Código de prácticas para la ciberseguridad de la IA
El gobierno del Reino Unido ha presentado su Código de Prácticas Cibernéticas de IA, el primero del mundo, para las empresas que desarrollan sistemas de IA. El marco describe 13 principios diseñados para mitigar riesgos como los ciberataques impulsados por IA, las fallas del sistema y las vulnerabilidades de los datos.
El Código de Prácticas Cibernéticas se aplica a los desarrolladores, operadores de sistemas y organizaciones que crean, implementan o gestionan sistemas de IA. El código voluntario se aplica a los desarrolladores, operadores de sistemas y custodios de datos en organizaciones que crean, implementan o gestionan sistemas de IA. Los proveedores de IA que solo venden modelos o componentes se rigen por otras directrices pertinentes.
"Desde la protección de los sistemas de IA contra la piratería y el sabotaje hasta la garantía de que se desarrollen e implementen de forma segura, el Código ayudará a los desarrolladores a crear productos de IA seguros e innovadores que impulsen el crecimiento", afirmó el Departamento de Ciencia, Innovación y Tecnología en un comunicado de prensa.
Las recomendaciones incluyen la implementación de programas de capacitación en seguridad de la IA, el desarrollo de planes de recuperación, la realización de evaluaciones de riesgos, el mantenimiento de inventarios y la comunicación con los usuarios finales sobre cómo se utilizan sus datos.
El Código establece requisitos de ciberseguridad para todo el ciclo de vida de los sistemas de IA y se divide en cinco fases: diseño seguro, desarrollo seguro, implementación segura, mantenimiento seguro y fin de vida seguro. Para proporcionar una descripción general estructurada, hemos recopilado los principios del Código, a quiénes se aplican y recomendaciones de ejemplo en la siguiente tabla.
| Principio | Se aplica principalmente a | Recomendación de ejemplo |
|---|---|---|
| 1. Concienciar sobre las amenazas y riesgos de la seguridad de la IA | Operadores de sistemas, desarrolladores y custodios de datos | Capacitar al personal sobre los riesgos de seguridad de la IA y actualizar la capacitación a medida que surjan nuevas amenazas. |
| 2. Diseñar tu sistema de IA para seguridad, además de funcionalidad y rendimiento | Operadores de sistemas y desarrolladores | Evaluar los riesgos de seguridad antes de desarrollar un sistema de IA y documentar las estrategias de mitigación. |
| 3. Evaluar las amenazas y gestionar los riesgos de tu sistema de IA | Operadores de sistemas y desarrolladores | Evaluar regularmente los ataques específicos de IA, como el envenenamiento de datos, y gestionar los riesgos. |
| 4. Permitir la responsabilidad humana en los sistemas de IA | Operadores de sistemas y desarrolladores | Asegurarse de que las decisiones de la IA sean explicables y de que los usuarios comprendan sus responsabilidades. |
| 5 Identificar, rastrear y proteger tus activos | Operadores de sistemas, desarrolladores y custodios de datos | Mantener un inventario de los componentes de IA y proteger los datos sensibles. |
| 6. Asegurar tu infraestructura | Operadores de sistemas y desarrolladores | Restringir el acceso a los modelos de IA y aplicar controles de seguridad en las API. |
| 7. Asegurar tu cadena de suministro | Operadores de sistemas, desarrolladores y custodios de datos | Realizar una evaluación de riesgos antes de adaptar modelos que no estén bien documentados o asegurados. |
| 8. Documentar tus datos, modelos y solicitudes | Desarrolladores | Publicar hashes criptográficos de los componentes del modelo que se ponen a disposición de otros interesados para que puedan verificar su autenticidad. |
| 9. Realizar pruebas y evaluaciones adecuadas | Operadores de sistemas y desarrolladores | Asegurarse de que no sea posible ingeniería inversa de aspectos no públicos del modelo o de los datos de entrenamiento. |
| 10. Comunicación y procesos asociados con los usuarios finales y entidades afectadas | Operadores de sistemas y desarrolladores | Comunicar a los usuarios finales dónde y cómo se utilizarán, accederán y almacenarán sus datos. |
| 11. Mantener actualizaciones regulares de seguridad, parches y mitigaciones | Operadores de sistemas y desarrolladores | Proporcionar actualizaciones de seguridad y parches y notificar a los operadores de sistemas sobre las actualizaciones. |
| 12. Monitorear el comportamiento de tu sistema | Operadores de sistemas y desarrolladores | Analizar continuamente los registros del sistema de IA en busca de anomalías y riesgos de seguridad. |
| 13. Asegurar la disposición adecuada de los datos y modelos | Operadores de sistemas y desarrolladores | Descartar de manera segura los datos de entrenamiento o el modelo después de transferir o compartir la propiedad. |
La publicación del Código se produce apenas unas semanas después de que el gobierno publicara el Plan de Acción de Oportunidades de IA, que describe las 50 formas en que desarrollará el sector de la IA y convertirá al país en un "líder mundial". Fomentar el talento en IA fue una parte clave de esto.
Medidas de ciberseguridad más sólidas
La publicación del Código se produce apenas un día después de que el Centro Nacional de Ciberseguridad del Reino Unido instara a los proveedores de software a erradicar las llamadas "vulnerabilidades imperdonables", que son vulnerabilidades con mitigaciones que son, por ejemplo, baratas y bien documentadas, y por lo tanto fáciles de implementar.
El Director de gestión de vulnerabilidades del NCSC, dijo que durante décadas, los proveedores han "priorizado las 'características' y la 'velocidad de comercialización' a expensas de corregir las vulnerabilidades que pueden mejorar la seguridad a escala. Las herramientas como el Código de prácticas para proveedores de software ayudarán a erradicar muchas vulnerabilidades y garantizar que la seguridad esté "incorporada" en el software.
Fuente: SeguInfo
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios