Viena. Mientras se agudiza el debate sobre quién debería asumir la responsabilidad de la inteligencia artificial o el control de los agentes, Sam Curry, CISO de Zscaler, tiene una respuesta clara: nadie debería hacerlo en solitario.
“Se necesita un comité de gobernanza de IA, procesos, líneas de trabajo y un modelo operativo”
Pero antes de entrar en el debate sobre la gobernanza, Curry quiso responder a una pregunta: ¿qué retos tiene el CISO de una empresa que tiene acceso a avanzadas tecnologías de seguridad? ¿resulta más sencilla su tarea? La realidad, asegura, es muy distinta.
“Se supone que soy customer zero, pero a veces digo que soy patient zero”, bromeó al explicar que buena parte de las innovaciones desarrolladas por Zscaler se prueban primero dentro de la propia organización.
Lejos de simplificar su trabajo, esta situación añade nuevos desafíos. Su equipo participa en pruebas tempranas de tecnologías, colabora estrechamente con los equipos de desarrollo y, en ocasiones, se convierte en el primer entorno donde aparecen determinados problemas de seguridad o donde se detecta la necesidad de nuevas capacidades de protección.
La escala también marca diferencias. Curry recordó que la nube de seguridad de Zscaler procesa actualmente cientos de miles de millones de transacciones diarias y opera con una complejidad comparable a la de un gran proveedor de servicios de Internet. “A mucha gente le sorprende la magnitud de nuestras operaciones”, reconoció.
Sin embargo, lo que más suele sorprender a otros responsables de seguridad es precisamente lo contrario: las similitudes. Aunque trabaja en una de las compañías de referencia del sector, sigue enfrentándose a muchos de los mismos problemas que cualquier otro CISO: justificar inversiones, conseguir presupuesto, impulsar programas de formación o gestionar aspectos culturales relacionados con la seguridad. “Nos atacan igual que a cualquier otra empresa”, resumió.
La gobernanza de la IA no tiene un único dueño
Cuando la conversación se trasladó a la inteligencia artificial, Curry fue igual de contundente: “Ninguno de ellos”, respondió cuando se le preguntó quién debería asumir la responsabilidad de la gobernanza de la IA dentro de una organización: el CIO, el CISO, el CTO… incluso el responsable de datos o incluso recursos humanos.
A su juicio, el error consiste en intentar encontrar una única figura responsable para un desafío que afecta simultáneamente a tecnología, negocio, desarrollo, finanzas, recursos humanos y áreas legales.
“La seguridad funciona porque participan muchas personas. La gobernanza de la IA debe funcionar de la misma manera”, vino a explicar.
Para Curry, la única fórmula viable pasa por crear estructuras de gobierno compartidas, con procesos definidos, presupuestos específicos y grupos de trabajo capaces de coordinar a las distintas áreas implicadas. Más que un responsable único, propone un modelo similar al de un centro de excelencia donde diferentes departamentos participan en la toma de decisiones y en la supervisión de riesgos.
“Se necesita un comité de gobernanza de IA, procesos, líneas de trabajo y un modelo operativo”, aseguró. Incluso si en el futuro aparecen figuras como un Chief AI Officer, considera que la responsabilidad seguirá siendo necesariamente transversal.
“Se necesita un comité de gobernanza de IA, procesos, líneas de trabajo y un modelo operativo”
Ni acelerar, ni bloquear
La experiencia de Zscaler con la inteligencia artificial ha llevado a Curry a identificar otro riesgo habitual: caer en alguno de los extremos.
Por un lado, están las organizaciones que adoptan la IA demasiado rápido y aceptan riesgos que todavía no comprenden completamente. Por otro, aquellas que imponen tantos controles que terminan empujando a los usuarios a buscar alternativas fuera de los canales oficiales.
“Ahora mismo la gente está cometiendo dos errores: acelerar demasiado o controlar demasiado”, advirtió. Para evitarlo, la compañía ha desarrollado procesos específicos que regulan cómo se desarrollan, despliegan y gestionan internamente las iniciativas basadas en IA. El objetivo es mantener el equilibrio entre innovación y control, evitando tanto la adopción desordenada como el exceso de burocracia.
Según explicó, la IA no plantea únicamente desafíos de seguridad. También afecta a la gestión del gasto, al soporte de aplicaciones, a los procesos de negocio y a la propia organización del trabajo. Precisamente por eso insiste en que su gobernanza no puede quedar limitada a un único departamento.
Las medidas que no pueden faltar
Preguntado por las medidas que los responsables de ciberseguridad deberían estar poniendo en marcha hoy para prepararse ante una nueva generación de amenazas impulsadas por la IA, Curry no dudó en enumerar una serie de prioridades muy concretas.
La primera pasa por reducir la exposición. En su opinión, las organizaciones deberían avanzar hacia arquitecturas Zero Trust, limitar la proliferación de datos, aumentar el uso de cifrado y tokenización y hacer que sus infraestructuras sean menos visibles para posibles atacantes.
La segunda tiene que ver con la resiliencia. Curry cree que será necesario reforzar las capacidades de virtual patching y protección en tiempo de ejecución para resistir ataques que podrían descubrir vulnerabilidades mucho más rápido gracias al uso de agentes de IA.
También recomienda aprovechar la propia IA para modernizar aplicaciones heredadas, reducir deuda técnica y acelerar la adopción de lenguajes más seguros como Rust, Go o Swift. A su juicio, esta transformación no sólo mejorará la seguridad, sino que permitirá a las organizaciones adaptarse con mayor rapidez a futuras disrupciones tecnológicas.
Otra de sus prioridades es extender los programas de deception y red teaming continuo. Frente a unos atacantes cada vez más automatizados, considera insuficientes los ejercicios puntuales de pruebas de penetración. “No basta con realizar un pentest y marcar la casilla”, vino a señalar. Lo que propone es un modelo de validación permanente capaz de identificar debilidades de forma continua.
Por último, defiende una profunda transformación de las operaciones de seguridad. Igual que DevOps revolucionó el desarrollo de software, Curry cree que SecOps tendrá que evolucionar hacia modelos mucho más ágiles, capaces de aprovechar la IA para generar nuevas fuentes de inteligencia y responder con mayor rapidez a los incidentes.
Cuando se le señala que muchas de estas iniciativas pueden requerir un año o más de trabajo, su respuesta es inmediata: “Sí, llevará un año. Por eso hay que empezar ahora”.
