Compile una base de Confianza cero segura para la inteligencia artificial

La inteligencia artificial está transformando la forma en que las empresas operan e innovan en la era del trabajo remoto e híbrido. También aporta nuevos desafíos y riesgos, especialmente en lo que respecta a la seguridad y privacidad de los datos. A medida que las empresas buscan innovar y asistir a sus empleados desde cualquier lugar, también deben ser capaces de proteger su valiosa información. Confianza cero es un marco de seguridad que se adapta al área de trabajo moderna para proteger mejor a los empleados y sus dispositivos. También proporciona protección para las tecnologías de inteligencia artificial, que se puede implementar para reforzar la seguridad.

Los datos administrados alimentan los modelos de inteligencia artificial, que se basan en grandes cantidades de información para aprender, analizar y generar información. Esta necesidad de mantener los datos protegidos los convierte en un recurso vulnerable que debe protegerse contra el acceso no autorizado, el uso incorrecto y el robo. Cualquier brecha, ya sea de punto de conexión, identidad, aplicación, infraestructura o red, puede tener consecuencias graves para las empresas en la reputación, responsabilidad legal y pérdida de confianza.

Al adoptar un marco de seguridad Confianza cero, las empresas protegen el acceso a la vez que proporcionan a los empleados lo necesario para trabajar. Confianza cero sigue tres principios básicos:

1.      Comprobar de forma explícita. Confianza cero requiere la comprobación continua de la identidad y los permisos antes de conceder acceso a los datos y recursos.
2.      Utilizar acceso con privilegios mínimos. Limite el acceso de usuarios con directivas adaptables basadas en riesgos Just-In-Time y Just-Enough-Access (JIT/JEA).
3.      Asumir vulneraciones. Si algo pareciera desactivado, minimice inmediatamente cualquier amenaza potencial mediante la segmentación del acceso y, a continuación, use el análisis para identificar el problema y reforzar las defensas.

La seguridad Confianza cero garantiza que la información confidencial esté siempre protegida, independientemente de dónde se almacene, se procese o desde dónde se acceda a ella, motivo por el que resulta fundamental para la adopción de la IA. A medida que las organizaciones adoptan la IA, disponer de un modelo de seguridad implementado para proteger continuamente los recursos más valiosos les permitirá impulsar la innovación y ser más productivos.

Junto con medidas de seguridad más sólidas, los principios de Confianza cero se pueden aplicar a la implementación de la IA:

Tener información precisa, completa y coherente resulta esencial porque determina la calidad de la salida de la IA. En caso de que alguien manipule o altere permisos de aplicaciones o datos administrados, se dañarán, lo que hará que la herramienta de inteligencia artificial genere resultados inexactos, poco confiables o sesgados. Confianza cero protege la integridad de los datos, bloqueando el acceso no autorizado a lo largo del ciclo de vida de la identidad.

Los controles de acceso son fundamentales para evitar el uso no autorizado e inadecuado de la inteligencia artificial y los datos que la informan. Una estrategia de Confianza cero refuerza estos controles aplicando el principio de privilegios mínimos, lo que impedirá que los empleados accedan a cualquier información confidencial, aplicación, punto de conexión o identidad que pudiera usar inteligencia artificial con fines malintencionados.

Al igual que con cualquier tecnología moderna, la inteligencia artificial es vulnerable a vulneraciones y ciberataques, especialmente con dispositivos remotos. Las amenazas de seguridad ponen en peligro la confidencialidad y la disponibilidad de los datos administrados, los puntos de conexión y la red, lo que podría tener un impacto importante en la privacidad y la seguridad de los empleados y clientes. Confianza cero mejora la seguridad mediante la autenticación multifactor y la identificación de sincronización de todos los dispositivos que usen los empleados.

La seguridad de Confianza cero no es un producto ni una solución específicos. Se trata de un conjunto de principios, prácticas y tecnologías que funcionan conjuntamente para lograr un alto nivel de seguridad con el fin de proteger cada aplicación, origen de datos, punto de conexión, infraestructura y cualquier tipo de entorno, independientemente de si la organización se basa en la nube, en el entorno local o es híbrida.

Para crear y mantener una base sólida en Confianza cero, las empresas deben incluir estas características y funcionalidades de seguridad importantes:

El primer principio de seguridad de Confianza cero requiere la comprobación explícita de todas las identidades y dispositivos antes de conceder acceso. La confianza nunca se asume ni se concede de forma permanente, lo que la hace dinámica y contextual, lo que significa que cambiará en función de la situación, la ubicación, la hora o el dispositivo.

Con los privilegios mínimos solo se concede el nivel mínimo de acceso necesario para tareas o roles específicos. Este principio ayuda a reducir la superficie expuesta a ataques y los posibles daños de vulneraciones limitando la exposición de datos, infraestructura, recursos de red, aplicaciones o puntos de conexión solo quien los necesite. También se aplica la separación de tareas e información según necesidad de acceso, lo que impide que determinados empleados accedan a información altamente confidencial.

La seguridad de Confianza cero divide las redes y la infraestructura en zonas o segmentos más pequeños en función de la confidencialidad de los datos, aplicaciones, roles y funciones empresariales. Esta medida aísla y protege todo del acceso no autorizado o malintencionado, y contendrá y limitará la propagación de vulneraciones mediante la restricción del movimiento y la comunicación entre segmentos. La microsegmentación también ayuda a mejorar la visibilidad y el rendimiento de red, ya que reduce la congestión y permite una supervisión y un control más amplios.

Esta funcionalidad permite a los equipos de seguridad supervisar la red y la infraestructura en busca de anomalías o comportamientos sospechosos y tomar medidas inmediatas para aislar o mitigar los riesgos. La detección y respuesta ante amenazas en tiempo real reduce el impacto de las vulneraciones al identificar y abordar las causas principales. También ayuda a mejorar la posición de seguridad de la organización a través de informes accionables que fomenten una adaptación y resistencia continuas.

La creación de una base segura en Confianza cero no es un proyecto único, sino un recorrido continuo que requiere una visión estratégica, un enfoque holístico y un cambio cultural.

Estos pasos proporcionan una ruta amplia para que las organizaciones evalúen dónde se encuentran en ese momento, dónde quisieran estar y cómo lograr sus objetivos de seguridad:

El primer paso consiste en evaluar las medidas de seguridad existentes, identificar los puntos fuertes y débiles, así como determinar las brechas y los posibles riesgos. Una auditoría le ayudará a comprender su posición de seguridad actual y a priorizar acciones para asignar recursos en consecuencia.

Identifique los puntos de conexión, aplicaciones, infraestructura, redes, datos y recursos de las operaciones empresariales que pudieran causar daños importantes si se perdiesen o pusiesen en peligro. Clasifique cada recurso en función del valor, la confidencialidad y el impacto. La identificación de recursos críticos le permitirá centrar sus esfuerzos en proteger lo más importante.

Cree y documente reglas y directivas específicas para controlar las áreas de defensa. Estas directivas deben basarse en los tres principios clave de Confianza cero: comprobación explícita, privilegios mínimos y supuesta vulneración. Estas reglas no serán inamovibles, pero sentarán las bases para el futuro.

Implemente tecnologías que establezcan y admitan directivas de Confianza cero, como la administración de identidad y acceso, el hash y cifrado de datos, la segmentación y aislamiento de la red, la detección y respuesta ante amenazas, así como la inteligencia y el análisis de seguridad. Estas soluciones deben integrarse y alinearse con los procesos, sistemas, operaciones y objetivos empresariales.

Una vez implementadas las tecnologías, informe a los empleados sobre la importancia y las ventajas de la seguridad de Confianza cero, junto con los roles y responsabilidades en su implementación y mantenimiento. El aprendizaje y la concienciación de los empleados ayudarán a fomentar una cultura de seguridad y confianza mejoradas, y aumentará su compromiso y cumplimiento. Este aprendizaje también ayudará a evitar o reducir los errores humanos, que son una causa común de las infracciones de seguridad.

Como todo se encuentra ya en funcionamiento, planee el tiempo para evaluar el rendimiento de la seguridad, identificar los problemas y encontrar oportunidades de mejora. La supervisión continua le ayudará a mantener y mejorar la posición de seguridad y a ser más resistente a medida que el panorama de amenazas evolucione con el tiempo.

La adopción de una base de Confianza cero también proporciona ventajas clave para la IA y para la empresa:

La seguridad de Confianza cero garantiza que todo lo relativo a la red, las identidades, los puntos de conexión, las aplicaciones, los datos y las herramientas de IA se proteja, compruebe y supervise en todo momento. Disponer de una herramienta de IA segura transmite confianza y credibilidad a los clientes y asociados con un uso responsable de la tecnología.

Un marco de Confianza cero le ayudará a cumplir y superar los requisitos normativos y los estándares de seguridad y privacidad de datos, como el Reglamento general de protección de datos (RGPD), la Ley de privacidad del consumidor de California (CCPA) o la Ley de transferencia y responsabilidad de seguros de salud (HIPAA). También le ayudará a prepararse y responder ante nuevas normativas en constante evolución para la ética y la gobernanza de la inteligencia artificial, como la Ley de IA de la Comisión Europea o los Principios generales sobre IA de la OCDE.

Al aplicar el principio de "nunca confiar, siempre comprobar" a los datos, se mejorará la privacidad de los mismos para el uso de la IA haciendo que solo los empleados autorizados puedan acceder a ellos con fines legítimos. También se ayudará a respetar y proteger los derechos y preferencias de los interesados, como clientes, empleados o asociados, ya que se proporciona transparencia, control y consentimiento a los datos.

Esta funcionalidad permite a los equipos de seguridad supervisar la red y la infraestructura en busca de anomalías o comportamientos sospechosos y tomar medidas inmediatas para aislar o mitigar los riesgos. La detección y respuesta ante amenazas en tiempo real reduce el impacto de las vulneraciones al identificar y abordar las causas principales. También ayuda a mejorar la posición de seguridad de la organización a través de informes accionables que fomenten una adaptación y resistencia continuas.

Explore casos de uso prácticos sobre cómo tener una base sólida de Confianza cero ayuda a la integración y seguridad de la IA

Confianza cero ayudará a proteger los algoritmos de IA propietarios, los modelos de IA entrenados y la propiedad intelectual e industrial de la IA. También impedirá el acceso, modificación o robo no autorizados o malintencionados, manteniendo intacta la integridad y autenticidad. 

• Escenario: implemente medidas de seguridad para sus algoritmos de IA en investigación y desarrollo mediante la aplicación de algoritmos de hash al código de IA, el aislamiento de entornos de IA únicos y la seguridad de que los desarrolladores de IA solo tengan el acceso adecuado.

Las canalizaciones de datos de IA incluyen los procesos y sistemas que permiten el flujo de datos, de la recopilación al análisis. Confianza cero mantiene esos datos protegidos, comprobados y supervisados a lo largo del ciclo de vida, y asegura que se mantengan su calidad y precisión. 

• Escenario: proteja el flujo de datos de los dispositivos IoT a la plataforma en la nube mediante el seguimiento y la comprobación de todos los dispositivos IoT, el cifrado de datos en tránsito y en reposo, así como la segmentación de zonas de red para restringir la comunicación bidireccional.

La gobernanza de IA establece el marco y el proceso para garantizar que el uso de la inteligencia artificial sea ético y responsable. La seguridad de Confianza cero le ayudará a supervisar y auditar el acceso y la actividad de IA para mantener el cumplimiento de las directivas y normativas de la empresa.

• Escenario: Supervise el rendimiento y el comportamiento de la IA verificando continuamente a cualquier persona que use IA y sus dispositivos, cifrando y aplicando hash a los registros y salidas de IA, e implementando la detección y respuesta ante amenazas en tiempo real.

La creación de una base en Confianza cero teniendo en cuenta la IA crea un modelo que se adapta eficazmente a la complejidad del entorno moderno, adopta el trabajo remoto e híbrido, y protege mejor a los empleados, sus dispositivos, aplicaciones y datos, independientemente de dónde se encuentren. Permite a las empresas sacar provecho de las tecnologías de inteligencia artificial con confianza, crear nuevo valor y les permite innovar y proteger su futuro.

Confianza cero y la inteligencia artificial se complementan entre sí. A medida que las organizaciones sigan adoptando e incorporando la IA, se necesitarán principios de Confianza cero para proteger la inversión. Del mismo modo, a medida que su posición de seguridad se vuelva más compleja y dinámica, la implementación de IA para automatizar determinadas funciones reducirá la presión en los equipos de TI para que puedan centrarse en tareas más importantes.

La creación de una base de Confianza cero segura para la IA es fundamental para una experiencia de IA eficaz y segura. Ayuda a las empresas a proteger sus redes, puntos de conexión, aplicaciones, identidades, datos e infraestructuras, mejorar su rendimiento de IA y mitigar los riesgos de la misma. Confianza cero también ayuda a las empresas a generar confianza en sus sistemas de inteligencia artificial, mejorar su cumplimiento normativo y mejorar la privacidad de sus datos.

Visite el Centro de guías de Confianza cero de Microsoft para obtener más información sobre cómo crear una base de Confianza cero segura para la inteligencia artificial.