Las cargas de trabajo de datos e IA operan ahora en entornos de nube, locales y edge, lo que genera nuevas superficies de ataque para las amenazas de ciberseguridad. Las cargas de trabajo de datos e IA operan ahora en entornos de nube, locales y edge, lo que genera nuevas superficies de ataque para las amenazas de ciberseguridad.
El zero trust ha sido un enfoque fundamental de la ciberseguridad durante años, y su importancia no hace más que aumentar para lograr una postura de seguridad resiliente y preparada para el futuro. Entonces, ¿cómo pueden las organizaciones seguir implementándolo en la próxima generación de tecnología empresarial?
¿Qué es el zero trust en la era de la IA?
El zero trust es un enfoque de seguridad probado que parte de la base de que no se confía automáticamente en ningún usuario o dispositivo, ni siquiera dentro de su propia red. Mientras que la seguridad basada en el perímetro asume que los usuarios y dispositivos internos están a salvo una vez dentro de la red, el zero trust trata todas las solicitudes de acceso como potencialmente de riesgo y, por lo tanto, deben validarse de forma continua. En la práctica, esto significa que, incluso si un usuario está conectado a la red Wi-Fi de su empresa, sigue necesitando la autenticación multifactor para cada solicitud de acceso y, aun así, solo puede acceder a sistemas específicos y necesarios.
El lema más asociado a la arquitectura zero trust es “nunca confíes, verifica siempre”, y aunque sigue siendo válido en la era de la IA, su alcance se ha ampliado más allá de los usuarios, los dispositivos y las redes para incluir también modelos, flujos de trabajo y entornos. Ahora, el zero trust debe extenderse a lo largo de todo el ciclo de vida de la IA, desde el acceso y el uso de datos y modelos hasta los flujos de inferencia y las cargas de trabajo entre entornos.
Aplicar el zero trust a los datos y las plataformas de IA
Verificar todo el acceso a los datos y aplicar el gobierno a lo largo del ciclo de vida de la IA
Las empresas deben implementar controles de acceso basados en la identidad y contextuales en todos sus datos. Cada vez que se accede a los datos, es importante que estas interacciones se autentiquen, autoricen y puedan auditarse de forma adecuada para garantizar la seguridad y la fiabilidad.
Esto resulta aún más crítico, ya que los sistemas de IA dependen al 100 % de los datos empresariales para generar resultados precisos y fiables. Sin un gobierno coherente, las brechas en el control de acceso pueden dar lugar a modelos sesgados, filtraciones de datos o riesgos normativos. La oportunidad radica en aplicar estos controles de manera uniforme en entornos híbridos y multinube.
El zero trust también es fundamental para reforzar la postura de seguridad. Cuando se implementa con un gobierno adecuado, el zero trust permite un intercambio eficaz de datos en toda la organización. Este enfoque es mutuamente beneficioso: protege los datos a la vez que garantiza que quienes necesitan acceso puedan obtenerlo. Las organizaciones necesitan una plataforma que ofrezca un enfoque uniforme, similar al de la nube, para la seguridad y el gobierno de todos los datos, independientemente de dónde residan.
Proteger los modelos y las inferencias como activos de primer orden
Hay que considerar los modelos como información sensible. Las instrucciones que introducen los empleados suelen contener contexto empresarial confidencial, y los resultados que generan los modelos pueden revelar información y decisiones confidenciales o clasificadas. En efecto, los modelos se convierten tanto en consumidores como en productores de datos sensibles.
Por eso los principios del zero trust deben extenderse más allá de los datos para incluir modelos, instrucciones y endpoints de inferencia. Resulta crítico mantener los activos de IA dentro de los límites de confianza de la empresa. Esto implica aplicar controles de acceso granulares, de modo que solo los usuarios y sistemas autorizados puedan interactuar con modelos o conjuntos de datos específicos. También requiere el control de versiones y el linaje, lo que garantiza que las organizaciones puedan rastrear cómo se entrenaron los modelos, qué datos se utilizaron y cómo se generan los resultados, algo esencial para la auditabilidad y el cumplimiento.
Operar de forma coherente en entornos híbridos y multinube
La fragmentación en cualquier parte de una empresa introduce riesgos, y las estrategias zero trust no son una excepción. Dado que los agentes y los modelos crean nuevas superficies de ataque, las organizaciones deben ser más conscientes de los puntos ciegos causados por políticas de seguridad y gobierno aplicadas de forma inconsistente, que pueden ser explotadas y dar lugar a problemas operativos. La seguridad es tan fuerte como su eslabón más débil.
Para ser eficaz, el zero trust debe ser uniforme y portátil. Los controles de acceso, las políticas de gobierno y los estándares de monitorización deben seguir a los datos, los modelos y las cargas de trabajo para garantizar que cada interacción se rija de manera coherente, ya sea en un entorno de nube pública o en lo más profundo de un centro de datos.
Las organizaciones necesitan un enfoque unificado que elimine las brechas en las políticas y ofrezca una experiencia coherente, similar a la de la nube, en todos los datos, independientemente de su ubicación. Cuando la seguridad y el gobierno se aplican de la misma manera en todas partes, los equipos reducen la complejidad y pueden avanzar más rápido con confianza. El resultado es una menor fragmentación y una base más sólida para escalar la IA en toda la empresa, sin sacrificar el control ni la confianza.
El futuro del zero trust
Un enfoque de plataforma unificada permite crear una plataforma que unifique datos, análisis e IA desde cero. Bajo un marco único y coherente, las organizaciones pueden eliminar la fragmentación, reducir el riesgo y aplicar los principios del zero trust de manera uniforme en entornos en la nube, locales e híbridos. Con la plataforma adecuada, las organizaciones pueden aplicar con confianza la IA a sus datos dondequiera que residan, liberando valor a la vez que mantienen el control sobre el cumplimiento y la fiabilidad que exigen las empresas modernas.
Más información sobre el enfoque de Cloudera en materia de seguridad y cumplimiento aquí.
