Dado que el uso global y permanente de la IA generativa casi se duplicó durante el año pasado, según McKinsey, la rápida adopción ha creado un nuevo objetivo lucrativo para los ciberdelincuentes. Si bien las soluciones disponibles en el mercado han sido una gran parte de esta adopción, las organizaciones que ven el poder de respuestas afinadas y específicas para el negocio han asignado una gran cantidad de presupuesto para entrenar sus propios modelos de IA.
Las innovaciones continuas, como la inteligencia artificial, significan que la adopción no hace más que aumentar. La considerable autonomía de la IA que le permite tomar decisiones, planificar acciones y aprender de sus experiencias en el contexto específico de un negocio, la hace aplicable a todas las funciones empresariales.
Sin embargo, en medio del entusiasmo que rodea a la inteligencia artificial, existen considerables riesgos de seguridad cibernética que con demasiada frecuencia no se tienen en cuenta. Al adoptar cada nueva solución de software, las empresas introducen un nuevo vector de ataque para los ciberdelincuentes. El problema con los modelos de IA desarrollados internamente es que son esencialmente un depósito de los datos más valiosos de una empresa, que van desde propiedad intelectual, datos de clientes y empleados y secretos comerciales, lo que los convierte en un objetivo muy atractivo.
Este software se ejecuta desde hardware probablemente ubicado en un centro de datos, por lo que los líderes empresariales deben asegurarse de estar equipados con las herramientas adecuadas para controlar todos los aspectos de su red y garantizar que los datos confidenciales de la empresa estén seguros en los nuevos vectores de ataque que están adoptando.
CEO y cofundador de Ricitos de Oro.
El desafío a los marcos existentes
El hecho es que las configuraciones de seguridad existentes en muchas empresas actualmente no son adecuadas para su propósito. Durante años, los departamentos de TI vieron la ciberseguridad como un obstáculo de cumplimiento más que como una forma de proteger los datos de la empresa. Esto ha llevado a una dependencia excesiva de las defensas perimetrales y las soluciones de inicio de sesión único, lo que puede crear una falsa sensación de seguridad para las organizaciones que creen que el cumplimiento es igual a la seguridad.
Las soluciones de software y los enfoques más tradicionales para la seguridad de la información, como los firewalls, todavía tienen un lugar en la protección de la seguridad de la información de una empresa, pero se requiere una mayor profundidad de protección para garantizar que las operaciones se desarrollen sin problemas. La IA, aunque poderosa, sigue siendo un tipo de software que se ejecuta en hardware que normalmente se encuentra en un centro de datos. Los centros de datos son entornos complejos y sensibles. Factores como los requisitos de energía, los sistemas de refrigeración y la seguridad física convierten a estas instalaciones en objetivos principales. Además, la naturaleza del desarrollo y la implementación de la IA requiere acceso y actualizaciones frecuentes. Esto requiere un control estricto sobre quién puede acceder a estos sistemas y cuándo. Las organizaciones deben asegurarse de contar con el marco adecuado para garantizar que sus modelos de IA funcionen correctamente y estén protegidos en todos los niveles de operación.
Segmentación física: establecer control y protección
Muchos ya tendrán instalados algunos de los componentes necesarios. Lo que a menudo falta es una primera y una última capa de defensa que se pueda establecer mediante la segmentación de la red física. Utilizando un enfoque basado en hardware, la segmentación de la red física permite a los usuarios segmentar todos los activos digitales de forma remota, instantánea y sin el uso de Internet. Con solo hacer clic en un botón, desde cualquier parte del mundo, las organizaciones pueden utilizar esta tecnología para aislar físicamente el segmento seleccionado de la red general, desconectándolo de Internet. Esta tecnología actúa como guardián de la IA, controlando el acceso y garantizando que se puedan aprovechar sus beneficios. Para las empresas que utilizan inteligencia artificial, esto puede ofrecer los siguientes beneficios:
1. Mejorar la seguridad y reducir el riesgo
En el contexto de la protección de un modelo de inteligencia artificial, este tipo de protección puede actuar como guardián, evitar que la inteligencia artificial envenene la empresa y evitar el uso de la inteligencia artificial con fines maliciosos.
Sin conexión a Internet, se puede utilizar la segmentación de la red física para desconectar el modelo, evitando un ciberataque o un acceso no deseado. Esto ocultará los activos de la vista y mejorará la profundidad de defensa existente de una organización. Para los modelos de IA, la segmentación de la red se puede utilizar para mantener los componentes fuera de línea hasta que sean necesarios, lo que reduce enormemente el tiempo que un pirata informático necesita para acceder al software.
Las organizaciones pueden dudar en adoptar este enfoque, asumiendo que causará interrupciones en las operaciones. Pero ese no tiene por qué ser el caso. La clave es implementar un proceso que especifique tiempos inteligentes y bien considerados. Un modelo de IA generativa no necesita necesariamente estar conectado a Internet las 24 horas del día, los 7 días de la semana para funcionar bien. Se requiere conexión durante un breve período en el que los usuarios envían un mensaje. Una vez enviado, el modelo se puede desconectar y volver a conectar después de que se haya generado la respuesta y debe devolverse. Este breve período de tiempo apenas es suficiente para que un ciberdelincuente pueda replicar el modelo y hacerse con datos confidenciales de la empresa. En términos de experiencia del usuario, el tiempo necesario para conectarse y volver a conectarse debería ser lo suficientemente corto como para que los humanos no se den cuenta del retraso.
2. Asistencia para el cumplimiento normativo
Los gobiernos de todo el mundo se están adaptando a la sensibilidad de los datos. Dado que los modelos de IA contienen tal variedad de datos confidenciales, todos los ojos están puestos en las empresas para demostrar que están haciendo todo lo posible para evitar un ataque o piratería. Dada la falta de regulación específica de la IA, es difícil saber por dónde empezar. La segmentación de la red física puede respaldar el cumplimiento general porque no hay mejor esfuerzo que mantener los datos confidenciales completamente fuera de Internet o separarlos físicamente durante un ataque.
3. Respuesta y recuperación efectivas ante incidentes
En caso de un ciberataque, la segmentación reactiva de la red se puede utilizar para retrasar la propagación de los ataques y aislar rápidamente los activos y datos comprometidos, evitando de manera efectiva un mayor acceso de los piratas informáticos. Durante el proceso de recuperación, los líderes tendrán la capacidad de reconectar rápidamente segmentos aislados, seguros y conocidos después de un ataque, lo que permitirá garantizar que los modelos de IA se puedan utilizar lo antes posible y garantizar la restauración de los servicios.
Mirando hacia adelante
Con cada vez más modelos de inteligencia artificial entrenados internamente, es probable que los ciberdelincuentes comiencen a apuntar a estos depósitos de datos confidenciales. Una vez que tienen acceso a la IA, se pueden causar todo tipo de estragos al poder replicar los datos, envenenar el modelo para crear reacciones dañinas o bloquearlo con ransomware, causando un daño significativo a la sociedad.
Las organizaciones deben poder aprovechar con confianza el poder de la IA sin comprometer la seguridad. Al implementar un marco que permite el control individual de áreas a través de la segmentación de la red, los líderes empresariales no solo pueden mitigar las amenazas, sino también establecer procesos efectivos de respuesta y recuperación al tiempo que garantizan el máximo rendimiento empresarial.
Hemos establecido una lista completa de las mejores herramientas de inteligencia artificial.
Este artículo se produjo como parte del canal Expert Insights de TechRadarPro, donde mostramos las mejores y más brillantes mentes de la industria tecnológica actual. Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si estás interesado en donar, descubre más aquí: