AI tiene la promesa de revolucionar todos los sectores de Enterprise ー, desde la detección de fraude y la personalización de contenido hasta las operaciones de servicio al cliente y seguridad. Sin confiscación, a pesar de su potencial, la implementación a menudo se detiene detrás de una horma de obstáculos de seguridad, legítimo y cumplimiento.
Imagine este proscenio demasiado abierto: un CISO quiere desplegar un SoC impulsado por la IA para manejar el abrumador comba de alertas de seguridad y posibles ataques. Antaño de que el esquema pueda comenzar, debe tener lugar a través de capas de aprobación de GRC (gobernanza, aventura y cumplimiento), revisiones legales y obstáculos de financiación. Este estancamiento retrasa la innovación, dejando a las organizaciones sin los beneficios de un SOC con IA mientras los cibercriminales siguen avanzando.
Desglosemos por qué la acogida de IA enfrenta tal resistor, distinguemos los riesgos genuinos de los obstáculos burocráticos y exploren las estrategias prácticas de colaboración entre los proveedores, los equipos C-suite y GRC. Incluso proporcionaremos consejos de CISO que han tratado estos problemas ampliamente, así como una hoja de trucos de preguntas que los proveedores de IA deben objetar para satisfacer los guardianes empresariales.
Cumplimiento como la barrera principal para la acogida de la IA
Las preocupaciones de seguridad y cumplimiento constantemente encabezan la registro de razones por las cuales las empresas dudan en modificar en IA. Los líderes de la industria como Cloudera y AWS han documentado esta tendencia entre los sectores, revelando un patrón de parálisis de innovación impulsado por la incertidumbre regulatoria.
Cuando profundizas por qué el cumplimiento de la IA crea tales obstáculos, surgen tres desafíos interconectados. Primero, incertidumbre regulatoria Sigue cambiando los postes para sus equipos de cumplimiento. Considere cómo sus operaciones europeas podrían haberse adaptado a los requisitos de GDPR, solo para confrontar disposiciones de la Ley de AI completamente nueva con diferentes categorías de riesgos y puntos de narración de cumplimiento. Si su ordenamiento es internacional, este rompecabezas de carta y políticas regionales de IA solo se vuelve más compleja. Encima, inconsistencias ámbito componer estas dificultades. Su equipo podría tener lugar semanas preparando una amplia documentación sobre procedencia de datos, edificio de modelos y parámetros de prueba para una autoridad, solo para descubrir que esta documentación no es portátil en todas las regiones o ya no está actualizado. Por postrer, el brecha de experiencia Puede ser el veterano obstáculo. Cuando un CISO pregunta quién comprende tanto los marcos regulatorios como la implementación técnica, generalmente el silencio es revelador. Sin profesionales que unan uno y otro mundos, traducir los requisitos de cumplimiento en controles prácticos se convierte en un encaje de adivinanzas costoso.
Estos desafíos afectan a toda su ordenamiento: los desarrolladores enfrentan ciclos de aprobación extendidos, los equipos de seguridad luchan con vulnerabilidades específicas de IA como inyección rápida y equipos de GRC que tienen la difícil tarea de defender su ordenamiento, toman posiciones cada vez más conservadoras sin puntos de narración establecidos. Mientras tanto, los cibercriminales no enfrentan tales limitaciones, adoptando rápidamente la IA para mejorar los ataques, mientras que sus capacidades defensivas permanecen bloqueadas detrás de las revisiones de cumplimiento.
Desafíos de gobernanza de IA: separar el mito de la ingenuidad
Con tanta incertidumbre en torno a las regulaciones de IA, ¿cómo distingue los riesgos reales de los temores innecesarios? Cortemos el ruido y examinemos de qué debe preocuparse y lo que puede dejar ser. Aquí hay algunos ejemplos:
FALSO: «El gobierno de IA requiere un ámbito completamente nuevo».
Las organizaciones a menudo crean marcos de seguridad completamente nuevos para los sistemas de IA, duplicar innecesariamente los controles. En la mayoría de los casos, los controles de seguridad existentes se aplican a los sistemas de IA, con solo ajustes incrementales necesarios para la protección de datos y las preocupaciones específicas de la IA.
VERDADERO: «El cumplimiento relacionado con la IA necesita actualizaciones frecuentes».
A medida que el ecosistema de IA y las regulaciones subyacentes siguen cambiando, asimismo lo hace la gobernanza de la IA. Si adecuadamente el cumplimiento es dinámico, las organizaciones aún pueden manejar actualizaciones sin revisar toda su organización.
FALSO: «Necesitamos certeza regulatoria absoluta antaño de usar AI».
Esperando la claridad regulatoria completa retrasa la innovación. El avance iterativo es secreto, ya que la política de IA continuará evolucionando, y esperar significa quedarse detrás.
VERDADERO: «Los sistemas de IA necesitan monitoreo continuo y pruebas de seguridad».
Las pruebas de seguridad tradicionales no capturan riesgos específicos de IA como ejemplos adversos e inyección inmediata. La evaluación continua, incluido el equipo rojo, es crítica para identificar problemas de sesgo y confiabilidad.
FALSO: «Necesitamos una registro de demostración de 100 puntos antaño de aprobar un proveedor de IA».
Exigir una registro de demostración de 100 puntos para la aprobación del proveedor crea cuellos de botella. Los marcos de evaluación estandarizados como el ámbito de papeleo de riesgos de IA de NIST pueden optimizar las evaluaciones.
VERDADERO: «La responsabilidad en las aplicaciones de IA de suspensión aventura es un gran aventura».
Determinar la responsabilidad cuando ocurren errores de IA es enredado, ya que los errores pueden provenir de los datos de capacitación, el diseño del maniquí o las prácticas de implementación. Cuando no está claro quién es responsable, su proveedor, su ordenamiento o el legatario final, es necesaria la papeleo de riesgos.
La gobernanza efectiva de la IA debe priorizar los controles técnicos que aborden riesgos genuinos, no crear obstáculos innecesarios que lo mantengan atrapado mientras otros avanzan.
El camino a seguir: impulsar la innovación de IA con el gobierno
Las organizaciones que adoptan la gobernanza de la IA temprana obtienen ventajas competitivas significativas en la eficiencia, la papeleo de riesgos y la experiencia del cliente sobre aquellos que tratan el cumplimiento como un paso final separado.
Tome el Centro de Excelencia AI de JPMorgan Chase (COE) como ejemplo. Al explotar las evaluaciones basadas en el aventura y los marcos estandarizados a través de un enfoque centralizado de gobernanza de IA, han simplificado el proceso de acogida de IA con aprobaciones aceleradas y tiempos de revisión de cumplimiento mínimas.
Mientras tanto, para las organizaciones que retrasan la implementación de una gobernanza efectiva de IA, el costo de la inacción crece diariamente:
- Mayores riesgos de seguridad: Sin soluciones de seguridad con IA, su ordenamiento se vuelve cada vez más débil a los ataques cibernéticos sofisticados e impulsados por la IA que las herramientas tradicionales no pueden detectar o mitigar de modo efectiva.
- Oportunidades perdidas: No innovar con IA da como resultado oportunidades perdidas para ahorros de costos, optimización de procesos y liderazgo en el mercado a medida que los competidores aprovechan la IA para obtener una delantera competitiva.
- Deuda regulatoria: El endurecimiento futuro de las regulaciones aumentará las cargas de cumplimiento, lo que obliga a implementaciones apresuradas en condiciones menos favorables y costos potencialmente más altos.
- Apadrinamiento tardía ineficiente: El cumplimiento retroactivo a menudo viene con términos menos favorables, lo que requiere un retrabajo sustancial de los sistemas que ya están en producción.
Equilibrar la gobernanza con la innovación es fundamental: a medida que los competidores estandarizan las soluciones de IA, puede respaldar su billete de mercado a través de operaciones más seguras y eficientes y experiencias mejoradas de los clientes impulsadas por la IA y el futuro a través de la gobernanza de la IA.
¿Cómo pueden los proveedores, ejecutivos y equipos de GRC trabajar juntos para desbloquear la acogida de AI?
La acogida de IA funciona mejor cuando su seguridad, cumplimiento y equipos técnicos colaboran desde el primer día. Según las conversaciones que hemos tenido con CISOS, desglosaremos los tres principales desafíos de gobernanza secreto y ofreceremos soluciones prácticas.
¿Quién debería ser responsable del gobierno de IA en su ordenamiento?
Respuesta: Cree responsabilidad compartida a través de equipos interfuncionales: CIO, CISO y GRC pueden trabajar juntos adentro de un Centro de Excelencia de AI (COE).
Como un CISO nos dijo con franqueza: «Los equipos de GRC se ponen nerviosos cuando escuchan ‘AI’ y usan listas de preguntas de Boilerplate que ralentizan todo. Solo siguen su registro de demostración sin ningún matiz, creando un cuello de botella actual».
Lo que las organizaciones pueden hacer en la ejercicio:
- Forma un comité de gobierno de IA con personas de seguridad, legítimo y negocios.
- Cree métricas y jerga compartidos que todos entiendan para rastrear el aventura y el valencia de la IA.
- Establezca revisiones conjuntas de seguridad y cumplimiento para que los equipos se alineen desde el primer día.
¿Cómo pueden los proveedores hacer que el procesamiento de datos sea más transparente?
Respuesta: Cree privacidad y seguridad en su diseño desde cero para que los requisitos comunes de GRC ya se aborden desde el día 1.
Otro CISO estaba claro sobre sus preocupaciones: «Los proveedores deben explicar cómo protegerán mis datos y si sus modelos LLM lo utilizarán.
Lo que las organizaciones que adquieren soluciones de IA pueden hacer en la ejercicio:
- Use sus políticas de gobierno de datos existentes en espacio de crear estructuras nuevas (ver la venidero pregunta).
- Construya y mantenga un registro simple de sus activos y casos de uso de AI.
- Asegúrese de que sus procedimientos de manejo de datos sean transparentes y adecuadamente documentados.
- Desarrolle planes claros de respuesta a incidentes para infracciones o uso indebido relacionados con la IA.
¿Las exenciones existentes a las leyes de privacidad asimismo son aplicables a las herramientas de IA?
Respuesta: Consulte con su asesor legítimo o oficial de privacidad.
Dicho esto, un CISO experimentado en la industria financiera explicó: «Hay una explicación adentro de la ley para procesar datos privados cuando se está realizando en beneficio del cliente o por falta contractual. Como tengo un interés comercial oficial en el servicio y la protección de nuestros clientes, puedo usar sus datos privados para ese propósito intencionadamente y ya lo hago con otras herramientas como Splunk». Agregó: «Es por eso que es tan frustrante que se arrojen obstáculos adicionales para las herramientas de IA. Nuestra política de privacidad de datos debería ser la misma en todos los ámbitos».
¿Cómo puede respaldar el cumplimiento sin matar la innovación?
Respuesta: Implementar una gobernanza estructurada pero ágil con evaluaciones de riesgos periódicos.
Un CISO ofreció esta sugerencia ejercicio: «Los proveedores de IA pueden ayudar proporcionando respuestas de modo proactiva a las preguntas y explicaciones comunes de por qué ciertas inquietudes no son válidas. Esto permite a los compradores proporcionar respuestas a su equipo de cumplimiento rápidamente sin largas cosas con los proveedores».
Lo que los proveedores de IA pueden hacer en la ejercicio:
- Concéntrese en los requisitos de «tierra popular» que aparecen en la mayoría de las políticas de IA.
- Revise regularmente sus procedimientos de cumplimiento para sujetar pasos redundantes o obsoletos.
- Comience con proyectos piloto que prueben tanto el cumplimiento de la seguridad como el valencia comercial.
7 Preguntas Los proveedores de IA deben objetar para obtener equipos de Enterprise GRC
En Radiant Security, entendemos que evaluar a los proveedores de IA puede ser enredado. En numerosas conversaciones con CISO, hemos reunido un conjunto central de preguntas que han demostrado ser invaluables para aclarar las prácticas de los proveedores y respaldar una gobernanza de IA sólida entre las empresas.
1. ¿Cómo se asegura de que nuestros datos no se usen para capacitar a sus modelos de IA?
«De modo predeterminada, sus datos nunca se usan para capacitar a nuestros modelos. Mantenemos una estricta segregación de datos con controles técnicos que evitan la inclusión accidental. Si se produce algún incidente, nuestro seguimiento de clase de datos desencadenará una notificación inmediata a su equipo de seguridad adentro de las 24 horas, seguido de un documentación de incidente detallado».
2. ¿Qué medidas de seguridad específicas protegen los datos procesados por su sistema de IA?
«Nuestra plataforma AI utiliza el criptográfico de extremo a extremo tanto en tránsito como en reposo. Implementamos controles de entrada estrictos y pruebas de seguridad regulares, incluidos los ejercicios de equipo rojo; asimismo mantenemos certificaciones SOC 2 Tipo II, ISO 27001 y FedRamp. Todos los datos del cliente están lógicamente aislados con una cachas separación de inquilinos».
3. ¿Cómo se prevé y detecta alucinaciones de IA o falsos positivos?
«Implementamos múltiples salvaguardas: concepción de recuperación aumentada (RAG) con bases de conocimiento autorizadas, puntuación de confianza para todos los resultados, flujos de trabajo de demostración humana para decisiones de suspensión aventura y monitoreo continuo que marca los resultados anómalos para su revisión. Incluso realizamos ejercicios regulares del equipo rojo para probar el sistema bajo condiciones adversas».
4. ¿Puede demostrar el cumplimiento de las regulaciones relevantes para nuestra industria?
«Nuestra alternativa está diseñada para respaldar el cumplimiento de GDPR, CCPA, NYDFS y los requisitos de la SEC. Mantenemos una matriz de cumplimiento que mapea nuestros controles a requisitos regulatorios específicos y se someta a evaluaciones regulares de terceros. Nuestro equipo legítimo rastrea los desarrollos regulatorios y proporciona actualizaciones trimestrales sobre mejoras de cumplimiento».
5. ¿Qué sucede si hay una violación de seguridad relacionada con la IA?
«Tenemos un equipo dedicado de respuesta a incidentes de IA con cobertura 24/7. Nuestro proceso incluye contención inmediata, examen de causa raíz, notificación del cliente adentro de los plazos contractualmente acordados (generalmente 24-48 horas) y remediación. Incluso realizamos ejercicios de mesa trimestralmente para probar nuestras capacidades de respuesta».
6. ¿Cómo se asegura la honestidad y evita el sesgo en sus sistemas de IA?
«Implementamos un ámbito integral de prevención de sesgo que incluye diversos datos de capacitación, métricas explícitas de equidad, auditorías de sesgo regulares por terceros y diseño de algoritmos con conciencia de equidad. Nuestra documentación incluye tarjetas maniquí detalladas que resaltan limitaciones y riesgos potenciales».
7. ¿Su alternativa jugará muy adecuadamente con nuestras herramientas de seguridad existentes?
«Nuestra plataforma ofrece integraciones nativas con las principales plataformas SIEM, proveedores de identidad y herramientas de seguridad a través de API en serie y conectores preconstruidos. Proporcionamos documentación integral de integración y soporte de implementación dedicado para respaldar una implementación perfecta».
Bridging the Gap: la innovación de IA se encuentra con la gobernanza
La acogida de IA ya no se está estancada por las limitaciones técnicas, se retrasa por el cumplimiento y las incertidumbres legales. Pero la innovación y el gobierno de IA no son enemigos. En ingenuidad, pueden fortalecerse cuando se acercan a ellos correctamente.
Las organizaciones que crean una gobernanza ejercicio de IA informada por el aventura no solo revisan las cajas de cumplimiento, sino que obtienen una delantera competitiva actual al despliegue de soluciones de IA más rápido, más segura y con un veterano impacto comercial. Para sus operaciones de seguridad, la IA puede ser el diferenciador más importante en el futuro a prueba de su postura de seguridad.
Si adecuadamente los ciberdelincuentes ya están utilizando AI para mejorar la sofisticación y la velocidad de sus ataques, ¿puede permitirse el fastuosidad de quedarse detrás? Hacer este trabajo requiere una colaboración actual: los proveedores deben topar las preocupaciones de cumplimiento de modo proactiva, los ejecutivos de C-Suite deberían defender la innovación responsable, y los equipos de GRC deben hacer la transición de los guardianes a los habilitadores. Esta asociación desbloquea el potencial transformador de la IA al tiempo que mantiene la confianza y la seguridad que exigen los clientes.
Sobre la seguridad refulgente
Radiant Security proporciona una plataforma SOC con AI diseñada para equipos de seguridad SMB y Enterprise que buscan manejar completamente el 100% de las alertas que reciben de múltiples herramientas y sensores. La ingestión, la comprensión y el triando alertas de cualquier proveedor de seguridad o fuente de datos, Radiant asegura que no se pierdan amenazas reales, reduce los tiempos de respuesta de días a minutos y permite a los analistas centrarse en incidentes positivos verdaderos y seguridad proactiva. A diferencia de otras soluciones de IA que están limitadas a casos de uso de seguridad predefinidos, Radiant aborda dinámicamente todas las alertas de seguridad, eliminando el agotamiento del analista y la ineficiencia de conmutación entre múltiples herramientas. Encima, Radiant ofrece una papeleo de registro de suspensión rendimiento asequible directamente desde el almacenamiento existente de los clientes, reduciendo drásticamente los costos y eliminando el corte de los proveedores asociados con las soluciones SIEM tradicionales.
Obtenga más información sobre la plataforma AI SoC líder.
Sobre el autor: Shahar Ben Hador pasó casi una término en Imperva, convirtiéndose en su primer CISO. Luego pasó a ser CIO y luego en el producto VP en Exabeam. Ver cómo los equipos de seguridad se ahogaron en alertas mientras las amenazas reales se deslizaban, lo llevaron a construir una seguridad refulgente como cofundador y CEO.
