Chris Dimitriadis, Global Chief Strategic Officer de ISACA
La inteligencia artificial y la ciberseguridad son dos de los pilares en los que se está redefiniendo el mundo digital y condicionan desde la forma en que vivimos nuestras vidas hasta cómo trabajamos y mantenemos la privacidad.
Es en el umbral de estos campos interrelacionados donde existe la gran oportunidad -y responsabilidad- de equilibrar las posibilidades tecnológicas con prácticas de seguridad sólidas. Este enfoque es imprescindible para dar forma a un futuro digital seguro y productivo en el que se pueda aprovechar el poder transformador de la IA sin poner en riesgo nuestra privacidad, confianza y seguridad.
La inteligencia artificial es una tecnología disruptiva capaz de procesar grandes volúmenes de datos, identificar patrones y automatizar tareas complejas de forma inteligente, mejorando así la eficiencia en múltiples campos. No adoptar la IA debido a la incertidumbre que puede generar en algunas áreas puede resultar muy caro; debemos aprender a integrarla responsablemente, y hacerlo de forma segura, reconociendo que junto con sus beneficios vienen peligros reales.
La inteligencia artificial conlleva riesgos (como toda nueva tecnología) que necesitan ser abordados, y también posee la capacidad de causar disrupciones si no se utiliza de forma adecuada. Entre algunas de estas vulnerabilidades de la IA destacan las posibles violaciones de la privacidad, alterar el comportamiento de los sistemas asociados o el riesgo de que terceros impacten en los procesos de toma de decisiones. Y es que, cuando la IA es utilizada por adversarios, puede ser para amplificar la desinformación, violar la privacidad y/o ejecutar ciberataques con una precisión alarmante.
De hecho, una encuesta reciente de ISACA puso en evidencia que un sorprendente 61% de los profesionales de ciberseguridad temen que la IA generativa pueda ser utilizada maliciosamente. Este resultado subrayó la necesidad urgente de abordar los riesgos relacionados con la IA de forma proactiva. A medida que adoptamos la IA, mantener prácticas sólidas de ciberseguridad como marcos de garantía y monitorización de riesgos es crucial.
El ransomware continúa siendo una de las amenazas más generalizadas, y ninguna organización, independientemente de su tamaño o industria, está fuera de su alcance. Hoy en día, ha alcanzado un nivel de omnipresencia tal que ya no es una cuestión de "si" sino de "cuándo" una organización se enfrentará a uno. Los ciberdelincuentes están utilizando la IA para refinar sus tácticas, crear campañas de phishing más convincentes y explotar vulnerabilidades con precisión.
Para empresas de todos los tamaños, la resiliencia exige medidas proactivas que incluyan planes de respuesta y recuperación integrales. Sin embargo, el 58% de los profesionales de ciberseguridad indicaron, en la encuesta antes mencionada, que sus presupuestos están insuficientemente financiados, lo que impide a las organizaciones construir esas defensas. Además, el estudio muestra que el 41% de los encuestados han experimentado más ciberataques en comparación con el año pasado, lo que enfatiza la necesidad de medidas robustas de ciberseguridad que puedan resistir la marea creciente de amenazas digitales en evolución.
La brecha de habilidades es una de las principales barreras que nos encontramos en la actualidad a la hora de mejorar la ciberseguridad. A pesar del uso creciente de la IA en diversas industrias, solamente un pequeño porcentaje de profesionales se siente equipado con las habilidades necesarias para abordar los riesgos asociados a esta tecnología.
La encuesta de ISACA mostró que el 73% de las organizaciones cuentan con personal que utiliza IA, sin embargo, solo un tercio proporciona capacitación a puestos relacionados con la tecnología. Esta falta de formación estructurada deja a las organizaciones vulnerables a actores malintencionados que explotan la rápida evolución de esta tecnología.
Cubrir esta brecha requiere un cambio en el reclutamiento y desarrollo del talento, así como priorizar la formación continua de habilidades. Esto quiere decir que las organizaciones deberían expandir sus criterios de contratación para incluir un conjunto más amplio de habilidades que abarque el pensamiento crítico, la comunicación y la resolución de problemas. Estas cualidades son cruciales para entender y comunicar los riesgos de ciberseguridad dentro de una organización. Al invertir en una gama más amplia de talento, construimos un futuro digital más seguro en el que las personas y empresas están mejor equipadas para anticipar y neutralizar las amenazas cibernéticas.
En el contexto de la creciente tensión geopolítica que enfrenta el mundo hoy en día, también ha habido un aumento en los ciberataques patrocinados por naciones. Muchos de estos ataques tienen como objetivo infraestructuras críticas, y son a menudo tan insidiosos que no se detectan, o no se aprecia hasta qué punto pueden ser problemáticos, hasta mucho después de que un ataque haya causado daños considerables. Las amenazas van de la mano con infraestructuras digitales complejas, y las cadenas de suministro internacionales aumentan esas vulnerabilidades. Es por ello por lo que los gobiernos deben enfatizar la capacitación y las asociaciones que les ayuden a proteger estas infraestructuras contra tales amenazas avanzadas.
Sin embargo, ningún gobierno puede luchar sin asociarse con el sector privado: estas relaciones son clave para compartir recursos, inteligencia y experiencia que fortalezcan tanto las defensas de ciberseguridad nacionales como organizacionales. Ambos sectores deben cooperar para construir un entorno digital seguro que permita enfrentar la próxima generación de amenazas.
Los nuevos marcos regulatorios como DORA y la Directiva NIS2 en la UE, demuestran la voluntad de avanzar en términos de ciberseguridad y de protección de infraestructuras críticas. Estas iniciativas aseguran que la resiliencia digital sea un asunto empresarial, no solo técnico.
Para las empresas, cumplir con estos marcos proporciona una base para la estabilidad y seguridad, mejorando así la confianza pública y continuidad en las operaciones. ISACA desempeña un papel crucial al preparar a los profesionales con certificaciones como CISA, CISM y CRISC, que capacitan a los expertos en ciberseguridad para satisfacer las demandas de estas regulaciones en evolución. Esencialmente, preparan a los expertos en ciberseguridad para enfrentar este conjunto de regulaciones emergentes.
El equilibrio entre IA y ciberseguridad es el único enfoque que ayudará a abrir espacios para la innovación mientras se protegen contra amenazas emergentes. Es también la única manera de desarrollar completamente el potencial de la IA sin comprometer la ciberseguridad, al invertir en el desarrollo de habilidades, adoptar nuevas regulaciones y fomentar la colaboración intersectorial. Por lo tanto, éste sería un enfoque holístico en el que la IA o la ciberseguridad empoderan a las organizaciones, apoyan a los gobiernos y construyen un mundo digital innovador, resiliente y seguro.
***Chris Dimitriadis es Global Chief Strategic Officer de ISACA.