Mientras otras jurisdicciones luchan contra el auge de la IA y la aparición de nuevos desafíos en materia de ciberseguridad, la Unión Europea (UE) ha entrado en acción con una serie de nuevas regulaciones destinadas a limitar el riesgo digital. La Ley de IA de la UE, la Ley de resiliencia cibernética de la UE y la Ley de resiliencia operativa digital (DORA) de la UE representan cada una un nuevo capítulo en la gestión del riesgo cibernético, pero ¿qué significan realmente para las empresas? ¿Su organización se verá afectada por las nuevas reglas? ¿Qué pasa con sus socios o proveedores? Es importante comprender lo que estas nuevas directrices pretenden lograr, pero es igualmente importante comprender cuál será el impacto en el mundo real en las organizaciones y cómo afectarán las operaciones de gobernanza, riesgo, seguridad y cumplimiento (GRC) en el futuro. Por Nick Kathmann (en la foto), CISO, LogicGate
La Ley de IA de la UE establece nuevas directrices en un espacio regulatorio abarrotado
Empecemos con el Ley de Inteligencia Artificial de la UE, que se adoptó oficialmente el 13 de marzo de 2024 y debería entrar en vigor dentro de los próximos dos años. La Ley de IA de la UE representa el primer marco integral desarrollado por la UE para ayudar a regular el uso y el desarrollo de la IA. Como se puede adivinar por su nombre, la regulación no es de naturaleza global (está dirigida específicamente a la UE), pero tiene implicaciones globales. Tengan o no su sede en la UE, las organizaciones que hacen negocios dentro de la UE deberán asegurarse de cumplir con la Ley de IA de la UE, lo que significa que afectará a casi todas las corporaciones multinacionales.
La IA y el aprendizaje automático existen desde hace mucho tiempo. Incluso antes de la llegada de lo que consideramos IA “moderna”, los filtros de spam utilizaban modelos supervisados para bloquear los correos electrónicos no deseados de los ciberdelincuentes. (¿Alguna vez recibió un correo electrónico prometiendo “FR33 P!LLS”? Finalmente, uno de estos primeros modelos los bloqueó). Obviamente, hemos recorrido un largo camino desde entonces, y la IA generativa se está volviendo más avanzada y cada vez más accesible como desarrolladores de IA. dedicar importantes sumas de dinero a la tecnología. Según OpenAI, construir y entrenar ChatGPT 4 cuesta más de 100 millones de dólaresmientras que Google gastó casi 200 millones de dólares desarrollando su herramienta Gemini. Las organizaciones están dedicando muchos recursos a hacer que estas soluciones sean aún más grandes y mejores a medida que pasa el tiempo.
Pero toda tecnología nueva conlleva riesgos, y la Ley de IA de la UE pretende ayudar a abordarlos. La nueva legislación establece cuatro clasificaciones basadas en riesgos sobre cómo se utiliza y desarrolla la IA, con diferentes requisitos de seguridad para cada nivel de riesgo. Industrias como la infraestructura crítica o la aplicación de la ley se incluyen en una clasificación de “alto riesgo”, que conlleva una larga lista de requisitos que los desarrolladores de IA que hacen negocios con esas industrias deberán cumplir. Estos podrían incluir mandatos de almacenamiento de datos y mantenimiento de registros, demandas de vigilancia del mercado, estándares de transparencia y otros requisitos. Cada uno de ellos está ligado a importantes sanciones financieras que van hasta el 6% de los ingresos anuales totales de la empresa en todo el mundo: una suma considerable.
Las implicaciones prácticas aquí son serias. Hay mucha innovación basada en la IA dentro de la UE (y en los países que hacen negocios con la UE), y estas nuevas regulaciones incluyen requisitos sustanciales de diligencia debida, lo que se suma a la ya onerosa cantidad de pautas y marcos regulatorios que las empresas deben cumplir. pista de. Si bien es definitivamente positivo que la Ley de IA de la UE se aplique a toda la UE, el creciente número de regulaciones de IA en países de todo el mundo (y, en el caso de EE. UU., en estados individuales) ha creado una difícil red de marcos: muchos de los cuales se contradicen entre sí. Muchas organizaciones necesitarán repensar cómo gestionan el aspecto de riesgo y cumplimiento de la IA; de hecho, no será sorprendente que GRC pronto se convierta en “GRCAI”.
La Ley de Resiliencia Cibernética de la UE exige un mejor apoyo y una remediación más rápida
Además de la Ley de IA de la UE, la Ley de ciberresiliencia de la UE También fue aprobado por el Parlamento Europeo en marzo. En lugar de apuntar específicamente a la IA, esta ley está dirigida a los dispositivos conectados y al software que se ejecuta en ellos, desde teléfonos inteligentes y computadoras portátiles hasta refrigeradores y lavadoras inteligentes. En el mundo cada vez más interconectado de hoy, cualquier cosa conectada a Internet representa un vector de ataque potencial, y los malos actores apuntarán a los dispositivos conectados y los utilizarán como punto de partida hacia otros sistemas, redes y organizaciones. Algunos de los mayores ataques DDoS de la historia (como el Mirai Botnet) se han originado en dispositivos como enrutadores domésticos. El hecho de que estos dispositivos estén conectados directamente a Internet, en lugar de estar detrás de firewalls corporativos, los hace particularmente vulnerables.
No hace mucho tiempo, estos dispositivos conectados eran fáciles de proteger. Se ejecutaban en un bucle de ensamblaje y simplemente se reiniciaban y reiniciaban si se detectaba algo anormal. Ahora, estos mismos dispositivos utilizan lenguajes de orden superior, a menudo con sistemas completos Linux (o incluso Windows) ejecutándose de forma nativa. En lugar de un simple bucle, ahora tienen millones de líneas de código y una amplia gama de bibliotecas de códigos a las que los atacantes pueden apuntar. Pero quizás el mayor problema sea la falta de soporte que reciben muchos de estos productos. Un dispositivo conectado puede recibir de 12 a 18 meses de soporte antes de que el fabricante pase al siguiente. Esto es comprensible, pero deja a esos dispositivos que ya no reciben actualizaciones o parches vulnerables a ataques.
La Ley de Resiliencia Cibernética de la UE exige efectivamente que las empresas respalden sus productos durante un período de tiempo más largo y garanticen que los consumidores sepan cuánto tiempo pueden esperar ese respaldo. Deben hacer saber cómo planean proteger esos dispositivos y también implementar nuevas soluciones de gestión de vulnerabilidades. Cuando se identifica una vulnerabilidad, el fabricante debe reconocerla y presentar un plan para abordarla dentro de un cierto período de tiempo. La idea es agregar nuevas protecciones al consumidor que reduzcan la cantidad de vectores de ataque que los adversarios pueden usar para atacar los dispositivos conectados. Al igual que la Ley de IA de la UE, estas nuevas normas conllevan sanciones graves: hasta 15 millones de dólares o el 2,5% de los ingresos anuales totales (lo que sea mayor).
DORA establece nuevas reglas financieras que afectan a terceros críticos
El Ley de resiliencia operativa digital de la UE (DORA) también se centra en la ciberseguridad, pero pone su mirada específicamente en la gestión de riesgos (incluida la gestión de riesgos de terceros) y la respuesta/información de incidentes en la industria financiera. La nueva ley entrará en vigor el próximo año y tiene como objetivo ayudar a los bancos y otras instituciones financieras a protegerse de ataques y mejorar su resiliencia en caso de una infracción. Es fácil ver por qué esto sería de interés para los reguladores: cuando una institución financiera sufre un ciberataque, tiene efectos posteriores que afectan a casi todas las demás industrias. Cuando las empresas (o los individuos, en realidad) no pueden procesar pagos, acceder a cuentas o utilizar sus plataformas bancarias, la economía puede reducirse a la mitad. De hecho, es posible que los ciberdelincuentes modernos ni siquiera necesiten apuntar a un banco: a menudo pueden lograr el mismo resultado atacando una plataforma comercial u otro servicio de terceros.
Como resultado, DORA no sólo se aplica a las propias instituciones financieras. Se aplica a empresas financieras, plataformas criptográficas, proveedores de servicios en la nube, servicios de gestión de riesgos y docenas de otras industrias que interactúan de manera significativa con la industria financiera. La ley establece un nuevo marco de gestión de riesgos en torno al cual estas empresas deben construir, similar a marcos como el NIST con el que las empresas estadounidenses tal vez ya estén familiarizadas. Establece pautas básicas en torno a la detección, prevención y respuesta a amenazas, así como un período de informe obligatorio cuando ocurre un incidente.
DORA también exige un cierto grado de pruebas de resiliencia operativa digital. Las organizaciones deben poder demostrar suficientes capacidades de continuidad del negocio para establecer que un solo incidente cibernético no pueda afectar negativamente a la industria financiera en general. Si toda la empresa cae, ¿qué harán? ¿Cómo volverán a estar en línea y en qué orden? ¿Cómo informan a los clientes antes de que se haga pública la infracción? La capacidad de planificar para lo peor es fundamental. El marco también establece procedimientos para compartir inteligencia sobre amenazas cibernéticas. Estados Unidos tiene una iniciativa similar, conocida como InfraGard del FBIque ayuda a impulsar a las empresas a compartir inteligencia en beneficio de todos.
Quizás la conclusión más importante aquí es el hecho de que la legislación afectará a una gama tan amplia de empresas. Cualquier empresa considerada un “tercero crítico” para las empresas de la UE que caen bajo el paraguas de servicios financieros deberá asegurarse de cumplir con DORA, o correr el riesgo de no poder hacer negocios con empresas con sede en la UE. Por ahora, las organizaciones deberán juzgar por sí mismas si están sujetas a esta regla, pero a medida que se acerque la implementación, es probable que sus socios y clientes informen a terceros críticos que deben mantener el cumplimiento de DORA o corren el riesgo de perder su negocio.
Las directrices de la UE son sólo el comienzo
Que la UE esté liderando el camino a la hora de establecer barreras de seguridad para la IA y regulaciones de concienciación sobre los riesgos no debería sorprendernos; después de todo, la UE también allanó el camino para nuevas normas de privacidad de datos cuando aprobó la Reglamento General de Protección de Datos (RGPD). Tenga la seguridad de que estas directrices de la UE son sólo el comienzo; de hecho, el Reino Unido ya está en el proceso de implementar sus propias Código de Gobierno Corporativo y Resiliencia operativa marco regulatorio, lo que subraya el hecho de que es probable que esta tendencia regulatoria se extienda rápidamente. Pero la verdad es que establecer capacidades sólidas de gobernanza de datos y gestionar eficazmente el riesgo cibernético es una buena idea para todas las organizaciones (y clientes) y estas nuevas regulaciones deberían servir como motivación para que las empresas de todo el mundo tomen las medidas necesarias para mejorar su GRC (o debería decir GRCAI) capacidades.