Ciberseguridad
Inteligencia artificial

Certificaciones de gobernanza de IA y ciberseguridad: ¿merecen la pena?

Las organizaciones han comenzado a lanzar certificaciones de IA en gobernanza y ciberseguridad, pero estos espacios todavía son poco maduros y cambian a gran velocidad.

ciberseguridad
Créditos: Mika Baumeister (Unsplash).

La Asociación Internacional de Profesionales de la Privacidad (IAPP), el Instituto SANS y otras organizaciones están lanzando nuevas certificaciones de IA en las áreas de gobernanza y ciberseguridad o agregando nuevos módulos de IA a los programas existentes. Estos pueden ayudar a los profesionales a encontrar empleo, pero como el área es relativamente nueva, los expertos advierten que las certificaciones podrían quedar obsoletas casi de inmediato.

La protección de datos y la privacidad representan aproximadamente un tercio de la gobernanza de la IA, dice J. Trevor Hughes, fundador y director ejecutivo de IAPP. El resto incluye sesgo algorítmico y equidad, derechos de propiedad intelectual y derechos de autor tanto para los datos de entrenamiento como para los resultados de la IA, cuestiones de moderación de contenido, de confianza y seguridad, y los aspectos de gestión de formar un equipo para supervisar todas estas cuestiones. “Cuando miramos al mundo en general, vemos que los profesionales de la privacidad y la ciberseguridad tienen habilidades increíblemente transferibles. Si pueden incorporar algo de capacitación y concientización sobre la gobernanza de la IA, podremos escalar mucho más rápidamente para responder a la necesidad de cientos de miles de profesionales de la gobernanza en la próxima década”.

 

El caso de la gobernanza de la IA y las certificaciones de ciberseguridad

A medida que la adopción de la IA generativa avanza a un ritmo vertiginoso, las empresas estarán cada vez más desesperadas por contar con expertos en ciberseguridad y gobernanza de la IA. Y, dado que el campo es tan nuevo, pocas personas tendrán experiencia laboral real en el área. Por lo tanto, proliferarán los programas de capacitación y certificación para ayudar a llenar el vacío.

Jess Burn, analista de Forrester, llama a esto un “complejo industrial de certificación”. "Todo el mundo quiere una parte de esto", dice. Pero las certificaciones tienen un precio elevado cuando se agrega toda la capacitación necesaria. Y el hecho de que alguien tenga una certificación no significa que sea competente en el tema.

Este es el momento absolutamente adecuado para empezar a pensar en la gobernanza de la IA, afirma Dan Mellen, director y CTO de ciberseguridad de EY. “La IA generativa se está volviendo real y comienza a avanzar. El nivel de sensibilidad requiere algún tipo de comprensión básica, y las certificaciones de IA generativa lo hacen”.

David Foote, analista jefe de Foote Partners, dice que su empresa está rastreando ocho certificaciones de IA dedicadas que tienen datos suficientes para ser incluidas en el índice de remuneración de certificaciones y habilidades de TI de la empresa. Además, se está añadiendo contenido relacionado con la IA a otras certificaciones de ciberseguridad que está siguiendo. Pero, afirma, las empresas suelen pagar más por las capacidades demostradas que por las certificaciones. “No les importa si hay una certificación o no, siempre y cuando el candidato pueda demostrar que ha adquirido y puede aplicar habilidades en gobernanza de IA o ciberseguridad. Confían en su capacidad para identificar y recompensar habilidades mucho más que en aprobar un examen de certificación”.

Otros críticos dicen que el espacio es demasiado nuevo, que las mejores prácticas aún no están definidas y que las leyes y regulaciones aún están evolucionando. Incluso si la certificación cubre material útil, quedaría obsoleta casi de inmediato.

Por otro lado, las nuevas certificaciones de ciberseguridad y gobernanza de la IA cubren los conceptos básicos necesarios para ponerse al día, crear una capa base sobre la que las personas puedan construir más adelante, crear un lenguaje común para que lo utilicen los profesionales y, por lo general, incluirán requisitos de capacitación continua para ayudar a las personas a mantenerse actualizadas.

 

Capacitación y certificados en gobernanza de IA

La primera prueba AI Governance Professional (AIGP) de IAPP fue realizada por 200 personas en abril, pero las pruebas futuras se llevarán a cabo en centros de pruebas de todo el mundo, al igual que muchos otros exámenes, y de forma virtual.

La prueba IAPP consta de 100 preguntas y dura aproximadamente tres horas. ISACA cuenta con un certificado de Fundamentos de IA que incluye riesgos y requisitos éticos. Tonex ofrece un curso de certificación de Profesional certificado en seguridad de IA. GSDC ofrece una certificación de IA generativa en ciberseguridad que cubre no solo cómo se puede utilizar la IA generativa para ayudar en la ciberseguridad, sino que también cubre consideraciones éticas y mejores prácticas para un uso responsable.

Aquí, en orden alfabético por organización, se encuentran todas las capacitaciones y certificados de gobernanza de IA conocidos al momento de la publicación.

 

Beneficios de las certificaciones de gobernanza de IA y ciberseguridad

La capacidad de tener un lenguaje común y un conjunto de principios fundamentales básicos fue la razón por la que Wipro envió a todo su grupo de trabajo de IA para recibir la capacitación AIGP de IAPP, asegura Ivana Bartoletti, directora de privacidad y gobernanza de IA de Wipro. “Tenemos personas con formación jurídica, personas con formación técnica y experiencia en gestión de riesgos”, dice. "Ya sea que se trate de gestión de cambios, programadores o abogados, es importante que estén alineados en terminología y puntos clave de nuestra gobernanza".

Bartoletti cree que no es demasiado pronto, ya que “la IA necesita ser gobernada”. De hecho, ya existen algunas leyes en vigor, como la ley europea sobre inteligencia artificial y la orden ejecutiva del presidente Biden. Pero incluso sin eso, existen leyes de privacidad que también se aplican a la IA generativa, controles de seguridad, legislación contra la discriminación y mucho más.

“La gobernanza es, por supuesto, una cuestión en evolución”, afirma Bartoletti. “Pero no podemos simplemente mirarlo en relación con la legislación o esperar a que se establezcan normas. La gobernanza realmente se trata de decir: ¿Cómo puedo yo, como organización, establecer controles en torno al desarrollo y la implementación de los sistemas?

El primer paso es la alineación, para que todos, desde RR.HH. hasta codificación, tengan la misma comprensión básica de cuáles son los principios de la gobernanza de la IA.

Para Bartoletti, la ventaja de la certificación AIGP de la IAPP es que proviene del lado de la privacidad, por lo que fue una elección natural para el grupo de trabajo. “Para mí, y tal vez sea parcial porque la privacidad es mi bebé, pero creo que los profesionales de la privacidad están muy bien equipados para lidiar con la gobernanza de la IA. Conocemos el enfoque de la tecnología basado en el riesgo. Tenemos que implementar los controles, pero también tenemos que mantener el negocio funcionando”.

Bartoletti ha pasado ella misma por la formación. Ella dice que tomó dos semanas y fue realizado por un ser humano real, todo de forma remota, ya que Wipro es una empresa global. Ella dice que a los clientes les gusta ver que sus consultores tengan certificaciones oficiales. Demuestra que una persona se ha tomado el tiempo para estudiar y no está simplemente improvisando sobre la marcha. "El área de gobernanza y riesgo de la IA es un área en la que no conviene improvisar".

Cuando las certificaciones se combinan con un sólido historial de puesta en práctica, se obtiene una fuerte ventaja competitiva. Una vez que se publiquen los estándares formales, Bartoletti espera ver muchas más certificaciones, que cubran temas específicos como cómo cumplir con la Ley de IA de la UE, el NIST o otras normas y regulaciones. "Creo que también se prestará mucha atención a sectores específicos, como la gestión de la IA en la atención sanitaria o los servicios financieros".

Certificaciones como la AIGP son particularmente valiosas para los consultores, coincide Steve Ross, director de ciberseguridad para las Américas de S-RM Intelligence and Risk Consulting. "Nuestros clientes sienten la incertidumbre", le dice Ross a CSO. "Les gustaría aumentar el uso de la IA, pero nadie sabe cómo utilizarla de forma segura y ética, y están buscando a alguien en quien puedan confiar para hacerlo".

Como resultado, los clientes buscarán certificaciones durante los próximos dos o tres años. “No tengo ninguna de estas certificaciones, pero estoy pensando en obtenerlas”, añade Ross, como la certificación AIGP, que le parece interesante. “Asisto a los eventos de la IAPP y aprecio que la comunidad no se centre sólo en la privacidad de los datos sino también en las implicaciones legales. Esa es la certificación que buscaré primero”.

Ross también está interesado en la capacitación sobre conceptos básicos de seguridad de IA de SANS, ya que le gusta "la calidad del contenido que publica SANS". Y considerará las certificaciones al contratar personas. “Prefiero personas que tengan un conjunto completo de habilidades. Tener experiencia en IA es fantástico, pero también lo es la comprensión de la gobernanza, el riesgo y el cumplimiento”.

Pero no todas las empresas consideran que tener la certificación en sí sea lo más importante. "Nuestra reputación tiende a precederse a sí misma", dice Mellen de EY a CSO. “Me interesa más que la gente tenga experiencia técnica práctica que que tengan letras después de su nombre en su perfil de LinkedIn. Me he encontrado con varias personas con certificación profesional en mis 25 años trabajando en este espacio. Y a veces es fantástico entender la respuesta del libro de texto, pero la respuesta del libro de texto no siempre se cumple en la realidad”.

 

Las desventajas de las certificaciones de gobernanza de IA

Para los críticos de las nuevas certificaciones de IA, el espacio es simplemente demasiado nuevo. “Es extremadamente importante contar con una gobernanza establecida. Pero también es un lugar que necesita evolucionar más”, afirma Priya Iragavarapu, vicepresidenta de ciencia de datos y análisis de AArete, una firma de consultoría de gestión.

Mientras tanto, las empresas tienen gobernanza de datos y gobernanza tecnológica, y requisitos de gestión de riesgos específicos de la industria, como los de los servicios financieros. También existen certificaciones técnicas específicas para plataformas en la nube individuales, para aprendizaje automático y para seguridad de datos. “Por ahora me limitaría a las especificaciones técnicas”, afirma. "Pongan en marcha las capacidades técnicas, pero la gobernanza de la IA todavía no está ahí".

"Le daría más valor a la experiencia de alguien con el gobierno de datos que a una certificación en gobierno de IA", dice Nick Kramer, vicepresidente de soluciones aplicadas de SSA & Company, una consultoría de gestión. “Con estas nuevas habilidades, cuando termines el curso, probablemente ya hayan cambiado”.

Taylor Dolezal, CIO y jefe de ecosistemas de Cloud Native Computing Foundation, dice que aprecia los esfuerzos para crear estándares de gobernanza de IA, pero que el espacio es demasiado nuevo y cambia demasiado rápido. “Todavía estamos tratando de descubrir cómo componer todo juntos. Aún no hemos publicado esos estándares”.

Es demasiado pronto para decir cuál es el camino que debe seguir una organización para lograr los resultados que desea ver.

Otro problema es que las certificaciones suelen durar dos o tres años. El AIGP del IAPP tiene una duración de dos. “Mi preocupación sería por cuánto tiempo es válida esa certificación. El espacio está cambiando muy rápido”, dice Dolezal.

"Una de las premisas básicas de cualquier certificación es que tiene que ser un dominio maduro", afirma Chirag Mehta, analista de Constellation Research. “No puedes certificar a alguien hasta que estés seguro de qué es. Aún no hemos llegado a ese punto. Hasta cierto punto, es humo y espejos”. Las certificaciones de IA no aportan mucho valor porque la tecnología está cambiando, no mensualmente ni semanalmente, sino diariamente. "Nuestra orientación para los CISO es que si quieren a alguien que haya estado expuesto a la IA generativa, una certificación muestre su potencial para aprender nuevas tecnologías y aceptar lo que está por venir", dice Metha. "Tómelo como una señal positiva, pero no como una prueba de que saben algo".

 

La industria no debería esperar a que se estabilicen los estándares

Hughes, de IAPP, admite que la gobernanza de la IA es un objetivo móvil, pero dice que esperar a que cristalicen los estándares y las mejores prácticas es un argumento tonto. “Existe un riesgo enorme en la IA. Sabemos que existe un riesgo enorme. ¿Deberíamos dejar de crear controles de gobernanza? ¿Deberíamos dejar de formar profesionales? No quiero esperar a que llegue un futuro perfectamente formado. Necesitamos ejercer una buena gobernanza y control sobre la IA desde el principio, no en algún momento en el futuro, cuando los tribunales y otros sistemas de políticas públicas de lento movimiento hayan tomado decisiones. Y no se necesita una ley establecida para realizar una evaluación del impacto de la IA. No necesita que un tribunal le diga que un resultado particular es discriminatorio. Deberíamos considerar eso independientemente de lo que diga la ley, porque es un buen negocio y generar confianza y seguridad en estas innovaciones tecnológicas les permite avanzar rápidamente y de una manera más estable”.

Hughes dice que IAPP está tratando de desarrollar estándares de seguridad para permitir que esta tecnología se adopte más rápido y se mueva más rápido de manera segura. "Si lanzamos la IA con buenas evaluaciones y controles, la tecnología se moverá más suavemente en la sociedad y podremos acelerar más rápidamente hacia un futuro positivo y beneficioso".

Esa es una actitud con la que Christopher Paquette, director de transformación digital de Allstate, está completamente de acuerdo. “Es importante tener en cuenta esas señales de advertencia. Y preocuparme por esas cosas antes de que sucedan cosas malas”.

Hoy en día, es importante para las empresas reflexionar sobre la IA responsable y prestar atención a su gobernanza. "Ya sea un certificado u otra cosa, es algo que necesitamos absolutamente", dice Paquette.

 



TE PUEDE INTERESAR...

Contenido Patrocinado

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper