IA en las empresas: con prisa, pero con pausa

En las últimas décadas, la digitalización de procesos y la masificación del uso de la nube para guardar información aumentó sustancialmente lo que se denomina "la superficie de ataque" para los ciberdelincuentes: hay más datos, más datos en tránsito e infraestructura digital compartida en uso. Es como tener más joyas en casa y abrir más ventanas y puertas. Pero en los últimos años, la inteligencia artificial (IA) vino a potenciar las capacidades de los ciberdelincuentes para identificar y explotar las vulnerabilidades de los sistemas y de cada uno de nosotros, los usuarios. Siguiendo con la analogía, los dotó con las herramientas más sofisticadas disponibles en el mundo para desactivar alarmas, abrir chapas o descerrajar puertas, en muchos lugares a la vez, y todo sin hacer ruido alguno.
En Chile, a esta amenaza a la seguridad y continuidad operacional se han sumado normas exigentes sobre ciberseguridad y protección de datos personales, aumentando sustancialmente el impacto financiero de incidentes. Todo esto ha dejado obsoletas las estructuras organizacionales tradicionales en menos de cinco años. No solamente está jugando un rol mucho más relevante el equipo o los proveedores de tecnologías de la información (TI), tradicional y generalmente considerados secundarios o de apoyo, sino que ahora se requieren contrapesos expertos que tengan la capacidad de identificar cómo están siendo gestionados los riesgos de ciberseguridad y TI, y la organización y claridad sobre qué brechas quiere cerrar y a qué costo.
Además, no únicamente los ciberdelincuentes están adoptando la IA, sino que las organizaciones tienen ahora todo un nuevo abanico de decisiones por tomar en torno a ella: por ejemplo, cuáles usos son críticos para la estrategia o posición competitiva de la compañía y por parte de quiénes; cuál modelo de IA adoptar o desarrollar -porque todo modelo tiene un punto de vista particular- y, muy importantemente, cómo gestionar los riesgos que trae consigo a causa de sus sesgos intrínsecos y fallas.
¿Cómo debiéramos organizar la empresa en este nuevo escenario? La verdad es que no hay recetas. En todo el mundo las organizaciones están aprendiendo a prueba y error, y proliferan los equipos ad hoc . Por ejemplo, para la gestión de riesgos de la IA la consultora Boston Consulting Group recomienda un modelo de gestión de riesgos distinto al tradicional y crear un equipo ad hoc que cumpla un símil de la función del triaje en las urgencias de los hospitales: clasificar todas las nuevas iniciativas de IA según el riesgo que trae consigo. En concreto, deben identificar cuán grande es el impacto si hay una falla, cuán novedoso es para la organización y su nivel de preparación para adoptarla con los controles requeridos.
Al igual que la distribución según gravedad de los casos que llegan a las urgencias, las iniciativas más comunes serán los casos de uso conocidos, cuyos controles ya se han diseñado y probado, y que son de bajo riesgo. Le seguirán con bastante menor frecuencia las que solo se diferencian de las primeras en que tienen un riesgo inherente alto. Aún menos frecuentes serán las de alto riesgo o riesgo desconocido y que no cuentan con controles probados, y serán excepcionales las iniciativas que son contrarias a la regulación o superan el apetito de riesgo de la organización. Las últimas están prohibidas; las primeras, aprobadas de plano; y las intermedias requieren supervisión proporcional al riesgo.
Esta analogía, de un equipo ad hoc de gestión de riesgos de IA con una urgencia también ilustra un componente clave: para tomar buenas decisiones, estas se deben basar en información estructurada sobre lo que se ha hecho en el pasado y evidencia sobre lo que ha funcionado y lo que no, en este caso, en términos de controles.
Esquemas como este, construidos sobre la base de sistemas o herramientas conocidos o comunes, como lo es la gestión basada en riesgos, facilitan su diseño adaptado a cada organización específica y su adopción. En este caso, les dan fluidez a usos conocidos de la IA y concentran los recursos en los desconocidos, en un ámbito en que las empresas deben actuar con prisa, pero con pausa a la vez. Como en toda urgencia, correr sin diagnóstico puede costar mucho más caro que detenerse un momento a clasificar bien.