Últimamente todo se trata de Inteligencia Artificial generativa, esta tecnología inteligente que puede ser muy útil para crear contenido, responder preguntas e incluso escribir código. ¡increíble!, ¿verdad? Pero a medida que nos sumergimos en este nuevo y emocionante mundo de nuevas posibilidades, debemos saber que se crearon también nuevas posibilidades para adversarios que tenemos que conocer, para no caer en sus engaños, y que deberemos reforzar nuestras defensas para mantener nuestros datos seguros.
Entonces, para tener esto en cuenta, te dejamos esta guía rápida para construir un equipo de seguridad eficiente en esta era impulsada por la Inteligencia Artificial.
Paso 1) Hacer que la seguridad sea una responsabilidad de todos
Primero lo primero: la seguridad ya no es solo para el equipo de seguridad, ni para el equipo de TI. Todos, desde el CEO de la compañia hasta el becario, juegan un papel en mantener a la organización segura.
La seguridad es un trabajo colaborativo que tiene muchas similitudes a las patrullas de vecinos protegiendo los barrios. Todos tenemos que cuidar y todos tenemos que avisar y alertar a los equipos de seguridad. Si viste algo sospechoso, reportalo. Para los equipos de seguridad es preferible investigar 100 casos que quedaron nada, que ignorar un caso que era algo. El equipo de seguridad debe ser amigable, y fácil de acercarse con quien reporta un potencial incidente y nunca debe haber una penalidad por reportar algo que finalmente descubrieron que no era nada preocupante.
El CEO debe establecer la seguridad como la prioridad máxima de la compañía, así como dijo Andy Jassy, CEO de Amazon: "La seguridad es nuestra prioridad máxima". Esto resuelve muchos conflictos, ya que ante una decisión donde está realmente en peligro la seguridad o por algún beneficio, o presión del negocio, en lugar de "aceptar el riesgo" y avanzar como si no existiera, se mitiga.
Cada uno de los equipos de desarrollo es "dueño" y responsable de la seguridad de lo que producen. El equipo de seguridad hará su parte en controlar y monitorear amenazas, pero la falta de conocimiento de prácticas de desarrollo seguro por los programadores ha sido historicamente una fuente de dolores de cabeza para muchas organizaciones.
¿Cómo hacerlo?
- Fomentar una cultura de seguridad, explicándole a todos los equipos que son responsables también de la seguridad.
- Incluir temas de seguridad en las reuniones del equipo.
- Ofrecer sesiones interactivas de capacitación en seguridad regularmente. Amazon publicó su "Formación de concienciación sobre seguridad cibernética" (gratuita en 13 idiomas incluyendo el español) para seguridad en la nube, AWS Skill Builder puede ayudar.
- Felicitar a los miembros del equipo que detecten posibles problemas de seguridad, fomentando la transparencia por sobre la apariencia de que todo está siempre bien.
- Crear un programa de "embajadores de seguridad" premiando a quienes elijan aprender un poco más y enseñar a sus equipos sobre seguridad, con compentencias lúdicas y un sentido de comunidad entre ellos.
Paso 2) Entrena a tus equipos sobre el uso responsable de la IA generativa
Agregar programas de uso responsable de IA generativa, es esencial para los equipos creando productos, servicios y aplicaciones con esta tecnología. Incorporar una perspectiva diversa y a colaboradores con diferente experiencia, te va a ayudar a hacer un manejo de la IA generativa, más responsable. Esto, sumado a incluir controles de seguridad adicionales, como un segundo factor de autenticación, podría mejorar la aplicación para los usuarios.
¿Cómo hacerlo?
- Enseña a tus equipos que al hacer más segura las aplicaciones de IA generativa, lo mejor es incluir un segundo factor de autenticación como un token, o que te envíe un correo es decir un factor que dependa de “algo que tiene” o de “algo que sabe”.
- Quienes construyan aplicaciones con IA Generativa deberán capacitarse sobre cómo construir de forma responsable.
Paso 3) Piensa en la seguridad como el arma secreta de tu negocio
¿Qué tan rápido conducirías un auto que solo se frena cuando se acaba su inercia? Las medidas de seguridad sólidas ayudan a las empresas a innovar más rápido y con más confianza. Así como los frenos de un auto nos permiten ir más rápido, los equipos de seguridad bien entrenados nos permiten innovar de forma más rápida y segura.
¿Cómo hacerlo?
- Animar a tus equipos tecnológicos a explorar nuevas herramientas de IA teniendo en cuenta la seguridad.
- Involucrar a los equipos de seguridad de manera temprana en el diseño de las soluciones.
- Aprovechar la IA para facilitar las tareas de seguridad (como analizar los registros de seguridad en busca de anomalías).
Paso 4) Dale a tu equipo las herramientas adecuadas
De la misma manera en que no enviarías a un caballero a la batalla sin armadura, no dejes a tu equipo desprotegido en el mundo digital. Equípalos con las herramientas y conocimientos de seguridad adecuados.
¿Cómo hacerlo?
- Implementar autenticación multifactorial (es como tener una cerradura adicional en su puerta digital).
- Poner a disposición de tu equipo servicios de IA que tengan características de seguridad integradas como Amazon Bedrock que no permite el aprendizaje de los modelos con tus datos.
- Utilizar el cifrado para proteger los datos confidenciales.
- Proporcionar herramientas de seguridad fáciles de usar que funcionen integradas con sus aplicaciones de IA.
Paso 5) Mantén la curiosidad y el aprendizaje continuo vivo
El mundo de la tecnología y la seguridad siempre está cambiando. Anima a tu equipo a mantener la curiosidad y seguir aprendiendo sobre nuevas amenazas y soluciones de seguridad.
¿Cómo hacerlo?
- Suscríbirte a boletines de seguridad y comparte artículos interesantes.
- Animar a los equipos a asistir a seminarios web o conferencias sobre IA y seguridad.
- Configurar un canal de comunicación para que los miembros del equipo compartan consejos de seguridad y noticias.
- Quienes construyan aplicaciones deberán participar de capacitaciones sobre prácticas de desarrollo seguro, y si desarrollan aplicaciones que aprovechan GenAI, deberán estudiar los riesgos explicados en el OWASP Top 10 para Large Language Models (LLMs).
- Tu equipo de seguridad deberá estar capacitándose sobre las nuevas tendencias y el arte de lo posible hoy en día con IA generativa, continuamente.
Recuerda, crear un equipo de seguridad eficiente en la era de la IA consiste en empoderar a tus equipos para que innoven y evolucionen con confianza. Al hacer de la seguridad una parte del ADN de tu empresa, no solo estás manteniendo a los malos actores afuera; estás abriendo puertas a nuevas y emocionantes posibilidades en el mundo de la IA y más allá.