El día a día consume la actividad de los directores de las tecnologías de la información. Sin embargo, esto no elimina que el avance tecnológico implica forzosamente tener que pensar en los riesgos no tan tangibles que pueden sentirse lejanos o poco probables en este momento, pero, en realidad están tomando forma y pueden representar una bomba de tiempo a futuro.
Es por ello que expongo algunos de los peligros que veo delicados y que por su aparente poca relevancia no se están abordando con el nivel de importancia adecuado.
Recordemos pues que, siempre, será mejor anticiparnos a no tener todo listo y que suceda algo o, peor aún, que se tenga que responder a una situación dado que ya sucedió y no se estaba preparado.
El problema del año 2038
Este sin duda será un problema “recortado” de lo que fue el problema del año 2000 o Y2K. Abordé en por primera vez este problema en el año 2020 y te dejo aquí la liga para que escuches el detalle al que se refiere este problema aquí. En esencia, el 19 de enero de 2038 las 03:14:07 UTC los sistemas UNIX basados en 32 bits se reiniciarán al 13 de diciembre de 1901 y todos los cálculos que involucren fechas empezarán a tener errores. Estos pueden ser equipos “olvidados” en el tiempo, porque simplemente operan algún sistema que no requiere de actualizaciones y además por lo robusto que es UNIX como sistema operativo simplemente, no da problemas… hasta ese día.
¿Qué hacer?
Inicia auditorías preventivas de código legado y sistemas embebidos. La migración silenciosa puede costar menos hoy que una crisis multimillonaria mañana. Recuerda que, la deuda tecnológica tiene consecuencias imparables y exponenciales mientras más avanza el tiempo.
El reto de la ciberseguridad post cuántica
Se anticipa que las computadoras cuánticas empezarán a emplearse con cierta popularidad más o menos en 2030. Sin embargo, ya existen algunas en diferentes países y empresas. Para cuando esto suceda, aspectos de ciberseguridad como las contraseñas actuales, por más “largas” que sean, podrán ser descubiertas en lapsos breves de tiempo, minutos, o segundos como lo mencioné en este artículo por si deseas entender este tema en detalle.
Se puede ver este riesgo todavía “muy lejano” pero el problema radica en que tal vez, en éste preciso momento, personas mal intencionadas están obteniendo la información cifrada para que al poder emplear en un tiempo las computadoras cuánticas puedan romper su seguridad y hacer mal uso de la información.
¿Qué hacer?
Debes de aprender e investigar de la ciber seguridad post cuántica y sus diferentes esquemas, inventariar toda la información sensible que sientas “segura” por sus esquemas de seguridad actual, considerando que en un tiempo pueden ser vulneradas. Establece una estrategia de migración anticipada de todo esto a ciberseguridad post cuántica y presiona a tus proveedores para conocer cuál es su propuesta al corto y mediano plazo contra estos problemas, en especial si ahora te apoyas en ellos para esa información sensible.
Shadow AI: la información en peligro
Shadow AI viene a ser un caso específico del gran problema que representa el Shadow IT, aspecto que todo CIO ha venido resolviendo desde hace ya una gran cantidad de años. Esta situación puede provocar fugas de información, sesgos y discriminación y/o alucinaciones entre muchos otros problemas. Puede darse el caso de aplicaciones que pueden facilitar ataques de prompt injection entre otros peligros, y como siempre sucede, por más que se capacite y explique a los internos de la empresa, lo normal es que se salgan de las políticas y normatividad con frecuencia.
¿Qué hacer?
Se debe de reforzar la gobernanza de datos y las políticas del manejo de la información, en especial una política específica sobre el uso de la IA generativa. En particular que datos no pueden ser empleados nunca. Para esto se debe en paralelo una serie de alternativas internas controladas para evitar fugas y/o mal uso de la inteligencia artificial manipulando información interna.
Decisiones automatizadas sin trazabilidad
Ya sean agentes o distintas aplicaciones y algoritmos adquiridos de terceros podrían estar tomando decisiones de negocio sin dar explicaciones del cómo o porqué decidieron determinada acción o decisión y el resultado negativo, por sesgos ocultos en las mismas tecnologías, donde cualquiera de estas situaciones será responsabilidad del CIO. Esto puede ir desde pérdidas de negocio o financieras hasta demandas en aplicaciones de selección de personal, por dar solo algunos ejemplos.
¿Qué hacer?
Se debe de solicitar a los proveedores de las aplicaciones o servicios total transparencia algorítmica, además de mecanismos de auditoría continúa y herramientas de trazabilidad para anticipar sesgos o situaciones que se conviertan en un riesgo.
Además, se debe de tener un contrato sólido con los fabricantes de estas tecnologías, obligándolos a ser responsables de daños o perjuicios provocados por su tecnología.
Finalmente, vale la pena estar al tanto de los avances legales y restricciones tecnológicas principalmente en la unión europea, esto por estar a la vanguardia en lo relacionado con este tipo de situaciones.
Dependencia tecnológica y la ceguera estratégica
Este fenómeno comúnmente se conoce como “lock-in” en inglés y consiste en tener un proveedor o un número muy reducido de proveedores en los que se apoya una empresa para diversas acciones de negocio críticas. Esto puede verse por un lado como eficiente, pero por igual es un riesgo y vulnerabilidad estratégica al concentrar tanto poder y control en una entidad externa.
De un momento a otro, un simple cambio en el contrato con ese tipo de proveedores puede paralizar o complicar el negocio de la empresa en su totalidad.
Por igual, puede haber costos muy altos de abandono de servicios en caso de que esa fuera la opción.
Finalmente, la innovación y necesidades de la empresa quedan condicionadas al mapa de acciones futuras del proveedor, dejando sin independencia de acción a la compañía.
¿Qué hacer?
Se debe de evaluar la capacidad de reacción y seguir operando en caso de suspender el uso de ese tipo de tecnología provista por un proveedor dominante. Lo ideal es tener planes de contingencia con múltiples proveedores priorizadas por las áreas más críticas, como sería la ciberseguridad, la operación en la nube o las políticas de identidad solo por dar algunos ejemplos.
Conclusión
En todos estos casos la clave es la anticipación a cualquier problema.
El CIO debe de tomar parte de su tiempo y planeación estratégica al manejo de este tipo de escenarios.
Estas situaciones que por el momento pueden aparentar ser “invisibles” pueden suceder de manera silenciosa, y al manifestarse el impacto de reacción puede ser ineficiente y muy elevado en costo.
De allí que, el CIO debe de volverse un estratega y manejar todo posible escenario y la reacción óptima, contando con un plan preestablecido.
Acciones como los procesos de auditoría y herramientas de mitigación de riesgo son clave en este tipo de acción.
Asimismo, el CIO debe estar muy presente en todas las líneas de negocio, entendiendo sus necesidades y orquestando acciones antes de que sus usuarios se desesperen y actúen por su cuenta. Por último, estos riesgos se deben de compartir con el resto de la cúpula directiva, esto para hacer conciencia colectiva y presupuestal. Finalmente el problema afectará a toda la organización, por lo que es un problema de todos sus actores.
Mpolishuk's Blog 