La IA en la ciberseguridad: cómo orientarse en el RGPD, las leyes de privacidad y la gestión de riesgos

Introducción

La inteligencia artificial (IA) en ciberseguridad tiene un potencial inigualable a la hora de lograr una eficacia superior de la solución, automatización, etc. Sin embargo, un gran poder conlleva una gran responsabilidad: al hacer uso de la IA, las organizaciones deben lidiar tanto con lo que conlleva el cumplimiento como con los dilemas éticos que implica hacerlo. En particular, orientarse en regulaciones de privacidad como el Reglamento General de Protección de Datos (GDPR) y al mismo tiempo sacar partido a herramientas de ciberseguridad impulsadas por IA es muy complejo y de gran importancia. Como resultado, las organizaciones pretenden saber cómo aprovechar la IA en la ciberseguridad sin poner en riesgo el cumplimiento.

La intersección de la IA y la ciberseguridad

Los algoritmos de inteligencia artificial y aprendizaje automático tienen el potencial de transformar la ciberseguridad de cualquier organización. Esto se debe a que la IA puede mejorar prácticamente cualquier aspecto de los esfuerzos de seguridad de una empresa, como la protección contra amenazas y la protección de datos. 

En términos de ciberamenazas, una clara ventaja de las herramientas que funcionan con IA es la capacidad de ofrecer una detección de amenazas detallada y en tiempo real. A diferencia de los analistas de carne y hueso, la IA puede tratar una amplia variedad de datos simultáneamente. Esta capacidad permite el análisis del comportamiento de usuarios y entidades (UEBA) para identificar comportamientos anómalos de los usuarios e incorpora el cloud sandboxing impulsado por IA para que identifique de forma proactiva archivos que puedan ser malintencionados. Como resultado, pueden identificar riesgos potenciales antes de que los atacantes puedan afianzar su posición. 

Entre otras innovaciones de IA en la protección contra amenazas, se encuentran la búsqueda automatizada de amenazas, así como defensas contra phishing que funcionan con procesamiento del lenguaje natural (PLN) a fin de analizar correos electrónicos malintencionados y de marcar anomalías lingüísticas sutiles. Si bien todos estos aspectos minimizan el riesgo cibernético, también reducen la prevalencia de falsos positivos, de forma que los equipos de ciberseguridad puedan centrar su labor en las amenazas legítimas.

A la hora de mantener la información confidencial a buen recaudo, las soluciones líderes pueden emplear IA/ML para proteger los datos de forma más eficaz y eficiente. Por ejemplo, la detección de datos impulsada por IA puede analizar el ecosistema de TI de una organización (dispositivos, nubes, aplicaciones, sesiones de usuario, etc.), clasificar automáticamente todos los datos que encuentra y elaborar informes para los administradores sobre qué datos se encuentran en qué lugar. Se trata de algo que se hace sin que los administradores tengan que configurar ningún diccionario, motor o política de DLP. Dicho de otro modo, con la IA, las organizaciones son capaces de identificar datos confidenciales en todas partes, al mismo tiempo que se reducen al mínimo los requisitos de tiempo administrativo y disminuyen los gastos generales de gestión. 

Está claro que el impacto de la IA en la ciberseguridad es tangible y transformador.

Comprender el RGPD y los desafíos de la legislación sobre privacidad

A pesar de sus innumerables ventajas, la aplicación de IA en la ciberseguridad conlleva fricciones con las leyes de privacidad de datos, en particular con el RGPD europeo. El objetivo principal del RGPD es proteger la información personal, lo cual se consigue regulando la forma en que las organizaciones manejan los datos. Pero la IA y el aprendizaje automático (ML), por su propia naturaleza, utilizan grandes cantidades de datos de entrenamiento y normalmente se entrenan, al menos en parte, con información confidencial o con información de identificación personal (PII). Esto puede permitir (e incluso constituir) una infracción de datos, lo que conduce a sanciones normativas, daños a la reputación y pérdida de clientes.

Igualmente, surgen obstáculos de cumplimiento debido a la recopilación de datos necesarios para entrenar eficazmente los modelos de IA (sin mencionar los datos que las soluciones de seguridad en línea recopilan simplemente como parte de su funcionamiento regular). Esto se debe a que el RGPD también requiere que las organizaciones obtengan el consentimiento explícito de las personas para poder recopilar sus datos con cualquier fin. Además de todo esto, existen condiciones estrictas para la protección, el almacenamiento y la eliminación de datos. 

Por último, el dilema de la “caja negra”, inherente a muchos modelos de IA, complica aún más el cumplimiento. El RGPD pone el énfasis en la transparencia y la responsabilidad, pero muchos algoritmos de IA avanzados son opacos, lo que dificulta que las organizaciones expliquen con precisión cómo se tratan los datos personales y cómo se toman las decisiones. Sin una interpretación clara, demostrar el cumplimiento se convierte en una ardua tarea jurídica y técnica.

Por todas estas razones, las organizaciones deben equilibrar cuidadosamente las ventajas de una protección potente de IA con los estrictos requisitos de cumplimiento del RGPD. De lo contrario, puede haber repercusiones significativas.

Cómo orientarse en el RGPD, las leyes de privacidad y la gestión de riesgos con IA

Para incorporar con éxito la IA a la ciberseguridad y mantener el cumplimiento, se necesita un enfoque estratégico basado en principios de privacidad, transparencia, herramientas de seguridad especialmente diseñadas y colaboración organizativa.

Soluciones de IA que dan prioridad a la privacidad

Debido a que las soluciones de seguridad que funcionan con IA tratan datos confidenciales, las organizaciones deben dar prioridad a las capacidades de anonimización, seudonimización y cifrado en el momento de seleccionar herramientas. Al ocultar los identificadores personales, los equipos de ciberseguridad pueden proteger la privacidad de los datos y, al mismo tiempo, aprovechar el poder analítico de la IA. Con este enfoque, se reducen significativamente los riesgos derivados de las infracciones de datos y garantiza el cumplimiento de los estrictos principios de protección de datos del RGPD.

Sistemas de IA explicable

La transparencia es fundamental según el RGPD, lo que hace que la IA explicable (XAI) sea crucial. Las organizaciones deben aplicar soluciones basadas en IA cuyas decisiones y métodos de tratamiento de datos puedan articularse y demostrarse claramente. La explicabilidad no sólo fomenta el cumplimiento normativo, sino que genera confianza entre los clientes y las partes interesadas, que esperan que sus datos personales se manejen con responsabilidad.

Soluciones de IA prediseñadas para el cumplimiento

Al evaluar herramientas de ciberseguridad de IA, las organizaciones deben seleccionar soluciones que estén diseñadas para cumplir con reglamentos de privacidad, como el RGPD y la CCPA. Esto se debe a que los controladores de datos (organizaciones) deben trabajar con los procesadores de datos (proveedores de seguridad) y aplicar servicios (soluciones de seguridad por IA) que cumplan con los criterios del RGPD. Si un procesador de datos o sus servicios infringen el RGPD, las consecuencias puede sufrirlas el controlador de datos. 

Al mismo tiempo, las organizaciones deben aplicar ofertas de seguridad completas con funcionalidad lista para usar que puedan ayudarlas a garantizar el cumplimiento del RGPD. Por ejemplo, deberían emplear soluciones de prevención de pérdida de datos (DLP) con diccionarios prediseñados que les permitan identificar información regulada por el RGPD en todo su ecosistema de TI. Este tipo de capacidades agiliza la habilidad de la organización de controlar dichos datos, al tiempo que reducen la posibilidad de errores humanos que pueden surgir durante la configuración manual. Como beneficio adicional, esta integración de consideraciones de cumplimiento en el núcleo operativo de la ciberseguridad también ayuda a simplificar la gestión de riesgos tanto a corto como a largo plazo.

Colaboración entre departamentos

Orientarse en las leyes de privacidad y los riesgos relacionados con la IA exige colaboración entre distintas funciones. La integración de los distintos puntos de vista de los equipos de servicios de ciberseguridad, de redes, jurídicos y de cumplimiento garantiza evaluaciones exhaustivas de los posibles riesgos y complicaciones normativas, así como soluciones integrales. Esta colaboración mejora la capacidad de una organización de prever y mitigar los problemas de forma proactiva, en lugar de reaccionar cuando surgen problemas de cumplimiento o infracciones cibernéticas.

Perspectivas de futuro: la IA y los reglamentos de privacidad en evolución

A medida que avanza la tecnología, los reglamentos de privacidad como el RGPD sin duda seguirán evolucionando e influyendo en la forma en que protegen los datos las organizaciones. Del mismo modo, el papel de la IA en la ciberseguridad seguirá ampliándose y, si bien por ello se crearán nuevas oportunidades, también se producirán nuevas complejidades. Como tal, las empresas deben mantenerse alerta y adaptarse según sea necesario si quieren seguir el ritmo de las leyes, las tecnologías y las ciberamenazas, las cuales siguen avanzando. En última instancia, para lograrlo será necesario efectuar inversiones constantes en formación, procesos, supervisión normativa proactiva y, fundamentalmente, liderazgo en ciberseguridad.

En este panorama normativo cambiante, la adopción de marcos de seguridad basados en confianza cero se hace cada vez más necesaria. Las arquitecturas de confianza cero funcionan según el principio de acceso de privilegios mínimos. Este principio exige que únicamente las entidades autorizadas tengan acceso a los recursos y datos de TI, y que se les otorgue sólo el acceso mínimo necesario para realizar su trabajo, en el momento en que lo necesiten. 

Una plataforma con esta arquitectura redirige el tráfico y funciona como una centralita inteligente que ofrece conectividad segura de uno a uno, sin extender la red a nadie ni a nada (lo que elimina la posibilidad de movimiento lateral en la red). Controla el acceso basándose en una gran variedad de factores contextuales para garantizar que nada esté expuesto a riesgos innecesarios. 

Dicho de otro modo, la confianza cero inspecciona todo el tráfico, minimiza los permisos excesivos, controla el acceso a los recursos de TI, supervisa el flujo de información confidencial, aplica políticas de seguridad de datos granulares en tiempo real y ofrece una amplia gama de funciones adicionales que coinciden a la perfección con los principios fundamentales del RGPD. En consecuencia, las organizaciones pueden proteger sus datos en cualquier lugar con confianza, aprovechar las herramientas basadas en IA (tanto para la seguridad como para otros fines) y mantener el cumplimiento del RGPD. 

Zscaler: la IA de seguridad y el cumplimiento normativo

Si tiene curiosidad sobre cómo encontrar una oferta de confianza cero que cumpla con todos los requisitos mencionados en esta publicación del blog, no busque más. La plataforma Zero Trust Exchange ofrece todo lo que necesita sobre seguridad, IA y cumplimiento normativo. Con Zscaler, las organizaciones pueden: 

• Aplicar una arquitectura hermética proporcionada por la empresa pionera e innovadora en confianza cero, lo que permite que se produzca una reducción sistemática del riesgo cibernético.
• Asociarse con un procesador de datos de confianza cuya plataforma esté diseñada para cumplir con normativas globales como el RGPD, ISO 27001, FedRAMP, SOC 2, etc.
• Controlar el flujo de datos hacia cualquier destino (incluidos los sistemas de IA creados para ingerir volúmenes masivos de información) y evitar infracciones de datos.
• Acelerar la innovación obteniendo visibilidad del uso que hacen los empleados de las herramientas de IA, como las aplicaciones de IA generativa, y aplicando políticas granulares que controlen el acceso.
• Aprovechar las capacidades impulsadas por IA que pueden mejorar aún más la postura de seguridad y, al mismo tiempo, mejorar la automatización y la productividad.
• Detener los ciberataques sofisticados con IA mediante un conjunto completo de protecciones que identifican y bloquean las amenazas en cada etapa de la cadena de ataque.
• Mantener el pleno cumplimiento de normativas mundiales, como el RGPD, minimizando el riesgo de sanciones, los daños a la reputación y otras consecuencias.

Para obtener más información sobre la confianza cero, únase a la primera parte de nuestra serie de seminarios web, Zero Trust, from Theory to Practice (Confianza cero: de la teoría a la práctica), que está diseñada para orientarle en todos los aspectos referentes a la confianza cero.

Para obtener más información sobre las formas en que combinamos la confianza cera y la IA para resolver los problemas de TI de hoy en día, descargue nuestro informe técnico, Zero Trust + AI: Secure and Optimize Your Organization (Confianza cero + IA: proteja y optimice su organización).