El mundo digital está cambiando rápidamente. Su ciberseguridad tiene que mantenerse al día.

¿De qué sirve la ciberseguridad?

La pregunta puede parecer básica, pero aborda uno de los problemas más importantes a los que se enfrentan las empresas de todo el mundo. De hecho, esta pregunta es tan importante porque, a pesar de los repetidos intentos de apuntalar los sistemas digitales en las últimas décadas, los riesgos de ciberseguridad siguen siendo generalizados.

Solo en 2022, un total de 4.100 filtraciones de datos divulgadas públicamente ocurrió, con unos 22 000 millones de registros que estuvieron expuestos. Todo esto a pesar de que las organizaciones de todo el mundo han batido récords 150 000 millones de dólares sobre ciberseguridad en 2021.

El software en sí mismo también está cambiando. El auge de la inteligencia artificial en general, y de la IA generativa en particular, está alterando radicalmente la forma en que las empresas utilizan el software. El creciente uso de la IA está, a su vez, haciendo que el software superficies de ataque más complicadas y el software en sí más vulnerable.

Entonces, ¿cómo deben proteger las empresas su software y sus datos?

La respuesta no es que la ciberseguridad sea un esfuerzo inútil, ni mucho menos. En cambio, lo que las empresas pretenden lograr con sus programas de seguridad debe evolucionar, al igual que ha evolucionado la forma en que las empresas utilizan los datos y el software. Ya es hora de que sus esfuerzos de ciberseguridad cambien también.

[

Insight Center Collection

Managing Cyber Risk

Exploring the challenges and the solutions.

](/insight-center/managing-cyber-risk)

Más específicamente, las empresas pueden adaptarse a las crecientes inseguridades del mundo digital haciendo tres cambios en la forma en que apuntalan su software:

Tres formas en las que las empresas pueden mejorar su ciberseguridad

En primer lugar, los programas de ciberseguridad ya no deben tener como objetivo principal evitar los fracasos.

Los sistemas de software, la IA y los datos en los que se basan todos son tan complejos y quebradizos que un fallo es, de hecho, un función de estos sistemas, no es un error. Como los propios sistemas de IA son intrínsecamente probabilísticos, por ejemplo, la IA es garantizado equivocarse a veces; sin embargo, lo ideal sería menos que los humanos. Lo mismo ocurre con los sistemas de software, no porque sean probabilísticos, sino porque a medida que su complejidad aumenta, también lo hacen sus vulnerabilidades. Por esta razón, los programas de ciberseguridad deben cambiar su enfoque de intentar impedir incidentes de detectar y responder a los fracasos cuando se producen inevitablemente.

Adoptar las denominadas arquitecturas de confianza cero, que se basan en el supuesto de que todos los sistemas pueden o se verán comprometidos por los adversarios, es una de las muchas formas de reconocer y responder a estos riesgos. El gobierno de los Estados Unidos incluso tiene una estrategia de confianza cero, que está implementando en todos los departamentos y agencias. Pero la adopción de arquitecturas de confianza cero es solo uno de los muchos cambios que tienen que producirse para aceptar los fallos en los sistemas de software. Las empresas también deben invertir más en sus programas de respuesta a los incidentes, hacer equipo rojo con su software e IA para varios tipos de fallos mediante la simulación de posibles ataques, reforzar la planificación interna de respuesta a los incidentes para los sistemas de software e IA tradicionales, y más.

En segundo lugar, las empresas también deben ampliar su definición de «fallo» de los sistemas de software y los datos para abarcar algo más que los riesgos de seguridad.

Los fallos digitales ya no están simplemente relacionados con la seguridad, sino que ahora implican muchos otros posibles daños, que van desde errores de rendimiento hasta problemas de privacidad, discriminación y más. De hecho, con la rápida adopción de la IA, la definición de incidente de seguridad en sí misma ya no está clara.

Los pesos (el «conocimiento» entrenado almacenado en un modelo) del modelo de IA generativa Llama de Meta, por ejemplo, se filtraron al público en marzo, dando a cualquier usuario la posibilidad de ejecutar el modelo multimillonario de parámetros en su portátil. La filtración puede haber empezado como un incidente de seguridad, pero también dio lugar a nuevos problemas de propiedad intelectual sobre quién tiene derecho a usar el modelo de IA (robo de propiedad intelectual) y socavó la privacidad de los datos con los que se entrenó el modelo (conocer los parámetros del modelo puede ayudar a recrear sus datos de entrenamiento y, por lo tanto, infringen la privacidad). Y ahora que es de libre acceso, el modelo se puede utilizar más ampliamente para crear y difundir desinformación. En pocas palabras, ya no hace falta que un adversario comprometa la integridad o la disponibilidad de los sistemas de software; los cambios en los datos, las interdependencias complejas y los usos no deseados de los sistemas de IA pueden provocar fallos por sí solos.

Por lo tanto, los programas de ciberseguridad no pueden relegarse a centrarse únicamente en los fallos de seguridad; esto, en la práctica, hará que los equipos de seguridad de la información sean menos eficaces con el tiempo a medida que aumente el alcance de los fallos de software. En cambio, los programas de ciberseguridad deben formar parte de esfuerzos más amplios centrados en la gestión general de los riesgos: evaluar cómo se pueden producir los fallos y gestionarlos, independientemente de si el fallo lo generó un adversario o no.

Esto, a su vez, significa que los equipos de seguridad de la información y gestión de riesgos deben incluir personal con una amplia gama de conocimientos más allá de la seguridad. Los expertos en privacidad, los abogados, los ingenieros de datos y otros tienen funciones clave que desempeñar en la protección del software y los datos de las amenazas nuevas y en evolución.

En tercer lugar, la monitorización de los fallos debe ser uno de los esfuerzos más prioritarios para todos los equipos de ciberseguridad.

Lamentablemente, este no es el caso actualmente. El año pasado, por ejemplo, se necesitaron empresas una media de 277 días, o aproximadamente 9 meses, para identificar y contener una infracción. Y es muy común que las organizaciones se enteren de las brechas y vulnerabilidades de sus sistemas no a través de sus propios programas de seguridad, sino a través de terceros. La dependencia actual de personas ajenas para la detección es en sí misma una admisión tácita de que las empresas no están haciendo todo lo que deberían para entender cuándo y cómo su software falla.

Lo que esto significa en la práctica es que cada sistema de software y cada base de datos necesita un plan de monitorización y unas métricas correspondientes para los posibles fallos. De hecho, este enfoque ya está ganando terreno en el mundo de la gestión de riesgos para los sistemas de IA. El Instituto Nacional de Estándares y Tecnología (NIST), por ejemplo, publicó su Marco de gestión de riesgos de la IA (AI RMF) a principios de este año, que recomienda explícitamente que las organizaciones mapeen los posibles daños que un sistema de IA puede generar y desarrollen el plan correspondiente para medir y gestionar cada daño. (Divulgación completa: recibí una beca del NIST para apoyar el desarrollo de la RMF de la IA). Aplicar estas mejores prácticas a los sistemas de software y las bases de datos en general es una forma directa de prepararse para los fallos del mundo real.

Sin embargo, esto no significa que terceros no puedan desempeñar un papel importante en la detección de los incidentes. Todo lo contrario: terceros tienen un papel importante que desempeñar en la detección de los fallos. Actividades como las «recompensas por errores», en las que se ofrecen recompensas a cambio de detectar los riesgos, son una forma comprobada de incentivar la detección de riesgos, al igual que las formas claras para que los consumidores o usuarios comuniquen los fallos cuando se producen. Sin embargo, en general, terceros no pueden seguir desempeñando el papel principal en la detección de los fallos digitales.

. . .

¿Son suficientes las recomendaciones anteriores? Seguro que no.

Para que los programas de ciberseguridad sigan el ritmo de la creciente gama de riesgos que crean los sistemas de software, queda mucho más por hacer. Se necesitan más recursos, por ejemplo, en todas las etapas del ciclo de vida de los datos y el software, desde supervisar la integridad de los datos a lo largo del tiempo hasta garantizar que la seguridad no sea una idea tardía, pasando por procesos como DevSecOps, un método que integra la seguridad a lo largo del ciclo de vida del desarrollo, y más. A medida que crezca el uso de la IA, los programas de ciencia de datos también tendrán que invertir más recursos en la gestión de riesgos.

Sin embargo, por ahora, los fracasos son cada vez más una característica principal de todos los sistemas digitales, ya que las empresas siguen aprendiendo por las malas. Los programas de ciberseguridad deben reconocer esta realidad en la práctica, si no simplemente porque ya es una realidad.