Jefe de Seguridad: Los contratos con proveedores de IA necesitan controles de privilegios, no solo bombo publicitario

Kumar Ravi, Director de Seguridad y Resistencia en TMF Group, está rechazando el discurso de ventas de proveedores de IA que se enfoca en capacidades sobre controles. En una nueva entrevista, Ravi argumenta que los socios gestores que evalúan herramientas de IA están haciendo las preguntas equivocadas—obsesionándose con la protección contra ransomware mientras ignoran amenazas "graduales e imperceptibles" como el acceso sobreprivilegiado y controles de flujo de trabajo débiles que "se acumulan a través de múltiples procesos, equipos, sistemas y aplicaciones".

Esto va al corazón de la disfunción de adquisición de IA. Mientras los proveedores hacen demos de características impresionantes y los compradores empresariales se enfocan en vectores de ataque obvios, el riesgo real está en la gestión de identidad aburrida y el gobierno de datos. El punto de Ravi sobre el privilegio legal creando cuellos de botella en el intercambio de información es particularmente agudo—las firmas cada vez más "tratan todos los puntos de datos como privilegiados", lo cual "puede ralentizar y comprometer el intercambio oportuno de información" con reguladores y pares que necesitan "insights rápidos, específicos y accionables".

Lo que falta en la mayoría de conversaciones con proveedores de IA es lo poco sexy que realmente importa: ¿Quién tiene acceso a qué datos? ¿Cómo se gestionan los permisos a través de sistemas de IA? ¿Qué pasa cuando tu herramienta de IA se integra con flujos de trabajo existentes que ya tienen expansión de privilegios? El argumento más amplio de Ravi—que la seguridad necesita medición a nivel de junta directiva y aseguramiento independiente—sugiere que la mayoría de organizaciones están comprando herramientas de IA sin entender su postura de seguridad real.

Para desarrolladores integrando API y herramientas de IA, esto significa auditar no solo las afirmaciones de seguridad del proveedor de IA, sino cómo sus herramientas interactuarán con tus controles de acceso existentes. El demo llamativo de IA no te mostrará la expansión de permisos que pasa seis meses después del despliegue.