En esta entrevista de Help Net Security, Aaron McCray, CISO de campo en CDW , analiza cómo la IA está transformando el rol del CISO, pasando de ser un simple guardián de la ciberseguridad táctica a un asesor estratégico de riesgos empresariales. Con la IA integrada en todas las funciones empresariales, los CISO lideran las iniciativas de gobernanza y gestión de riesgos a nivel empresarial . También comparte perspectivas sobre desafíos prácticos, nuevas habilidades y la creación de culturas de seguridad con dominio de la IA.

Ahora que la IA está incorporada en todas las funciones comerciales, ¿cómo evoluciona el rol de un CISO para supervisar la gobernanza de la IA y la gestión de riesgos en toda la empresa?

El rol del CISO ya no se limita a la protección de firewalls y endpoints. Su rol está evolucionando cada vez más: desde un líder táctico en ciberseguridad hasta un asesor estratégico de riesgos empresariales, ahora con la responsabilidad de asesorar sobre riesgos de IA a nivel directivo. Un nuevo estudio de CDW muestra que el 85 % de los líderes de TI cree que la IA puede mejorar la ciberseguridad, y casi tres cuartas partes ya la están implementando para lograrlo.

A medida que la IA se integra más, el CISO moderno contribuye a definir marcos de gobernanza que garantizan un uso responsable de la IA y su alineación con el cumplimiento normativo y los objetivos empresariales. Este es un cambio fundamental que mi colega, Walt Powell, denomina «CISO 2.0 a CISO 3.0», donde el rol del CISO ha evolucionado de ser un gestor de ciberseguridad a un líder estratégico con el objetivo de lograr resultados empresariales, realizar una gestión cuantitativa de riesgos financieros y asesorar a la alta dirección y a la junta directiva en la toma de decisiones.

¿Cuáles son los desafíos prácticos que enfrentan los CISO al implementar herramientas de seguridad impulsadas por IA, especialmente en torno a la visibilidad, la explicabilidad o los falsos positivos?

A pesar del avance de la IA, persisten obstáculos que requieren supervisión humana. Garantizar la visibilidad de la función de IA, que permite auditar los resultados y desglosarlos en un lenguaje fácil de entender, será un desafío fundamental, especialmente porque generar confianza con la tecnología es una prioridad. Las herramientas de IA son increíblemente potentes, pero es importante poder explicar cómo toman decisiones, especialmente en sectores regulados. Los CISO deben encontrar un equilibrio entre eficiencia y precisión a medida que la implementación de la IA cobra impulso, y parte de esto requiere transparencia en la creación de resultados.

Además, los falsos positivos son un problema real. Las herramientas de seguridad basadas en IA pueden inundar a los equipos con alertas que resultan irrelevantes o de baja prioridad. Cuando los equipos buscan constantemente falsas alarmas, se genera fatiga de alertas y se desvía la atención de las amenazas reales. Esto no solo ralentiza los tiempos de respuesta, sino que también puede erosionar la confianza en el propio sistema.

La integración es otro obstáculo. Estas herramientas deben funcionar con la infraestructura existente, lo cual no siempre es sencillo. Muchas organizaciones cuentan con una compleja combinación de sistemas heredados, entornos en la nube y plataformas de terceros. Incorporar la IA a esta combinación requiere una planificación minuciosa: garantizar la compatibilidad, gestionar los flujos de datos y mantener la seguridad en todos los puntos de contacto. Si una herramienta de IA no se alinea con los flujos de trabajo existentes, su eficacia disminuye significativamente. No se trata solo de integrar una nueva herramienta, sino de orquestar un ecosistema seguro y sin interrupciones donde la IA pueda aportar valor.

¿Cómo está cambiando la IA el conjunto de habilidades que necesitan los CISO, tanto para ellos mismos como para sus equipos?

La IA está ampliando las competencias requeridas del CISO más allá de la ciberseguridad, incluyendo dominio de la ciencia de datos, fundamentos del aprendizaje automático y la comprensión de cómo evaluar modelos de IA, no solo desde una perspectiva técnica, sino también desde una perspectiva de gobernanza y riesgo. Comprender cómo funciona la IA y cómo usarla responsablemente es esencial.

Afortunadamente, la IA también ha evolucionado la forma en que capacitamos a nuestros equipos. Por ejemplo, las plataformas de aprendizaje adaptativo que personalizan el contenido y simulan situaciones reales ayudan a reducir la brecha de habilidades de forma más eficaz.

En última instancia, para tener éxito en el espacio de la IA, tanto los CISO como sus equipos deberán comprender cómo se entrenan los modelos de IA, los datos en los que se basan y los riesgos que pueden introducir.

¿Cómo deberían los CISO evaluar y examinar las herramientas de IA de terceros para operaciones de seguridad? ¿Cuáles son las señales de alerta?

Los CISO siempre deben priorizar la rendición de cuentas y la transparencia. Las señales de alerta a tener en cuenta incluyen la falta de explicabilidad o la insuficiencia de capacidades de auditoría, que exponen a las empresas a la vulnerabilidad. Es importante comprender cómo gestiona los datos confidenciales y si ha demostrado su eficacia en entornos similares.

Más allá de eso, también es vital evaluar qué tan bien se alinea la herramienta con su modelo de gobernanza, que pueda ser auditada y que se integre bien en sus sistemas existentes.

Por último, prometer capacidades excesivas o proporcionar una hoja de ruta de soporte poco clara son señales de que se debe proceder con cautela. Si un proveedor no explica cómo mantendrá, actualizará o desarrollará una herramienta con el tiempo, o si no hay transparencia sobre cómo se gestionarán los problemas después de la implementación, su organización corre riesgo. Necesita socios que sean realistas sobre lo que sus herramientas pueden hacer hoy y que se comprometan a evolucionar con usted a medida que sus necesidades y el panorama de amenazas cambian.

¿Qué consejo le daría a los CISO que están intentando construir una cultura de seguridad basada en IA dentro de su organización?

Empiece por la educación. La IA está creando contenido de cursos personalizado, dirigido a cada individuo, que aborda el aprendizaje de forma más eficaz. Los módulos de formación pueden utilizar el aprendizaje adaptativo y monitorizar la capacidad del usuario para comprender el contenido. Incluso podría intentar gamificar el proceso incorporando estrategias de simulación para abordar diferentes estilos de aprendizaje. Los recursos están ahí y evolucionan rápidamente. La clave es invertir tiempo ahora para garantizar que su equipo cuente con los conocimientos básicos y la experiencia práctica necesarios para tener éxito en un entorno de seguridad impulsado por la IA.

Fuente y redacción: helpnetsecurity.com / Mirko Zorz

Compartir