No creo que sea imprescindible volver a hacer hincapié en la necesidad de gestionar adecuadamente el riesgo de terceros como parte de una estrategia global de ciberseguridad de cualquier entidad. Todos conocemos la importancia que tiene como vector de entrada. Pero sí abordar la repercusión de la inteligencia artificial (IA) y su sonora y vertiginosa llegada, como una ballena cayendo en plancha en una piscina, salpicando a todos los aspectos relacionados con la tecnología. Y la relación con terceros no es una excepción.
Al igual que en otros ámbitos, la IA supone tanto un riesgo como una oportunidad. Una oportunidad porque el propio proceso de gestión del riesgo de terceros (TPRM por sus siglas en inglés, Third-Party Risk Management) puede mejorar (análisis de documentación, identificación de patrones, etcétera). Aunque también supone un riesgo, tanto por los inherentes a la aparición de toda nueva tecnología como por el gran salto cualitativo que trae a las amenazas y por su potencial uso a la hora de responder a los requisitos definidos en los procesos de gestión de riesgos de terceros. Veamos cada uno de ellos en detalle.
La oportunidad de la IA en los procesos de TPRM
Comenzando por la parte de oportunidad, los procesos de gestión de riesgos de terceros pueden mejorarse gracias al uso de la IA. Esta mejora vendría por una doble vía: por la eficiencia y por la posibilidad de obtener información más valiosa y más consistente de los procesos actuales.
Algunos ejemplos de cómo la IA mejora la eficiencia serían los siguientes:
- Uso de la IA junto con modelos de aprendizaje de lenguaje para cumplimentar cuestionarios de autoevaluación con la información inferida de políticas y otra información facilitada por el proveedor.
- Uso de esta misma combinación de IA y modelos de aprendizaje para revisar las respuestas a los cuestionarios y la documentación aportada por los terceros.
- Revisión de certificados e informes para verificar la validez de la información.
- Para alimentar modelos de criticidad calculando el riesgo inherente con información que la IA es capaz de recopilar, tanto de fuentes abiertas como de información propietaria de la organización.
En cualquier caso, entendemos que siempre seguirá siendo necesaria una revisión humana de las conclusiones a las que llegue la IA, aunque, obviamente, el esfuerzo sería mucho menor.
Pero también hay posibilidades que se abren gracias a la IA. Por ejemplo:
- Navegar por la información aportada por los proveedores (cuestionarios, informes de auditorías, certificaciones, políticas, etcétera) para identificar áreas de riesgo que precisan de un análisis más detallado (threat intelligence).
- Identificar patrones y correlaciones que podrían ser imposibles de detectar manualmente por humanos.
- Elaborar modelos predictivos de riesgo basándose en la información almacenada sobre las evaluaciones de riesgo de los proveedores.
Los riesgos en los procesos TPRM
En cuanto a los riesgos, podríamos clasificarlos en función de su relación con el proceso de gestión del riesgo de terceros. Esto es, distinguimos los riesgos generales del uso de la IA de aquellos asociados al uso de la IA en los procesos de TPRM.
Sobre los primeros, es obvio que esta nueva tecnología introduce nuevos peligros que deben ser contemplados en estos procesos:
- La transferencia de datos por la utilización de tecnologías que compartan información con partes no autorizadas.
- El incumplimiento de las normas relativas a la protección de datos.
- La utilización de la IA por potenciales atacantes para ejecutar acciones más ambiciosas y, en general, para realizar acciones con menor esfuerzo.
- El sesgo en los datos de la IA que generen resultados no apropiados o incorrectos.
- La adición de las propias herramientas de IA como un tercero más del cual se debe gestionar el riesgo.
Esto último significa que debemos incorporar al proceso actual la gestión del riesgo de IA, lo cual se podría resumir en:
- Detección. Inventario de todos los terceros que hacen uso de la IA (quizás sea necesario algún tipo de proceso automático para revelar aquellos que no lo manifiesten de manera explícita).
- Perfilado. Dado que normalmente tendremos una serie de tiers o categorías, será necesario también clasificar el uso de la IA por los terceros. Este perfilado se podría realizar, por ejemplo, en función del grado de interacción humana, el impacto directo o indirecto de los errores y la sensibilidad del conjunto de datos para su formación o de la sensibilidad de los prompts.
- Gestión del riesgo. Evaluar si las soluciones de IA cumplen con las normativas de privacidad en los conjuntos de datos para formación y pruebas, tienen limitaciones para acceder a datos sensibles y a los resultados, son supervisadas de manera proactiva para detectar comportamientos no deseados de los modelos, se validan los datos de entrada para evitar el envenenamiento de los modelos, existe formación adecuada a los usuarios que utilizarán estas soluciones, se monitoriza que el modelo funciona dentro de los parámetros de exactitud y se generan pistas de auditoría de los usos de la aplicación con IA, de los inputs y outputs y otros cambios relevantes.
Sobre los riesgos asociados al propio proceso de TPRM, hemos de considerar que los propios terceros pueden utilizar IA para responder a los requisitos de nuestro proceso, lo cual puede significar que la verificación de los cuestionarios puede ser más difícil o menos relevante o que la información aportada no sea completamente veraz o incluya los mencionados sesgos o imprecisiones.
Tampoco hay que olvidarse que nuestro propio uso de la IA está sujeta a los mismos riesgos: cumplimiento con la regulación de privacidad, utilización de datos no adecuados (obsoletos, por ejemplo) o falta de transparencia sobre los resultados.
En resumen, como vemos, es un asunto complejo con muchos vectores, pero que, desde luego, no puede ser ignorado por nuestros procesos de gestión de riesgos cíber de terceras partes.
