Gobernanza · Sensibilización · OASAP

La concienciación cibernética esun
o fallido en la AI
— y la mayoría de las organizaciones no se han dado cuenta

Todas las empresas imparten formación en concienciación sobre seguridad. Simulaciones de phishing. Buenas prácticas en el uso de contraseñas. Protección básica de datos. Es necesario. Pero ya no es suficiente, y la brecha se agranda cada día AI implementa AI sin una concienciación actualizada.

Seguridad IA — OASAP

Todas las empresas imparten cursos de sensibilización sobre seguridad. Simulacros de phishing. Buenas prácticas en el uso de contraseñas. Protección básica de datos. Es necesario. Pero ya no es suficiente.

La brecha que nadie aborda

Los empleados ya utilizan AI redactan correos electrónicos, resumen documentos, cargan datos para su análisis e interactúan con copilotos y AI internas AI . Sin embargo, la mayoría de los programas de sensibilización no preparan para esta realidad.

Esto genera un nuevo tipo de risk. No se trata de un comportamiento malintencionado, sino de un comportamiento desinformado.

Datos confidenciales pegados en AI públicas AI Los empleados que no comprenden las implicaciones que tiene el tratamiento de datos por parte de AI externos AI comparten información interna que nunca enviarían por correo electrónico a personas externas.
Documentos internos subidos «por comodidad»Archivos que contienen PII, datos financieros o procedimientos internos subidos a herramientas de IA para su resumen o traducción, sin saber adónde van a parar esos datos.
ResultadosAI en los que se confía sin validarlosLos empleados actúan siguiendo AI , los resúmenes o el código AI sin someterlos a un análisis crítico, ya que la herramienta presenta los resultados con aparente seguridad.
Empleados que conceden acceso a las herramientas sin comprender su alcanceSe aceptan permisos OAuth sin leer qué acceso se está concediendo, lo que da a AI acceso al correo electrónico, al calendario, a los archivos o a los sistemas internos.
Indicaciones que revelan más contexto del previstoLa información que las personas incluyen en las indicaciones para obtener mejores AI suele contener contexto empresarial sensible, datos de clientes o procedimientos internos que nunca deberían salir de la organización.

Esto no es un policy

Puedes bloquear herramientas. Puedes restringir el acceso. Pero, en realidad, AI se producirá, esté o no bajo tu control. La solución no es la restricción, sino una mayor concienciación.

En GenAI, la indicación es la nueva vía de filtración de datos.

Qué debe incluir una formación en seguridad AI

01
Uso de herramientas — Juicio
Cuándo utilizar AI
Cuándo NO utilizar AI
¿Qué herramientas están homologadas?
Riesgos de las herramientas externas
02
El tratamiento de datos en AI
¿Qué datos pueden introducirse en AI ?
Lo que nunca se debe compartir
Cómo las indicaciones revelan el contexto
Cómo los resultados pueden dar lugar a datos
03
Seguridad IA
Sensibilización sobre la inyección temprana
Riesgos de fuga de datos
Alucinación y confianza en el modelo
Riesgos asociados a AI de terceros
Repercusiones en materia de identidad y acceso

Se trata de tomar decisiones, no de cumplir normas. El objetivo es dotar a los empleados del criterio necesario para utilizar AI de forma segura, no proporcionarles una lista de comprobación que se les olvide al día siguiente.

¿Por qué es importante ahora?

AI más rápido que los mecanismos de control. Esto significa que los empleados se están convirtiendo en parte de la superficie de ataque de formas hasta ahora desconocidas. No es que sean descuidados, sino que no han recibido la formación necesaria para este entorno.

El problema no son los empleados. El problema son los empleados que no han recibido formación en un entorno AI.

Lo que deben hacer los CISO

Incorporar AI en los programas de sensibilización sobre seguridad, no como un módulo adicional, sino como un componente fundamental.
Pasemos de la formación basada en reglas a la basada en el criterio: el AI cambia más rápido que los conjuntos de reglas. Los empleados necesitan principios, no solo políticas.
Utiliza situaciones reales, no módulos genéricos: una formación basada en las AI que utiliza realmente tu organización, con ejemplos realistas de tu sector.
Armonizar los mensajes sobre seguridad, aspectos legales y gobernanza de datos: los empleados reciben orientaciones contradictorias de distintos equipos. Un programa coordinado es más eficaz que tres programas que compiten entre sí.
Actualízate constantemente a medida que evolucionan AI : un programa de formación diseñado para AI de 2023 ya ha quedado obsoleto. La sensibilización debe ser un programa en constante evolución, no un evento anual.

Reflexión final

La conciencia tradicional enseñaba
«No hagas clic en el enlace equivocado».
La concienciación sobre AI debe enseñar
«No difundas información errónea, aunque la herramienta resulte útil».

La concienciación en materia de seguridad no ha fallado. Simplemente aún no ha evolucionado.

#Ciberseguridad#IA#IAGenerativa#Concienciación sobre la seguridadCISO#ProtecciónDeDatosOASAPOneCompliant

Fomentar Seguridad IA que realmente funcione

OASAP OneCompliant se diseñó para entornos empresariales regulados y ha sido implantado en una importante empresa europea de telecomunicaciones en varios idiomas. Es escalable, específico para cada función y se actualiza continuamente.