Después de un buen año de exuberancia sostenida, finalmente ha llegado la resaca. Es una resaca leve (por ahora), ya que el mercado corrige el precio de las acciones de los principales actores (como Nvidia, Microsoft y Google), mientras que otros actores reevalúan el mercado y ajustan sus prioridades. Gartner lo llama el valle de la desilusióncuando el interés disminuye y las implementaciones no logran ofrecer los avances prometidos. Los productores de la tecnología fracasan o fracasan. La inversión continúa sólo si los proveedores sobrevivientes mejoran sus productos para satisfacer a los primeros usuarios.
Seamos claros, esto siempre iba a ser así: la revolución poshumana prometida por los promotores de la IA nunca fue un objetivo realista, y el increíble entusiasmo que provocaron los primeros LLM no se basó en el éxito del mercado.
La IA llegó para quedarse
¿Qué le espera a la IA? Bueno, si sigue el ciclo de Gartner, la caída profunda es seguida por la pendiente de la iluminación, donde la tecnología madura recupera su equilibrio, los beneficios se cristalizan y los proveedores lanzan al mercado productos de segunda y tercera generación. Y si todo va bien, es seguida por la sagrada meseta de la productividad, donde la adopción generalizada despega impulsada por el amplio atractivo de la tecnología en el mercado. Gartner insiste en que hay un par de grandes interrogantes: no todas las tecnologías están destinadas a recuperarse después de la caída y lo importante es que el producto encuentre su ajuste al mercado lo suficientemente rápido.
En este momento, parece casi seguro que la IA ha llegado para quedarse. Apple y Google están lanzando al mercado productos de consumo que reenvasan la tecnología en porciones más pequeñas, fáciles de digerir y de usar (edición de fotos, edición de texto, búsqueda avanzada). Si bien la calidad aún es muy desigual, parece que al menos algunos actores han encontrado una manera de convertir la IA generativa en un producto que tenga sentido, tanto para los consumidores como para sus propios resultados.
¿Qué hizo el LLM por nosotros?
Bien, ¿dónde deja esto a los clientes empresariales, y a las aplicaciones de ciberseguridad en particular? El hecho es que la IA generativa aún tiene inconvenientes importantes que dificultan su adopción a gran escala. Uno de ellos es la naturaleza fundamentalmente no determinista de la IA generativa. Dado que la tecnología en sí se basa en modelos probabilísticos (¡una característica, no un error!), habrá una variación en el resultado. Esto puede asustar a algunos veteranos de la industria que esperan comportamientos de software de la vieja escuela. También significa que la IA generativa no será un reemplazo directo de las herramientas existentes, sino más bien una mejora y ampliación de las herramientas existentes. Aun así, tiene el potencial de funcionar como una capa de una defensa de múltiples capas, una que también es difícil de predecir para los atacantes.
El otro inconveniente que provoca fricciones en la adopción es el coste. Los modelos son Muy costoso de entrenar Y este alto costo se está trasladando actualmente a los consumidores de los modelos. En consecuencia, se está haciendo mucho hincapié en reducir el costo por consulta. Los avances en hardware, junto con los resultados innovadores en el refinamiento de los modelos, prometen reducciones significativas en el uso de energía al ejecutar modelos de IA, y hay una expectativa razonable de que (al menos la salida basada en texto) se convierta en un negocio rentable.
Los modelos más baratos y precisos son geniales, pero también hay una creciente conciencia de que la tarea de integrar estos modelos en los flujos de trabajo organizacionales será un desafío importante. Como sociedad, aún no tenemos la experiencia para saber cómo integrar de manera eficiente las tecnologías de IA en las prácticas laborales cotidianas. También está la cuestión de cómo la fuerza laboral humana existente aceptará y trabajará con las nuevas tecnologías. Por ejemplo, hemos visto casos en los que los trabajadores humanos y los clientes prefieren interactuar con un modelo que prioriza la explicabilidad sobre la precisión. Estudio de marzo de 2024 Un estudio de la Facultad de Medicina de Harvard concluyó que el efecto de la asistencia con IA era inconsistente y variaba en una muestra de prueba de radiólogos, y que el desempeño de algunos radiólogos mejoraba con la IA y empeoraba en otros. La recomendación es que, si bien las herramientas de IA deben introducirse en la práctica clínica, se debe adoptar un enfoque matizado, personalizado y cuidadosamente calibrado para garantizar resultados óptimos para los pacientes.
¿Qué pasa con el ajuste al mercado que mencionamos antes? Si bien la IA generativa (probablemente) nunca reemplazará a un programador (sin importar lo que afirmen algunas empresas), la generación de código asistida por IA se ha convertido en una herramienta de creación de prototipos útil para una variedad de escenarios. Esto ya es útil para los especialistas en ciberseguridad: el código generado o la configuración es un punto de partida razonable para desarrollar algo rápidamente antes de refinarlo.
La gran advertencia: la tecnología existente tiene la posibilidad de acelerar el trabajo de un profesional experimentado, que puede depurar y corregir rápidamente el texto generado (código o configuración). Pero puede ser potencialmente desastroso para un usuario que no sea un veterano en el campo: siempre existe la posibilidad de que se genere una configuración o un código inseguro que, si llega a producción, reduciría la postura de ciberseguridad de la organización. Por lo tanto, como cualquier otra herramienta, puede ser útil si sabes lo que estás haciendo y puede conducir a resultados negativos si no lo sabes.
En este punto, es necesario advertir sobre una característica especial de la generación actual de herramientas de IA generativa: suenan engañosamente seguras cuando proclaman los resultados. Incluso si el texto es descaradamente erróneo, todas las herramientas actuales lo ofrecen de una manera tan segura que fácilmente engaña a los usuarios novatos. Así que, tenga en cuenta: el ordenador miente sobre lo seguro que está y, a veces, se equivoca mucho.
Otro caso de uso eficaz es la atención al cliente, más concretamente la atención de nivel 1: la capacidad de ayudar a los clientes que no se molestan en leer el manual o las preguntas frecuentes publicadas. Un chatbot moderno puede responder razonablemente a preguntas sencillas y derivar consultas más avanzadas a niveles superiores de atención. Si bien esto no es exactamente ideal desde el punto de vista de la experiencia del cliente, el ahorro de costes (especialmente para organizaciones muy grandes con muchos usuarios no capacitados) podría ser significativo.
La incertidumbre en torno a cómo se integrará la IA en las empresas es una Una bendición para la industria de consultoría de gestiónPor ejemplo, Boston Consulting Group obtiene ahora el 20% de sus ingresos de proyectos relacionados con la IA, mientras que McKinsey espera que el 40% de sus ingresos provengan de proyectos de IA este año. Otras consultoras como IBM y Accenture también están en el barco. Los proyectos empresariales son bastante variados: facilitar la traducción de anuncios de un idioma a otro, mejorar la búsqueda de adquisiciones al evaluar a los proveedores y reforzar los chatbots de atención al cliente que evitan las alucinaciones e incluyen referencias a las fuentes para mejorar la fiabilidad. Aunque solo 200 de las 5000 consultas de clientes pasan por el chatbot de ING, se puede esperar que esta cifra aumente a medida que mejore la calidad de las respuestas. De forma análoga a la evolución de la búsqueda en Internet, uno puede imaginar un punto de inflexión en el que se convierta en una reacción instintiva «preguntar al bot» en lugar de hurgar en el lodazal de datos uno mismo.
La gobernanza de la IA debe abordar las preocupaciones sobre ciberseguridad
Independientemente de los casos de uso específicos, las nuevas herramientas de IA traen consigo un conjunto completamente nuevo de problemas de ciberseguridad. Al igual que las RPA en el pasado, los chatbots que se relacionan con los clientes necesitan identidades de máquina con acceso apropiado, a veces privilegiado, a los sistemas corporativos. Por ejemplo, un chatbot podría necesitar poder identificar al cliente y extraer algunos registros del sistema CRM, lo que debería hacer sonar inmediatamente las alarmas para los veteranos de la IAM. Establecer una gestión de identidades precisa controles de acceso En torno a esta tecnología experimental se encontrará un aspecto clave del proceso de implementación.
Lo mismo ocurre con las herramientas de generación de código que se utilizan en los procesos de desarrollo o de DevOps: configurar el acceso correcto al repositorio de código limitará el radio de acción en caso de que algo salga mal. También reduce el efecto de una posible infracción, en caso de que la propia herramienta de IA se convierta en un riesgo de ciberseguridad.
Y, por supuesto, siempre existe el riesgo de terceros: al incorporar una herramienta tan poderosa pero poco conocida, las organizaciones se están exponiendo a adversarios que están probando los límites de la tecnología LLM. La relativa falta de madurez en este aspecto podría ser problemática: aún no contamos con las mejores prácticas para reforzar las LLM, por lo que debemos asegurarnos de que no tengan privilegios de escritura en lugares sensibles.
Las oportunidades de la IA en la gestión de identidades y accesos
En este punto, se presentan casos de uso y oportunidades para Inteligencia artificial en control de acceso e IAM Las tecnologías de inteligencia artificial están tomando forma y se están entregando a los clientes en forma de productos. Las áreas tradicionales del aprendizaje automático clásico, como la minería de roles y las recomendaciones de derechos, se están revisando a la luz de los métodos y las interfaces de usuario modernos, y la creación y evolución de roles se están entrelazando más estrechamente en los flujos de trabajo y las interfaces de usuario de gobernanza listos para usar. Las innovaciones inspiradas en la IA más recientes, como el análisis de grupos de pares, las recomendaciones de decisiones y la gobernanza basada en el comportamiento, se están convirtiendo en algo habitual en el mundo de la gobernanza de identidades. Los clientes ahora esperan tecnologías de puntos de cumplimiento como los sistemas de gestión de acceso SSO y Sistemas de gestión de cuentas privilegiadas Ofrecer detección de anomalías y amenazas basada en inteligencia artificial según el comportamiento y las sesiones del usuario.
Las interfaces de lenguaje natural están comenzando a mejorar enormemente la experiencia del usuario en todas estas categorías de Solución IAM Al permitir intercambios interactivos de lenguaje natural con el sistema, aún necesitamos informes y paneles estáticos, pero la capacidad de que personas con diferentes responsabilidades y necesidades se expresen en lenguaje natural y refinen los resultados de búsqueda de manera interactiva reduce las habilidades y la capacitación necesarias para garantizar que las organizaciones obtengan valor de estos sistemas.
Este es el final del principio.
Una cosa es segura: sea cual sea el estado de la tecnología de IA a mediados de 2024, no será el fin de este campo. La IA generativa y los LLM son solo un subcampo de la IA, y muchos otros campos relacionados con la IA están haciendo rápidos progresos gracias a los avances en hardware y a la generosa financiación de la investigación gubernamental y privada.
Cualquiera sea la forma que adopte la IA madura y lista para la empresa, los veteranos de seguridad ya deben considerar los beneficios potenciales que la IA generativa puede aportar a su postura defensiva, lo que estas herramientas pueden hacer para perforar las defensas existentes y cómo podemos contener el radio de explosión si el experimento sale mal.
Nota: Este artículo escrito por expertos es una contribución de Robert Byrne, estratega de campo en One Identity. Rob tiene más de 15 años de experiencia en TI, ocupando diversos puestos, como desarrollo, consultoría y ventas técnicas. Su carrera se ha centrado principalmente en la gestión de identidades. Antes de unirse a Quest, Rob trabajó con Oracle y Sun Microsystems. Tiene una licenciatura en Ciencias en matemáticas e informática.