Derribando 4 mitos de seguridad de la IA

Escribe Freddy Saavedra, Senior Director, Product and Solutions Sales Specialist, MultiCountry Latin American Region, Dell Technologies

A medida que las organizaciones adoptan la IA, pueden ser víctimas de mitos que hacen que proteger la IA parezca más complejo de lo que realmente es. La verdad es que salvaguardar los sistemas de IA no requiere una revisión compleja de la infraestructura existente o los marcos de seguridad. Comienza con la aplicación de principios fundamentales de ciberseguridad y su adaptación a los riesgos y comportamientos de los sistemas de IA.

Mito 1: Los sistemas de IA son demasiado complejos para protegerlos


Los actores de amenazas están utilizando la IA para mejorar una variedad de tipos de ataques, desde ransomware hasta exploits de día cero e incluso denegación de servicio distribuido (DDoS). Pueden explotar sistemas de IA desprotegidos para manipular resultados o escalar privilegios, lo que resulta en una superficie de ataque más amplia. Existe la idea errónea de que estos riesgos hacen que los sistemas de IA sean demasiado complejos para protegerlos.

Realidad:
Sí, la IA conlleva riesgos, pero superarlos es posible reforzando las prácticas actuales de ciberseguridad y adaptándolas a las amenazas específicas de la IA. Las organizaciones pueden fortalecer las defensas al:
  • Involucrar a los equipos de seguridad desde el principio en las conversaciones sobre la arquitectura de IA, asegurando que las consideraciones de seguridad estén integradas desde el principio.
  • Aplicar principios de confianza cero, incluida la gestión de identidades, los controles de acceso basados en roles y la verificación continua.
  • Desarrollo de políticas de datos para el control de acceso y protección/copia de seguridad.
  • Construir barreras de protección sólidas para reducir el riesgo de amenazas conocidas como la inyección rápida, el cumplimiento de políticas o las alucinaciones.

Mito 2: Ninguna herramienta existente protegerá la IA


Las organizaciones pueden sentir que tienen que adoptar nuevas soluciones y herramientas de seguridad para proteger sus sistemas de IA porque la IA es una carga de trabajo más nueva y en rápida evolución. Como resultado, existe la idea errónea de que ninguna de las herramientas existentes de una organización protegerá la IA.

Realidad:
Asegurar los sistemas de IA no requiere el abandono de las inversiones actuales en ciberseguridad. La IA puede ser una carga de trabajo diferente con elementos únicos, pero aún se beneficia de medidas de seguridad fundamentales como la gestión de identidades, la segmentación de la red y la protección de datos. Mantener una sólida higiene cibernética a través de parches regulares del sistema, control de acceso y gestión de vulnerabilidades sigue siendo esencial.

Para abordar las amenazas específicas de la IA, como la inyección rápida o los datos de entrenamiento comprometidos, las organizaciones pueden adaptar sus estrategias actuales de ciberseguridad en lugar de reemplazarlas. Por ejemplo, el registro y la auditoría regulares de las entradas y salidas de Modelos de Lenguaje Grande (LLM) puede ayudar a detectar actividades inusuales o usos malintencionados.

Para proteger la IA, las organizaciones deben comenzar por comprender cómo su arquitectura y herramientas actuales cubren las cargas de trabajo de IA. Después de revisar sus herramientas de seguridad actuales, las organizaciones pueden detectar dónde necesitan capacidades adicionales para abordar los riesgos de IA. Esto incluye herramientas para monitorear los resultados de IA, administrar decisiones y prevenir acciones no deseadas.

Mito 3: Asegurar la IA solo se trata de proteger los datos


Los LLM operan analizando datos y generando resultados basados en sus hallazgos. Dado que la IA utiliza y genera grandes cantidades de datos, existe la idea errónea de que protegerlos se trata solo de proteger los datos.

Realidad:
Proteger la IA va más allá de proteger los datos por sí solos. Si bien la protección de las entradas y salidas es esencial, la protección de la IA involucra a todo el ecosistema de IA, incluidos los modelos, las interfaces de programación de aplicaciones (API), los sistemas y los dispositivos. Los LLM, por ejemplo, son vulnerables a los ataques que manipulan los datos de entrada para producir resultados engañosos o dañinos. Abordar este riesgo requiere herramientas y procedimientos para administrar las políticas de cumplimiento y verificar las entradas y salidas de IA para obtener respuestas seguras. Las API, que sirven como puertas de entrada a la funcionalidad de IA, deben protegerse con una autenticación sólida para bloquear el acceso no autorizado. Y debido a que los sistemas de IA generan resultados continuamente, las organizaciones deben monitorear anomalías o patrones que puedan indicar una violación o mal funcionamiento. Al expandir el enfoque más allá de los datos, las organizaciones pueden construir un entorno de IA más resistente y confiable.

Mito 4: La IA agencial finalmente reemplazará la necesidad de supervisión humana


La IA agencial introduce agentes autónomos que toman decisiones de forma independiente. Debido a que estos agentes pueden tomar decisiones de forma independiente, existe la idea errónea de que la IA agencial finalmente reemplazará la necesidad de supervisión humana.

Realidad:
Los sistemas de IA agencial, que operan con cierto grado de autonomía, aún necesitan gobernanza para garantizar que actúen de manera ética, predecible y alineada con los valores humanos. Sin supervisión humana, estos sistemas corren el riesgo de desviarse de los objetivos asignados o exhibir comportamientos no deseados y potencialmente dañinos. Para evitar el uso indebido y garantizar una implementación responsable, las organizaciones deben establecer límites de IA, usar controles en capas e involucrar a los humanos en las decisiones críticas. Las auditorías periódicas y las pruebas exhaustivas también son esenciales para aumentar la transparencia y la responsabilidad en todas las operaciones de IA. La supervisión humana es fundamental para una IA agencial segura y eficaz.

Las amenazas mejoradas por IA pueden parecer desalentadoras, pero el camino para proteger la IA es más familiar de lo que parece. Basar las estrategias de seguridad en los principios de ciberseguridad y adaptarlas a los riesgos de la IA ayuda a las organizaciones a generar confianza y resiliencia sin complejidad ni costos innecesarios. Muchas herramientas y prácticas existentes pueden extenderse para proteger los sistemas de IA, ahorrando tiempo, reduciendo el riesgo y maximizando las inversiones existentes.

Desacreditar estos mitos no se trata solo de corregir conceptos erróneos; se trata de capacitar a los equipos para que tomen medidas informadas y proactivas hacia la adopción responsable de la IA.

El futuro de la IA está aquí y las organizaciones deben estar preparadas para protegerlo.

(*) Freddy Saavedra: Líder de Ventas de Soluciones de Data Center, Dell Technologies MCLA