¿Puede la IA sustituir a un CISO?

¿Y por qué tendría la inteligencia artificial que sustituir a un CISO?, es seguramente, la primera pregunta que pueda venir a tu cabeza. Especialmente, si ese es el rol profesional que desarrollas en la actualidad. Claro que, por otra parte, si ese es tu caso seguro que sabes de las dificultades por las que tienen que pasar tanto las personas con ese perfil concreto, como las empresas que necesitan contar con un profesional que garantice la seguridad de los datos. Es más, quizá sea una solución que ya se te ha pasado por la cabeza en alguna ocasión.

No es la primera vez que hablamos del enorme desgaste al que están sometidos los profesionales de la seguridad informática en estos tiempos. Es más, recientemente citamos este problema como una de las principales amenazas que habrá que enfrentar a corto y medio plazo. El agotamiento de los profesionales tiene varias consecuencias, todas ellas negativas, que sumadas plantean una situación bastante más preocupante de lo que pueda parecer desde fuera.

En IT cualquier profesional debe someterse a un proceso de formación y actualización que empieza durante la fase académica y termina el día que recibimos un reloj conmemorativo por nuestra jubilación. El problema, en el ámbito de la seguridad, es que el ritmo de actualización es frenético. La industria del cibercrimen es, eso, una industria. Ya no hablamos de unos estudiantes que ponen en práctica lo aprendido en foros de Internet. No, el enemigo es poderoso, y esa fuerza se nota cada día más.

Así, se da una doble condición realmente peligrosa: por una parte los profesionales acaban agotados y, en bastantes casos, buscan un cambio de área para faenar en aguas más tranquilas. Y, por otra parte, debido al incremento de las ciberamenazas, sube también la demanda de profesionales. Una demanda que no se ve satisfecha en la actualidad con el volumen de profesionales existentes en la actualidad. Este problema no es nuevo, llevamos años hablando de él, pero cada día que pasa la situación se vuelve más crítica.

 

Y aquí es dónde llegamos a la inteligencia artificial

Hoy he empezado el día leyendo a Ana Mezik, que reflexiona sobre este asunto y apunta, precisamente, en esta misma dirección. Plantea un gran cambio (The Big Switch lo llama), en el que la carencia de profesionales de seguridad, especialmente CISOs, se vea cubierta con desarrollos de inteligencia artificial que sean capaces de proteger la información con la que trabajan las empresas hoy en día.

Seguro que a la inmensa mayoría, si nos llegan a plantear esta posibilidad hace diez años, habríamos torcido el gesto. ¿Una inteligencia artificial asumiendo el rol de un CISO? Hoy en día, sin embargo, la idea no suena tan extraña, y hasta estoy seguro de que habrá quienes la abracen, viendo en ella la solución a todos los problemas por los que está pasando el sector. Y lo entiendo, desde luego. Mejor contar con la IA para defendernos que estar plenamente expuestos, sí. Pero no perdamos la perspectiva, la mejor solución, a menos a día de hoy, es contar con un CISO.

Esto no es sencillo, lo sé. Algunas estimaciones, como esta de The New York Times, plantean que en 2021 habrá un total de 3,5 millones de puestos vacantes a nivel mundial. Son muchas vacantes. Demasiadas. Y esta situación tiene una consecuencia perversa que lo enrarece todo un poco más: la industria del cibercrimen tiene la percepción (quizá acertada) de estar ganando la partida, por lo que no dudará en redoblar esfuerzos y sumar nuevos actores para hacerse aún más fuerte hasta lograr la supremacía total.

Pero entonces, ¿qué hacer? ¿Confiarlo todo a desarrollos de inteligencia artificial? ¿Rendirse y apagar los servidores? Evidentemente no, pero ni una ni la otra. La verdadera solución no pasa por decir «que lo haga un robot» y empezar a disfrutar de una errónea sensación de seguridad absoluta. No, porque eso no va a ocurrir. Al menos a corto o medio plazo.

La clave (bueno, en realidad una de ellas) pasa por la inteligencia artificial, sí. Llevamos tiempo hablando de múltiples soluciones basadas en la inteligencia artificial. Caray, si esto no es nada nuevo. ¿Cuántos años llevamos conviviendo con sistemas basados en la heurística, filtrados bayesianos y demás? Las herramientas capaces de aprender y adaptarse no son algo nuevo, y los profesionales llevan ya muchos años trabajando con ellas. Y soluciones más actuales, como UEBA, suponen un sustancial avance en este sentido.

Entonces, ¿qué necesitan los CISOs? Evidentemente la clave pasa por sistemas basados en inteligencia artificial, capaces de evolucionar al mismo ritmo al que lo hacen las amenazas. Este desafío señala directamente a un actor clave, las empresas de seguridad, punta de lanza en la lucha contra el cibercrimen. Sobre ellas recae la responsabilidad, crítica, de proveer a los profesionales en tiempo y forma de soluciones (ya sean específicas o genéricas) con las que poder aplicar las políticas de seguridad y compliance que deben regir las actuaciones corporativas.

Y es que hay un aspecto que, aunque he estado obviando hasta ahora, seguro que está en la cabeza de cualquier profesional de la seguridad que esté leyendo esto: cada empresa es un mundo. Un mundo vivo para más señas. La seguridad debe estar en el núcleo de las empresas, estamos de acuerdo, pero para que esto sea posible es necesario adaptar las herramientas al contexto. Y sí, de acuerdo, eso es algo que también puede hacer un consultor externo (una solución factible para pymes, especialmente en el segmento «p»).

 

¿Puede la inteligencia artificial regir un ente «vivo»?

El problema es, ya lo he comentado anteriormente, que las empresas están vivas, de manera que un modelo de seguridad que hoy se ajusta como un guante, mañana puede no hacerlo. Una posible solución pasa por contar con un servicio de consultoría constante, es decir, tener unos «trocitos de CISO» que, de manera periódica, revise y ajuste todo lo relacionado con la seguridad del dato. Pero sí, de nuevo hablamos de la necesidad de un CISO, aunque solo sea unas horas al mes.

Todos llevamos bastante tiempo escuchando hablar de cómo la inteligencia artificial va a asumir determinados roles profesionales que, hasta el momento, han sido llevados a cabo por humanos. Y sí, es cierto que muchas tareas pueden ser confiadas a la IA. Sin embargo la definición y aplicación de políticas de seguridad para proteger la información y ajustarse a compliance no me parece, ni remotamente, un ejemplo de ello. Esta es una de esas actividades en las que la IA puede (y ya lo empieza a ser) un formidable apoyo para el profesional, pero no una sustituta.

Lo que me preocupa mucho, y esto es una reflexión personal, es que no se adopten medidas para atraer a más profesionales, que la carencia de los mismos siga incrementándose a corto y medio plazo, termine forzando una situación en el que la única solución sea sustituir a CISOs por soluciones de inteligencia artificial.

Creo que este es un problema en el que han de implicarse más algunos actores clave (administraciones públicas y sector educativo y académico, principalmente). Las empresas de seguridad deben pisar todavía más el acelerador (que no digo que no lo hagan ya, no es eso) para intentar proveer a los profesionales de un buen arsenal de recursos para combatir los mil frentes a los que tienen que enfrentarse cada día. Y dado que la ciberdelincuencia puede ser realmente desestabilizadora, y puede ser empleada incluso como elemento para la ciberguerra, tendría todo el sentido que estas acciones tuvieran una respuesta más contundente por parte de las entidades de seguridad y defensa tanto nacionales como transnacionales.

¿Quién sabe? Quizá la solución pase por crear un estamento intermedio entre CISO y CAIO, una sinergia entre los dos perfiles. Igual hasta un nuevo perfil ejecutivo (¿CAISIO?). No cabe duda, en cualquier caso de que el punto dulce se encuentra en esa intersección. Solo espero que todavía estemos a tiempo de avanzar en esa dirección. Y es que en mi opinión, y respondiendo a la pregunta del principio, no. La inteligencia artificial puede apoyar a un CISO, pero no sustituirlo.

La entrada ¿Puede la IA sustituir a un CISO? es original de MuySeguridad. Seguridad informática.