Nota del editor: Este artículo, escrito por Brad Hibbert, director de operaciones y estrategia de Prevalent, se publicó originalmente en securitymagazine.com.
Aunque la inteligencia artificial (IA) existe desde hace bastante tiempo, la adopción y la evolución de las tecnologías relacionadas con la IA han avanzado de forma espectacular durante el último año. Un área que parece estar lista para beneficiarse de la IA es la gestión de riesgos de terceros, es decir, si la IA puede ofrecer a las organizaciones una forma más sencilla de gestionar los riesgos de los proveedores externos y garantizar el cumplimiento de un complejo panorama normativo.
Terceros: oportunidades y retos
Las organizaciones dependen cada vez más de terceros para suministrar una amplia gama de bienes y servicios, ya que resulta mucho más eficiente y rentable que producir todo internamente. Desafortunadamente, esta práctica también aumenta el riesgo de los proveedores y distribuidores. Las complejas cadenas de suministro globales hacen que sea increíblemente difícil tener una visibilidad clara de las prácticas de seguridad y gestión de riesgos de un número cada vez mayor de terceros. ¿Y cómo pueden los profesionales de la seguridad mitigar los riesgos sobre los que no tienen ninguna visibilidad? Es una tarea difícil pero importante, ya que los ciberdelincuentes atacan cada vez más a terceros de la cadena de suministro para robar datos confidenciales e interrumpir las operaciones.
A medida que las amenazas de terceros se vuelven cada vez más sofisticadas, las organizaciones necesitan más tiempo para detectar y remediar los riesgos de terceros. Hay tres razones principales que explican este cambio:
- El volumen de datos cibernéticos sigue aumentando, procedente de un número cada vez mayor de fuentes. Las enormes cantidades de datos requieren más tiempo y esfuerzo para analizarlos y revisarlos.
- Los procesos de análisis requieren diversos tipos de documentación, dependiendo del departamento que gestiona al proveedor y los riesgos que desea gestionar. Los riesgos pueden ser financieros, operativos, de cumplimiento normativo, reputacionales o relacionados con la tecnología de la información, lo que amplía considerablemente el tipo de documentación —y los conocimientos especializados— necesarios para el análisis.
- Los requisitos normativos pueden solaparse o ser poco claros, pero también son cada vez más rigurosos, lo que complica la remediación y la presentación de informes.
La gestión de riesgos de terceros se encuentra ahora en un punto de inflexión. Dado que muchas organizaciones siguen enfrentándose a retos presupuestarios y de recursos, ¿cómo pueden los responsables de seguridad seguir realizando las mejoras tan necesarias en la eficiencia de sus programas de gestión de riesgos de terceros (TPRM)? Hacerlo es esencial si quieren reducir el riesgo de infracciones, minimizar el impacto potencial en el negocio y proteger la reputación de la organización.
¿Puede la IA optimizar los procesos de gestión de riesgos de terceros?
La IA puede tener la respuesta. A continuación se presentan tres formas específicas en las que la IA puede mejorar los retos que plantean los proveedores y distribuidores externos.
1. Automatizar la recopilación y el análisis de datos de riesgo procedentes de una amplia variedad de fuentes: la IA puede automatizar la recopilación y el análisis de datos procedentes de una amplia variedad de fuentes, como estados financieros, registros de seguridad y certificaciones de seguridad. A continuación, la IA puede predecir riesgos futuros basándose en datos históricos de esos artefactos y en las tendencias actuales. Esto reduce el tiempo y el esfuerzo necesarios para gestionar los riesgos de terceros y mejora la calidad de la toma de decisiones.
2. Proporcionar contexto para simplificar el análisis de riesgos y la presentación de informes de cumplimiento: cumplir con una compleja serie de normativas puede suponer un reto importante para los equipos de cumplimiento y auditoría, que a menudo carecen de una orientación clara sobre cómo abordar los riesgos. Con frecuencia, los procesos identificados para validar los controles también son inconsistentes, lo que complica aún más el proceso. Pero, aunque el análisis y el procesamiento de enormes cantidades de datos requieren mucho tiempo (y son aburridos) para los seres humanos, los sistemas de IA debidamente entrenados pueden analizar automáticamente grandes cantidades de datos de riesgo para proporcionar contexto e identificar patrones y tendencias. Una solución de IA facilita a los equipos de cumplimiento normativo y auditoría la evaluación de los riesgos y controles, así como la generación de directrices y recomendaciones de corrección.
3. Automatizar las tareas manuales para ayudar a los gestores de riesgos a ser más proactivos: los gestores de riesgos suelen dedicar una cantidad considerable de tiempo a examinar hojas de cálculo, introducir datos manualmente y generar informes. Esto dificulta la elaboración de estrategias, el análisis de los riesgos emergentes y la planificación a largo plazo. Dado que la IA recopila y analiza datos históricos y tendencias actuales, puede predecir riesgos futuros, lo que ayuda a los profesionales de la seguridad a ser más proactivos, ya que disponen del tiempo necesario para prever, evaluar y mitigar los riesgos que podrían amenazar los objetivos de la organización. El resultado son decisiones más rápidas, precisas y basadas en datos sobre los riesgos relacionados con terceros y proveedores.
Qué hay que tener en cuenta en un TPRM de IA
Durante el último año ha quedado claro que la IA, en particular los grandes modelos lingüísticos (LLM) que han acaparado las noticias, no ofrece necesariamente una solución perfecta para todos los problemas. Las organizaciones que utilizan herramientas de IA deben ser conscientes de algunos de los riesgos potenciales y asegurarse de que se abordan.
- Ya sea por anomalías estadísticas, datos erróneos o datos de modelos de aprendizaje inadecuados, la IA puede ofrecer una interpretación inválida como si fuera un hecho (y hacerlo con total confianza). Esto se conoce como alucinación. Para abordar este riesgo, las soluciones de TPRM de IA deben garantizar que los datos utilizados para entrenar el modelo se basen en datos reales sobre riesgos de terceros: deben ser precisos, diversos y representativos de situaciones del mundo real. Estas soluciones deben ajustar continuamente sus modelos para garantizar que sigan mejorando mediante el aprendizaje del contexto y los matices específicos de los riesgos de terceros.
- Cuando los sistemas de IA se crean utilizando datos de modelos de aprendizaje sesgados, las respuestas serán inevitablemente igual de sesgadas. El sesgo puede ser difícil de detectar, por lo que es fundamental utilizar datos de entrenamiento que sean diversos y representativos de la población real. Es esencial actualizar y reentrenar continuamente los modelos de IA para incorporar nuevos datos y mitigar el sesgo potencial. Los revisores humanos son una forma importante de identificar el sesgo en el contenido y las decisiones generados por la IA y evaluar el rendimiento de la solución, lo que significa que los proveedores de soluciones deben realizar auditorías periódicas de estos modelos de IA.
- Es importante recordar que introducir datos confidenciales en LLM de terceros no es una buena idea, ya que los datos pueden compartirse fuera de la organización. Del mismo modo, las soluciones LLM pueden incorporar entradas en sus modelos de datos, lo que permite realizar consultas posteriores a esos datos, que pueden ser confidenciales. Para evitar el acceso no autorizado, los datos confidenciales deben cifrarse tanto en reposo como en tránsito para protegerlos de dichas consultas. Si se utiliza la IA para gestionar determinadas tareas de TPRM, la solución debe incorporar controles de acceso y mecanismos de autorización sólidos para evitar que personas o sistemas no autorizados accedan a los datos y los manipulen.
La gestión de proveedores y distribuidores externos siempre ha sido un aspecto complicado de la gestión de riesgos. Desde la diligencia debida hasta las comprobaciones de cumplimiento y la supervisión continua, los gestores de riesgos se ven desbordados por las exigencias de tiempo y atención. Una solución de IA para la gestión de riesgos de terceros (TPRM) debidamente formada y mantenida puede automatizar las tareas rutinarias y proporcionar herramientas analíticas avanzadas que permitan a los gestores de riesgos centrarse en actividades estratégicas que beneficien al negocio en su conjunto.
Nota del editor: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido ha sido actualizado desde entonces para incluir información alineada con nuestra oferta de productos, cambios regulatorios y cumplimiento.
