Los CISO se encuentran más involucrados en equipos de IA, a menudo liderando el esfuerzo interfuncional y la estrategia de IA. Pero no hay muchos recursos para guiarlos sobre cómo debería ser su papel o cómo deberían aportar a estas reuniones.
Hemos reunido un marco para que los líderes de seguridad ayuden a empujar a los equipos y comités de IA más a la adopción de IA, lo que los proporciona con la visibilidad necesaria y las barandillas para tener éxito. Conozca el marco claro.
Si los equipos de seguridad quieren desempeñar un papel fundamental en el viaje de IA de su organización, deben adoptar los cinco pasos claros para mostrar un valor inmediato a los comités de IA y al liderazgo:
- do – Crear Un inventario de activos de IA
- L – Aprender Lo que están haciendo los usuarios
- mi – Hacer cumplir Tu política de IA
- A – Aplicar Casos de uso de IA
- Riñonal – Reutilizar marcos existentes
Si está buscando una solución para ayudar a aprovechar Genai de forma segura, consulte Seguridad armónica.
Muy bien, desglosemos el marco claro.
Crear un inventario de activos de IA
Un requisito fundamental en los marcos regulatorios y de mejores prácticas, incluida la Ley de AI de la UE, ISO 42001 y NIST AI RMF, mantiene un inventario de activos de IA.
A pesar de su importancia, las organizaciones luchan con métodos manuales e insostenibles para rastrear herramientas de IA.
Los equipos de seguridad pueden adoptar seis enfoques clave para mejorar la visibilidad de los activos de IA:
- Seguimiento basado en adquisiciones – Efectivo para monitorear nuevas adquisiciones de IA, pero no detecta las características de IA agregadas a las herramientas existentes.
- Reunión de registro manual -Analizar el tráfico y los registros de la red puede ayudar a identificar la actividad relacionada con la IA, aunque no tiene la intención de IA basada en SaaS.
- Seguridad en la nube y DLP – Las soluciones como CASB y Netskope ofrecen cierta visibilidad, pero las políticas de aplicación siguen siendo un desafío.
- Identidad y oauth – Revisar registros de acceso de proveedores como Okta o Entra puede ayudar a rastrear el uso de la aplicación AI.
- Extender los inventarios existentes – Clasificar las herramientas de IA basadas en el riesgo asegura la alineación con la gobernanza empresarial, pero la adopción se mueve rápidamente.
- Herramientas especializadas – Las herramientas de monitoreo continuo detectan el uso de IA, incluidas las cuentas personales y gratuitas, asegurando una supervisión integral. Incluye los gustos de la seguridad armónica.
Aprender: cambiar a la identificación proactiva de los casos de uso de la IA
Los equipos de seguridad deben identificar de manera proactiva las aplicaciones de IA que los empleados están utilizando en lugar de bloquearlas directamente; los usuarios encontrarán soluciones solucionadas de otra manera.
Al rastrear por qué los empleados recurren a las herramientas de IA, los líderes de seguridad pueden recomendar alternativas más seguras y compatibles que se alinean con las políticas de la organización. Esta idea es invaluable en las discusiones del equipo de IA.
En segundo lugar, una vez que sepa cómo los empleados están usando AI, puede brindar una mejor capacitación. Estos programas de capacitación se volverán cada vez más importantes en medio del despliegue de la Ley de AI de la UE, lo que exige que las organizaciones proporcionen programas de alfabetización de IA:
“Los proveedores y despliegadores de sistemas de IA tomarán medidas para garantizar, en su mejor grado, un nivel suficiente de alfabetización de IA de su personal y otras personas que se ocupan de la operación y el uso de sistemas de IA …”
Hacer cumplir una política de IA
La mayoría de las organizaciones han implementado políticas de IA, pero la aplicación sigue siendo un desafío. Muchas organizaciones optan por simplemente emitir políticas de IA y esperan que los empleados sigan la guía. Si bien este enfoque evita la fricción, proporciona poca aplicación o visibilidad, dejando a las organizaciones expuestas a posibles riesgos de seguridad y cumplimiento.
Por lo general, los equipos de seguridad adoptan uno de los dos enfoques:
- Controles seguros del navegador – Algunas organizaciones enrutan el tráfico de IA a través de un navegador seguro para monitorear y administrar el uso. Este enfoque cubre la mayor parte del tráfico de IA generativo, pero tiene inconvenientes, a menudo restringe la funcionalidad de copia, lo que lleva a los usuarios a dispositivos o navegadores alternativos para evitar controles.
- Soluciones DLP o CASB – Otros aprovechan las inversiones de prevención de pérdidas de datos existentes (DLP) o corredor de seguridad de acceso a la nube (CASB) para hacer cumplir las políticas de IA. Estas soluciones pueden ayudar a rastrear y regular el uso de la herramienta de IA, pero los métodos tradicionales basados en regex a menudo generan un ruido excesivo. Además, las bases de datos de categorización del sitio utilizadas para el bloqueo están frecuentemente desactualizadas, lo que lleva a una aplicación inconsistente.
Pasar el equilibrio correcto entre el control y la usabilidad es clave para la aplicación de políticas de IA exitosa.
Y si necesita ayuda para construir una política de Genai, consulte nuestro generador gratuito: GENAI Generador de políticas de uso.
Aplicar casos de uso de IA para la seguridad
La mayor parte de esta discusión se trata de asegurar la IA, pero no olvidemos que el equipo de IA también quiere escuchar sobre casos de uso de IA geniales e impactantes en todo el negocio. ¿Qué mejor manera de mostrar que te preocupas por el viaje de AI que de implementarlos tú mismo?
Los casos de uso de IA para la seguridad todavía están en su infancia, pero los equipos de seguridad ya están viendo algunos beneficios para la detección y respuesta, DLP y seguridad de correo electrónico. Documentar estos y llevar estos casos de uso a las reuniones del equipo de IA puede ser poderoso, especialmente hacer referencia a KPI para obtener ganancias de productividad y eficiencia.
Reutilizar los marcos existentes
En lugar de reinventar las estructuras de gobierno, los equipos de seguridad pueden integrar la supervisión de la IA en los marcos existentes como Nist ai rmf y ISO 42001.
Un ejemplo práctico es NIST CSF 2.0que ahora incluye la función de “gobernar”, la cubierta: estrategias organizacionales de gestión de riesgos de IA ciberseguridad, consideraciones de la cadena de suministro de ciberseguridad, las funciones, responsabilidades y políticas relacionadas con este alcance ampliado, NIST CSF 2.0 ofrece una base sólida para la gobernanza de seguridad de la IA.
Asumir un papel principal en el gobierno de IA para su empresa
Los equipos de seguridad tienen una oportunidad única para asumir un papel de liderazgo en el gobierno de IA al recordar claro:
- doRealización de inventarios de activos de IA
- LObtener comportamientos de los usuarios
- miPolíticas de forcedura a través del entrenamiento
- APlaying Casos de uso de IA para seguridad
- RiñonalEusing de marcos existentes
Siguiendo estos pasos, CISOS puede demostrar valor para los equipos de IA y desempeñar un papel crucial en la estrategia de IA de su organización.
Para obtener más información sobre la superación de las barreras de adopción de Genai, consulte Seguridad armónica.
About the Author
