Según el reciente estudio State of Cybersecurity 2024 (Estado de la Ciberseguridad) realizado por ISACA, la asociación profesional global que promueve a individuos y organizaciones en la búsqueda de la confianza digital, tan solo el 35% de los profesionales o equipos de ciberseguridad participan en el desarrollo de las políticas que gobiernan el uso de la tecnología de IA en sus empresas, y casi el 45% aseguran no participar en absoluto en el desarrollo, introducción o implementación de soluciones de IA.
En respuesta a nuevas preguntas introducidas en el estudio anual que patrocina Adobe, con las aportaciones de más de 1.800 profesionales de ciberseguridad sobre temas relacionados con el personal de ciberseguridad y el panorama de las amenazas, los equipos de seguridad observaron que se utiliza la IA mayoritariamente para automatizar la detección de respuesta ante amenazas en un 28% y la seguridad de punto final (27%). A estas tareas le siguen la automatización de actividades rutinarias (24%) y la detección de fraude (13%).
«Dadas las dificultades a la hora de encontrar personal de ciberseguridad y el aumento de la presión sobre los profesionales que genera el complejo panorama de amenazas, ciertamente merece la pena explorar el potencial de la IA a la hora de automatizar y agilizar ciertas tareas y aligerar las cargas de trabajo», manifestó Jon Brandt, director de Prácticas Profesionales e Innovación de ISACA. Añade también: «Sin embargo, los responsables de ciberseguridad no pueden centrarse únicamente en el rol de la IA en las operaciones de seguridad. Resulta imperativo que los profesionales de seguridad participen en el desarrollo, introducción e implementación de cualquier solución de IA en sus organizaciones, incluyendo productos existentes que más adelante se habiliten para capacidades de IA».
Explorando los últimos desarrollos en IA
Además de las conclusiones relacionadas con la IA del informe State of Cybersecurity 2024, ISACA ha desarrollado recursos de inteligencia artificial para ayudar al personal de ciberseguridad y otros profesionales de la confianza digital a navegar mejor esta tecnología transformadora.
En primer lugar, un Documento Técnico sobre la Ley de IA de la Unión Europea ya que las empresas deben ser conscientes de los plazos y puntos de acción relacionados con la Ley de IA de la UE, que establece requisitos para ciertos sistemas de inteligencia artificial empleados en la Unión Europea y prohíbe ciertos casos de uso, la mayoría de los cuales entrarán en vigor a partir del 2 de agosto de 2026. El nuevo documento técnico de ISACA, Understanding the EU AI Act: Requirements and Next Steps (Comprendiendo la Ley de IA de la UE: requisitos y próximos pasos), recomienda adoptar ciertas medidas clave, incluyendo auditorias y trazabilidad, adaptar las actuales políticas y programas de ciberseguridad y privacidad, y designar a un responsable de IA que se mantenga al día sobre las herramientas en uso y el enfoque general de la empresa con respecto a la inteligencia artificial.
A lo anterior se une la verificación en la era de las falsificaciones deepfake. Los profesionales de ciberseguridad deben ser conscientes tanto de las ventajas como de los riesgos de la verificación adaptativa basada en IA, según se afirma en el nuevo recurso de ISACA, Examining Authentication in the Deepfake Era (Examinando la autenticación en la era de las falsificaciones deepfake). A pesar de que la IA puede mejorar la seguridad si se emplea en sistemas de autenticación adaptativa que se amolden al comportamiento de cada usuario, dificultando así el acceso para los cibercriminales, los sistemas de IA también pueden ser manipulados a través de ataques adversarios, son susceptibles de caer en sesgos debido a los algoritmos de IA y pueden dar lugar a consideraciones éticas y de privacidad. Según el estudio, también es importante monitorizar otras cuestiones, incluyendo la investigación sobre la integración de IA con la informática cuántica, que podría tener implicaciones serias para la autenticación de ciberseguridad.
Además, según el informe Considerations for Implementing a Generative Artificial Intelligence Policy (Consideraciones para la implementación de una política de inteligencia artificial generativa) de ISACA, aquellas organizaciones que adopten una política sobre IA generativa deberán plantearse una serie de cuestiones para garantizar que cubran todas las posibilidades, incluyendo: “¿A quién impacta el alcance de esta política?”, “¿Cómo se define el buen comportamiento, y cuáles son los términos de uso aceptables?” o “¿Cómo se asegurará la organización de seguir los requisitos legales y de cumplimiento?”
Avanzar en el camino de la IA
ISACA también ha incorporado opciones de formación y obtención de credenciales para ayudar a la comunidad profesional a mantener el ritmo del panorama cambiante de IA y ciberseguridad, como el aprendizaje automático (Machine Learning): redes neuronales, aprendizaje profundo (Deep Learning), modelos de lenguaje grandes (Large Language Models).
De esta forma encontramos diversos cursos con acceso a demanda en el portal online que cubren temáticas desde los conocimientos más básicos sobre IA hasta condiciones éticas y auditoría, pasando por gobierno o habilitación sobre aprendizaje automático para empresas. Todos ellos ofrecen créditos de formación profesional continua (continuing professional education o CPE).
También en esta línea encontramos la certificación de analista de operaciones de ciberseguridad. A medida que las tecnologías emergentes, como los sistemas automatizados mediante IA, continúan evolucionando, el rol de los ciber-analistas se irá tornando más crítico a la hora de proteger los ecosistemas digitales. La futura certificación de analistas de operaciones de ciberseguridad de ISACA, que se introducirá durante el primer trimestre de 2025, pondrá el foco en las capacidades técnicas necesarias para evaluar amenazas, identificar vulnerabilidades y recomendar contramedidas para prevenir ciber-incidentes.