CISOs y DPOs: el abrazo de la IA
Hay que desterrar de nuestras vidas la tentación de dejarnos vencer por la vorágine digital transformadora con la que la degenerada mercadotecnia, dirigida por recolectores banales de parné está incrustándose en el devenir de todos los sectores productivos, particularmente el de TIC y aledaños.
Los tópicos o confusiones con los que habilísimos enterados están tratando asuntos de ciberseguridad causan sonrojo. Y lo más preocupante es que algunos profesionales del mundillo empiezan a no saber (o no querer) distinguir el polvo de la paja, hecho que achacaremos al tremendo desgaste neuronal que lleva asociada la gestión de riesgos, y que conduce a estados agudos de sisifismo.
“Bien, De la Peña”, dirá usted, lector; “sea más concreto, porque en sus dos párrafos anteriores cabe casi todo”. Vamos a ello.
Hay parcelas del asesoramiento externo en las que lo dicho acontece de forma notoria. DORA es un ejemplo. Ciertas conferencias sobre este Reglamento que he escuchado en tales o cuales foros, me llevaron a la náusea. Se notaba que los conferenciantes charlatanes, ni sabían los precedentes de la norma, ni lo que es la resiliencia operativa, ni el papel de la ciberseguridad en el contexto, ni la visión sectorial (clientes y proveedores).
Y algo así pasa con la todavía no traspuesta NIS2. Hay especialistas, empeñados en llevarnos por la senda del cumplimiento, que tienen una empanada mental con lo que hay que entender por una infraestructura crítica y por un servicio esencial. Creen que son lo mismo. Incluso cuando les he preguntado sobre posibles conflictos entre DORA, NIS2 y CER, han salido por peteneras: que si la NIST, que si la ISO 27001... ¡Alucinante! Si me hubieran contestado que era demasiado pronto para identificar posibles escenarios de tensión en la aplicación de estas piezas, les hubiera reconocido un punto estándar de picardía. Pero no cayó esa breva. Lo más descorazonador es que este es el nivel de competencia técnica al que tiende hoy ese pequeño rebaño de neoconsultores tóxicos. Como crecerá, los que conformamos el creciente gremio de la ciberseguridad tendremos que extremar la exigencia, más todavía cuando los consejos de administración y los órganos de dirección empiezan a entender de la cosa.
Imparable
Pero la palma en la degeneración mercadotécnica, informativa y formativa, ya en los terrenos específicos ya en los generales, se la lleva la inteligencia artificial, ganando incluso a la computación cuántica. Todo el mundo habla de algoritmos, de IA generativa... Y en algunas secciones de medios de comunicación se nos da noticia de Robots casi antropomorfos en los que supuestamente se han integrado algoritmos de IA y que sirven copas mejor que un camarero humano. Por este orden.
Cierto es que el momento que viven la Informática y las Telecomunicaciones permite vislumbrar el papel creciente de la IA en todo lo que se menea. Y por eso hemos criado estructuras de promoción, ordenación, supervisión y sanción en la UE sobre sistemas de IA. En España ya tenemos la Agencia Española de Supervisión de Inteligencia Artificial, AESIA. Y va a tener trabajo, porque los nuevos sistemas de IA, juntos o acompañados, incorporados en servicios públicos, privados o a la vez, trabajando con tecnologías de analítica de datos y reconocimiento, luchando contra el fraude,... deberán desarrollarse, implantarse y usarse en base a ciertos requisitos legales y éticos, porque van a afectar, entre otros, a los derechos a la protección de datos personales y a la privacidad, como bien ha manifestado recientemente Leonardo Cervera Navas, flamante Secretario General del Supervisor Europeo de Protección de Datos, EDPS.
Y que no se nos olvide, aunque sea obvio: habrá que gestionar la ciberseguridad de los sistemas de IA. Un buen escenario para que DPOs y CISOs se entiendan bien.