Últimamente hay un tema en común en boca de todos: la Inteligencia Artificial generativa. Su uso e implementación a nivel empresarial ya ha probado innumerables beneficios, desde la creación de contenido único, la gestión de tareas administrativas o repetitivas para que los profesionales se centren en actividades de mayor valor, el apoyo con la redacción de código, la detección precoz de enfermedades raras... ¡y sigue! Pero, como toda nueva tecnología que llega, surge la incertidumbre en el ámbito de la seguridad: estafas online, suplantación de identidad, campañas de desinformación. Es por ello que -desde AWS- defendemos la adopción de una cultura de seguridad que impregne toda la organización, para que todos los eslabones (empleados, proveedores, partners) sean fuertes y estén alineados, siendo capaces de identificar y -en caso de ser necesario- reaccionar ante cualquier posible ataque. Como siempre decimos, la seguridad es nuestra mayor prioridad, y nuestro principal objetivo es proteger los datos de nuestros clientes.
Con este objetivo, hemos elaborado esta sencilla guía que explica cómo construir un equipo de seguridad eficiente en una era en la que converge la Inteligencia Artificial.
Paso 1) Hacer que la seguridad sea una responsabilidad de todos
Primero lo primero: la seguridad ya no es solo para el equipo de seguridad, ni para el equipo de TI. Todos, desde el CEO de la compañía hasta el becario, juegan un papel en mantener a la organización segura.
La seguridad es un trabajo colaborativo que tiene muchas similitudes a las patrullas de vecinos protegiendo los barrios. Todos tenemos que cuidar y todos tenemos que avisar y alertar a los equipos de seguridad. Si viste algo sospechoso, repórtalo. Para los equipos de seguridad es preferible investigar 100 casos que probablemente no sean nada, que ignorar un caso que pueda suponer un riesgo. El equipo de seguridad debe ser amigable, y accesible, ayudando siempre a quien reporta un potencial incidente, y sin penalizar jamás a nadie por reportar algo que finalmente quedó en nada.
El CEO debe hacer de la seguridad la prioridad máxima de la compañía, así como dijo Andy Jassy, CEO de Amazon: "La seguridad es nuestra prioridad máxima". Esto resuelve muchos conflictos, ya que ante una decisión donde está realmente en peligro la seguridad, sea por algún beneficio o presión del negocio, en lugar de "aceptar el riesgo" y avanzar como si no existiera, se "mitiga".
Cada uno de los equipos de desarrollo es "dueño" y responsable de la seguridad de lo que producen. El equipo de seguridad se encargará de controlar y monitorizar amenazas, pero la falta de conocimiento de prácticas seguras de desarrollo por parte de los programadores ha sido históricamente una fuente de dolores de cabeza para muchas organizaciones.
¿Cómo hacerlo?
- Fomenta una cultura de seguridad, explicándoles a todos los equipos que ellos también son responsables de la seguridad de la compañía.
- Incluye temas de seguridad en las reuniones del equipo.
- Ofrece sesiones interactivas de formación en seguridad regularmente. Amazon publicó su "Formación de concienciación sobre seguridad cibernética" (gratuitamente en 13 idiomas incluyendo el español) para seguridad en la nube: AWS Skill Builder puede ayudar.
- Felicita a los miembros del equipo que detecten posibles problemas de seguridad, priorizando la transparencia sobre la apariencia de que todo está siempre bien.
- Crea un programa de "embajadores de seguridad" y premiando a quienes elijan aprender “un poco más” y enseñar a sus equipos sobre seguridad, con actividades de competencias amenas, y un sentido de comunidad entre ellos.
Paso 2) Forma a tus equipos sobre el uso responsable de la IA generativa
Agrega programas de uso responsable de AI generativa es esencial para los equipos que desarrollan productos, servicios y aplicaciones con esta tecnología. Incorporar una perspectiva diversa y a colaboradores con diferente experiencia ayudará a hacer un uso de la IA generativa más responsable. Esto, sumado a inclusión de controles de seguridad adicionales, como un segundo factor de autenticación, podría mejorar la aplicación para los usuarios.
¿Cómo hacerlo?
- Enseña a tus equipos que, al hacer más seguras las aplicaciones de IA generativa, lo mejor es incluir un segundo factor de autenticación, como un token o un email de verificación.
- Quienes construyan aplicaciones con IA Generativa deberán formarse sobre cómo construir de forma responsable.
Paso 3) Piensa en la seguridad como el arma secreta de tu negocio
¿Cómo de rápido conducirías un vehículo si frenara solo al acaba su inercia? Las medidas de seguridad sólidas ayudan a las empresas a innovar más rápido y con más confianza. Así como los frenos de un coche nos permiten ir más rápido, los equipos de seguridad bien entrenados nos permiten innovar de forma más rápida y segura.
¿Cómo hacerlo?
- Anima a tus equipos tecnológicos a explorar nuevas herramientas de IA teniendo en cuenta la seguridad.
- Involucra a los equipos de seguridad en el diseño de las soluciones desde el inicio.
- Aprovecha la IA para facilitar las tareas de seguridad (como analizar los registros de seguridad en busca de anomalías).
Paso 4) Dale a tu equipo las herramientas adecuadas
De la misma manera en que no enviarías a un caballero a la batalla sin armadura, no dejes a tu equipo desprotegido en el mundo digital. Equípalos con las herramientas y conocimientos de seguridad adecuados.
¿Cómo hacerlo?
- Implementa autenticación multifactorial (es como tener una cerradura adicional en tu puerta digital).
- Pon a disposición de tu equipo servicios de IA que tengan características de seguridad integradas, como Amazon Bedrock, que no permite el aprendizaje de los modelos con tus datos.
- Utiliza el cifrado para proteger los datos confidenciales.
- Proporciona herramientas de seguridad fáciles de usar que funcionen integradas con tus aplicaciones de IA.
Paso 5) Mantén vivos la curiosidad y el aprendizaje continuo
El mundo de la tecnología y la seguridad está en continuo cambio. Anima a tu equipo a mantener la curiosidad y seguir aprendiendo sobre nuevas amenazas y soluciones de seguridad.
¿Cómo hacerlo?
- Suscríbete a boletines de seguridad y comparte artículos interesantes.
- Anímalos a asistir a seminarios web o conferencias sobre IA y seguridad.
- Configura un canal de comunicación para que los miembros del equipo compartan consejos de seguridad y noticias.
- Quienes construyan aplicaciones deberán participar en formaciones y prácticas de desarrollo seguro. Y, si desarrollan aplicaciones que utilizan GenAI, deberán estudiar los riesgos explicados en el OWASP Top 10 para Large Language Models (LLMs).
- Tu equipo de seguridad deberá realizar una formación continuada sobre las nuevas tendencias y el arte de lo que hoy en día es posible con IA generativa.
Recuerda, crear un equipo de seguridad eficiente en la era de la IA pasa por empoderar a tus equipos para que innoven y evolucionen con confianza. Al hacer de la seguridad una parte del ADN de tu empresa, no solo estás manteniendo a los malos actores afuera; también estás abriendo puertas a nuevas y emocionantes posibilidades en el mundo de la IA, y más allá.
