El tema de la inteligencia artificial (IA) despierta cada día más interés y genera más noticias en el sector de la seguridad. A pesar de las diferentes definiciones del concepto de IA, si en algo coinciden los expertos es en la percepción de que su auténtico potencial todavía está por materializarse. La transformación digital es fundamental para las empresas del futuro. En primera línea de este debate encontramos la IA y sus infinitas posibilidades a la hora de mejorar la eficiencia y el rendimiento operativo.
¿Ha llegado ya el punto de inflexión en la adopción de la IA?
Las aplicaciones que utilizan IA requieren un gran volumen de potencia de cálculo, ya que usan modelos de aprendizaje profundo complejos y sofisticados, además de avanzadas tecnologías como las unidades de procesamiento gráfico (GPU). A todo esto debemos sumarle las innovaciones en el terreno de los macrodatos, las mejoras en los algoritmos y, posiblemente el aspecto más importante, la financiación y la inversión. En la actualidad, empresas, universidades y administraciones (grandes y pequeñas) invierten en IA.
Enfrentarse al riesgo
No somos el único sector con ganas de adoptar la IA. Sin embargo, su enorme potencial esconde también un elevado riesgo, ya que las mismas tecnologías que usamos para desplegar la IA presentan amenazas inherentes que debemos abordar. Aunque hemos visto exhaustivos estudios que defienden el papel de la IA como forma de protección contra un ciberataque, también está demostrado que los ciberdelincuentes han encontrado en la IA un recurso que les facilita el trabajo.
Las tecnologías de seguridad se han empleado tradicionalmente para limitar y verificar el acceso, autenticar la identidad o proporcionar un sistema de control con fines de detección o disuasión. El objetivo último siempre ha sido proteger los recursos y las instalaciones de una organización. Sin embargo, en la actualidad estos mismos sistemas de seguridad física están conectados a muchos otros sistemas de las empresas, como la CVAA, RR. HH. o marketing.
Entre algunos responsables de empresas la seguridad se había visto hasta ahora como un posible obstáculo a la actividad normal. No obstante, si se pone la innovación al servicio del crecimiento, la seguridad puede servir para mejorar las operaciones y la agilidad de la empresa. Si se utilizan de este modo, las tecnologías de seguridad pueden aportar una ventaja competitiva.
El potencial de las tecnologías de seguridad
Si consiguen sacar todo el partido a las tecnologías de seguridad, las organizaciones pueden disfrutar de una mayor visibilidad y de más inteligencia empresarial. Y así sus responsables podrán adoptar decisiones basadas en datos capaces de agilizar y optimizar las operaciones de la empresa.
Si este planteamiento se traslada a un entorno físico con consumidores de carne y hueso, todo este nuevo volumen de información sobre los clientes puede resultar de gran valor. Información como el recuento de personas, la gestión de colas, los tiempos de permanencia, los mapas térmicos y los datos demográficos, anonimizados con fines estadísticos, ofrecen a las empresas un sinfín de posibilidades.
Además de sus ventajas en el plano comercial, la IA también tiene sentido desde la perspectiva de la seguridad pública, ya que puede ayudar por ejemplo a localizar niños perdidos. Si una persona responde a un determinado perfil, puede identificarse e incluso localizarse sin necesidad de visualizar horas de vídeo grabado. Y todo en parte gracias a los metadatos integrados en las cámaras de vigilancia.
Mientras esta información se analiza y procesa, las organizaciones pueden enviar los datos a la nube o a una ubicación remota, como un centro de control de alarmas o de vídeo. El resultado es una mayor precisión de la detección, un proceso de investigación más ágil y unas respuestas automatizadas.
¿Y qué hay del riesgo?
Todas estas tecnologías pueden aportar diferentes tipos de datos a una organización, pero si se usan de forma aislada su potencial será limitado. Para obtener datos realmente útiles, la tecnología debe estar conectada a otros sistemas en los que se analizan datos para convertirlos en información útil.
Utilizando las tecnologías de seguridad para influir en otros sistemas de un edificio, como por ejemplo el de CVAA, podemos controlar la iluminación o el aire acondicionado para ayudar a las empresas a cumplir con sus compromisos de sostenibilidad. Sin embargo, solo podemos conseguirlo a través de la conectividad y de un acceso abierto, para permitir la transferencia de datos a través de los sistemas de seguridad de una organización.
Los sistemas de seguridad han utilizado tradicionalmente sus propias redes específicas, un circuito cerrado no preparado para la transmisión, que bloquea las intrusiones y ofrece una protección prácticamente inexpugnable. Si abrimos el acceso a estos dispositivos y utilizamos las redes para transmitir datos valiosos a diferentes responsables de una organización estamos generando un posible riesgo.
La IA despliega todo su potencial cuando la información tiene un impacto positivo en el rendimiento operativo y consigue minimizar las tareas laboriosas y aburridas para que personas y empresas puedan centrarse en áreas más importantes. Sin embargo, si empezamos a conectar diferentes sistemas e infraestructuras para compartir datos abrimos la puerta a posibles e importantes problemas de seguridad.
Para reducir el riesgo es fundamental entender quién tiene la responsabilidad global de velar por la seguridad. Teniendo en cuenta la creciente interconexión entre personas, departamentos, dispositivos y tecnologías, las líneas de la responsabilidad empiezan a difuminarse, lo que implica sin duda un riesgo. En materia de ciberseguridad no siempre es fácil identificar las responsabilidades, especialmente cuando una organización sufre un ataque.
¿Y ahora qué?
No hace falta que las organizaciones entren en pánico y paren máquinas al valorar la posible adopción de tecnologías comercializadas como soluciones de IA. Si el producto está basado realmente en IA y funciona a partir de la recopilación, la gestión y el acceso compartido a los datos, es importante analizarlo desde el punto de vista de la seguridad y someterlo a una evaluación de ciberseguridad, igual que haría con cualquier otra tecnología de TI, IoT u OT. No obstante, salta a la vista que todavía hay un cierto vacío en cuanto a principios de seguridad respecto al diseño, la aplicación y la gestión de las soluciones de IA.
Además, harán falta nuevas y avanzadas herramientas para proteger los procesos basados en IA y mitigar los riesgos de seguridad más importantes. La aventura de la IA apenas ha empezado. El camino estará sembrado de vulnerabilidades, fallos y errores de proveedores. A fin de cuentas, es normal que las empresas de tecnología tengan prisa para lanzar sus productos al mercado lo antes posible, ya que así pueden convertir su inversión en I+D en ingresos. Por este motivo, es fundamental asegurarse de que la ciberseguridad no es simplemente un añadido, ya que entonces el riesgo podría ser mucho mayor que la posible recompensa.
La evaluación de estas tecnologías tal vez sea un territorio desconocido, pero en este caso las buenas prácticas de siempre también sirven. Y una de estas recomendaciones es evaluar la organización que comercializa la tecnología para ver si es capaz de demostrar su madurez en ciberseguridad. La tecnología debe someterse a un test de penetración o, por lo menos, a un análisis de vulnerabilidad. Y también hace falta evaluar la eficacia de sus funciones de seguridad, ya que desempeñarán un papel clave. Asimismo, será vital comprobar que el proveedor disponga de una estrategia que acompañe la evolución de la tecnología y que contemple políticas de gestión de vulnerabilidades, notificaciones de seguridad y actualizaciones de firmware.
Por último, debe analizar el planteamiento de su propia organización. Asegúrese de que trabaja con un plan de seguridad de red actualizado y valore si le merecería la pena apostar por un modelo de seguridad de confianza cero. Naturalmente, también es importante valorar qué efecto puede tener su estrategia de aprovisionamiento en sus políticas de seguridad y cómo podría mejorarla.
