IA y ciberseguridad: ¿enemigos o aliados?

Los ciberdelitos siguen aumentando en número, sofisticación e impacto, lo que está convirtiendo la ciberseguridad, ahora más que nunca, en una prioridad para los líderes de las organizaciones. Por ejemplo, nuestra última encuesta global Digital Trust Insights 2024 pone de manifiesto, por ejemplo, cómo el 36% de los directivos encuestados asegura haber sufrido un ciberataque en los últimos tres años con un impacto superior a un millón de dólares, frente al 27% que lo afirmaba un año antes.

En los últimos meses algunas compañías están repensando varias de sus inversiones -o incluso frenándolas- por la incertidumbre sobre el devenir de la situación económica. Sin embargo, en el ámbito de la ciberseguridad ocurre todo lo contrario. No solamente no se está frenando la inversión, sino que tres cuartas partes de las compañías afirma que incrementarán su partida destinada a la ciberseguridad en 2024, frente al 64% de 2023. En España la tendencia es similar: el 83% afirma que aumentará su inversión frente al ciberdelito y uno de cada cuatro directivos (el 27%) asegura que su empresa aumentará esta partida más de un 10%.

Sin embargo, la calidad es tan importante como la cantidad. Pese al aumento de inversión, una gran parte de las organizaciones se encuentran atrapadas en el Cyber as usual. Ponen en marcha iniciativas fragmentadas y poco cohesionadas, usan tecnologías demasiado complejas, se lanzan proyectos que no se traducen en mejoras relevantes y planes de gestión de riesgos que suponen, en ocasiones, un riesgo en sí mismos.

En este contexto, ¿cómo dar un paso más allá? ¿Qué se puede hacer para hacer ciberseguridad con más posibilidades de éxito? El primer paso es llegar a los responsables del negocio y hacerles conscientes de los retos que afrontamos, usando un lenguaje accesible. Del mismo modo, es fundamental generar una cultura en toda la organización, que permita incluso acciones como recompensar a quien identifique fallos de seguridad. También puede ser interesante la creación de grupos de trabajos, mantener reuniones periódicas con los reguladores, liberar a los equipos de las tareas más rutinarias, asignándoles tareas de valor que permitirían analizar las amenazas en profundidad y desarrollar técnicas de protección innovadoras. Por supuesto, también es esencial incorporar la ciberseguridad en la agenda del Consejo. La mitad de los encuestados (el 52% en España) admite que la Alta Dirección está informada con frecuencia de la exposición al ciberriesgo y de las estrategias para mitigarlo. ¿Pero dónde está la otra mitad? Se han dado pasos adelante, pero aún queda trabajo por hacer.

Hay una serie de ámbitos clave en los que las organizaciones deberían poner foco para afrontar de manera exitosa la gestión de ciberriesgos y su ciberseguridad en 2024: la seguridad en la nube; la necesidad de racionalizar las arquitecturas y, en ocasiones, de reducir el número de proveedores tecnológicos, o la adaptación al complejo entorno normativo son algunos de ellos. Pero hay otra tecnología aún más disruptiva que no podemos olvidar: la Inteligencia Artificial jugará en el futuro un papel fundamental en la gestión de la ciberseguridad de una organización. Las grandes organizaciones ya están trabajando en ello.

Siete de cada diez altos directivos (el 69%) afirma que su compañía tiene previsto utilizar la IA generativa para sus estrategias de ciberseguridad en un año vista. No hay otra alternativa porque el 52% de los CISO y de los CIO alerta de que el uso de la IA también contribuirá a la sofisticación de los ciberataques en el próximo año. Ante este dato, surgen varias dudas: ¿Cómo afectará la IA a la ciberseguridad? ¿Será un aliado frente a los ciberdelincuentes, o un enemigo más que combatir? Las compañías necesitamos diseñar un gobierno de la IA sólido y ético, que nos permita adelantarnos a los riesgos latentes en múltiples ámbitos como la privacidad, el cumplimiento de la normativa legal, la relación con terceros, la propiedad intelectual y, por supuesto, la ciberseguridad. A medida que la tecnología madure, veremos muchos avances, aunque quizás pase algún tiempo antes de que veamos un uso a gran escala de la automatización, evaluación y gestión de los ciberriesgos, lo que empiezan a llamar Defense GPT. El reto ahora para los directivos es cómo dar los primeros pasos adoptar estas capacidades de forma ética y responsable y controlar a su vez los riesgos subyacentes para ganar la partida a los ciberdelincuentes, sin perder de vista la próxima publicación de la pionera Ley europea de Inteligencia Artificial, propuesta por la Comisión en abril de 2021 y sobre la que el Parlamento Europeo y el Consejo alcanzaron el acuerdo político el pasado 9 de diciembre.