Jonathan Fischbein es el Director de Seguridad de la Información del proveedor de seguridad cibernética Check Point Software. Tiene más de 25 años de experiencia en mercados de seguridad de alta tecnología, en la configuración de estrategias de seguridad y en el desarrollo de soluciones ad-hoc para ayudar a las grandes corporaciones a mitigar las amenazas de seguridad.
En esta emocionante y reveladora entrevista, Jonathan Fishbein, CISO global de Check Point, comparte un tesoro de conocimientos sobre cómo su organización puede adoptar cuidadosamente la potencia tecnológica de vanguardia que es ChatGPT. Descubra cómo aprovechar el potencial sin explotar y, al mismo tiempo, mantener la vigilancia en lo que respecta a la gestión de riesgos.
Con una pasión ardiente por la innovación y un dominio dinámico de su oficio, Fischbein ilumina la intersección de ChatGPT, IA, riesgo y ciberseguridad. Transforme su enfoque para lograr mejores resultados. Descubre cómo.
1. En términos generales, ¿qué deben saber los CISO sobre ChatGPT y seguridad empresarial?
El tema de la IA solía ser un área experimental y de nicho que solo pertenecía a sectores muy específicos; usaban agentes o metodologías de IA para mejorar los productos en los que trabajaban. Pero ahora, la Caja de Pandora está abierta y es accesible para todos.
Significa que hemos lanzado un juguete, que se puede usar para cosas buenas y no tan buenas, para las masas de forma gratuita. Todos quieren jugar con él e incluso probar sus límites. Los buenos apuntan a aprovecharlo para un buen uso, mientras que los malos ya lo están utilizando para desarrollar una nueva generación de campañas cibernéticas súper sofisticadas.
…
Veamos el mandato de los CISOs o BISOs, que necesitan permitir que el negocio prospere, innove y avance. Si los líderes de seguridad no adoptan las herramientas disponibles (como ChatGPT), las empresas languidecerán y permanecerán inactivas.
Sus competidores desean utilizar cualquier técnica o herramienta disponible para mejorar su negocio. Y eso es completamente Kosher. El problema es que con cada nuevo "juguete", la adopción del artículo, en este caso ChatGPT, y detrás de escena, es AI, es mucho más disruptivo de lo que todos anticipamos.
Los CISO y los que están a cargo de la gestión de riesgos ven el riesgo, pero no tenemos suficientes herramientas para controlarlo. Por ejemplo, un empleado, como usted, podría tomar un archivo de Excel e ingresarlo en ChatGPT. A continuación, puede preguntarle a ChatGPT: '¿Qué piensa de este archivo de Excel? ¿Puede ejecutar un análisis de datos en este archivo de Excel?"Es lo mismo con una base de datos.
Todos hemos visto herramientas que son complementos de ChatGPT que permiten API. Digamos que hago una API con ChatGPT y digo: "ChatGPT, permítame ingresar estos datos y darme su opinión" " Y sabemos que los datos de entrada pueden contener Información de Identificación personal (PII), datos de clientes y activos muy críticos que no deberían estar fuera de ciertas ubicaciones.
Creo que debemos utilizar el mismo enfoque conservador que utilizamos para otros aspectos de la seguridad y ser cuidadosos, y enseñar a nuestra gente lo que pueden hacer y lo que no pueden hacer al usar ChatGPT u otras soluciones de inteligencia ARTIFICIAL que existen.
2. ¿Cómo puede ChatGPT apoyar activamente a los profesionales de la seguridad en sus tareas diarias?
Políticas mejoradas. Podemos pedirle a ChatGPT que nos ayude a mejorar nuestras políticas de seguridad. Y es increíble. Es simplemente asombroso. Y es muy bonito. Por ejemplo, podría preguntar:" Por favor, dame una política actualizada para el gobierno de datos " y boom, menos de cinco segundos después, tienes una política de datos completa, nueva y actualizada.
En lugar de que los contratistas inviertan horas en escribir políticas y pulir cosas, este motor de inteligencia artificial le brinda la solución. Entendemos que ChatGPT no reinventó la rueda; la herramienta solo basa las respuestas en una gran cantidad de otra información. En otras palabras, lo que otros están usando como mejores prácticas simplemente se condensa y reproduce la información de una manera muy agradable y organizada.
Comunicaciones. Puedo pedirle a ChatGPT'Por favor, ayúdenme a escribir una comunicación a nuestros usuarios, explicando X, Y y Z'. Incluso puedo pedirle a ChatGPT que lo explique de una manera que un niño de 12 años lo entendería. Y ChatGPT lo hará. O si quiero intentar explicarle la última campaña de phishing a mi madre, ChatGPT reunirá el lenguaje correcto. Entiendes la idea.
Este tipo de cosas, estas áreas en las que ChatGPT puede brindarnos ayuda — no presentan ningún riesgo.
3. ¿Dónde sugeriría que los profesionales de la seguridad cibernética lo piensen dos veces antes de usar ChatGPT?
Por el momento, creo que no hay suficientes salvaguardas dentro de ChatGPT para controlar los riesgos.
Ya estamos viendo equipos de desarrollo que intentan hacer API para permitir que estas soluciones de IA nos ayuden como ayuda de terceros. Por ejemplo, mi base de reglas, para la lista de acceso, tiene más de 5000 reglas. Pero todos estamos de acuerdo en que no todas esas reglas son necesarias. Por lo tanto, podría conectar mi base de reglas, que es algo extremadamente confidencial, a ChatGPT. Sin embargo, ¿debo conectarlo a ChatGPT para solicitar que se analice?
No confío lo suficiente en estas soluciones para compartir información tan confidencial. En seguridad, siempre vuelve a la confianza. La confianza es el desafío #1. Si no tenemos confianza total, es difícil para nosotros pasar a la segunda o tercera etapa con esta tecnología.
4. Existen varios riesgos específicos asociados con el uso de modelos de lenguaje como ChatGPT y algunas cosas clave a tener en cuenta:
Fugas de datos: Se puede filtrar información confidencial, como información comercial confidencial, código, datos de clientes e información personal.
Violaciones de privacidad: La información personal puede divulgarse si los modelos de lenguaje como ChatGPT no están configurados adecuadamente para proteger la privacidad. Esto puede resultar en violaciones de las leyes y regulaciones de privacidad, y puede dañar la reputación de una empresa.
Sesgo y equidad: Los modelos de lenguaje como ChatGPT se pueden entrenar con datos sesgados, lo que puede dar como resultado resultados sesgados. Esto puede afectar la toma de decisiones y conducir a la discriminación y otros resultados injustos.
Desinformación: Los modelos de lenguaje como ChatGPT pueden producir información incorrecta o engañosa, lo que puede tener consecuencias negativas, como difundir información falsa, tomar decisiones incorrectas y dañar la reputación de una empresa.
Cuando utilice ChatGPT u otras herramientas similares, asegúrese de utilizar la anonimización de datos y eliminar o enmascarar información confidencial, como información comercial confidencial, código confidencial, datos de clientes, detalles de empleados, direcciones y otra información personal. Esto reducirá el riesgo de fugas de datos y violaciones de la privacidad.
5. ¿Qué pasa con los aspectos normativos y regulatorios de ChatGPT e IA?
Creo que estas herramientas de IA deberían regularse y supervisarse. Cuando se trata de estas herramientas de inteligencia artificial, nadie sabe qué hay detrás de ellas, quién está detrás de ellas, a dónde van los datos y esto me recuerda un poco al caso de Cambridge Analytica.
En esa situación, el problema no era que los recolectores de datos tomaran los datos y los redistribuyeran. El problema era que los recolectores de datos sabía que lo estaban usando para influir en la política.
Esto fue una gran sorpresa para algunos y era ilegal. Creo que no sería una sorpresa si algunas de estas soluciones de IA se utilizan para obtener una ventaja en un momento posterior.
6. ¿Cómo utilizan ChatGPT los ciberatacantes?
Estamos viendo que los ciberatacantes mejoran sus técnicas de phishing utilizando ChatGPT. La composición es mucho más completa y mucho más creíble que antes. Estamos viendo malware proveniente de ChatGPT. Los humanos pueden pedirle que escriba scripts de Python etc etc. Es posible desarrollar un día cero a través de ChatGPT. Nada de esto es bueno. Hay algunas salvaguardas/controles dentro de ChatGPT, pero por el momento, se pueden omitir fácilmente.
7. ¿OpenAI, la empresa matriz de ChatGPT, hará algo al respecto?
Sí. Definitivamente. Porque entienden los riesgos. Incluso si ChatGPT es un bien neto el 90% del tiempo, aún deben hacer todo lo posible para mitigar los vectores conocidos de uso indebido de la plataforma.
Ha habido algunas buenas mejoras y creo que es un tema emocionante.
8. Pasar de ChatGPT a AI: ¿Cómo se infunde AI en la seguridad cibernética hoy en día?
En Check Point, hemos estado utilizando la IA durante algunos años para mejorar nuestros mecanismos de prevención de amenazas y lograr veredictos más precisos. Estamos utilizando varios motores de IA. La IA, en general, se está revisando para ser utilizada en varias áreas diferentes dentro de la I + D.
Además, la IA se está utilizando en otros departamentos y roles. Piense en analistas que se encargan de campañas o centros de asistencia que utilizan soluciones de terceros que ya utilizan IA.
…
En general, si bien las organizaciones han descubierto que la IA es atractiva, no significa que debamos usarla en todas partes. Tenemos que tener cuidado. Necesitamos usarlo cuando es relevante, y no cuando es irrelevante.
Aquí hay un ejemplo de uso excesivo de la IA. En los últimos 5 años, hemos visto el modelo en el que el 60-70% de las empresas de alta tecnología utilizan chatbots con inteligencia artificial para la atención al cliente. Por lo general, cuando necesita atención al cliente, necesita algo que no está en el menú del chatbot. Por lo tanto, cuando necesita ayuda real, es más que desafiante conseguir que una persona real lo ayude por teléfono. En mi opinión, este es el lado malo de la tecnología.
9. Hace unas semanas, los líderes mundiales firmaron una carta diciendo que debería haber una pausa de 6 meses en el desarrollo de la IA debido a los "profundos riesgos para nuestra sociedad".- ¿Tus pensamientos?
Creo que ni un solo desarrollador de IA dejó de funcionar. Creo lo contrario. Los desarrolladores se toman su trabajo más en serio.
Pero esa carta, en mi opinión, es una llamada de atención que dice ' chicos, tenemos que tener cuidado con esta tecnología. Quiero decir, a todos nos encantó, es genial, pero también es una caja de Pandora.
Ha comenzado y ahora tenemos que ver a dónde va. Con suerte, no pondrá en peligro vidas y nadie conectará nada a la IA sin pensar en todas las implicaciones.
10. ¿Más ideas para líderes empresariales sobre los temas de ChatGPT y/ o IA?
Para los líderes empresariales, adopte un enfoque de pasos de bebé. No se apresure a hacerlo sin dictar políticas y salvaguardas después de un proceso de evaluación de riesgos.
Estamos seguros de escuchar más sobre ChatGPT en las próximas semanas y meses. Estén atentos para más desarrollos sobre el tema.
El puesto Navegando por la Caja de Pandora que es ChatGPT: Información de un CISO Global apareció primero en Charla cibernética.