Red Seguridad 105

56 red seguridad segundo trimestre 2024 monográfico inteligencia artificial Identificar patrones y correlaciones que podrían ser imposibles de detec- tar manualmente por humanos. Elaborar modelos predictivos de ries- go basándose en la información al- macenada sobre las evaluaciones de riesgo de los proveedores. Riesgos En cuanto a los riesgos, podríamos cla- sificarlos en función de su relación con el proceso de gestión del riesgo de ter- ceros. Esto es, distinguimos los riesgos generales del uso de la IA de aquellos asociados al uso de la IA en los procesos de TPRM. Sobre los primeros, es obvio que esta nueva tecnología introduce nuevos pe- ligros que deben ser contemplados en estos procesos: La transferencia de datos por la utiliza- ción de tecnologías que compartan in- formación con partes no autorizadas. El incumplimiento de las normas rela- tivas a la protección de datos. La utilización de la IA por potenciales atacantes para ejecutar acciones más ambiciosas y, en general, para realizar acciones con menor esfuerzo. El sesgo en los datos de la IA que ge- neren resultados no apropiados o in- correctos. La adición de las propias herramientas de IA como un tercero más del cual se debe gestionar el riesgo. Esto último significa que debemos incorporar al proceso actual la gestión del riesgo de IA, lo cual se podría resu- mir en: Detección. Inventario de todos los ter- ceros que hacen uso de la IA (quizás sea necesario algún tipo de proceso automático para revelar aquellos que no lo manifiesten de manera explícita). Perfilado. Dado que normalmente ten- dremos una serie de tiers o categorías, será necesario también clasificar el uso de la IA por los terceros. Este per- filado se podría realizar, por ejemplo, en función del grado de interacción humana, el impacto directo o indirec- to de los errores y la sensibilidad del conjunto de datos para su formación o de la sensibilidad de los prompts . Gestión del riesgo. Evaluar si las soluciones de IA cumplen con las normativas de privacidad en los conjuntos de datos para formación y pruebas, tienen limitaciones para acceder a datos sensibles y a los re- sultados, son supervisadas de mane- ra proactiva para detectar comporta- mientos no deseados de los modelos, se validan los datos de entrada para evitar el envenenamiento de los mo- delos, existe formación adecuada a los usuarios que utilizarán estas solu- ciones, se monitoriza que el modelo funciona dentro de los parámetros de exactitud y se generan pistas de auditoría de los usos de la aplicación con IA, de los inputs y outputs y otros cambios relevantes. Sobre los riesgos asociados al propio proceso de TPRM, hemos de considerar que los propios terceros pueden utilizar IA para responder a los requisitos de nuestro proceso, lo cual puede significar que la verificación de los cuestionarios puede ser más difícil o menos relevante o que la información aportada no sea completamente veraz o incluya los men- cionados sesgos o imprecisiones. Tampoco hay que olvidarse que nues- tro propio uso de la IA está sujeta a los mismos riesgos: cumplimiento con la regulación de privacidad, utilización de datos no adecuados (obsoletos, por ejemplo) o falta de transparencia sobre los resultados. En resumen, como vemos, es un asun- to complejo con muchos vectores, pero que, desde luego, no puede ser ignora- do por nuestros procesos de gestión de riesgos cíber de terceras partes.