1 53 Table of Contents 55 124

Red Seguridad 105

54 red seguridad segundo trimestre 2024 monográfico inteligencia artificial No creo que sea imprescindible volver a hacer hincapié en la necesidad de gestionar adecuadamente el riesgo de terceros como parte de una estrategia global de ciberseguridad de cualquier entidad. Todos conocemos la impor- tancia que tiene como vector de entra- da. Pero sí abordar la repercusión de la inteligencia artificial (IA) y su sonora y vertiginosa llegada, como una ballena cayendo en plancha en una piscina, sal- picando a todos los aspectos relaciona- dos con la tecnología. Y la relación con terceros no es una excepción. Al igual que en otros ámbitos, la IA supone tanto un riesgo como una opor- tunidad. Una oportunidad porque el propio proceso de gestión del riesgo de terceros (TPRM por sus siglas en inglés, Third-Party Risk Management ) puede mejorar (análisis de documentación, identificación de patrones, etcétera). Aunque también supone un riesgo, tanto por los inherentes a la aparición de toda nueva tecnología como por el gran salto cualitativo que trae a las amenazas y por su potencial uso a la hora de responder a los requisitos definidos en los procesos de gestión de riesgos de terceros. Vea- mos cada uno de ellos en detalle. Oportunidades Comenzando por la parte de oportuni- dad, los procesos de gestión de riesgos de terceros pueden mejorarse gracias al uso de la IA. Esta mejora vendría por una doble vía: por la eficiencia y por la posibilidad de obtener información más valiosa y más consistente de los proce- sos actuales. Algunos ejemplos de cómo la IA mejo- ra la eficiencia serían los siguientes: Uso de la IA junto con modelos de aprendizaje de lenguaje para cumpli- mentar cuestionarios de autoevalua- ción con la información inferida de políticas y otra información facilitada por el proveedor. Uso de esta misma combinación de IA y modelos de aprendizaje para revisar las respuestas a los cuestionarios y la documentación aportada por los ter- ceros. Revisión de certificados e informes para verificar la validez de la información. Para alimentar modelos de criticidad calculando el riesgo inherente con in- formación que la IA es capaz de reco- pilar, tanto de fuentes abiertas como de información propietaria de la orga- nización. En cualquier caso, entendemos que siempre seguirá siendo necesaria una revisión humana de las conclusiones a las que llegue la IA, aunque, obviamen- te, el esfuerzo sería mucho menor. Pero también hay posibilidades que se abren gracias a la IA. Por ejemplo: Navegar por la información aportada por los proveedores (cuestionarios, informes de auditorías, certificacio- nes, políticas, etcétera) para identificar áreas de riesgo que precisan de un análisis más detallado ( threat intelli- gence ). Impacto de la IA en el riesgo de terceros A ntonio R amos CEO de Leet Security Los procesos de gestión de riesgos de terceros pueden mejorarse gracias a la IA

RkJQdWJsaXNoZXIy MTI4MzQz