martes, 4 de julio de 2023

LEY DE INTELIGENCIA ARTIFICIAL (IA)

GALO LIMA, CUMPLIMIENTO Y SEGURIDAD INFORMÁTICA, 0981478818

 ¿Cómo Ecuador regula la inteligencia artificial?

La regulación de inteligencia artificial debe estar basada en riesgos.

La Unión Internacional de Telecomunicaciones (UIT), organismo especializado de las Naciones Unidas para las tecnologías de la información y la comunicación, realizará la sexta cumbre sobre inteligencia artificial (IA), en Ginebra. Uno de los temas a tratar será la regulación sobre esta tecnología.

El evento se realizará este 6 y 7 de julio del 2023. De hecho, la ONU solicitó una semana antes de esta cumbre, denominada: IA para siempre, que países y empresas avancen en la regulación de la inteligencia artificial. China y a la Unión Europea (UE) ya trabajan en normativas.

Los países de la región también han presentado sus propuestas de leyes para el uso de la IA. Por ejemplo, Perú aprobó una ley, de carácter declarativo, para promover el uso de la inteligencia artificial, en mayo pasado. Asimismo, Chile presentó un proyecto de ley que busca regular los sistemas de IA.

Ecuador no tiene un proyecto de ley para el uso y regulación de inteligencia artificial todavía. Sin embargo, expertos, señalan la necesidad de promulgar una normativa sobre esta tecnología.

¿Qué debe tener una ley que regula la inteligencia artificial en el país?

La regulación debe ser fruto de un consenso amplio. Que tome en cuenta, desde luego, las voces de las empresas de tecnología que más saben la inteligencia artificial como IBM. Pero, también a todos los actores que están involucrados en el ecosistema, como la academia, el gobierno y quienes llevan adelante negocios y operaciones con inteligencia artificial. Creemos que las mejores regulaciones y leyes son fruto de un consenso.

En segundo lugar, tiene que ser clara, que marque la cancha correctamente para todos, y además, tiene que ser, esto quizás uno de los puntos más importantes, tiene que ser flexible. Es decir, tiene que permitir el espacio necesario para que la innovación siga sucediendo, esto mientras protegemos los derechos y de los ciudadanos y los valores. Pero, no debe ser una camisa de fuerza, menos aún en estos momentos donde estamos todos recién aprendiendo cuáles son las aplicaciones de la inteligencia artificial.

Además, en el caso ecuatoriano, una ley de regulación de inteligencia artificial tendrá que estar en armonía y alineada con la ley de protección de datos personales, que se aprobó hace dos años y cuyo régimen sancionatorio entró en vigor el 26 de mayo de este año.

¿Cuáles son los principales riesgos al utilizar la inteligencia artificial?

En un sistema de inteligencia artificial hay algunos riesgos de entrada y de salida. Entre los riesgos de entrada podemos mencionar la privacidad de los datos, que es un derecho constitucional. Además, también está la calidad de los datos. Es decir, un sistema de inteligencia artificial que haga una ingesta con datos que no son de calidad, evidentemente va a producir resultados que no son los idóneos. Otro tipo de riesgo es la transparencia en la ingesta de esos datos y en particular lo que se denomina sesgo representacional.

Un riesgo de salida es el copyright. Si yo entreno y alimento a un sistema con textos, imágenes, videos hechos por alguien ¿en qué medida se puede atribuir esta propiedad a los a los autores originales? Por eso es tan importante la transparencia.

¿La regulación debe estar basada en estos riesgos?

Nosotros vemos con buenos ojos una posible regulación de inteligencia artificial basada en riesgos. Es decir, que se haga una categorización previa de los riesgos y que no regule la tecnología en sí. Un ejemplo de este tipo de regulación es la Ley de inteligencia artificial recientemente aprobada por el Parlamento Europeo y que ahora está en la negociación tripartita entre Parlamento, Comisión y Consejo, supongo que sufrirá cambios menores, pero no de fondo en cuanto a la aproximación basada en riesgos.

En Europa clasifican los usos de inteligencia artificial en cuatro riesgos que son: alto mediano, bajo e inaceptable. Es decir, hay usos de inteligencia artificial que son completamente inaceptables. Por ejemplo, actividades policiales predictivas o categorización de emociones en las personas.  

¿Mientras haya una ley de IA, qué deberían hacer las empresas y usuarios de esta tecnología?

Las empresas deben a empezar cumpliendo la ley de protección de datos personales. No se puede hablar de un sistema de inteligencia artificial bien construido sin protección de datos. Esa ley ya está en vigor en Ecuador desde hace más de dos años.

Las empresas pueden empezar a empaparse de esta realidad y empezar a implementar las acciones correspondientes, como capacitar a sus empleados en el manejo de estos sistemas, designar el delegado de protección de datos, que es la persona que va a asesorar y acompañar a la empresa en la implementación un sistema de protección de datos, tener medidas de ciberseguridad y más.

Por un lado es implementar nueva tecnología, pero por otro lado también es tomar conciencia de que los datos de nuestros usuarios o clientes tienen un valor y que por lo tanto tienen que ser protegidos.

La inteligencia artificial (IA) es la simulación de inteligencia humana que crea algoritmos y sistemas informáticos capaces de ejecutar tareas simples y complejas que realizan las personas. Se basa en la idea de que una máquina puede programarse para imitar la forma en que un ser humano piensa y actúa. 

 GALO LIMA, CUMPLIMIENTO Y SEGURIDAD INFORMÁTICA, 0981478818

lunes, 3 de julio de 2023

EL RIESGO DE LA TECNOLOGIA VA MÁS ALLÁ DEL RIESGO CIBERNETICO

GALO LIMA, Oficial de Cumplimiento y Seguridad Informática, 0981478818, galolima@hotmail.com

  

CONCEPTOS CLAVES:

Plan de continuidad del negocio (ISO 27002:2022 Control No. 3).- Un plan de continuidad del negocio es un plan logístico para la práctica de cómo una organización debe recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado después de una interrupción no deseada o desastre. La actualización a ISO 27002:2022 incorpora 11 nuevos controles:

  1. Inteligencia de amenazas.
  2. Seguridad de la información en la nube.
  3. Continuidad del negocio.
  4. Seguridad física y su supervisión.
  5. Configuración.
  6. Eliminación de la información.
  7. Encriptación de datos.
  8. Prevención de fugas de datos.
  9. Seguimiento y monitoreo.
  10. Filtrado web.
  11. Codificación segura.

EL RIESGO DE LA TECNOLOGÍA VA MÁS ALLÁ DEL RIESGO CIBERNÉTICO

Las organizaciones son cada vez más conscientes de la importancia del riesgo de la tecnología. Las noticias sobre problemas de seguridad de la información como hackeos, filtraciones de datos, ransomware (secuestro de datos) o ciberataques han crecido exponencialmente con el pasar el tiempo.

En los últimos 4 años, se expusieron 21,9 mil millones de registros, representando un aumento del 103%. Una de las violaciones de datos recientes más conocidas, por ejemplo, fue en 2020 el hallazgo de las credenciales de más de 500.000 cuentas de Zoom que estaban a la venta en la conocida como “dark web”.

Por tanto, para nadie ya pasa desapercibido que el riesgo de la tecnología es real, crucial para las operaciones de la organización y debe abordarse. Ahora bien, no se puede identificar ese riesgo de la tecnología únicamente como el riesgo cibernético. Analizamos por qué.

¿Es más amplio el riesgo de la tecnología que el riesgo cibernético?

El riesgo de la tecnología se refiere a cualquier riesgo de pérdida financiera, interrupción de las operaciones o daño a la reputación de una organización como resultado de un fallo o problema de sus sistemas de tecnología de la información. Y el riesgo cibernético es un subconjunto del riesgo tecnológico.

Los profesionales de TI suelen tener un conocimiento técnico muy bueno del riesgo cibernético y de los sistemas tecnológicos empleados en la organización. Sin embargo, generalmente solo se enfocan en los impactos inmediatos de las violaciones de datos, como la cantidad de registros expuestos y la solución de la causa de la violación. Y no abordan los riesgos que para el funcionamiento del negocio tiene la tecnología.

Así, los impactos negativos que supone ese riesgo cibernético son más amplios y, por lo general, están fuera del alcance del Departamento de TI:

  1. La continuidad del negocio.
  2. Responsabilidad de terceros.
  3. Afectación a la reputación.
  4. Cumplimiento normativo.

Minimizar, por ejemplo, el tiempo de inactividad ante un ataque cibernético, son consecuencias sobre las que un Departamento de TI relativamente eficaz puede actuar. Esto no implica que el ataque no genere costes y que el daño a la reputación sea irreversible, por mencionar solo dos de los impactos relacionados.

Comprender y gestionar el riesgo de la tecnología de forma eficaz requiere un enfoque integral centrado en el negocio u organización, y no solo que el área de TI tenga la capacidad de disminuir los impactos del riesgo cibernético. 

¿Cómo comprender y gestionar el riesgo de la tecnología de manera eficaz?

Tras el análisis anterior, la conclusión es que los profesionales en el área de TI tienen un conocimiento técnico extenso y profundo, pero que no cuentan con las competencias, las herramientas y el conocimiento sobre gestión de riesgos y comprensión de un fenómeno tan complejo como el riesgo de la tecnología y su alcance, como para garantizar la seguridad y la tranquilidad que la organización y sus clientes, empleados, proveedores y asociados necesitan.

Y esto sucede en gran parte, porque no han sido formados para esta tarea, que es diferente a la gestión técnica, casi científica, y porque su enfoque va hacia la reacción y no hacia la prevención. Ellos piensan en el impacto inmediato tras la ocurrencia de la violación.

Por supuesto, los seguros podrían ser una respuesta a algunos de los problemas generados tanto por el riesgo de la tecnología como por el riesgo cibernético. Pero, ¿hasta dónde resultan efectivos y a qué coste?

Es necesario pensar en los seguros contra el riesgo cibernético como algo similar a la responsabilidad civil y como una forma de protección para mitigar el impacto financiero del riesgo, pero no como una medida de protección real, sobre todo en lo que relacionado con el cumplimiento normativo y con la posible erosión de la reputación y el buen nombre.

Pero, además de lo mencionado, encontramos otros frentes en los que los servicios de una aseguradora se tornan inoperantes:

  1. Parálisis financiera ocasionada por la imposibilidad de operar, ocasionada por algún impedimento para acceder a los datos, a la red o a la información en general.
  2. Todas las estrategias comerciales se detienen, incluso el lanzamiento de nuevos productos, la implementación de software, y el despacho de productos.
  3. Las noticias sobre la violación se propagan rápidamente a través de redes sociales, afectando negativamente la reputación de la organización.

Al final, es evidente la necesidad de contar con profesionales especializados en riesgos, como principales determinadores en la toma de decisiones sobre la gestión del riesgo de la tecnología como del riesgo cibernético.

Este tipo de profesionales requerirán un marco apropiado para abordar los riesgos, y el más adecuado sin duda será ISO 27001, 27002 estándares internacionales para la Gestión de la Seguridad de la Información.

Blogs relacionados

 

Suscribirse a: Entradas (Atom)