ISACA: “La formación en IA es una necesidad urgente para los profesionales de TI”

En esta entrevista a Chris Dimitriadis, director de Estrategia Global de ISACA, charlamos sobre cómo la inteligencia artificial está transformando el ámbito de la ciberseguridad y cómo la automatización y la IA redefinirán las tareas en el sector de TI.

Aboradamos también la importancia de las certificaciones para mantenerse competitivo en el entorno digital y que los profesionales se adapten a los cambios tecnológicos mediante la formación continua.

Inteligencia Artificial y su impacto en el trabajo

– La IA está transformando muchos aspectos del trabajo. ¿Qué cambios específicos espera ver en los empleos relacionados con las TI debido a la IA?

La IA está transformando las funciones de TI hacia un enfoque más estratégico y basado en los datos. Con el fin de liberar a los profesionales para que dediquen sus esfuerzos a actividades más decisivas, se espera ver la automatización de las tareas más repetitivas y rutinarias, como la supervisión de sistemas o la administración de bases de datos. Los profesionales de TI quedarán liberados para centrarse en actividades más críticas que impulsen el valor empresarial. Este cambio requiere profesionales expertos en análisis de datos y aprendizaje automático.

Además, se necesitan profesionales mejor formados en el ámbito de la ciberseguridad, con habilidades en IA para que su implementación sea óptima a la hora de detectar y responder a posibles ataques. El sector tecnológico requerirá cada vez más perfiles capaces de desarrollar, entrenar y mantener modelos de IA, habilidad que también es aplicable en el desarrollo de software.

– El reciente estudio de ISACA muestra que los profesionales europeos de TI tienen poca formación en IA. ¿Cuáles son los principales obstáculos para mejorar esta formación?

El reciente estudio de ISACA revela importantes obstáculos para mejorar la formación en IA. Uno de los principales retos es la falta de recursos educativos específicos y de programas de alta calidad centrados en la IA. La formación existente tiene un coste elevado, lo que, combinado con el tiempo limitado de que disponen los profesionales, dificulta aún más el aprendizaje productivo.

Por otro lado, nos enfrentamos a una escasez de personal cualificado para impartir esta formación, lo que afecta a la calidad y disponibilidad de los cursos. Además, el contexto de inmediatez y el rápido ritmo de los avances tecnológicos complican aún más las cosas.

En general, se trata de un campo lleno de incertidumbre, en el que aún queda mucho trabajo por hacer.  Nuestra encuesta sobre el Estado de la Confianza Digital reveló que el 49% de las organizaciones identificaron la falta de habilidades y formación del personal como un obstáculo importante para la confianza digital. Para combatir esto, ISACA está desarrollando activamente programas de formación especializados en IA y recursos adaptados a las necesidades de los profesionales de TI, centrándose tanto en las habilidades técnicas como en las éticas.

– El estudio de ISACA revela que sólo el 17% de las organizaciones cuenta con una política formal y exhaustiva de IA. ¿Qué obstáculos impiden que más empresas desarrollen y adopten políticas formales de uso de la IA?

Muchas organizaciones siguen sin ser conscientes de la importancia estratégica de la IA y a menudo hay una falta de integración de estas habilidades en los planes de estudios académicos tradicionales, lo que conduce a una falta de comprensión sobre el potencial de la IA en las operaciones diarias.  Esta situación se agrava aún más por la falta de especialistas en IA que puedan dirigir realmente estos procesos. La falta de formación es la causa de la escasez de profesionales cualificados, lo que, a su vez, crea un círculo vicioso: la falta de conocimientos especializados impide la creación y ejecución de estrategias exhaustivas de IA. En consecuencia, las organizaciones no pueden aprovechar plenamente el potencial de la IA para la innovación y la eficiencia de sus actividades.

– Dado que el 34% de los encuestados cree que necesitará aumentar sus habilidades en IA en los próximos seis meses, ¿qué tipos de programas y recursos de formación recomienda ISACA para ayudar a los profesionales a mejorar sus habilidades en IA?

En ISACA, reconocemos que la formación en IA es una necesidad urgente para los profesionales de TI, especialmente con el 34% de los encuestados indicando que necesitarán hacerlo en el corto plazo. Estamos abordando la demanda de habilidades de IA a través de un enfoque multifacético. Hemos introducido una serie de cursos de formación sobre IA a la carta, entre los que se incluyen «AI Essentials», que cubre los elementos básicos de la tecnología, sus principios básicos y sus posibles aplicaciones; «Auditing Generative AI», centrado en la mitigación de riesgos y en cómo los avances en IA generativa pueden afectar a los procesos para realizar auditorías; y «AI Governance», que cubre los principios clave y las estrategias efectivas para la gobernanza de la IA.

Nuestro Centro de Conocimiento de IA proporciona recursos continuos como artículos, blogs e infografías de líderes de opinión del sector, lo que permite a los profesionales mantenerse al día de las tendencias y mejores prácticas de la IA.

Reskilling, certificaciones y formación continua

– La necesidad de reciclarse es un tema recurrente en el mundo tecnológico. ¿Por qué son tan importantes las certificaciones para los profesionales de TI en el contexto actual? ¿Cuáles son las áreas clave en las que deben centrarse los profesionales para seguir siendo competitivos?

Las certificaciones desempeñan un papel crucial en la creación de confianza, tanto para los empleadores como para los propios profesionales. Validan las capacidades y conocimientos de una persona, lo que a menudo conduce a mejores oportunidades de empleo, salarios más competitivos y promoción profesional, abriendo a veces oportunidades para puestos más altos o especializados.

Las certificaciones ayudan a estandarizar los conocimientos en todos los sectores, lo que es crucial dada la rápida evolución de muchos campos. También son valiosas para las organizaciones, ya que garantizan que su personal posee las competencias necesarias para proteger y gestionar eficazmente sus sistemas y datos, así como los de sus clientes y/o socios. En el complejo entorno digital actual, contar con una plantilla certificada es esencial para mantener posturas de seguridad sólidas y fomentar una cultura de mejora continua.

Desde hace varios años, las empresas animan a sus profesionales a formarse en nuevas tecnologías para seguir siendo competitivos en un mundo en constante evolución. Aunque las necesidades específicas pueden variar según la empresa, estamos viendo una demanda universal de competencias en Inteligencia Artificial, ciberseguridad, privacidad de datos, gestión de riesgos, gobernanza de TI y auditoría de TI.

La computación en la nube y las habilidades de análisis de datos son cada vez más cruciales en todas las industrias. Nuestra reciente encuesta State of Digital Trust encontró que el 49% de las organizaciones identificaron una falta de obstáculo para la confianza digital, lo que subraya la necesidad crítica de continuar aprendiendo en nuestro campo. No podemos olvidar, sin embargo, las habilidades blandas que las complementan, como el liderazgo o la capacidad de resolución de problemas. Para los profesionales de hoy, y los del futuro, la capacidad de adaptarse a las nuevas tecnologías y aprender constantemente será esencial a la hora de enfrentarse a un mundo en constante cambio.

IA y ciberseguridad

– El estudio muestra que el 61% de los encuestados están extremadamente preocupados por el uso malicioso de la IA generativa. ¿Cómo pueden las organizaciones equilibrar la implantación de la IA para la eficiencia y la innovación al tiempo que mitigan los riesgos de seguridad asociados?

El equilibrio entre implantar la IA para ser más eficientes e innovadores y reducir los riesgos que conlleva radica en mantener un enfoque holístico, con una gobernanza sólida, una evaluación continua de los riesgos para evitar o reducir las vulnerabilidades y una formación adecuada. El uso de la IA debe estar alineado con los objetivos estratégicos, con políticas reguladoras claras. Desde ISACA subrayamos la importancia de la transparencia para que las decisiones automatizadas sean comprensibles y sólidas.

El personal de las organizaciones juega un papel importante, por lo que es esencial invertir en la formación y concienciación del personal, formando a los equipos en ciberseguridad, ética de la IA y cumplimiento normativo. Esto incluye no solo a los profesionales de TI, sino a todos los empleados, para fomentar una cultura de seguridad dentro de la organización. Contar con expertos en IA y ciberseguridad, así como participar en comunidades y redes profesionales, para mantenerse al día de las mejores prácticas y avances en estas áreas reducirá en gran medida las amenazas, al tiempo que ayudará a la organización en su búsqueda de la eficiencia.

– Usted mencionó que la IA se utiliza tanto para desarrollar ciberataques como para detectarlos. ¿Cuáles son algunos ejemplos prácticos de cómo los profesionales de la ciberseguridad utilizan hoy la IA para detectar y responder a las ciberamenazas?

Aunque los ciberdelincuentes aprovechan las posibilidades de los nuevos modelos generativos para desarrollar ciberataques cada vez más sofisticados, la IA puede ser una herramienta muy eficaz para luchar contra estas mismas amenazas. En concreto, si aplicamos la IA en las pruebas de perpetración, vamos a ser capaces de identificar patrones que las personas no pueden discernir.

Por otro lado, la detección de anomalías mediante el análisis de grandes cantidades de datos en tiempo real, el análisis del comportamiento de los atacantes o la predicción de riesgos a través de modelos que anticipan el peligro futuro basándose en tendencias y patrones históricos son algunos de los usos más extendidos de la inteligencia artificial a la hora de hacer frente a los ciberataques.

Ciberseguridad en las Pymes

– La ciberseguridad es una preocupación creciente, y un estudio de ISACA menciona que el 47% de las PYMES no tienen un plan formal de respuesta a los ciberataques. Además, se mencionan varias ciberamenazas comunes como phishing, BEC y malware. ¿Podría profundizar en algunas estrategias específicas que las pymes pueden adoptar para protegerse contra estas amenazas específicas? ¿Cuáles son los pasos clave que debe seguir una PYME para desarrollar y aplicar un plan de respuesta a incidentes de ciberseguridad?

En este cambiante panorama digital, la ciberseguridad se ha convertido en una de las prioridades más urgentes para todas las empresas, incluidas las PYME. Un estudio reciente de ISACA descubrió que casi la mitad de las PYMES no tienen un plan formal de respuesta a ciberataques, lo que las deja expuestas a diversas amenazas como phishing, BEC y malware, por nombrar algunas.

El primer paso para que las PYMES refuercen sus defensas es comprender las ciberamenazas específicas a las que se enfrentan. Cada organización opera en un entorno único con necesidades y recursos diferentes, por lo que la identificación de las amenazas es crucial. Mediante la evaluación de las vulnerabilidades, las PYME pueden identificar los activos críticos, como la información, los sistemas y las aplicaciones, que son importantes para sus operaciones. Este conocimiento les permite aplicar medidas de seguridad adecuadas y adaptadas a sus riesgos específicos.

Una vez identificadas las distintas amenazas potenciales, las PYMES deben formular un plan general de respuesta a ciberincidentes que incluya protocolos muy claros sobre cómo debe actuar la organización en caso de que se produzcan los respectivos ciberincidentes. Deben establecerse funciones y responsabilidades claras dentro del equipo, de modo que todos los miembros implicados sean conscientes de su papel concreto cuando se produzca una brecha. Este enfoque proactivo no sólo reduce el tiempo de reacción, sino que también minimiza los daños potenciales de un ataque.

La educación y la formación de los empleados desempeñan un papel fundamental en una estrategia de ciberseguridad eficaz. Muchos ciberataques tienen su origen en errores humanos, por lo que es esencial que todo el personal, no sólo el de TI, esté formado para reconocer y responder a las amenazas. La formación frecuente y la puesta a prueba de los planes de respuesta también son cruciales para aumentar el nivel de preparación de la organización y sus colaboradores a la hora de hacer frente a un incidente.

– Dado que el coste medio de un ciberataque puede ser devastador para las pymes, ¿qué medidas preventivas recomienda ISACA que sean asequibles y efectivas para estas empresas?

En materia de ciberseguridad, las PYME siempre se han encontrado entre la espada y la pared. Aunque el coste medio de un ciberataque puede ser devastador para estas empresas, normalmente no están en condiciones de dedicar tantos recursos como las grandes corporaciones a la defensa digital.

En su lugar, lo que las PYMES deben buscar son controles básicos y fáciles de aplicar que prometan el máximo valor por cada dólar gastado. Lo que hay que establecer es una cultura consciente de la seguridad en lugar de la mera dependencia de una tecnología sofisticada.

En el nivel básico está la educación de los empleados. La mayoría de los ciberataques aprovechan los errores humanos. Así pues, unas sesiones periódicas de formación sobre la identificación de intentos de phishing y la observancia de protocolos básicos de seguridad pueden ayudar a una PYME a reducir sus vulnerabilidades de forma bastante significativa. También hay un conjunto de acciones prácticas y de coste relativamente bajo que proporcionan una sólida primera capa de defensa.

Para protegerse contra los ataques de ransomware, cada vez más comunes, las PYME deben adoptar una estrategia rigurosa de prevención, respuesta y recuperación, centrada también en sus proveedores (enfoque holístico que implique a la cadena de suministro). Es un paso que puede significar la diferencia entre un inconveniente menor y un desastre que acabe con el negocio.

– En el contexto de la noticia, usted menciona la importancia de trabajar con un socio especializado para mejorar la confianza digital. ¿Qué cualidades y servicios debe buscar una pyme en un socio especializado en ciberseguridad?

En estos casos es muy importante contar con un socio con experiencia demostrada en la protección de empresas que entienda las amenazas específicas a las que se enfrenta su sector porque, al comprender sus necesidades únicas y sus riesgos particulares, podrá desarrollar un plan de ciberseguridad personalizado.

El socio también debe saber cómo ofrecer un plan flexible y escalable, ya que sus necesidades de ciberseguridad evolucionarán a medida que su empresa crezca. También debe ser capaz de explicar conceptos técnicos complejos en términos sencillos para mantenerle informado sobre el estado de su ciberseguridad.

En última instancia, el socio de ciberseguridad adecuado debe sentirse como una extensión de su equipo. Debe comprender sus objetivos empresariales y adaptar su estrategia de seguridad en consecuencia. No se trata sólo de implantar tecnología, sino de construir una relación de confianza y colaboración.

– El estudio de ISACA destaca que el 36% de las pymes no ofrece formación en ciberseguridad a sus empleados. ¿Qué tipos de formación considera esenciales para que los empleados sean una línea de defensa efectiva contra las ciberamenazas?

ISACA proporciona una variedad de recursos educativos adaptados a las PYMES, para salvar esta brecha de conocimiento. Desde seminarios web, libros blancos y conferencias, estos recursos ayudan a las pymes a mantenerse al día sobre las últimas amenazas y las mejores prácticas. Además, las certificaciones de ISACA, como CISA, CISM y CRISC, demuestran la competencia en ciberseguridad y pueden ayudar a las PYMES a llevar su ciberseguridad al siguiente nivel. Estas certificaciones no sólo garantizarán la competencia, sino que también ayudarán a las PYME a atraer y retener el talento necesario.

Innovación y futuro de la tecnología

– ¿Cómo cree que seguirá evolucionando la tecnología en los próximos 5-10 años, y qué retos y oportunidades prevé? ¿Qué papel desempeñará ISACA en el futuro del desarrollo tecnológico y la confianza digital?

Estamos en el umbral de una revolución tecnológica. La Inteligencia Artificial, la computación cuántica y la Internet de las Cosas están a punto de remodelar nuestro mundo de formas que apenas estamos empezando a comprender. Creemos que vamos hacia un futuro en el que la toma de decisiones en las industrias estará impulsada por la IA, y la computación cuántica abre nuevas fronteras en el procesamiento de datos y la resolución de problemas. El potencial de innovación es asombroso, pero cuando el poder es mayor, también lo es la responsabilidad.

De hecho, los retos que se vislumbran en el horizonte son tan grandes como las oportunidades. Sin embargo, debemos recordar que cuanto más dependemos de la tecnología, más vulnerables nos volvemos. Seguimos esperando un aumento significativo de la frecuencia y sofisticación de los ciberataques. El panorama de la ciberseguridad tendrá que cambiar rápidamente para seguir el ritmo.

Sin embargo, no todo se reduce a la defensa frente a las amenazas, también hay que tener en cuenta las consideraciones éticas que acompañan a estos avances. Y como la IA impregnará cada vez más la toma de decisiones, surgirán cuestiones de parcialidad, transparencia y responsabilidad. La ética en el uso de la tecnología definirá la próxima década.

– Sobre la Conferencia ISACA 2024 Europe que se celebrará en Dublín el próximo mes de octubre, ¿en qué se centrará?

Durante los tres días que durará el evento de ISACA en Dublín, expertos internacionales debatirán sobre las tendencias tecnológicas actuales y el futuro de cuestiones empresariales clave como la inteligencia artificial y la privacidad de los datos. Las ponencias principales correrán a cargo de la experta en IA y estratega empresarial Elin Hauge, que compartirá sus ideas sobre el impacto de la IA en los negocios, y Amy Brann, fundadora de Synaptic Potential, que hablará sobre la aplicación de los principios de la neurociencia para crear equipos sólidos.

Sin embargo, habrá muchas más ponencias, mesas redondas y espacios para conversar y compartir ideas sobre las mejores prácticas y el futuro papel de la confianza digital y la ciberseguridad. Hoy en día, y en el futuro, estas áreas son más importantes que nunca debido al imparable desarrollo de la tecnología.