View Static Version
Loading

Ciberseguridad Empoderando el liderazgo de la IA

Contenido

Introducción | Responsabilidades | Supervisión | Guía de discusión | Notas finales

Consulte este módulo como PDF aquí

Ver este módulo en Inglés

Otros módulos:

Página de Inicio | Ciberseguridad | Comité de Auditoría | Desarrollo SostenibleEstrategia del Cliente | Estrategia Competitiva | Estrategia de Marca | Estrategia de Operaciones | Estrategia Tecnológica | Ética | Gobernanza | Personas y Cultura | Responsabilidad | Riesgos | Glosario

Introducción

Las capacidades de la inteligencia artificial (IA) presentan tanto oportunidades interesantes como riesgos complejos relacionados con las capacidades de ciberseguridad y resiliencia cibernética de una organización. Por ejemplo, la IA se puede usar para respaldar el inventario de activos, el monitoreo de redes y la detección de anomalías, mejorando los elementos críticos del programa de resiliencia cibernética de una organización. Pero el uso de IA también puede presentar nuevos riesgos cibernéticos, derivados de vulnerabilidades tecnológicas o problemas relacionados con la confidencialidad, integridad y disponibilidad de los datos utilizados para la toma de decisiones de IA. Dado el amplio alcance y el impacto potencial de estas oportunidades y riesgos, la junta debe asegurarse de que está preparada para evaluar y gestionar las implicaciones de riesgo cibernético y resiliencia de la IA, integradas con el marco general de gestión de riesgos empresariales de la organización.

Responsabilidades

Si bien la IA puede presentar casos y preocupaciones de uso únicos, sus implicaciones de riesgo cibernético y resiliencia surgen en el contexto de ecosistemas complejos y altamente interconectados.

El kit de herramientas de supervisiòn de la IA proporciona una guía basada en un conjunto general de estándares, incluidos los Principios de Gobierno Corporativo del G20/OCDE, 2015. Con respecto a la necesidad de gestión de riesgos y resiliencia de ciberseguridad que tiene la junta, el Foro Económico Mundial y sus socios han desarrollado un marco integral de diez principios básicos destinados a permitir a las juntas cumplir con sus responsabilidades dentro de ese contexto. Para garantizar una supervisión responsable del riesgo cibernético y la resiliencia relacionada con la IA, las juntas pueden recurrir a este mismo marco para incorporar las implicaciones de seguridad cibernética de la IA dentro de su enfoque general del riesgo cibernético y resiliencia.

Supervisión

Principio 1: Responsabilidad por la resiliencia cibernética – Toda la junta asume la responsabilidad final por la supervisión del riesgo cibernético y la resiliencia, y puede delegar la actividad de supervisión primaria a un comité existente o nuevo comité.

Las preocupaciones sobre el riesgo cibernético y la resiliencia surgen cada vez que se introducen nuevas tecnologías como la IA y se utilizan en diferentes capacidades dentro de una organización (ver Módulo de Tecnología). Dados los casos de uso amplios y diversos para la IA, la junta debería discutir si y cómo la estructura y el proceso para analizar el riesgo cibernético y la resiliencia asociados con la IA pueden integrarse en las estructuras existentes para la supervisión de la cibernética y las nuevas tecnologías.

Principio 2: Dominio del tema – Al unirse a la junta, los miembros reciben orientación sobre resiliencia cibernética y se actualizan periódicamente sobre las amenazas y tendencias recientes, gracias al asesoramiento y a la asistencia de expertos externos independientes que estén disponibles según lo solicitado.

La orientación de la junta y las actualizaciones periódicas sobre la resiliencia cibernética deberían incorporar amenazas y tendencias relacionadas con el riesgo cibernético y la resiliencia asociados con la IA. Dada la variedad de contextos en los que una empresa puede usar o encontrar capacidades de inteligencia artificial, el alcance de la orientación de la junta y las actualizaciones relacionadas con la IA deben incluir casos de uso existentes y futuros.

Principio 3: Funcionario responsable – La junta se asegura de que un funcionario de la empresa sea responsable de informar sobre la capacidad de la organización para gestionar la resiliencia cibernética y el progreso en la implementación de los objetivos de resiliencia cibernética. La junta se asegura de que este funcionario tenga acceso regular a la junta, autoridad suficiente, dominio del tema, experiencia y recursos para cumplir con estos deberes.

La junta debe asegurarse de que el funcionario de la empresa responsable de informar sobre el riesgo cibernético y la resiliencia considere e incorpore, según corresponda, el uso y la interacción de la organización con las capacidades de IA en sus responsabilidades de presentación de informes. Dados los casos de uso potenciales amplios y variados para la IA, la junta también debe asegurarse de que el funcionario de la empresa tenga suficiente visibilidad de todas las áreas de la organización donde pueda surgir la IA.

Principio 4: Integración de la resiliencia cibernética – La junta garantiza que la gerencia integra la evaluación de la resiliencia y el riesgo cibernéticos en la estrategia general del negocio y en la gestión del riesgo a nivel empresarial, así como el presupuesto y la asignación de recursos.

La junta debe garantizar que la gerencia integre la evaluación de la resiliencia y el riesgo cibernéticos relacionados con la adquisición, el uso o la interacción con la IA en la estrategia comercial y la gestión del riesgo a nivel empresarial.

Principio 5: Propensión al riesgo – Anualmente, la junta define y cuantifica la tolerancia al riesgo empresarial en relación con la resiliencia cibernética y garantiza que sea coherente con la estrategia corporativa y la propensión al riesgo. La junta recibe asesoramiento sobre la exposición al riesgo actual y futura, así como los requisitos reglamentarios y los puntos de referencia industriales/sociales de la propensión al riesgo.

Al definir y cuantificar la tolerancia al riesgo empresarial en relación con la resiliencia cibernética y garantizar la coherencia con la estrategia corporativa y la propensión al riesgo, la junta debe garantizar una consideración sólida del potencial de riesgos cibernéticos asociados con el uso actual y anticipado de IA de la organización. La junta debe asegurarse de que se incluya la exposición al riesgo relacionada con la IA cuando a esta se le brinde asesoramiento sobre la exposición actual y futura al riesgo cibernético, los requisitos reglamentarios y los puntos de referencia industriales/sociales de la propensión al riesgo.

Principio 6: Evaluación de riesgos e informes – La junta responsabiliza a la gerencia de realizar un informe que contenga una evaluación cuantificada y comprensible de los riesgos cibernéticos, las amenazas y los eventos como un tema permanente en el programa durante las reuniones de la junta. Esta, valida los análisis con su propia evaluación estratégica de riesgos utilizando el Marco de Riesgos Cibernéticos de la Junta.

La junta debe responsabilizar a la gerencia por incluir los riesgos cibernéticos, las amenazas y los eventos relacionados con el uso actual y futuro de la IA en su evaluación e informes de riesgos.[1]

Principio 7: Planes de resiliencia – La junta se asegura que la gerencia respalde al funcionario responsable de la resiliencia cibernética a través de la creación, implementación, prueba y mejora continua de los planes de resiliencia cibernética, que se armonizan adecuadamente en toda la empresa. Se requiere que el funcionario a cargo monitoree el desempeño y realice informes regularmente a la junta.

La junta debe asegurarse de que la gerencia tenga plenamente en consideración el uso existente de la IA en toda la organización (incluso para respaldar la ejecución de los propios planes de resiliencia) al crear, implementar, probar y mejorar los planes de resiliencia cibernética en apoyo del funcionario responsable.

Principio 8: Comunidad – Según sea relevante y apropiado, la junta anima a la gerencia a colaborar con otras partes interesadas, con el fin de garantizar una resiliencia cibernética sistémica.

La junta debe fomentar la colaboración con relación al uso actual y potencial de la IA a nivel empresarial, así como los desarrollos globales en IA que pueden afectar los entornos más amplios en los que opera la organización.

Principio 9: Revisión – La junta se asegura de que anualmente se realice una revisión formal e independiente de la resiliencia cibernética de la organización.

La junta debe asegurarse de que esta revisión anual incluya el uso y la interacción de la organización con las capacidades de IA.

Principio 10: Efectividad – La junta revisa periódicamente su propio desempeño en la implementación de estos principios o busca asesoramiento independiente para su mejora continua.

En vista del rápido desarrollo de la IA, la junta debe considerar si necesita buscar asesoramiento independiente para la mejora continua de su propio desempeño con respecto al riesgo de cibernético y la supervisión de la resiliencia de la IA.

Guía de discusión

Principio 1: Responsabilidad por la resiliencia cibernética
  • Con base en el uso actual y futuro previsto que tiene la compañía de la IA, ¿la estructura y el proceso existentes de la junta para revisar el riesgo cibernético y la resiliencia proporcionan una supervisión suficiente de la IA?
  • ¿Qué habilidades y atributos necesitan los miembros actuales y futuros de la junta para entender el riesgo cibernético y la resiliencia con respecto a la IA?
  • ¿Los miembros actuales de la junta poseen las habilidades y la experiencia necesarias para supervisar de manera efectiva el riesgo cibernético y la resiliencia con respecto a la IA?
Principio 2: Dominio del tema
  • ¿Recibe la junta orientación inicial y actualizaciones periódicas sobre resiliencia cibernética, incluidas las amenazas y tendencias relacionadas con el uso actual y futuro previsto de la IA dentro de la organización?
  • ¿Se asegura la junta de que las actualizaciones internas con respecto a la resiliencia cibernética, exposición y postura al riesgo (de la organización), así como cualquier análisis independiente y evaluación comparativa del enfoque de la organización en riesgo cibernético y resiliencia, incorporan el uso actual y futuro previsto que la organización tiene de la IA?
Principio 3: Funcionario responsable
  • ¿Está el funcionario designado por la empresa como responsable del riesgo cibernético y de la resiliencia también autorizado y es reponsable de informar sobre el riesgo cibernético y la resiliencia relacionados con la IA?
  • ¿Tiene el funcionario de la empresa responsable de informar sobre el riesgo cibernético y la resiliencia relacionados con la IA suficiente visibilidad sobre todas las áreas de la organización donde puede surgir la IA?
Principio 4: Integración de la resiliencia cibernética
  • ¿Se asegura la junta de que la gerencia integra la evaluación de la resiliencia y el riesgo cibernéticos (en relación con la adquisición, el uso o la interacción de la organización con la IA) en una estrategia empresarial general y en la gestión de riesgos empresariales?
  • ¿La junta revisa anualmente el plan estratégico de la organización, asegurando que el riesgo cibernético y la resiliencia del uso actual o anticipado de la IA se incorpore y represente adecuadamente en el plan?
  • ¿La junta considera el uso actual y anticipado que hace la organización de la IA, en su revisión de la estrategia de resiliencia cibernética de la organización, incluidas las opciones de gestión de riesgos tales como el aseguramiento?
Principio 5: Propensión al riesgo
  • ¿Tiene la junta una comprensión y visibilidad de cómo se aplica la propensión al riesgo cibernético de la organización en la toma de decisiones comerciales relacionadas con la IA?
  • ¿Está la exposición al riesgo relacionada con el uso actual y futuro previsto que hace la organización de la IA, incluido cuando se informa a la junta sobre la exposición actual y futura al riesgo cibernético, los requisitos reglamentarios y los puntos de referencia industriales/sociales para la propensión al riesgo?
Principio 6: Evaluación de riesgos e informes
  • ¿La junta responsabiliza a la gerencia por proporcionar informes equilibrados sobre la situación actual y futura del riesgo cibernético organizacional y de todo el ecosistema, incluidos los afectados por el desarrollo de la IA, como un tema permanente del programa durante las reuniones de la junta?
  • ¿Recibe la junta actualizaciones de la gerencia sobre amenazas y tendencias específicas asociadas con el uso de la IA por parte de terceros?
  • ¿Se asegura la junta de que los planes de acción de la gerencia con respecto a la cultura y la conciencia de la seguridad cibernética de la organización tienen en cuenta el uso actual o futuro de la IA?
Principio 7: Planes de resiliencia
  • ¿Se asegura la junta de que los planes de resiliencia cibernética de la gerencia, incluidos los planes de continuidad empresarial, comunicaciones, recuperación ante desastres y respuesta a incidentes, tengan plenamente en consideración el uso existente de IA en toda la organización (incluido el respaldo a la ejecución de los propios planes de resiliencia)?
  • ¿Cuál es la política de la organización con respecto al papel de la junta en relación con los planes de resiliencia cibernética (incluidos los relacionados con el uso de la IA como parte de esos planes) y se ha comunicado esto de manera clara y explícita a la junta y la gerencia ejecutiva?
  • ¿La junta se asegura de que la administración haya adoptado un enfoque apropiado para la resiliencia cibernética relacionada con el uso y la interacción de la organización con la IA?
Principio 8: Comunidad
  • ¿La junta anima a la gerencia a colaborar con otras partes interesadas, de manera coherente con la estrategia empresarial general, relacionada con el uso actual y potencial de la IA a nivel empresarial, así como los desarrollos globales en IA que pueden afectar los entornos más amplios en los que opera la organización?
  • ¿Recibe la junta actualizaciones del funcionario empresarial responsable de informar sobre el riesgo cibernético y la resiliencia respecto a las oportunidades potenciales para la colaboración comunitaria con el fin de abordar el riesgo cibernético y la resiliencia relacionados con la IA, así como los beneficios y riesgos de tales colaboraciones de manera amplia y con respecto a los interesados específicos?
  • ¿El funcionario empresarial responsable de informar sobre el riesgo cibernético y la resiliencia, garantiza la coordinación interna de todas las partes relevantes de la organización sobre los riesgos cibernéticos derivados de la IA?
Principio 9: Revisión
  • ¿Se asegura la junta de que haya una revisión anual independiente sobre resiliencia cibernética de la organización que incluya el uso y la interacción con las capacidades de IA de la organización, según lo supervisado por la directiva empresarial responsable en colaboración con otros funcionarios corporativos pertinentes, basándose en el uso e interacción de la organización con la IA?
  • ¿La junta se asegura de que haya un proceso para evaluar el riesgo cibernético y la resiliencia de terceros en relación con la IA?
Principio 10: Efectividad
  • ¿Revisa la junta periódicamente su propio desempeño en la implementación de estos principios?
  • Ante estos usos potenciales de rápido desarrollo de IA, ¿necesita la junta buscar asesoramiento independiente para la mejora continua de su propio desempeño con respecto al riesgo de ciberseguridad y la supervisión de la resiliencia de la IA?

Notas finales

(Enlace a partir del 24/07/19)

Otros módulos:

Página de Inicio | Ciberseguridad | Comité de Auditoría | Desarrollo SostenibleEstrategia del Cliente | Estrategia Competitiva | Estrategia de Marca | Estrategia de Operaciones | Estrategia Tecnológica | Ética | Gobernanza | Personas y Cultura | Responsabilidad | Riesgos | Glosario

Appreciate
Terms of Service Privacy Policy Report Abuse