Durante un encuentro con periodistas celebrado en Zenith Live Viena, Ciberseguridad TIC preguntó a Jay Chaudhry, fundador y CEO de Zscaler, cómo deben entender las organizaciones a los agentes de IA —¿identidades, cargas de trabajo o fuerza laboral digital?— y quién debería asumir su gobernanza —¿CIO, CISO, CTO o incluso recursos humanos?—. Esta fue su respuesta.
Es una pregunta interesante, especialmente porque plantea si un agente debe considerarse como una persona. Los agentes tienen una doble naturaleza. Por un lado, se parecen a los seres humanos, por eso hablamos de trabajadores digitales. Pero, al mismo tiempo, siguen siendo código. En esencia, son software.
Algunos agentes actuarán en nombre de los usuarios desde sus propios dispositivos. Otros se ejecutarán desde servidores sin que exista ningún usuario asociado directamente a ellos. Un agente alojado en un servidor puede realizar determinadas tareas de forma autónoma. Por eso conviven ambas realidades.
Desde el punto de vista de la gobernanza, la responsabilidad principal recaerá en el CISO. El CIO será la segunda figura clave, porque es quien decide qué aplicaciones se utilizan y qué proyectos se desarrollan. Ambos tendrán que trabajar de forma conjunta.
El desafío es incluso mayor que el que hemos tenido con las identidades humanas. En una organización de 10.000 empleados, ese número no va a convertirse en 50.000 de la noche a la mañana. Los agentes, en cambio, pueden multiplicarse muy rápidamente en función del trabajo que deban realizar. Además, las identidades pueden cambiar. Una persona sigue siendo la misma persona, pero el código evoluciona y las tareas que ejecuta también cambian. Veremos aparecer identidades dinámicas de forma continua.
Cuando se crea un agente, también se crea una identidad asociada a él. Ese agente realiza determinadas tareas y, cuando desaparece, su identidad también puede desaparecer. Es un mundo mucho más dinámico y los sistemas tendrán que estar preparados para gestionarlo.
Desde el punto de vista de la escala, el número de peticiones crecerá enormemente porque, como comentaba antes, los agentes no duermen y pueden trabajar las veinticuatro horas del día. El volumen de tráfico será muy superior. Para compañías como Zscaler, que ya gestionan grandes volúmenes, supone un reto de escalabilidad. Hoy procesamos unos 750.000 millones de transacciones diarias. Si esa cifra pasa a ser de 7,5 billones o incluso 75 billones, será un escenario muy interesante. Ya estamos trabajando para escalar nuestras plataformas.
Pero todo empezará por la identidad. A partir de ahí, Zscaler actuará como un punto de intercambio donde, en función de las políticas definidas, se decidirá qué agentes pueden comunicarse con otros agentes o a qué aplicaciones pueden acceder.
Las reglas serán muy concretas. Por ejemplo, un grupo de agentes que trabaja para el departamento de marketing sólo podrá acceder a las cinco aplicaciones que necesita marketing para desempeñar su función. No existirá un acceso abierto e ilimitado.
Y ahí es donde entra en juego Zero Trust. Zero Trust significa no confiar en nadie por defecto. Se concede únicamente el nivel mínimo de acceso necesario para realizar una tarea concreta. El agente ejecuta esa tarea y, una vez finalizada, ese acceso desaparece.
