts maliciosos de PowerShell en sus máquinas, infectándolas con el malware NetSupport RAT. El equipo de Investigaciones de DomainTools (DTI) informó que identificó “scripts PowerShell maliciosos en múltiples etapas” alojados en sitios trampa que se hacen pasar por Gitcode y DocuSign. “Estos sitios intentan engañar a los usuarios para que copien y ejecuten un script inicial de PowerShell desde el comando ‘Ejecutar’ de Windows”, indicó la empresa en un informe técnico compartido con The Hacker News. “Al hacerlo, el script de PowerShell descarga otro script que actúa como descargador y lo ejecuta en el sistema, lo que a su vez recupera cargas útiles adicionales y las ejecuta, instalando finalmente NetSupport RAT en las máquinas infectadas.” Ciberseguridad Se cree que estos sitios falsos se propagan mediante tácticas de ingeniería so...
Leer más

El FBI advierte sobre suplantación de correo electrónico por parte del actor de amenazas norcoreano Kimsuky

-
Imagen
El actor de amenazas norcoreano Kimsuky está aprovechando nuevas tácticas de suplantación de correo electrónico en sus recientes campañas de spearphishing, advirtieron conjuntamente el Buró Federal de Investigaciones (FBI), el Departamento de Estado de EE. UU. y la Agencia de Seguridad Nacional (NSA) el jueves en un aviso conjunto . Kimsuky, también conocido como Emerald Sleet o APT43, es una subunidad de la Oficina General de Reconocimiento (RGB) del ejército norcoreano y es conocido por sus campañas de spearphishing destinadas a recopilar inteligencia sobre asuntos que afectan los intereses norcoreanos. Esto incluye información sobre eventos geopolíticos y las estrategias de política exterior de los adversarios de Corea del Norte. El modus operandi del grupo es hacerse pasar por periodistas legítimos, grupos de expertos, académicos y otros expertos en asuntos del este asiático, convenciendo a las víctimas de abrir enlaces o documentos maliciosos bajo el pretexto de ofrecer una entrev...
Leer más

Resumen de los Principales Acontecimientos en Ciberseguridad de 2024

-
Imagen
El año 2024 ha sido testigo de eventos significativos en el ámbito de la ciberseguridad, marcados por avances tecnológicos, amenazas emergentes y respuestas regulatorias. Aumento de los Ataques de Ransomware  The Verge El ransomware continuó siendo una amenaza predominante. Grupos como LockBit llevaron a cabo ataques a gran escala, afectando a más de 2,500 entidades en al menos 120 países, incluyendo 1,800 en los Estados Unidos. Estos ataques resultaron en pérdidas financieras significativas y comprometieron datos sensibles de diversas organizaciones. Avances en la Regulación y Responsabilidad de las Empresas Tecnológicas  The Verge La propuesta de la Ley de Seguridad en Línea para Niños (KOSA) en los Estados Unidos buscó aumentar la responsabilidad de las empresas de redes sociales en la protección de los menores en línea. Aunque enfrentó desafíos legislativos, reflejó una tendencia global hacia una mayor regulación de las plataformas digitales para salvaguardar a los usuario...
Leer más